浅谈电力通信地市级综合数据网的优化与运维
2018-10-21黄嘉庚
黄嘉庚
摘 要:电力通信综合数据网是承载管理信息类和企业办公类业务,实现厂站间、调度机构间、办公楼间、营业场所间数据通信的数据网络平台。本文主要介绍了电力系统通信综合数据网中较为常见的网络优化与运维的问题,并综合考虑电力通信网络的应用要求,提出了相应合理的优化措施,目的在于有效的提高综合数据网络的使用性能及安全稳定性。
关键词:电力通信;数据网;优化;运维
中图分类号:TN915.853 文献标识码:A 文章编号:1004-7344(2018)11-0243-02
前 言
面对电力行业综合数据网网络规模越来越大,网络终端用户越来越多,业务数量及种类越来越繁复,数据流量和网络病毒也不断增多,为确保网络能为电力系统提供更安全可靠的,更高效率的数据传输,这就对综合数据网网络的性能与安全性的要求越来越高,对运维人员的水平要求也越来越高。本文总结了相关综合数据网运行和维护优化的经验进行如下说明。
1 網络结构的优化
在受设备的性能限制下,许多电力通信地市级综合数据网网络拓扑早期还是以简单的MCE组成的环网为主,如今随着产品的丰富以及技术的提升,地市级综合数据网网络结构应进行优化,如图1所示,可采用三级网络,由核心层、汇聚层、接入层三层网络组成。采用层次化架构,将复杂的网络系统化、层次化。
①核心层,核心层有3套配置设备,采用冗余备份的方式,以10G光口互相连接,其中2台核心安装在地调,1台安装于其他关键核心节点;②汇聚层,汇聚层是多台路由器的汇聚点,分区域与核心层的设备相连接,主要设置位置为供电局的220V变电站,它的功能是处理来自接入层设备的所有通信量,并提供到核心层。每个汇聚节点以2条链路分别接入核心节点,链路承载在MSTP光传输网上。各站网络设备采用光接口与MSTP光传输设备互连,每条至核心节点的链路带宽至少按1000mbit/s配置;③接入层,设置位置遍布所有变电站、供电所和营业网点,利用光纤、双绞线等传输介质,实现与终端连接,并进行业务和带宽的分配。
地调设置两台核心交换机,双设备冗余处理地调侧业务。
2 逻辑协议的优化
由于早期用MCE技术组网的设备多为三层交换机,在网络结构的优化以后,接入层都配置上了路由器,可采用BGP/MPLS IP VPN技术。BGP/MPLS IP VPN支持地址空间重叠、支持重叠VPN、组网方式灵活、可扩展性好,对业务来说,将网络组成三个基本模型,CE、PE和P,其中P设备只需要具备基本MPLS转发能力,大大提高了业务的转发效率。
综合数据网BGP/MPLS IP VPN技术自治域间路由协议应采用EBGP路由协议,自治域内路由协议采用IBGP、OSPF路由协议及静态路由协议。地市级综合数据网与省级互联是不同的自治域,使用EBGP路由协议作为全局路由的路由传递协议,采用MP-BGP的RFC2547bis Option A方式实现跨域MPLS-VPN的互联互通,两侧的设备上应同时使用路由策略的技术进行路由过滤,控制路由器的路由表规模,节约系统资源,对网络数据流量进行合理规划,提高网络性能。
地市级综合数据网自治域内公网采用路由OSPF协议,PE之间采用MP-IBGP协议传递私网路由。其中OSPF协议要根据网络结构合理的划分路由区域(area),OSPF区域划分应确保满足网络运行维护及网络扩展的需要,每区域内容纳路由器数量应不超过50,OSPF协议可以使用NQA和BFD技术来提高路由的收敛性能,可以通过修改链路的OSPF的cost值,合理分配业务流量。在汇聚层设备可采用BGP路由反射器,建立组(group),避免IBGP之间建立全连接关系,减少配置口令数目。至于根据此网络拓扑,在核心层设置发射器涉及到路由条目数量过大以及路由的可靠性,还需要进一步的实践与研究。
