电力综合数据网VPN划分方案探讨_林志达

收稿日期:2015-06-01作者简介:林志达(1983)，男，广东梅州人，工程师，学士，主要从事信息网络和系统建设工作(e-mail)linzd@csg.cn。DOI:10.16516/j.gedi.issn2095-8676.2015.03.009电力综合数据网VPN划分方案探讨林志达1，魏畅2，程小蓉2(1.中国南方电网有限责任公司，广州510623;2.中国能源建设集团广东省电力设计研究院有限公司，广州510663)摘要:对电力系统综合数据网网络现状及南方五省VPN划分进行了简要介绍，并针对现状提出问题。对现有VPN技术进行分析比对，选择适合电网综合数据网特征及需求的技术。根据问题及技术现状，对未来电网VPN建设模型进行研究分析，提出三种建设模型，选择最适合电网特性的VPN建设模型，以便实现在复杂的网络运维管理环境下，对业务隔离性和安全性的充分保障。关键词:VPN应用模型;MPLSVPN;QOS中图分类号:TP393.08文献标志码:A文章编号:2095-8676(2015)03-0047-04VPNＲesearchApplicationModelofPowerSystemsLINZhida1，WEIChang2，CHENGXiaorong2(1.ChinaSouthernPowerGridCo.，Ltd.，Guangzhou510623，China;2.ChinaEnergyEngineeringGroupGuangdongElectricPowerDesignInstituteCo.，Ltd.，Guangzhou510663，China)Abstract:ThispapergivesabriefintroductionoftheintegratedpowersystemdatanetworkstatusandtheVPNdivisionofthefivesouthernprovinces，andproposesthequestioninviewofthepresentsituation.ByanalysizingtheexistingVPNtechnology，wecanchoosesuitableforthecharacteristicsanddemandsofnetworkintegrateddatagridtechnology.Accordingtotheproblemsandtechni-calpresentsituation，thispaperresearchesthefuturepowergridVPNconstructionmodel，andputsforwardthreekindsofdevelop-mentmodel．AndselectionmodelVPNismostsuitableforthecharacteristicsofpowergridconstruction，networkoperationandma-intenancemanagementoftheenvironmentinordertocomplex，tofullyguaranteetheserviceisolationandsafety．Keywords:VPNapplicationmodel;MPLSVPN;QOS随着电力系统管理信息类业务对数据通信方式的应用不断深化，各类信息化业务等越来越依赖于数据通信网络承载，且对于数据通信网络的功能和性能提出了更高的要求，网络需要满足业务系统的隔离性、可靠性、QOS和安全管理等多方面的需求。本文将针对电力系统数据网络在VPN技术选择和VPN划分方面的技术路线，开展有针对性的理论研究。1网络现状及问题分析为方便展开研究，下面以某电力系统综合数据网为例建立模型。该电力系统综合数据网架构分为网省地三层，各省之间综合数据网不直接互联，而是分别与网综合数据网互联。网省两级综合数据网的VPN划分情况完全不一致，网省根据自身实际情况，为满足各自业务需求，分别进行了VPN划分。其中网综合数据网现划分为两个VPN:综合VPN和预留VPN。各类需要实现网省互通的业务均汇集到网省综合数据网之间的防火墙终结，再通过网省综合数据网互联通道与网综合数据网的综合VPN互通，实现网省VPN之间的互联［1－2］。具体现状模型图如图1所示。该网络模型存在一个很严重的问题:VPN划分没有统一规划，网省VPN划分各自为政，没有统一的技术思路或者政策手段，造成在各级网络边缘需要采用VPN路由互导、路由过滤及接口合并等多种复杂的技术措施，使用不便。同时各类业务系2015年第2卷第3期南方能源建设规划咨询2015Vol.2No.3SOUTHEＲNENEＲGYCONSTＲUCTIONPlanning＆Consultation统没有一致规定的VPN承载方式，造成业务间通信存在较大问题。图1综合数据网VPN现状模型图Fig.1IntegratedDataNetworkStatusofVPNModelDiagram2VPN技术分析目前在数据网络中为充分利用物理网络资源，提高设备使用效率，同时又实现业务隔离传输和安全保障，一般采用VPN技术实现在同一个物理数据网络中构建多个逻辑虚拟的数据网络即VPN(虚拟专用网络)［3］，当前可以采用的各种VPN技术分析如表1所示。MPLSVPN技术是电力通信IP数据网的主流技术，MPLSVPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求［4］。采用MPLSVPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的:可以为各种业务提供不同性能的VPN业务［5－6］。目前主流厂商全系列的路由器都支持端到端MPLS技术。综上所述，采用MPLS3层VPN技术比较适合电力系统综合数据网需求。