信息廣域網數據隔離技術

吳 屏， 浦勁松

（安徽省安慶供電公司，安徽 安慶 246003）

0 引言

隨著信息系統普及，信息系統在提供便捷的同時，其自身安全性和脆弱性也越來越引起人們注意，以電力系統為例，它是一個國家命脈工業，很多的電氣設備都由信息系統直接控制，業務資料也主要儲存在信息系統內部，如果信息系統被攻擊而錯誤工作，將導致大范圍停電和數據丟失，會對國家和人民財產的造成巨大經濟損失。由于電力員工和千家萬戶密切聯系，又需要通過互聯網等外網與社會群體來交換信息，為確保電網安全，電力系統必須建立統一的信息廣域網，并在信息網建設中采用內外網隔離技術，確保內網的電網和數據安全。

1 網絡現狀分析

安慶供電公司地處皖西南，下轄8個縣公司、5個電力集控站、3個220 kV變電所、23個110 kV變電所，電力線路覆蓋范圍1.63萬平方公里，目前各縣公司通過租用聯通2 M通道與市公司連接，集控站和變電所采用調度通訊系統的SDH網絡，使用2 M通道與市公司聯絡，整體網絡結構師星型的單通道網絡連接，網絡基層較薄弱，如通道發生故障則無備用手段，造成業務長時間的中斷，電力集控站和變電所僅接入信息內網，未接入外網，8個縣公司信息內網與市公司連接，信息外網采用自建通道連接，多頭管理存在內外網混接的安全隱患，也不利于公司對外網的統一管理工作。

2 建設目標

根據國網和省公司的要求和安慶公司實際情況，對信息廣域網提出了以下建設目標：

1）帶寬要求：市公司本部到集控站帶寬不低于100 M，集控站到受控站帶寬不低于10 M；本部到所轄縣公司帶寬不低于100 M。

2）拓撲結構：采用分層設計，市公司本部和重要站點組成通訊環網骨干層，受控站就近接入骨干層。

3）協議：要求設備必須支持多種動態路由協議，核心、骨干層和縣公司設備均滿足虛擬網絡數據隔離技術和流量控制技術，。

4）介質：充分利用現有光纖資源，骨干環網連接介質為光纖，各接入點可采用現有SDH電路接入骨干環網。

3 系統方案

3.1 廣域網骨干環網的建立

由于地區廣域網傳送的是非常重要的電力相關數據信息，對整個電網的健康運行有著至關重要的作用，故對可靠性的要求十分高。在設計中以實現高可靠性為突出重點，網絡建立在同步數字序列（SDH）傳輸網上，基于 IP的網絡[1]。線路設計上在光纖資源能保證的情況下，使用環網結構保證網絡上的線路連接不發生中斷；骨干環網上采用冗余交換機設計，采用使用冗余引擎和電源設計；為保證冗余線路切換速度快，使用OSPF動態路由協議保障信息網路由的冗余，在主環上建立至少一個Area（area 0）的路由區域；非主環上的變電所節點分別建立各自的Area，并要求在主環上進行路由匯總；變電所信息網的路由要求匯總為一條路由進入市公司核心交換機；在變電所信息網的邏輯鏈路中，可以選擇使用不同的路由自治域（或不同的路由協議）分別滿足廣域網業務數據和設備管理地址的路由；在廣域網的用戶接入部分必須要考慮網絡安全加固，廣域網交換機必須支持，Port-security、動態地址檢測等安全特性。

本次廣域網絡改造是在市公司和8個220 kV變電所或大型集控站上組建一個環形光纖廣域網，使得現有和在建的變電所信息網通訊都能使用千兆帶寬。因此市公司交換機必須具備8個光纖接口，具備冗余電源；主環上的交換機支持至少8個光纖接口和至少24個用戶以太網接口，具備冗余電源。

