MSTP专线通道通信地址分配与调试方法探讨
2021-09-26周寒英丁嘉熹左黎斌董治洲杨心一李树东
周寒英,丁嘉熹,左黎斌,董治洲,杨心一,李树东
云南电网有限责任公司保山供电局,云南 保山 678000
0 引言
MSTP专线(基于SDH的多业务传送平台)通道基于MSTP技术的以太网专线,为用户提供2M速率点对点或点对多点的数据专线业务。该通道是一种广泛应用于电力行业调度自动化主站与变电站厂站远动装置之间远动通信的通信方式,基于SDH传输技术,采用PPP封装协议实现以太网的帧到SDH的VC通道的映射,为用户提供数据传送功能。
随着通信技术的发展,电力调度通信业务主要包括继电保护业务、稳控系统业务、信息管理业务、调度自动化(SCADA/EMS)业务、相量测量(PMU)业务等[1]。其中,调度自动化业务系统数据传输通道经过了模拟通道、数字透传通道、网络通道3个发展阶段[2]。目前主要采用网络通道的原因为,网络通道具有传输通道涉及环节少、可靠性高、故障处理方便等优点。保山地区调度自动化业务通常采用1路MSTP专线业务通道和1路调度数据网业务通道构成双网络结构。然而,调度数据网配置及维护相对复杂,用户站、电厂一般无专职维护人员,通道调试或出现故障时较难处理,故双路MSTP专线成了用户变电站的主流通信方式。近年来,电力监控系统必须满足网络安全防护“安全分区,网络专用,横向隔离,纵向认证”16字方针原则。主厂站MSTP通道连接关系拓扑图如图1所示。
图1 主厂站MSTP通道连接关系拓扑图
1 MSTP专线需求分析及地址规划
1.1 保山电网对MSTP专线业务的需求分析
保山电网截至2020年底已建成500 kV变电站1座、220 kV变电站9座及用户变电站6座。近年来,用户变电站接入规模不断扩大,当用户变电站接入保山地调时,考虑到安防设备成本及维护的难易程度,通常采用MSTP专线通信方式接入,仅2019年1年便完成了5座用户变电站的接入工作,MSTP通道接入工作也随之大量增加,由此带来的自动化专业人员所需关注处理的MSTP专线通道调试工作成倍增长。任何通道接入需通过站端自动化人员、通信人员和主站自动化人员三者配合进行,各专业配合不当往往会导致通道调试效率低,且缺乏有效的方法。通道调试中各个环节需要的时间与新建工程的紧迫性恰好相互排斥。因此,文章提出MSTP专线地址分配及一种通用的调试方法,对新建厂站接入主站调度自动化系统有重要意义[3-4]。
1.2 MSTP地址分配规则
随着电网网架结构的日趋复杂,通信网络同步复杂,按照调度管辖范围对MSTP专线业务地址规划势在必行[5-6]。保山地调负责110 kV电压等级及以下厂站的MSTP地址规划。
一般而言,对于不同主、厂站采用不同地址段的通信业务地址,每个主、厂站取16位业务地址为一个段可满足各种安防、通信机设备的业务需求,同时实现地址预留。主厂站端采用30位的2M路由器互联地址可满足不同物理路由时隙的地址安排,通过该项原则可完成各厂站对调度主站MSTP专线业务的地址规划,具体规划如表1所示。
由表1可知,主站端与厂站端地址规划原则一致:规划网段内的起始8位可用地址供服务器、路由器等通信主机使用,最后1位可用地址通常分配为网关,接下来的倒数7位可用地址供加密装置、防火墙等安防设备使用。主、厂站的通信通过两端的2M专线路由器添加互访静态路由实现链路互通。一个厂站对多个主站、多个厂站对一个主站的业务地址规划按表1的原则分配后,得到条理清晰的MSTP专线业务地址规划图,如图2、图3所示。
图2 某县调500 kV变电站接入四级调度MSTP专线通道地址分配图
图3 多个地调管辖厂站接入地调主站MSTP专线通道地址分配图
表1 某地调MSTP专线业务地址规划表
2 业务通道调试方法
MSTP专线业务通道调试一般采用主厂站端互调的方式开展,通信人员将MSTP物理通道调试成功后,通过华为、中兴时隙对应表可确定主厂站所用时隙,开展主厂站通道配置。与此同时,采用如表1所示的地址规划填写相应厂站1,供主站端、厂站端调试使用。结合日常调试,笔者找出一种MSTP专线业务通道通用的调试方法。
(1)确认主站2M专线路由器的SDH、MSTP线端口配置、静态路由配置。其中,MSTP的SDH配置通常分为成帧和非成帧2种模式,主厂站端保持一致即可。MSTP线接口配置采用封装点对点协议(PPP协议),并配置相应接口的业务地址。静态路由配置格式如下:采用ip route-static目标网段/掩码下一跳地址。通常,依据图1可知,下一跳地址均为厂站端2M专线路由器地址。
(2)配置主站MSTP纵向加密装置。加密装置配置的主要内容为路由配置、导入厂站端加密证书并进行隧道配置、添加访问规则。在路由配置时,需遵循配置到所需到达网段的IP地址的路由,即厂站远动机网段地址1.1.1.0。隧道配置过程中导入对端厂站证书且两端路由配置准确才可建立联通的隧道。访问策略添加过程中限制访问地址及端口的最小化,通常远动业务采用IEC-104规约,仅放行目的地址2404端口,实现安防策略最小化配置原则[7]。
