俞浩

【摘要】 电力通信数据网是电网语音、数据、视频等多种业务的综合服务平台，泰州电力通信数据網络分为核心层、汇聚层和接入层，其中核心层采用A、B双平面设计，同时通过应用MPLS VPN，解决了泰州电力通信各业务系统的“私有性”问题，为各业务系统提供了良好的安全机制、QoS机制等，为泰州电力通信语音、数据、高清视频、MIS等多种业务提供了服务质量优良、可靠性高的网络平台。本文介绍了泰州电力通信数据网的设计思路、网络架构、MPLS VPN部署方案、建设情况，对地区电力通信数据网建设与维护具有一定的参考价值。

【关键词】 电力通信 数据网 MPLS VPN

为适应电网发展的需要，满足调度通信机构各种生产业务需求，对现有电力通信数据网进行改造，建设一个坚强的通信数据网络，全面提高网络可靠性及业务保障能力成为电力通信数据网发展的主要任务。

泰州地区下辖兴化、姜堰、泰兴、靖江四个县公司。根据通信十二五规划，按照分层管理、容灾汇聚、环网接入的原则，泰州供电公司于2011年、2012年分别实施了通信数据网一期和二期工程，网络采用IP over SDH技术机制，在服务上利用灵活的MPLS/VPN技术，初步形成通信数据网核心层双平面、汇聚层互备用、接入层环保护的网络结构。一期工程建设5台核心路由设备，形成地区通信数据网核心B平面，二期工程建设7台路由设备，形成地区通信数据网核心A平面，同时建设10台路由设备形成汇聚层和27台交换设备作为城区通信数据网接入层。目前泰州通信数据网已延伸到县公司、500KV变电站和城区35KV及以上变电所。通过将业务范围拓展到厂站一级，满足了泰州地区电网范围内语音、数据、视频等各种生产业务的需求，保障了泰州电力通信业务系统的高度可靠性和安全性。

一、VPN方案选择

虚拟专用网（VPN）是一种在公共互联网上建立私有安全通道来保障可靠传输的技术，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。目前，主流的VPN技术主要有IPsec VPN、SSL VPN和MPLS VPN。

IPSec协议是IETF工作组制定的，定义在IP层的网络安全协议，IPSec VPN通过建立一条基于网络的IP层的通道，实现数据加密和认证，从而提供端到端的网络安全方案。由于IPSec VPN路由配置繁琐、客户端需安装复杂的软件、不同的终端操作系统需要不同的客户端软件，造成其建设成本高、可扩展性差，因此在电力系统信息化的建设中较少采用。

SSL VPN是基于SSL协议结合强加密算法和身份认证技术，建立远程访问通道的VPN技术。SSL VPN通过建立一条基于应用的会话层的通道，实现VPN隧道的搭建。由于SSL协议位于TCP/IP和应用层之间，它只能访问那些支持SSL或Web浏览器的资源，其应用范围主要是电子邮件系统、Web应用程序等，因此并不适合电力系统信息化应用。

MPLS（多协议标签交换）技术通过在数据包内部引入标签的机制，将第二层高速交换的能力和第三层灵活选径的能力结合起来。MPLS VPN通过在网络路由和交换设备上应用MPLS技术，简化了核心路由器的路由选择方式，实现了向不同VPN提供不同服务质量的服务，同时利用VPN路由转发表（VRF）解决了地址重叠的问题。由于MPLS VPN技术的上述优点，泰州电力通信数据网适宜采用该技术，实现语音、电话、视频等不同业务数据的安全传输。

二、网络建设方案

2.1 网络结构设计

根据标准化、开放性、可靠性和易管理型等方面的考虑，泰州电力通信数据网络按三层结构设计：核心层、汇聚层和接入层。

核心层的功能主要是实现骨干网络之间的优化传输，核心层是所有流量的最终承受者和汇聚者，所以对核心层的设计及网络设备的要求十分严格，目前泰州通信数据网核心层由A、B两个平面构成：其中B平面为一期工程建设，使用5台Cisco 7606路由器覆盖市公司和4个县公司本部，由市县光传输B网承载；A平面为二期工程建设，使用7台Cisco 3560 ME路由设备覆盖市公司和4个县公司本部及地区2个500kV变电站，由市县光传输A网承载。A、B平面分别采用2张不同的传输网，从而确保2个平面的完全互备。核心层内部节点之间使用155M POS链路两两互联，其互联结构如图1所示。通过核心层的双平面化设计，提高了数据网络的可靠性和对业务的保护能力。

