佘玉杰

摘 要：电力行业是关系到国计民生的社会基础行业，因此电力行业的正常、高效运行对的经济与民生都有重要影响。在当今的电网信息化发展过程中，电力综合数据网建设得到重视并飞速发展。电力调度网络建设中广泛采用了智能网络，这种基于VPN的网络具有很高的安全性，为电力调度工作提供了保障。本文总结了VPN在电力调度网络中的应用与发展。

关键词：电力调度 网络建设 VPN MPLS-VPN

中图分类号：TM73 文献标识码：A 文章编号：1674-098X（2015）01（c）-0058-01

电力行业是关系到国计民生的社会基础行业，因此电力行业的正常、高效运行对的经济与民生都有重要影响。在当今的电网信息化发展过程中，电力综合数据网建设得到重视并飞速发展。以VPN技术为基础的智能配电通信网络系统的建设日趋成熟，相关领域的技术也得到探索和应用。

1 VPN技术在电力调度网络建设中的发展

1.1 VPN技术

VPN（Virtual Private Network）虚拟专用网，曾被InfoWorld评为1997年四项重要技术之一。该技术利用公网的网络资源，组建虚拟的私有网络，以实现在Internet上传输私有数据的目的。VPN用户间是网络的逻辑连接而非物理线路。这种功能被电力企业采用，组建电力调度的智能网络，实现企业内的私有电力数据的传输。

1.2 VPN构成与组网方式

VPN组件基本构成有：CE（Custom Edge）可以与服务提供商设备相连；PE（Provider Edge Router）是与CE相连的负责VPN业务接入的边缘设备；P（Provider Router）负责完成路由和快速转发功能。这几个或者部分就组成了一个VPN网络。

VPN组网方式主要有三种：基于客户端设备的VPN（CPE-VPN）组网方式，专线VPN组网方式和基于电信运营商网络的VPN（PP-VPN）方式。最后的这种组网方式，融合了网络技术和CPE-VPN，具有低成本的特点，并且具有良好的可管理性和可扩展性。现在的电力网络系统就是采用這种组网方式。下文探讨的MPLS VPN就是PP-VPN的一种形式。

1.3 VPN技术的优点

（1）安全性。VPN采用的主要技术有加解密技术、隧道技术、身份认证技术等。实现VPN的安全协议有点到点隧道协议（PPTP），第2层转发协议（L2F），第2层隧道协议（L2TP），IP安全协议（IPsec）等。这些都是网络安全性的保障。同时，内部网络隧道的建立可以有效阻止信息泄露、篡改和复制等情况的发生。VPN的传递和虚拟局域网的划分能够使电力调度数据网成为几个无法相互连通的子网网段。电力调度数据网的智能性可以对其IP源路由功能进行禁止，同时实现对病毒常用的网络端口的屏蔽。VPN的安全性使其在电力调度网络中被广泛应用。

（2）简便性。电力企业采用VPN组网时，与运营商联网后进行网络配置即可实现私有化的网络。不仅可以利用公网的网络资源，也可以进行一系列自主的设置，对网络实现有效的管理和运行。此外，VPN具有可扩展性，对于企业运行和发展过程中，内部网络节点增多的现象，企业只需在节点增加VPN设备并进行相关配置即可。

（3）经济性。采用VPN技术，不需要电力企业租用帧中继和数据专线，只需要连接公网即可。这对于电力企业跨地域组网实现过程中的成本降低起到很大作用。并且电力企业在日常管理和网络维护中的成本也会有效降低。

2 MPLS VPN在电力调度网络中的应用

2.1 MPLS VPN

为保障电力调度网络在公网中的安全，基于VPN的实现，衍生出许多相关技术。MPLS VPN的构建就是其中之一，现在大多电力企业电力调度网络的实现依赖于MPLS VPN。

多协议标签交换技术（Multi-Protocol Label Switching，MPLS），简化了核心路由器的路由选择方式，融合了ATM（Automatic Teller Machine）技术与IP（Internet Protocol）技术，既具有IP路由技术的简便性，同时也可以体现ATM中的VPI/VCI（Virtual Path Identifier/Virtual Channel Identifier）的交换理念。

MPLS VPN主要可分为二层MPLS VPN和三层MPLS VPN。二层MPLS VPN类似于ATM/FT的二层专线VPN。三层MPLS VPN是将自治系统中的路由表处理交给ASBR（Autonomous System Border Router）处理。三层MPLS VPN投资小，组网灵活，易于维护、管理和扩展，并且安全性更高。这些特性特别适合于当前电力调度数据网中数据的传输，因而被广泛采用。

2.2 MPLS VPN安全性的提高方式

地址空间和路由独立：PE路由器中每个VPN都需要相互分离的路由和转发实例（VRF）。这样保证了隔离的良好性。运行过程中主机的地址可能是相同，但是不同的VPN地址空间是不同的的。隐藏MPLS核心网：包括VPN用户本身的外界用户不会得到关于MPLS核心网络的信息，这提高了MPLS核心网的安全性。标记哄骗识别：在MPLS网络中，PE是不接受来自CE带有标记的数据包的。所以网络通信中数据包的转发采用依据PE路由器所附加的标记的方式来完成，而非依据数据包的目标IP地址。这样就达到了标记哄骗识别的目的。

3 基于VPN技术的电力调度网络发展

VPN应用于电力调度网络后，人们对其不断发展和改造，并不断探索和优化更加简便和安全的网络。皮建勇（2007）等提出一种新的不依赖于第三方的身份认证和秘钥协商安全方案，在现有的VPN安全框架内裁剪了冗余的功能，提高了实时性的需求。范少伟（2014）等以广西电力调度网的改造为例，介绍了MPLS VPN技术实现网络业务隔离方案。将VPN进行等级分区，接入层、汇聚层、核心层VPN使用三层交换机接入CE设备，在汇聚层和骨干层的本地接入交换机上启用访问控制列表（AC）。采用MPLS VPN技术，可以把物理上单一的IP网络分解成逻辑上隔离的网络，即VPN之间可以重用地址。既解决IP网络地址不足的问题，也方便网络的扩展薛金（2013）在VPN的隔离特性基础上提出一种实现信息隔离的组网方法，利用不同的VPN可以有效隔离关键信息和一般信息，利用IPsec加密、认证功能保证了信息传输中的机密性和延时性。[3]

4 展望

“安全分区、网络专用、横向隔离、纵向认证”是电力调度网络安全防护总体要求。VPN的实现有利于电力调度网络的安全运行。通过采用MPLS-VPN或IPSEC-VPN在专网上形成多个相互逻辑隔离的VPN，实现多层的保护必然是未来网络建设的发展方向。

参考文献

[1] 徐志强，吕舟，徐坤.电力综合数据网跨域VPN部署探讨[J].中国新通信，2014（5）：1-2.

[2] 董军.电力通信技术整体发展思路梳理[J].电子技术与软件工程，2013（19）：122-123.

[3] 樊晓明，黄辉茹.地区电力调度数据网络路由协议及路由策略的选择与设计[J].价值工程，2010，29（30）：140.