表1VPN技术分析对比表Table1AnalysisoftheContrastofVPNTechnology技术对比技术实现隔离性灵活性MPLS三层VPN利用标签技术，对数据包进行标记二层及三层间的标签(LABLE)隔离，逻辑隔离，相对其它VPN技术，隔离性较强目前的三层MPLSVPN可通过ＲT及Community实现多种逻辑拓扑，灵活度最高MPLS二层VPN利用标签技术，标记二层信息，端口号，ATMPVC等二层及三层间的标签(LABLE)隔离，逻辑隔离，相对其它VPN技术，隔离性较强可通过ＲT及Com-munity实现多种逻辑拓扑，灵活度较高，但受到二层技术本生的生成树等方面限制QinQVLAN多层802.1Q标签嵌套，将本地VLAN封装进广域网VLAN二层隔离，在逻辑通道隔离技术层面，隔离性最强仅能实现点对点、点对多点，灵活度受限IPSECVPN通过两端加密解密，修改三层IP包头，对数据包进行封装与普通数据包一起传输，仅通过加密实现隔离，相对隔离性一般仅能实现点对点、点对多点，灵活度受限SSLVPN基于应用层的安全套接层协议(SecuritySocketLayer-SSL)，在用户终端和服务器间建立链接，形成应用层隧道，逻辑上的VPN与普通数据包一起传输，仅通过加密实现隔离，相对隔离性一般仅能实现点对点、点对多点，灵活度受限L2TP隧道基于拨号技术的隧道协议，可建立点对多点隧道，形成VPN，技术相对较老，一般用于运营商的远程拨号用户接入。与普通数据包一起传输，仅通过加密实现隔离，相对隔离性一般仅能实现点对点、点对多点，灵活度受限3VPN应用模型分析及建议3.1VPN划分方式研究1)方案一:根据业务需求划分根据业务要求，每个重要业务单独一个VPN。在网省间互联节点的省网侧进行VPN归集整合，以适应网层面对VPN的划分。具体示意图如图2所示。2)方案二:根据业务性质划分根据业务性质或需求，同一类安全等级，或类似流量模型的业务划分为一个VPN［7］。即在网省间84南方能源建设第2卷图2VPN划分方式一示意图Fig.2ASchematicDiagramofVPNDivision1互联节点的上级网络侧进行VPN归集整合，以对应网VPN的划分。具体示意图如图3所示。图3VPN划分方式二示意图Fig.3ASchematicDiagramofVPNDivision23)方案三:混合传输不划分VPN不划分VPN，在综合数据网上各种业务均通过同一个VPN承载。即在网省间互联节点的省网侧进行业务整理，以对应网VPN的划分。具体示意图如图4所示。图4VPN划分方式三示意图Fig.4ASchematicDiagramofVPNDivision34)比较分析及建议下面将对以上方案从业务分类、安全隔离保障、后续扩展能力、维护难度。具体如表2所示。表2VPN划分方式方案比较Table2SchemeComparisonofVPNDivision问题根据业务需求划分VPN根据业务性质划分VPN混合传输不划分VPN业务分类清晰相对混合传输清晰不清晰安全在VPN使用模式清晰的情况下，可完全实现安全隔离保障同一性质或者信息安全等级的业务同VPN，可达到安全隔离保障无隔离，各类业务在广域网中混合传输，自由互访，仅在两端节点可通过安全设备进行端点控制.安全隔离性低后续扩展能力随着业务增加，VPN数量同步增加，对于电力系统的业务流量模型而言，意味着需要更多跨VPN间访问的策略设置，维护和管理难度呈指数增加。随业务增加，根据业务性质放到不同VPN中，由于事先已经进行了IP地址分类，其维护管理难度增加不大，扩展能力较优由于无VPN限制，各业务间可以自由互通，相对扩展能力最优维护难度VPN数量的增加提高了维护难度，但上下级网络互联节点的维护难度无增加VPN数量较少，且可相对固定，维护难度较按照业务需求划分较低，但在网络内部是难于不划分VPN的方式.1)本网络内部相对简单;2)需要上下级网络跨网互联的业务，维护较为困难，在保障路由可达的同时，还要确保不因为本网络内部的VPN混合互通影响上级网络的VPN隔离，需要在网络边缘设置防火墙，以大量ACL进行控制。综上比较，采用以业务性质划分VPN的方式进行网主干网的VPN划分，同时进行对下级省网和地区网的VPN划分规范化工作。3.2VPN分类研究综合前述，以采用以业务性质的分类为前提，从划分操作的管理实现难易程度考虑，根据数据流向并综合等级保护和服务质量要求对VPN进行分类，具体分类情况如表3所示。表3VPN分类Table3VPNClassificationVPN序号综合QOS及等保要求划分推荐业务MPLSEXP位802.1PVPN1综合承载VPN各类管理信息业务等44VPN2IDCVPNIDC服务器之间互相访问55VPN3QOS优先保障VPN语音视频等77VPN4容灾备份VPN容灾备份等大颗粒业务22VPN5互联网统一出口VPN承载互联网统一出口业务3394第3期林志达，等:电力综合数据网VPN划分方案探讨3.3VPN应用模型结论根据以上分析，得出如图5所示模型。图5VPN应用模型示意图Fig.5ShematicDiagramoftheVPNApplicationModel如图所示，综合VPN和语音视频VPN的最终末梢至地区厂站，IDCVPN和容灾备份VPN末梢至地区供电局。本省或者本地区内无需全网贯通的业务可以各自网络分别存在。4结论本文建议在电力系统综合数据网采用MPLSVPN技术进行业务分类隔离和传输，在电力综合数据网中的VPN应用模型应采用以业务性质划分VPN的方式，并具有网省地三级一致联通、仅省地区网内部联通两种VPN。综合数据网VPN划分方式应综合考虑业务安全等级保护要求和QOS保障要求进行划分和设置，在控制网络运维管理复杂度的情况下，充分保障承载业务的隔离性和安全性。参考文献:［1］王占京，张丽诺，雷波.VPN网络技术与业务应用［M］．北京:国防工业出版社，2012