汇聚层主要完成与核心层、接入层数据的上联下达，负责将来自接入层的通信业务数据提供至核心层的上行链路。为确保汇聚层的可靠运行，泰州通信数据网由10个节点构成：在泰州城区、四个县公司均设置了二个汇聚点，其中一个点设在公司通信机房，另一个点设在本部和4个县域内的传输第二汇聚点（220KV变电站）。上述节点按地理位置分布在泰州地区5个区域（县域）内，每个区域内2个节点与同一区域内的核心层A、B二个平面使用155M POS链路互联。汇聚层节点与核心层A、B平面间的互联结构如图2所示。汇聚层建设方案既完善了市公司至各个县公司的网络架构，又为通信数据网业务范围拓展到厂站一级留了很大空间。

接入层是直接面向用户连接或访问网络的部分，主要负责接入变电站通信数据采集终端、机房环境监控、通信视频信号和软交换IAD终端等设备。目前泰州通信数据网接入层在城区共部署27台接入层设备，形成了五个接入支环网，各支环均通过城区SDH环网接入汇聚层的“泰州3”和“白马变”汇聚设备，连接结构如图3所示，4个县域内的接入交换机将在后期逐步开展部署。

2.2 AS规划

在MPLS/VPN的骨干网络（PE间）需要运行BGP协议来承载各VPN路由信息，传递MPLS/VPN的标签及其它属性信息。

由于电力通信数据网是电力系统内部网络，所以在为自治域分配号码时理论上可以任意选择，只要不与其它互联的网络冲突即可。但是，考虑到今后网络的发展，应尽可能在私有号码中选择自治域号码。按照江苏电力通信数据网总体规划，泰州地区数据网全网对外为一个统一的自治系统，全网使用一个私有AS号：65008。

2.3 路由协议规划

2.3.1 IGP规划

目前，用于大规模信息系统规划的路由协议主要有二种：开放式最短路径优先协议（OSPF）和中间系统到中间系统路由选择协议（IS-IS）。OSPF 和 IS-IS 两种路由协议均是基于链路状态计算的最短路径路由协议，采用同一种最短路径算法（Dijkstra），通过泛洪机制（Flooding）使得整个网络内的所有路由器都生成一致的链路状态数据库（LSDB）来描述本区域内的网络拓扑，每台路由器根据链路状态数据库用最短路径算法计算到达目的地的最优路由。

地区电力通信数据网作为一个自治域系统，为确保不同路由协议的网络内部及网络之间正常交换数据，必须采用可靠的、扩展性好的内部网关协议（IGP）。IS-IS与OSPF均为网络互联常用的IGP，但IS-IS 为国际标准化组织（ISO）推荐的标准路由协议，该协议横向扩展性好，配置更加简单、运行更加稳定，支持的网络规模大于OSPF，在网络相对庞大时更能体现其协议的优势。所以泰州地区通信数据网采用 IS-IS作为路由IGP是有一定优势的。

2.3.2 BGP规划

泰州电力通信数据网采用MP-BGP承载市级接入网的业务路由，BGP的Router-ID（用于標识路由器）规划采用路由器的Loopback0地址。

在一个BGP域中，一台路由器通过IBGP从另一台路由器学习到的路由信息是不会转发给下一台IBGP 路由器的，这是为了避免在AS中产生路由环路。为实现所有路由器均能学习到所有的路由信息，需采用路由反射器的概念，一台被配置为路由反射器的路由器一旦收到一条路由信息，它就会将这条路由信息传递给所有跟它建立客户关系的路由器，从而消除了对全互联环境的要求。泰州地区通信数据网将核心层A、B平面内的两个主节点“泰州1”、“泰州2”设置为路由反射器，A、B平面内的其他节点作为路由反射器的客户端。

三、IP地址规划

根据江苏电力通信数据网IP地址规划，各地市公司采用80.8.X.X-80.111.X.X共104个B类地址，其中泰州供电公司采用80.56.X.X-80.63.X.X这8个B类地址。为便于通信数据网的实施与管理，总体规划规则如下：①第一个B段（80.56.X.X）用于网络设备（管理地址）和互联地址。②中间6个B段（80.57.X.X～80.62.X.X）用于业务地址。③最后1个B段（80.63.X.X）预留。

