俞浩

【摘要】 電力通信數(shù)據(jù)網(wǎng)是電網(wǎng)語音、數(shù)據(jù)、視頻等多種業(yè)務(wù)的綜合服務(wù)平臺，泰州電力通信數(shù)據(jù)網(wǎng)絡(luò)分為核心層、匯聚層和接入層，其中核心層采用A、B雙平面設(shè)計，同時通過應(yīng)用MPLS VPN，解決了泰州電力通信各業(yè)務(wù)系統(tǒng)的“私有性”問題，為各業(yè)務(wù)系統(tǒng)提供了良好的安全機(jī)制、QoS機(jī)制等，為泰州電力通信語音、數(shù)據(jù)、高清視頻、MIS等多種業(yè)務(wù)提供了服務(wù)質(zhì)量優(yōu)良、可靠性高的網(wǎng)絡(luò)平臺。本文介紹了泰州電力通信數(shù)據(jù)網(wǎng)的設(shè)計思路、網(wǎng)絡(luò)架構(gòu)、MPLS VPN部署方案、建設(shè)情況，對地區(qū)電力通信數(shù)據(jù)網(wǎng)建設(shè)與維護(hù)具有一定的參考價值。

【關(guān)鍵詞】 電力通信 數(shù)據(jù)網(wǎng) MPLS VPN

為適應(yīng)電網(wǎng)發(fā)展的需要，滿足調(diào)度通信機(jī)構(gòu)各種生產(chǎn)業(yè)務(wù)需求，對現(xiàn)有電力通信數(shù)據(jù)網(wǎng)進(jìn)行改造，建設(shè)一個堅強(qiáng)的通信數(shù)據(jù)網(wǎng)絡(luò)，全面提高網(wǎng)絡(luò)可靠性及業(yè)務(wù)保障能力成為電力通信數(shù)據(jù)網(wǎng)發(fā)展的主要任務(wù)。

泰州地區(qū)下轄興化、姜堰、泰興、靖江四個縣公司。根據(jù)通信十二五規(guī)劃，按照分層管理、容災(zāi)匯聚、環(huán)網(wǎng)接入的原則，泰州供電公司于2011年、2012年分別實施了通信數(shù)據(jù)網(wǎng)一期和二期工程，網(wǎng)絡(luò)采用IP over SDH技術(shù)機(jī)制，在服務(wù)上利用靈活的MPLS/VPN技術(shù)，初步形成通信數(shù)據(jù)網(wǎng)核心層雙平面、匯聚層互備用、接入層環(huán)保護(hù)的網(wǎng)絡(luò)結(jié)構(gòu)。一期工程建設(shè)5臺核心路由設(shè)備，形成地區(qū)通信數(shù)據(jù)網(wǎng)核心B平面，二期工程建設(shè)7臺路由設(shè)備，形成地區(qū)通信數(shù)據(jù)網(wǎng)核心A平面，同時建設(shè)10臺路由設(shè)備形成匯聚層和27臺交換設(shè)備作為城區(qū)通信數(shù)據(jù)網(wǎng)接入層。目前泰州通信數(shù)據(jù)網(wǎng)已延伸到縣公司、500KV變電站和城區(qū)35KV及以上變電所。通過將業(yè)務(wù)范圍拓展到廠站一級，滿足了泰州地區(qū)電網(wǎng)范圍內(nèi)語音、數(shù)據(jù)、視頻等各種生產(chǎn)業(yè)務(wù)的需求，保障了泰州電力通信業(yè)務(wù)系統(tǒng)的高度可靠性和安全性。

一、VPN方案選擇

虛擬專用網(wǎng)（VPN）是一種在公共互聯(lián)網(wǎng)上建立私有安全通道來保障可靠傳輸?shù)募夹g(shù)，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。目前，主流的VPN技術(shù)主要有IPsec VPN、SSL VPN和MPLS VPN。