(3)配置主站防火墙设备地址及策略。电力行业普遍以等同采用IEC 60870-5系列协议作为应用通信协议的首选,2404/TCP属于IEC 60870-5-104的标准端口。在修改物理通道厂站1地址时,仅需修改目的业务地址即可,访问控制策略一般采用单向访问并固定到端口设置,确保网络访问的最小化。
(4)配置主站端前置机厂站地址及路由。若为厂站地址修改,在修改前置通道配置的厂站地址后,在前置机的路由配置文件rc.local中,修改相应路由策略为新地址策略。若为新接入厂站,则新增一条路由策略指向厂站远动机地址段,新增该厂站一个前置通道。
(5)厂站自动化专业人员同步配置厂站端相关设备。依次配置厂站2M专线路由器、厂站纵向加密装置、厂站远动机。主站端与厂站端对应设备配置原则保持高度一致,即可确保MSTP专线业务调试高效可靠地完成[8-10]。
3 业务通道调试典型案例分析
以某个电厂远动机更换时主站端配置更改为例,该远动机更换涉及地址更改。将厂站1地址统一更换为表1所示地址,假设主站2M专线路由器所用时隙对应端口为Serial0/7/0/1:0口,主站前置、主厂站路由器、加密装置地址为表1规划地址,故该项工作主站端需依次做以下改动并测试通断情况。
3.1 主站端路由器配置更改
(1)SDH模式配置为成帧模式。
Control Cpos0/7/0//进入路由器物理连接的接口板7中;
e1 1 channel-set 0 timeslot-list 1-31//设置第1个时隙为成帧模式。
(2)Serial0/7/0/1:0//端口配置,MSTP专线通信采用增加其相关PPP协议封装,配置表1中规划的业务地址及描述。
interface Serial0/7/0/1:0//进入路由器时隙7-0-1中;
link-protocol ppp//添加PPP协议封装,确保数据链路层的通信;
ip address 1.1.1.1 255.255.255.240//添加端口地址为目的地址;
description To ChangZhan1_tongdao1//添加端口描述。
(3)增加新的静态路由。
ip route-static 1.1.1.0 255.255.255.240 5.5.5.2 description To ChangZhan1 //ip route-static 目标网段/掩码 下一跳地址,其中下一跳地址为厂站端2M路由器地。
(4)查看配置端口状态无误后,用Ping命令测试主、厂站间2M专线路由器的网络是否连通。
3.2 主站端加密装置配置更改
由于更改路由器地址,并未修改主厂站两端加密证书,但更换了加密装置地址,故需建立新的隧道,对加密装置的路由及访问规则进行修改配置。
(1)修改路由配置,即修改访问目的地址。目的地址及网关设置为厂站对端网络地址,即为1.1.1.0,网关设为该网段内最后一位可用地址1.1.1.14。
(2)隧道配置修改时,即修改加密装置之间的连接关系。每一条隧道对应隧道本端地址和隧道对端地址。其中,隧道本端地址为本端(即主站端)加密装置的地址10.10.10.3;隧道对端地址为厂站端加密装置的地址1.1.1.3。通过隧道的相互配置及证书导入建立两侧加密装置的联建关系。
(3)访问规则修改,即修改两侧终端的访问限值策略。内网指本端加密装置所在区域主站前置机地址,外网指厂站对端加密装置所在区域远动机地址。通过该规则将访问控制限值在主站前置机2404端口与厂站远动机之间,某主站加密装置的配置如表2所示。
表2 主站2M加密访问规则配置表
(4)通过查看隧道显示及Ping测试主站2M加密至厂站2M加密的网络是否连通,若连通则说明主厂站2M加密配置不存在问题。
3.3 主站防火墙设备策略更改
设置更改目的为厂站1远动机地址1.1.1.1和1.1.1.2,即可实现主站对厂站1的远动机的访问。访问策略保持2404端口的访问控制。测试主站2M防火墙至厂站2M加密装置的网络是否单向连通,若单向连通则说明主站防火墙策略配置不存在问题,若双向连通,说明防火墙策略配置为双向,不满足安防要求,具体配置如表3所示。
表3 主站防火墙远动业务配置表
3.4 主站前置机配置更改
修改前置机通道配置中的对端厂站地址为远动机地址1.1.1.1和1.1.1.2。同时,新增或修改前置机的路由配置文件rc.local中存在的路由为route add -net 1.1.1.0 255.255.255.240 gw 1.1.1.14,确保前置机的路由指向厂站远动机所在网段。测试主站前置机至厂站远动机的网络是否连通,若连通则说明MSTP专线业务通道调试完成,不存在问题[11]。
3.5 修改厂站端对应设备配置
厂站端各环节设备的修改与主站端设备保持一致原则,并同步开展,才能确保各环节业务测试正常,网络保持连通。
4 结束语
文章提出了一种MSTP专线业务地址规划规则及MSTP专线通道通用调试方法,可规范MSTP专线业务地址的配置原则,加速地调电网与各厂站端远动业务的调试,防止MSTP通道不满足电力监控系统二次安全防护技术的要求。保山地调采用所提方法进行2M地址分配、MSTP专线业务调试后,远动业务通道调试速率稳步增长,地调自动化系统新增MSTP通道运行稳定可靠。该MSTP专线通道通用调试方法及业务地址配置原则为未来调控一体化模式的通道业务调试能力的提升和“大运行”模式的实现奠定了技术基础。