四、MPLS VPN部署方案

4.1 VPN总体规划

通信数据网按照各个应用系统划分VPN，泰州电力通信数据网在设计初期规划了4类业务，分别为数据业务、视频业务、行政交换、调度交换，本次规划为每类业务建立一个VPN，同于预留一个公共VPN。通过MPLS VPN实现各个业务之间的完全隔离，符合国网二次安全防护的要求。随着电力系统业务的不断增加，通信数据网可以在不影响现有业务的基础上快速增加新的VPN业务系统。

4.2 RD定义

RD（Route Distinguisher）用于在一台路由器上区分不同的VPN。它只具有本地意义，即只要满足一台路由器上没有重复的RD即可。泰州通信数据网RD规划如表1：

4.3 RT定义

RT（Route Target，路由目标）主要起到VPN间路由策略控制的作用，RT具有全局意义，在通过MP-BGP传递VPN路由表时RT作为Community String属性同路由表一起传递，当VPN 路由表到达其它PE后，接收端PE根据自身为每个VPN配置的允许接收RT来匹配接收的路由表所附带的RT值来判定是接收还是拒绝此路由。泰州通信数据网RT规划如表2。

4.4 MPLS VPN部署

MPLS VPN是一种融覆盖VPN的优点（如安全性以及客户之问的隔离性）以及对等VPN的优点（如简化了路由选择）于一身的技术，在MPLS VPN的网络架构中，有三类路由器：提供商边缘路由器（PE，Provide Edge router）、提供商路由器（P，Provider router）和用户边缘路由器（CE，Customer Edge router）。目前泰州通信数据网核心层、汇聚层节点均配置为PE路由器，接入层节点配置为CE路由器。

MPLS VPN的开通步骤如下：（1）MPLS/VPN开通：在MPLS VPN主干内启用IS-IS协议，在接入层网络内启用OSPF协议，实现全网（MPLS VPN主干内和接入层网络内）底层路由的连通，从而在每台路由器上生成路由表。（2）MPLS配置：路由器要为数据包打上标签，就必须具备改写数据包报头的能力，这需要在MPLS VPN主干内的所有设备上开启CEF（Cisco Express Forwarding）功能。开启CEF后，还需要在设备的相关接口上启用LDP协议，启用LDP协议后，相邻路由器间可通过发送Hello建立LDP邻居关系。此时路由器会给其路由表中的每个条目分配一个随机的标签（标签映射），并将生成的标签分发给其所有LDP邻居，最终在每台路由器上生成LIB（Label Information database，标签信息数据库）和LFIB（Label forwarding information database，标签转发信息数据库）。（3）配置VRF：包括定义vrf名、配置路由区分符（RD）、配置导入/导出路由策略（RT）以及将路由器接口（或vlan）划入相应的vrf中。（4）配置多协议BGP：包括BGP基本配置、激活BGP会话和配置BGP通告发送扩展共同体属性。其中BGP基本配置包括启动BGP进程、配置BGP对等体、关闭IPv4单播前缀。由于BGP扩展共同体（BGP Extended Community Attribute）定义了特定VRF使用的导入导出策略（RT），因此需要在BGP通告中发送扩展共同体属性。（5）配置PE-CE链路：由于在MPLS VPN主干内运行的是MP-BGP协议，在接入层网络内运行的是OSPF协议，因此我们还需要在PE路由器上进行BGP路由和OSPF路由的重发布。

五、小结

MPLS VPN很好地解决了泰州电力通信各业务系统的“私有性”问题，为各业务系统提供了良好的QoS机制、安全机制等，为泰州电力通信语音、数据、高清视频、MIS等多种业务提供了服务质量优良、可靠性高的网络平台，同时通过地址空间和路由分离的方式使得各业务系统的安全性大大提高，将数据网络通道质量提升到一个新的高度。

参 考 文 献

[1] 王慕维，刘文军. 河南电力调度数据网双平面改造优化探讨[J]. 电力系统通信， 2012，33（233）：16-18

[2] 李海华. BGP MPLS VPN数据转发过程分析[J]. 计算机技术与发展，2011，21（6）：4-5

[3] 郎赫. MPLS VPN技术在天津电力综合业务数据网中的规划应用[D]. 天津：天津大学电子信息工程学院，2010：33-35