IPSec協(xié)議是IETF工作組制定的，定義在IP層的網(wǎng)絡(luò)安全協(xié)議，IPSec VPN通過建立一條基于網(wǎng)絡(luò)的IP層的通道，實現(xiàn)數(shù)據(jù)加密和認(rèn)證，從而提供端到端的網(wǎng)絡(luò)安全方案。由于IPSec VPN路由配置繁瑣、客戶端需安裝復(fù)雜的軟件、不同的終端操作系統(tǒng)需要不同的客戶端軟件，造成其建設(shè)成本高、可擴(kuò)展性差，因此在電力系統(tǒng)信息化的建設(shè)中較少采用。

SSL VPN是基于SSL協(xié)議結(jié)合強(qiáng)加密算法和身份認(rèn)證技術(shù)，建立遠(yuǎn)程訪問通道的VPN技術(shù)。SSL VPN通過建立一條基于應(yīng)用的會話層的通道，實現(xiàn)VPN隧道的搭建。由于SSL協(xié)議位于TCP/IP和應(yīng)用層之間，它只能訪問那些支持SSL或Web瀏覽器的資源，其應(yīng)用范圍主要是電子郵件系統(tǒng)、Web應(yīng)用程序等，因此并不適合電力系統(tǒng)信息化應(yīng)用。

MPLS（多協(xié)議標(biāo)簽交換）技術(shù)通過在數(shù)據(jù)包內(nèi)部引入標(biāo)簽的機(jī)制，將第二層高速交換的能力和第三層靈活選徑的能力結(jié)合起來。MPLS VPN通過在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化了核心路由器的路由選擇方式，實現(xiàn)了向不同VPN提供不同服務(wù)質(zhì)量的服務(wù)，同時利用VPN路由轉(zhuǎn)發(fā)表（VRF）解決了地址重疊的問題。由于MPLS VPN技術(shù)的上述優(yōu)點，泰州電力通信數(shù)據(jù)網(wǎng)適宜采用該技術(shù)，實現(xiàn)語音、電話、視頻等不同業(yè)務(wù)數(shù)據(jù)的安全傳輸。

二、網(wǎng)絡(luò)建設(shè)方案

2.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

根據(jù)標(biāo)準(zhǔn)化、開放性、可靠性和易管理型等方面的考慮，泰州電力通信數(shù)據(jù)網(wǎng)絡(luò)按三層結(jié)構(gòu)設(shè)計：核心層、匯聚層和接入層。

核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格，目前泰州通信數(shù)據(jù)網(wǎng)核心層由A、B兩個平面構(gòu)成：其中B平面為一期工程建設(shè)，使用5臺Cisco 7606路由器覆蓋市公司和4個縣公司本部，由市縣光傳輸B網(wǎng)承載；A平面為二期工程建設(shè)，使用7臺Cisco 3560 ME路由設(shè)備覆蓋市公司和4個縣公司本部及地區(qū)2個500kV變電站，由市縣光傳輸A網(wǎng)承載。A、B平面分別采用2張不同的傳輸網(wǎng)，從而確保2個平面的完全互備。核心層內(nèi)部節(jié)點之間使用155M POS鏈路兩兩互聯(lián)，其互聯(lián)結(jié)構(gòu)如圖1所示。通過核心層的雙平面化設(shè)計，提高了數(shù)據(jù)網(wǎng)絡(luò)的可靠性和對業(yè)務(wù)的保護(hù)能力。

匯聚層主要完成與核心層、接入層數(shù)據(jù)的上聯(lián)下達(dá)，負(fù)責(zé)將來自接入層的通信業(yè)務(wù)數(shù)據(jù)提供至核心層的上行鏈路。為確保匯聚層的可靠運行，泰州通信數(shù)據(jù)網(wǎng)由10個節(jié)點構(gòu)成：在泰州城區(qū)、四個縣公司均設(shè)置了二個匯聚點，其中一個點設(shè)在公司通信機(jī)房，另一個點設(shè)在本部和4個縣域內(nèi)的傳輸?shù)诙R聚點（220KV變電站）。上述節(jié)點按地理位置分布在泰州地區(qū)5個區(qū)域（縣域）內(nèi)，每個區(qū)域內(nèi)2個節(jié)點與同一區(qū)域內(nèi)的核心層A、B二個平面使用155M POS鏈路互聯(lián)。匯聚層節(jié)點與核心層A、B平面間的互聯(lián)結(jié)構(gòu)如圖2所示。匯聚層建設(shè)方案既完善了市公司至各個縣公司的網(wǎng)絡(luò)架構(gòu)，又為通信數(shù)據(jù)網(wǎng)業(yè)務(wù)范圍拓展到廠站一級留了很大空間。