3.2 數據隔離技術

由于目前所有的集控站、變電所和縣公司都使用同一光纖線路接入公司網絡，在業務區分上，縣級供電公司屬于電力四級網，而變電所屬于市公司內部網絡，他們的數據在鏈路上傳輸時需要進行隔離。縣公司的數據訪問還分為訪問電力網的內網流量，以及訪問互聯網的外網流量，根據國家電網公司要求，這部分流量也需要得到分離。如此橫縱交錯的訪問需求，對網絡提出了更高的要求。很顯然，簡單的通過訪問控制列表、防火墻和IPSec VPN是無法達到這樣的要求[1]。那么怎么樣的技術來滿足這種需求呢？采用MPLS/VPN技術。

MPLS VPN是一種在公用通信基礎平臺上提供私有數據網絡的技術，一般通過隧道協議和采用安全機制來滿足客戶的私密性需求，多協議標簽交換（MPLS,Multil-Protocol Label Switching）技術是一種使用標簽來作出轉發決定的信令和轉發技術[2]。MPLS報文轉發是基于標簽的，MPLS網絡中所有節點都是依據標簽轉發數據的[3]。利用MPLS隧道實現數據透明傳輸，借助標記自動為不同的VPN用戶建立不同的虛通道，支持不同的安全等級，將每個VPN用戶的數據隔離開來，不向其它VPN廣播，確保VPN用戶數據在IP網絡上傳輸時安全可靠[4]，它的標簽使用機制可以使報文在傳輸中無須用到IP報文等路由信息，大大降低了被攻擊的危險性[5]。非常易于用戶間數據的隔離，利用區分服務體系可以輕易地解決困擾傳統IP網絡的QoS/CoS問題，MPLS自身提供流量工程的能力，可以最大限度地優化配置網絡資源，自動快速修復網絡故障，提供高可用性和高可靠性。因此基于MPLS技術的MPLS VPN，在靈活性、擴展性、安全性各個方面是當前技術最先進的VPN。此外，MPLS VPN提供靈活的策略控制，可以滿足不同用戶的特殊要求，快速實現增值服務(VAS)，在帶寬價格比、性能價格比上，相比其他廣域VPN也具有較大的優勢[6]。

在MPLS VPN的設計上，根據現有的業務需求，基本設計以下的 4個 VPN：①為各個變電所的信息系統訪問建立一個專用MPLS VPN通道；②為各個變電所建立外網訪問的專用MPLS VPN通道；③各個縣級供電公司內網訪問建立一個專用MPLS VPN通道；④各個縣級供電公司所有外網訪問建立一個專用MPLS VPN通道。

今后如果有擴充需要，還可以在網上繼續劃分專用的MPLS VPN通道，配置操作簡單便捷。

4 結語

安慶供電公司在資金有限的條件下，通過有效的網絡設計，建立一個信息廣域網，其環形網絡結構和環形骨干網設備的冗余設計，保證了網絡的高可靠性，MPLS VPN設計實現了同一光纖通道內的數據的邏輯強隔離，有效地保障了電力信息內網的安全，并具有下一步劃分專網的擴展能力，對電力企業內部具有示范性作用，對中小型企業具有一定得借鑒意義。

[1]申芳.T-MPLS技術在貴州電力通信網中的應用探討[J].通信技術, 2009,42(10):120-122.

[2]RANDY Z,ZHANG R,BARTELL M.BGP設計與實現[M].北京：人民郵電出版社，2005：334.

[3]郭剛.多協議標簽交換混合型虛擬專網的研究[J].通信技術, 2011,44(02):50-52.

[4]蔣青泉.虛擬技術在現代通信網絡中的應用與研究[J].通信技術, 2009,42(03):151-154.

[5]張斌,徐利.安全 MPLS技術研究[J].通信技術,2003(04):95-96.

[6]百度百科.mpls vpn[EB/OL].(2010-07-15) [2011-09-11].http://baike.baidu.com/view/4424380.htm.