(广东电网有限责任公司佛山供电局 广东佛山 528000)
摘要:本文以地市级供电系统为例,分析和探讨了电力系统数据网络的网络结构、设备性能、网络路由、网络管理与网络安全等内容,对网络结构与设备性能提出建设性建议,给出了网络管理的可行性方案,提出了一系列可行的数据网络安全技术防护措施。
关键词:供电系统、数据网络、设备性能、网络安全、网络管理
1 前言
供电企业是国民经济的基础,因此,在当前“互联网+”时代背景下,建设安全的供电系统数据网络,使供电系统数据网络更合理、更优化,更加能够满足智能电网建设,满足电网平衡较快发展的需求成为摆在供电企业面前的重大课题。
2 数据网络结构
为满足供电系统网络信息传递的实时性要求, 网络应该采用分层设计的原则,地区级供电局网络各层设计分为城域网骨干层、局域网汇聚层和局域网接入层三个层次。
2.1 双机热备双上联
数据网络中汇聚层设备以上均应采用双机热备形式,双机使用对称备份配置,互联配置主要包括上行链路配置,下行接入网关热备配置,双机之间互联链路配置等。在双机热备互联中,链路聚合端口数大于等于两个,双机间需绑定2个接口用于双机的互联,并对这条关键链路进行备份。由于两台核心设备之间需要高速的数据互联,双机互联接口速率要求达到10G。宜采用链路聚合协议,使用动态聚合实时监控链路的状态,避免因为光纤链路单向失效造成网络连接异常,从而造成网络故障。
2.2 汇聚层多回路
供电系统数据网络汇聚层负责整个网络的上传下达功能,其上联核心层网络,下联接入层网络,位置非常重要。传统思路是汇聚层网络应用双链路直连核心层,通过核心层进行集中转发,但是由于汇聚层上行链路可能因为暴雨,台风及其他意外事件导致中断,而中断地点又无法控制,存在两条上行链路同时中断的可能性。为避免这样的意外状况发生,建议在汇聚层开通多回路,即保证开通双链路上行的同时,还需要开通其他汇聚层之间的平行连接,以提供网络冗余性。
3 网络设备性能
地区供电局数据网络中各层网络设备的配置需考虑的要素应该包括设备的性能指标、设备的配置参数、设备运行维护的便利性等。骨干数据网络节点应采用单机双引擎设备, 汇聚网络节点应采用单机双引擎, 接入网络节点可采用双机单引擎设备。骨干层网络设备与汇聚网络节点设备应该主要考虑设备性能状况,而网络接入节点的配置则应该主要考虑运行维护的便利性需求。
3.1 设备硬件性能分析
供电系统数据网络各层汇聚设备等宜应用模块化的交换机,以便于后续对交换机进行必要的扩容和升级,当交换机板卡出现故障时也可使用相应的备件进行快速的更换,以实现快速恢复网络业务的目的。交换机的主控板是用于设备运行管控与支撑的,当主控板故障时设备将停机,因而要求交换机应用双主控板提供冗余,当主用故障时备用可以无缝接管,可避免设备停机故障。
设备需支持100M、1G、10G速率接口,其中核心设备需支持10G速率进行互联,配备足够的以太网RJ45接口及光纤接口。汇聚层以上设备设备应支持直流48V和交流220V供电,需实现N+1电源冗余保护以避免因单电源故障造成设备停机。
3.2 设备配置性能分析
汇聚层以上设备均需支持生成树协议RSTP及MSTP以实现网络二层链路的优化管理。在路由协议方面需满足静态路由、OSPF、BGP等要求,一般来讲,静态路由用于局部范围主机路由指向,OSPF用于本地网络路由发现及通告,BGP则用于外部路由及VPN路由的通告。
对所有入网设备均需支持SSH远程登录管理,应用SNMPv3网管协议,避免使用低版本安全威胁较高的Telnet等。同时要求接入层设备要支持准入协议,以实现802.1x协议报文转发功能。
期刊文章分类查询,尽在期刊图书馆
4 路由选择与网络管理
4.1 路由协议
一般,应用在大型数据网络的路由协议有ISIS与OSPF两种,而且均是基于链路状态计算的最短路径的路由协议。ISIS是ISO标准的路由协议,支持CLNS协议与IP协议,ISIS协议的标准化比较好,比OSPF路由协助更为成熟。而OSPF是IETF推荐的IP内部网关协议,在纯IP环境中协议系统相对简单,OSPF厂家支持较多。数据网络IGP路由协议统一设计,采用OSPF协议,供电系统数据网络中与各省市的数据网络之间应采用BGP4路由协议。使用OSPF协议实现本地网络的发现及通告,而使用BGP协议实现外部路由及VPN路由的通告。