3 网络安全性能的优化
电力通信综合数据网的安全对保证电网的安全,稳定,经济运行至关重要。南方电网按照“安全分区、网络专用、横向隔离、纵向认证”的总体策略,建立安全防护体系。为了提高网络的安全性能,应在省、地之间以及地市级本部局域网与接入广域网之间部署防火墙。部署防火墙后,防火墙采用透明传输模式,因此对于防火墙来说,其通过相应的VID号来隔离不同业务的。为增加业务之间互访的安全性,要求防火墙对大部分业务采用“白名单”策略,只允许“白名单”的业务互访,其他互访会话将被阻断。由于互联网业务的特殊性,因此不能将其他业务的安全策略应用在互联网业务中,需要针对互联网业务部署“黑名单”安全策略,其他业务也需要独立出来,按照自身业务需求部署相应的“白名单”或者“黑名单”策略。
防火墙防护策略原则如下:①第一条访问控制策略禁止任意源/目的IP访问135、137、138、139、445和3389等高危端口;②业务系统可根据需要使用高危端口,但必须精确到业务的源IP地址、目的IP地址、端口及协议;③采用白名单方式(互联网业务采用黑名单)设置各业务通信的访问控制策略,控制粒度须达到IP地址、端口及协议级,且源IP、目的IP、目的端口不能出现any/all;④显式拒绝其它业务访问,即最后一条策略必须配置为源IP、目的IP和端口为any/all,且动作为拒绝。
在接入层针对业务的接入也要启用安全策略,使用访问控制列表:①通过黑名单限制高危端口,不考虑IP。②通过白名单允许业务通信地址段,不考虑端口。③定义的访问控制列表为扩展访问控制列表,黑名单和白名单序号合理安排,预留一定的扩容空间,避免无法插入其它业务需求而需要重新定义列表。④最后一条访问控制策略为拒绝所有访问流量。⑤有条件可使用ARP防护等安全策略。
启用用户安全性配置,远程登录为SSH方式,禁止telnet方式,采用ACL方式对管理员登录地址进行限制,设置非法登录次数、网络登录连接超时自动退出等措施,严格限制默认账户的访问权限。SNMP服务,应采用安全性增强版本(支持v2c和v3);并应设定复杂的Community控制字段,禁止使用Public、Private等默认字段,读和写权限团体字复杂度够高。
NTP服务需要启用认证。
4 综合数据网的运维
网络的运维要充分利用综合数据网网管,部署网络流量监控系统,可对全网所有链路流量实现自动监测,采集综合数据网核心层及汇聚层网络设备的流量信息,对过载的数据流量能够分析数据源。当综合数据网互联链路带宽日平均利用率超过物理带宽50%时应考虑进行网络优化或链路扩容。当网络次优路径产生时,适当的选用路由过滤、修改路由协议优先级、BGP路由属性等策略优化路由。
业务运维方面,未接业务的接口应关闭,通过白名单控制业务的开通,在接口下应加业务的描述,便于管理。网路设备应进行例行维护,包括设备环境检查,基本信息检查,运行状态检查,接口内容检查,路由检查,配置文件备份等。
综上所述,为了提升电力通信综合数据网络的可靠性、增强业务接入能力,本文根据以往的电力通信综合数据网的建设和运行维护经验,提出了对数据网的优化和完善改进意见,希望多从事此业务工作的人员可以有一定的参考。能够更快速、更准确的进行故障排查和运行维护工作,保障业务服务质量。
参考文献
[1]张启才.浅析电力通信综合数据网络的优化[J].科技资讯,2014.
[2]郑全吉.浅析电力通信综合数据网络的维护[J].科技向导,2011.
收稿日期:2018-3-28