论文部分内容阅读
【摘 要】由于电力安全生产和调度通信发展的需要,调度数据网承载的业务必须具备较高的实时性、可靠性和安全性要求,也要保证网络传输有较短的延时和优先级机制、网络的收敛时限和安全防护性等关键功能。本文主要分析电力调度数据网的网络互联的具体方案以及电力调度数据网的特点进行了分析。
【关键词】调度;数据网;技术体制
一、调度数据网技术遴选
电力调度数据网技术体制选择的原则是灵活支持多业务、多协议,具有较强的可管理性、可控制性和安全保密性,技术先进,适合电力系统的业务要求和通道条件。
根据目前计算机技术的发展情况,对电力调度数据网组网的技术体制选择,从技术的成熟性、建网的经济性等方面综合考虑,IP overSDH将IP网技术介入到同步数字体系(SDH)传送平台,可以与各种不同的技术标准相兼容,实现网络互联及多媒体业务互通。采用IP over SDH的技術体制在技术先进性、设备获取性、技术人员积累及网络的持续扩展性等方面都具有明显的潜力和优势,符合未来技术发展的方向。根据电网的现状,采用IP over SDH的技术体制是一种比较可行的方法,在经济性、可靠性、安全性等方面都能提供很好的保证。
二、地市级电力调度数据网的组网分析
2.1 路由方案
电力调度数据网的骨干路由器的管理地址和互联地址的路由由内部网关协议(IGP)承载;其他路由由多协议扩展的边界网关协议(MPBGP)承载。
2.1.1内部网关协议(IGP)
按现在调度网络的规模,自治域内采用链路状态协议即开放式最短路径优先协议(0SPF),整个路由域设计为两层结构,即一个主干区和若干子区,各子区相对独立,网络路由分为区内和区间,每个区内路由的变化仅在区内完成收敛,不会影响到其它区。采用分层协议能够增强网络稳定性,使网络便于扩展。同时,分层协议隐藏了其他层次的拓扑结构,降低了路由计算的复杂度,既增强网络的安全性,也提高路由的收敛速度。层次化路由,也使层间可以进行网络地址汇聚,缩短路由表长度,提高网络寻址效率。在目前网络规模情况下,OSPF与中间系统到中间系统的路由选择协议(IS—IS)均可满足调度网络总体技术要求。鉴于在企业组网设计中,OSPF较IS-IS更为普遍,工程和维护经验更丰富,方案设计、工程施工更易实施,运行维护人员也较易掌握,因此,电力调度数据网骨干网组网协议选择OSPF动态路由协议。
电力调度数据网全局OSPF根据网络规模分为Area 0区和骨干网子区两个分区。核心骨干层出口路由器的外联口(与其他核心骨干层节点互联口)属于Area 0区;内联口(与本核心骨干层节点的互联口)属于骨干网子区。核心骨干层的出口路由器为区域边界路由器(ABR),可隔离Area 0区和子区,并发布聚合后的子区路由到Area 0区。
2.1.2多协议扩展的边界网关协议(MP-BGP)
电力调度数据网MP—BGP应在地区调度与省网互联自主系统边界路由器(ASBR)以及各变电站核心骨干层边缘路由器(PE)上运行。按照调度关系,各变电站MP—BGP只与地区调度节点路由器交换路由信息。由于骨干网内全网部署MPLS VPN,为降低网络复杂度,需要在全网PE上运行MP—BGP。并可通过建立路由反射器(RR)来实现MP—BGP的路由交换。
根据电力调度数据网实际情况,主调与备调4台CISCO 7609路由器作为反射器集群,各变电站接入节点只与反射器集群建立MP—BGP邻居关系。
MP—BGP在除ASBR以外的节点使用Loopback 0接口地址建立邻居关系,ASBR使用链路互联地址与省骨干网汇聚层路由器建立MP—BGP邻居关系,与地区网内部其他节点以Loopback0接口地址建立邻居关系。
2.2 MPLS VPN的部署
电力调度数据网承载的业务较多,为保证安全等级不同的应用业务之间的相互隔离,调度数据网需部署多协议标记交换虚拟专用网络(MPLS VPN)以满足业务系统的网络及信息安
全要求,MPLS VPN是一种基于MPLS技术的虚拟专用网络(VPN)。
电力调度生产业务可分为实时监控和非实时监控生产两类,按安全要求纵向上划分为不同的VPN,实现安全隔离。对于同一业务,即使安全等级一样,由于地理位置、所属行政管理区域不一样,业务上没有互通的需要,也需要采取一定的隔离措施,横向上划分为不同的VPN,获得更多的安全性。