接入層是直接面向用戶連接或訪問網(wǎng)絡(luò)的部分，主要負(fù)責(zé)接入變電站通信數(shù)據(jù)采集終端、機(jī)房環(huán)境監(jiān)控、通信視頻信號和軟交換IAD終端等設(shè)備。目前泰州通信數(shù)據(jù)網(wǎng)接入層在城區(qū)共部署27臺接入層設(shè)備，形成了五個接入支環(huán)網(wǎng)，各支環(huán)均通過城區(qū)SDH環(huán)網(wǎng)接入?yún)R聚層的“泰州3”和“白馬變”匯聚設(shè)備，連接結(jié)構(gòu)如圖3所示，4個縣域內(nèi)的接入交換機(jī)將在后期逐步開展部署。

2.2 AS規(guī)劃

在MPLS/VPN的骨干網(wǎng)絡(luò)（PE間）需要運行BGP協(xié)議來承載各VPN路由信息，傳遞MPLS/VPN的標(biāo)簽及其它屬性信息。

由于電力通信數(shù)據(jù)網(wǎng)是電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)，所以在為自治域分配號碼時理論上可以任意選擇，只要不與其它互聯(lián)的網(wǎng)絡(luò)沖突即可。但是，考慮到今后網(wǎng)絡(luò)的發(fā)展，應(yīng)盡可能在私有號碼中選擇自治域號碼。按照江蘇電力通信數(shù)據(jù)網(wǎng)總體規(guī)劃，泰州地區(qū)數(shù)據(jù)網(wǎng)全網(wǎng)對外為一個統(tǒng)一的自治系統(tǒng)，全網(wǎng)使用一個私有AS號：65008。

2.3 路由協(xié)議規(guī)劃

2.3.1 IGP規(guī)劃

目前，用于大規(guī)模信息系統(tǒng)規(guī)劃的路由協(xié)議主要有二種：開放式最短路徑優(yōu)先協(xié)議（OSPF）和中間系統(tǒng)到中間系統(tǒng)路由選擇協(xié)議（IS-IS）。OSPF 和 IS-IS 兩種路由協(xié)議均是基于鏈路狀態(tài)計算的最短路徑路由協(xié)議，采用同一種最短路徑算法（Dijkstra），通過泛洪機(jī)制（Flooding）使得整個網(wǎng)絡(luò)內(nèi)的所有路由器都生成一致的鏈路狀態(tài)數(shù)據(jù)庫（LSDB）來描述本區(qū)域內(nèi)的網(wǎng)絡(luò)拓?fù)?，每臺路由器根據(jù)鏈路狀態(tài)數(shù)據(jù)庫用最短路徑算法計算到達(dá)目的地的最優(yōu)路由。

地區(qū)電力通信數(shù)據(jù)網(wǎng)作為一個自治域系統(tǒng)，為確保不同路由協(xié)議的網(wǎng)絡(luò)內(nèi)部及網(wǎng)絡(luò)之間正常交換數(shù)據(jù)，必須采用可靠的、擴(kuò)展性好的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。IS-IS與OSPF均為網(wǎng)絡(luò)互聯(lián)常用的IGP，但I(xiàn)S-IS 為國際標(biāo)準(zhǔn)化組織（ISO）推薦的標(biāo)準(zhǔn)路由協(xié)議，該協(xié)議橫向擴(kuò)展性好，配置更加簡單、運行更加穩(wěn)定，支持的網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相對龐大時更能體現(xiàn)其協(xié)議的優(yōu)勢。所以泰州地區(qū)通信數(shù)據(jù)網(wǎng)采用 IS-IS作為路由IGP是有一定優(yōu)勢的。