4.2 生成树区域划分
MSTP生成树协议是实现二层环路控制功能的,使用多生成树协议,可以提高链路的利用率,降低交换机对生成树的计算负载。供电系统数据网络核心设备,为整个网络的中心节点,所以需要设置为生成树的主根设备,使网络保持通过最优路径转发数据。
多生成树协议通过region-name属性来定义区域,可按照地市大型办公场所及区县局的地理位置不同进行划分。多生成树协议具备将一个平面的生成树架构,划分为多个区域的功能,即通过减少单个区域中所包含的交换机数量,降低因为网络拓扑变动而导致的生成树报文通告,以及生成树协议进程的重新计算,从而降低设备运行负载,避免因为生成树变动而造成的网络传输暂时中断。
4.3 网络管理
网络管理包括通用的网管和VPN网管。通用网管系统应该能够采集到全网络设备的所有信息,并能够对整个网络设备进行全面的监测和控制。VPN 网管对整个网络的VPN进行管理,包括对VPN提供部署、审计、监控PE连接状态、流量统计功能等。网络管理采用带内网管方式,需支持不同生产厂家设备的管理,同时,网管系统需具备开放性能,支持二次开发及与其他应用系统间的接口等功能。
供电系统数据网络设备使用Loopback接口进行远程管理,避免因为物理接口故障影响对设备的管理。远程操作使用SSH协议进行设备远程操作,保证安全性,同时建议设备检测到用户连续5分钟无任何操作时,自动断开当前远程操作连接。设备一般使用NTP协议同步设备时钟,以实现全网时钟一致。网管协议使用SNMPv3协议可以提高网管协议的安全性。
5 网络安全
供电系统数据网络安全是IP网络中的重要问题,在供电系统数据网络中应该重点考虑路由安全、接入安全、访问控制和监测、日志记录、业务隔离等方面内容。
5.1 加密与认证安全管理
网络用户标识应唯一,应建立连接安全,要求唯一账号进行登陆管理。对于交换机本地账号用于在网络认证失效情况下对交换机进行访问,平时不使用,密码需要加密存储。密码复杂性要求密码为数字、字母、符号等两种以上的组合,限制密码最短长度为8位等,并实现定期修改口令,本地密码不可以明文存储。
5.2 接入业务安全管理
使用访问列表对设备进行保护,只允许用户从特定网管终端对网络设备进行管理。对接入层网络设备进行接入控制,统一部署802.1x协议,避免不受控终端设备接入网络,导致有害流量影响网络运行。部署IP地址分配保护功能,启用DHCP snooping功能,避免因私自设置具备DHCP服务功能的设备而造成对网络的影响。在设备服务安全方面,应禁用非必要的服务,如禁用掉Ftp,Http,Telnet,Dhcp Server等服务,防止以上服务被用于对网络设备进行攻击等。
6 结语
本文从电力系统数据网络结构、设备性能、网络路由、网络管理与网络安全等方面进行了研究和分析,形成了以地市供电系统为参考模型的数据网络管理方法,对网络架构提出了建设性建议,对网络设备性提出具体要求,对网络路由设置给出了可行性方案,为电力系统数据网络建设提供重要参考。
参考文献
[1] M atthew J C.网络工程师手册[M].袁国忠,译.北京:人民邮电出版社, 2005.
[2] M erike Kaeo.网络安全性设计[M].2版.吴中福,译.北京:人民邮电出版社, 2005.
[3] 黎连业.网络工程和综合布线工程师手册[M].北京:清华大学出版社,2003.
[4] 廖建容, 段斌, 谭步学, 等.基于口令的变电站数据与通信安全认证[J]. 电力系统自动化,2007.
论文作者:苏立伟
论文发表刊物:《电力设备》2016年第23期
论文发表时间:2017/1/16
标签:网络论文; 设备论文; 供电系统论文; 双机论文; 协议论文; 数据论文; 路由论文; 《电力设备》2016年第23期论文;