常规技术部署基于MPLS技术的VPN(MPLS VPN)后,整个VPN 内部路由为平面结构,无层次概念,网内路由任何变化将会导致全网路由振荡和收敛。为减少低端厂站PE路由器对VPN的处理压力,加快全网路由收敛速度,可采用标准的VRF—t0—VRF方式(即本端VPN虚拟路由转发表(VRF)对应远端VPN虚拟路由转发表(VRF))实现厂站PE路由器的接人:在两台PE上为每个VPN分别建立VRF,在每个VRF中,将对方PE看作CE,PE之间通过物理接口或逻辑接口方式区分不同的VPN。
2.3 路由冗余
1)IGP路由冗余。电力调度数据网的核心骨干层及汇聚节点都拥有两条以上的不同链路连接到其他节点,节点通过OSPF学习到两条或以上到其他节点的路由。在其中的一条路由失效的时候,另外一条路由将自动启用。通过OSPF的路由自愈功能,保证了在路由选择上的冗余。
2)MP-BGP路由冗余。电力调度数据网路由反射器集群设置在主、备调4台核心路由器上,其它路由器作为客户端,分别与反射器集群中的两台RR建立MP—BGP邻居关系。反射器集群中任何一台RR失效,另外一台处于备用状态的RR会立刻启动,继续同步MP—BGP的邻居数据库,保证MP-BGP的业务连接不中断。
2.4 网络安全
网络安全是电力二次系统安全的一部分。电力调度数据网内部由于网络覆盖面大,承载业务较多,需有相应的安全设计和相应措施,网络安全主要考虑以下几个方面。 1)管理安全策略:
(1)设置验证、授权、记帐(AAA)网管服务器,所有设备启用认证、授权、记帐功能。在设备本地设置登陆超级帐号以应急使用,权限为最高(该帐号各地区电力调度数据网分别设置,严格保密),其他帐户由AAA网管服务器决定。
(2)AAA网管服务器设置策略应将帐户严格分级,按照级别对帐号操作权限进行限制。
(3)网管方式采用简单网络管理协议(SNMPv3),远程登录(Telnet),以及文件传输协议(FTP)(传输log及设备软件),关闭不必要的其他服务及端口。所有设备设置访问控制列表(ACL),只接收网管中心及省网管中心源地址的登录。
(4)网管中心设置有网管系统、监控设备负荷、链路负载和数据流量。网络运行正常标准状态是:①设备CPU利用率小于30%;②设备电源总负载小于50%;③设备温度低于25~℃;④链路负载小于60%;⑤数据流量按照网络设计预期方向传输,并定期测试备用链路,确保冗余性。
2)路由安全。为了安全的原因,在相同OSPF区域的路由器上启用身份验证的功能,只有经过身份验证的同一区域的路由器才能互相通告路由信息。
3)业务MPLS VPN安全。采用MP BGP/MPLS VPN技术,可实现地调和省调互通,以及个别地调之间的互通。
三、地市级电力调度数据网组网设计的优缺点分析
1)设计优点:
(1)私密性高。采用MPLS VPN的设计极大地提高了不同业务问的私密性,有了VPN的隔离,不同业务之间不能互相訪问,但能够使得数据是由上至下访问,如数据由下面的变电站向上传递到自动化后台,经过后台加工处理数据再往下分发数据,但平级的厂站之间是不能够互相访问的,这样就很好地保证了数据的私密性。
(2)实时性高。采用了MP—BGP的设计使得数据包能够在最快的时间内进行转发,而不需要在传递过程中在每台交换机上查找路由而消耗时间,通过反射器建立邻居,并且是通过查找标签而不是路由去转发数据包,这些动作都极大提高了数据网的实时性。
(3)可靠性高。调度数据网采用了冗余设计并对访问进行加密,当网络中的某台设备或传输链路发生故障或者中断时,冗余设计保证了另外一台设备或者传输链路能够马上作为备用来支撑网络,大大减小了网络出现中断的风险。
2)设计缺点。由于地级市电力调度数据网承载的调度业务的特殊性及重要性,对设备性能及冗余性的要求十分高,这就导致了工程量大、设备数量较多、网络复杂,增加了运维人员的压力。
四、结束语
本文针对调度自动化数据网的网络技术体制、路由器、特点接入等方面进行了有益的探索和研究,其应用的私密性非常高,可通过MPLS VPN实现实时业务和非实时业务的隔离;采用了MP—BGP的设计,使得数据包能够在最快的时间内进行转发,提高了电力调度数据网传输的可靠性和稳定性;设计的网络冗余和加密访问设置,减小了网络出现中断的风险。该组网方式在电力调度数据网的成功应用,为电网调度数据网的改造及优化提供了方向和参考。