2.3.2 BGP規(guī)劃

泰州電力通信數(shù)據(jù)網(wǎng)采用MP-BGP承載市級接入網(wǎng)的業(yè)務(wù)路由，BGP的Router-ID（用于標(biāo)識路由器）規(guī)劃采用路由器的Loopback0地址。

在一個BGP域中，一臺路由器通過IBGP從另一臺路由器學(xué)習(xí)到的路由信息是不會轉(zhuǎn)發(fā)給下一臺IBGP 路由器的，這是為了避免在AS中產(chǎn)生路由環(huán)路。為實現(xiàn)所有路由器均能學(xué)習(xí)到所有的路由信息，需采用路由反射器的概念，一臺被配置為路由反射器的路由器一旦收到一條路由信息，它就會將這條路由信息傳遞給所有跟它建立客戶關(guān)系的路由器，從而消除了對全互聯(lián)環(huán)境的要求。泰州地區(qū)通信數(shù)據(jù)網(wǎng)將核心層A、B平面內(nèi)的兩個主節(jié)點“泰州1”、“泰州2”設(shè)置為路由反射器，A、B平面內(nèi)的其他節(jié)點作為路由反射器的客戶端。

三、IP地址規(guī)劃

根據(jù)江蘇電力通信數(shù)據(jù)網(wǎng)IP地址規(guī)劃，各地市公司采用80.8.X.X-80.111.X.X共104個B類地址，其中泰州供電公司采用80.56.X.X-80.63.X.X這8個B類地址。為便于通信數(shù)據(jù)網(wǎng)的實施與管理，總體規(guī)劃規(guī)則如下：①第一個B段（80.56.X.X）用于網(wǎng)絡(luò)設(shè)備（管理地址）和互聯(lián)地址。②中間6個B段（80.57.X.X～80.62.X.X）用于業(yè)務(wù)地址。③最后1個B段（80.63.X.X）預(yù)留。

四、MPLS VPN部署方案

4.1 VPN總體規(guī)劃

通信數(shù)據(jù)網(wǎng)按照各個應(yīng)用系統(tǒng)劃分VPN，泰州電力通信數(shù)據(jù)網(wǎng)在設(shè)計初期規(guī)劃了4類業(yè)務(wù)，分別為數(shù)據(jù)業(yè)務(wù)、視頻業(yè)務(wù)、行政交換、調(diào)度交換，本次規(guī)劃為每類業(yè)務(wù)建立一個VPN，同于預(yù)留一個公共VPN。通過MPLS VPN實現(xiàn)各個業(yè)務(wù)之間的完全隔離，符合國網(wǎng)二次安全防護(hù)的要求。隨著電力系統(tǒng)業(yè)務(wù)的不斷增加，通信數(shù)據(jù)網(wǎng)可以在不影響現(xiàn)有業(yè)務(wù)的基礎(chǔ)上快速增加新的VPN業(yè)務(wù)系統(tǒng)。

4.2 RD定義

RD（Route Distinguisher）用于在一臺路由器上區(qū)分不同的VPN。它只具有本地意義，即只要滿足一臺路由器上沒有重復(fù)的RD即可。泰州通信數(shù)據(jù)網(wǎng)RD規(guī)劃如表1：

4.3 RT定義

RT（Route Target，路由目標(biāo)）主要起到VPN間路由策略控制的作用，RT具有全局意義，在通過MP-BGP傳遞VPN路由表時RT作為Community String屬性同路由表一起傳遞，當(dāng)VPN 路由表到達(dá)其它PE后，接收端PE根據(jù)自身為每個VPN配置的允許接收RT來匹配接收的路由表所附帶的RT值來判定是接收還是拒絕此路由。泰州通信數(shù)據(jù)網(wǎng)RT規(guī)劃如表2。

4.4 MPLS VPN部署

MPLS VPN是一種融覆蓋VPN的優(yōu)點（如安全性以及客戶之問的隔離性）以及對等VPN的優(yōu)點（如簡化了路由選擇）于一身的技術(shù)，在MPLS VPN的網(wǎng)絡(luò)架構(gòu)中，有三類路由器：提供商邊緣路由器（PE，Provide Edge router）、提供商路由器（P，Provider router）和用戶邊緣路由器（CE，Customer Edge router）。目前泰州通信數(shù)據(jù)網(wǎng)核心層、匯聚層節(jié)點均配置為PE路由器，接入層節(jié)點配置為CE路由器。