【关键词】调度;数据网;技术体制
一、调度数据网技术遴选
电力调度数据网技术体制选择的原则是灵活支持多业务、多协议,具有较强的可管理性、可控制性和安全保密性,技术先进,适合电力系统的业务要求和通道条件。
根据目前计算机技术的发展情况,对电力调度数据网组网的技术体制选择,从技术的成熟性、建网的经济性等方面综合考虑,IP overSDH将IP网技术介入到同步数字体系(SDH)传送平台,可以与各种不同的技术标准相兼容,实现网络互联及多媒体业务互通。采用IP over SDH的技術体制在技术先进性、设备获取性、技术人员积累及网络的持续扩展性等方面都具有明显的潜力和优势,符合未来技术发展的方向。根据电网的现状,采用IP over SDH的技术体制是一种比较可行的方法,在经济性、可靠性、安全性等方面都能提供很好的保证。
二、地市级电力调度数据网的组网分析
2.1 路由方案
电力调度数据网的骨干路由器的管理地址和互联地址的路由由内部网关协议(IGP)承载;其他路由由多协议扩展的边界网关协议(MPBGP)承载。
2.1.1内部网关协议(IGP)
按现在调度网络的规模,自治域内采用链路状态协议即开放式最短路径优先协议(0SPF),整个路由域设计为两层结构,即一个主干区和若干子区,各子区相对独立,网络路由分为区内和区间,每个区内路由的变化仅在区内完成收敛,不会影响到其它区。采用分层协议能够增强网络稳定性,使网络便于扩展。同时,分层协议隐藏了其他层次的拓扑结构,降低了路由计算的复杂度,既增强网络的安全性,也提高路由的收敛速度。层次化路由,也使层间可以进行网络地址汇聚,缩短路由表长度,提高网络寻址效率。在目前网络规模情况下,OSPF与中间系统到中间系统的路由选择协议(IS—IS)均可满足调度网络总体技术要求。鉴于在企业组网设计中,OSPF较IS-IS更为普遍,工程和维护经验更丰富,方案设计、工程施工更易实施,运行维护人员也较易掌握,因此,电力调度数据网骨干网组网协议选择OSPF动态路由协议。
电力调度数据网全局OSPF根据网络规模分为Area 0区和骨干网子区两个分区。核心骨干层出口路由器的外联口(与其他核心骨干层节点互联口)属于Area 0区;内联口(与本核心骨干层节点的互联口)属于骨干网子区。核心骨干层的出口路由器为区域边界路由器(ABR),可隔离Area 0区和子区,并发布聚合后的子区路由到Area 0区。
2.1.2多协议扩展的边界网关协议(MP-BGP)
电力调度数据网MP—BGP应在地区调度与省网互联自主系统边界路由器(ASBR)以及各变电站核心骨干层边缘路由器(PE)上运行。按照调度关系,各变电站MP—BGP只与地区调度节点路由器交换路由信息。由于骨干网内全网部署MPLS VPN,为降低网络复杂度,需要在全网PE上运行MP—BGP。并可通过建立路由反射器(RR)来实现MP—BGP的路由交换。
根据电力调度数据网实际情况,主调与备调4台CISCO 7609路由器作为反射器集群,各变电站接入节点只与反射器集群建立MP—BGP邻居关系。
MP—BGP在除ASBR以外的节点使用Loopback 0接口地址建立邻居关系,ASBR使用链路互联地址与省骨干网汇聚层路由器建立MP—BGP邻居关系,与地区网内部其他节点以Loopback0接口地址建立邻居关系。
2.2 MPLS VPN的部署
电力调度数据网承载的业务较多,为保证安全等级不同的应用业务之间的相互隔离,调度数据网需部署多协议标记交换虚拟专用网络(MPLS VPN)以满足业务系统的网络及信息安
全要求,MPLS VPN是一种基于MPLS技术的虚拟专用网络(VPN)。
电力调度生产业务可分为实时监控和非实时监控生产两类,按安全要求纵向上划分为不同的VPN,实现安全隔离。对于同一业务,即使安全等级一样,由于地理位置、所属行政管理区域不一样,业务上没有互通的需要,也需要采取一定的隔离措施,横向上划分为不同的VPN,获得更多的安全性。