MPLS VPN的開通步驟如下：（1）MPLS/VPN開通：在MPLS VPN主干內(nèi)啟用IS-IS協(xié)議，在接入層網(wǎng)絡(luò)內(nèi)啟用OSPF協(xié)議，實現(xiàn)全網(wǎng)（MPLS VPN主干內(nèi)和接入層網(wǎng)絡(luò)內(nèi)）底層路由的連通，從而在每臺路由器上生成路由表。（2）MPLS配置：路由器要為數(shù)據(jù)包打上標(biāo)簽，就必須具備改寫數(shù)據(jù)包報頭的能力，這需要在MPLS VPN主干內(nèi)的所有設(shè)備上開啟CEF（Cisco Express Forwarding）功能。開啟CEF后，還需要在設(shè)備的相關(guān)接口上啟用LDP協(xié)議，啟用LDP協(xié)議后，相鄰路由器間可通過發(fā)送Hello建立LDP鄰居關(guān)系。此時路由器會給其路由表中的每個條目分配一個隨機(jī)的標(biāo)簽（標(biāo)簽映射），并將生成的標(biāo)簽分發(fā)給其所有LDP鄰居，最終在每臺路由器上生成LIB（Label Information database，標(biāo)簽信息數(shù)據(jù)庫）和LFIB（Label forwarding information database，標(biāo)簽轉(zhuǎn)發(fā)信息數(shù)據(jù)庫）。（3）配置VRF：包括定義vrf名、配置路由區(qū)分符（RD）、配置導(dǎo)入/導(dǎo)出路由策略（RT）以及將路由器接口（或vlan）劃入相應(yīng)的vrf中。（4）配置多協(xié)議BGP：包括BGP基本配置、激活BGP會話和配置BGP通告發(fā)送擴(kuò)展共同體屬性。其中BGP基本配置包括啟動BGP進(jìn)程、配置BGP對等體、關(guān)閉IPv4單播前綴。由于BGP擴(kuò)展共同體（BGP Extended Community Attribute）定義了特定VRF使用的導(dǎo)入導(dǎo)出策略（RT），因此需要在BGP通告中發(fā)送擴(kuò)展共同體屬性。（5）配置PE-CE鏈路：由于在MPLS VPN主干內(nèi)運行的是MP-BGP協(xié)議，在接入層網(wǎng)絡(luò)內(nèi)運行的是OSPF協(xié)議，因此我們還需要在PE路由器上進(jìn)行BGP路由和OSPF路由的重發(fā)布。

五、小結(jié)

MPLS VPN很好地解決了泰州電力通信各業(yè)務(wù)系統(tǒng)的“私有性”問題，為各業(yè)務(wù)系統(tǒng)提供了良好的QoS機(jī)制、安全機(jī)制等，為泰州電力通信語音、數(shù)據(jù)、高清視頻、MIS等多種業(yè)務(wù)提供了服務(wù)質(zhì)量優(yōu)良、可靠性高的網(wǎng)絡(luò)平臺，同時通過地址空間和路由分離的方式使得各業(yè)務(wù)系統(tǒng)的安全性大大提高，將數(shù)據(jù)網(wǎng)絡(luò)通道質(zhì)量提升到一個新的高度。

參 考 文 獻(xiàn)

[1] 王慕維，劉文軍. 河南電力調(diào)度數(shù)據(jù)網(wǎng)雙平面改造優(yōu)化探討[J]. 電力系統(tǒng)通信， 2012，33（233）：16-18

[2] 李海華. BGP MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)過程分析[J]. 計算機(jī)技術(shù)與發(fā)展，2011，21（6）：4-5

[3] 郎赫. MPLS VPN技術(shù)在天津電力綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)中的規(guī)劃應(yīng)用[D]. 天津：天津大學(xué)電子信息工程學(xué)院，2010：33-35