常规技术部署基于MPLS技术的VPN(MPLS VPN)后,整个VPN 内部路由为平面结构,无层次概念,网内路由任何变化将会导致全网路由振荡和收敛。为减少低端厂站PE路由器对VPN的处理压力,加快全网路由收敛速度,可采用标准的VRF—t0—VRF方式(即本端VPN虚拟路由转发表(VRF)对应远端VPN虚拟路由转发表(VRF))实现厂站PE路由器的接人:在两台PE上为每个VPN分别建立VRF,在每个VRF中,将对方PE看作CE,PE之间通过物理接口或逻辑接口方式区分不同的VPN。
2.3 路由冗余
1)IGP路由冗余。电力调度数据网的核心骨干层及汇聚节点都拥有两条以上的不同链路连接到其他节点,节点通过OSPF学习到两条或以上到其他节点的路由。在其中的一条路由失效的时候,另外一条路由将自动启用。通过OSPF的路由自愈功能,保证了在路由选择上的冗余。
2)MP-BGP路由冗余。电力调度数据网路由反射器集群设置在主、备调4台核心路由器上,其它路由器作为客户端,分别与反射器集群中的两台RR建立MP—BGP邻居关系。反射器集群中任何一台RR失效,另外一台处于备用状态的RR会立刻启动,继续同步MP—BGP的邻居数据库,保证MP-BGP的业务连接不中断。
2.4 网络安全
网络安全是电力二次系统安全的一部分。电力调度数据网内部由于网络覆盖面大,承载业务较多,需有相应的安全设计和相应措施,网络安全主要考虑以下几个方面。 1)管理安全策略:
(1)设置验证、授权、记帐(AAA)网管服务器,所有设备启用认证、授权、记帐功能。在设备本地设置登陆超级帐号以应急使用,权限为最高(该帐号各地区电力调度数据网分别设置,严格保密),其他帐户由AAA网管服务器决定。
(2)AAA网管服务器设置策略应将帐户严格分级,按照级别对帐号操作权限进行限制。
(3)网管方式采用简单网络管理协议(SNMPv3),远程登录(Telnet),以及文件传输协议(FTP)(传输log及设备软件),关闭不必要的其他服务及端口。所有设备设置访问控制列表(ACL),只接收网管中心及省网管中心源地址的登录。
(4)网管中心设置有网管系统、监控设备负荷、链路负载和数据流量。网络运行正常标准状态是:①设备CPU利用率小于30%;②设备电源总负载小于50%;③设备温度低于25~℃;④链路负载小于60%;⑤数据流量按照网络设计预期方向传输,并定期测试备用链路,确保冗余性。
2)路由安全。为了安全的原因,在相同OSPF区域的路由器上启用身份验证的功能,只有经过身份验证的同一区域的路由器才能互相通告路由信息。
3)业务MPLS VPN安全。采用MP BGP/MPLS VPN技术,可实现地调和省调互通,以及个别地调之间的互通。
三、地市级电力调度数据网组网设计的优缺点分析
1)设计优点:
(1)私密性高。采用MPLS VPN的设计极大地提高了不同业务问的私密性,有了VPN的隔离,不同业务之间不能互相訪问,但能够使得数据是由上至下访问,如数据由下面的变电站向上传递到自动化后台,经过后台加工处理数据再往下分发数据,但平级的厂站之间是不能够互相访问的,这样就很好地保证了数据的私密性。
(2)实时性高。采用了MP—BGP的设计使得数据包能够在最快的时间内进行转发,而不需要在传递过程中在每台交换机上查找路由而消耗时间,通过反射器建立邻居,并且是通过查找标签而不是路由去转发数据包,这些动作都极大提高了数据网的实时性。
(3)可靠性高。调度数据网采用了冗余设计并对访问进行加密,当网络中的某台设备或传输链路发生故障或者中断时,冗余设计保证了另外一台设备或者传输链路能够马上作为备用来支撑网络,大大减小了网络出现中断的风险。
2)设计缺点。由于地级市电力调度数据网承载的调度业务的特殊性及重要性,对设备性能及冗余性的要求十分高,这就导致了工程量大、设备数量较多、网络复杂,增加了运维人员的压力。
四、结束语
本文针对调度自动化数据网的网络技术体制、路由器、特点接入等方面进行了有益的探索和研究,其应用的私密性非常高,可通过MPLS VPN实现实时业务和非实时业务的隔离;采用了MP—BGP的设计,使得数据包能够在最快的时间内进行转发,提高了电力调度数据网传输的可靠性和稳定性;设计的网络冗余和加密访问设置,减小了网络出现中断的风险。该组网方式在电力调度数据网的成功应用,为电网调度数据网的改造及优化提供了方向和参考。