电力数据通信应用论文范文

一、技术分析

1.1BGP/MPLSVPN技术分析基于BGP与MPLS结合的第三层VPN在确保安全性的基础上为解决骨干网络的可扩展性问题提供了一种有效的技术手段。MPLS技术为IP骨干网提供了安全、高速的数据传输隧道以及流量工程控制的能力；而BGP则负责骨干网中的路由信息与控制信息的传递，通过BGP的扩展属性实现VPN的地址与路由信息分离。

1.2路由设计技术分析路由设计是数据网建设中的核心问题，设计恰当与否直接影响到整个网络的可靠性及效率。在建设骨干IP网中，选择合适的路由协议非常重要，路由协议有域内路由和域间路由两种基本类型。域间路由协议主要有边界网关协议（BGP）和外部网关协议（EGP）等；域内路由协议主要有开放式最短路由优先协议（OSPF）、中间系统路由选择协议（IS-IS）和路由信息协议（RIP）/RIP2等。作为一个大型电力城域网的内部路由协议可供选择的实际上有：静态路由、RIP、EIGRP、OSPF和IS-IS。(1)由于EIGRP是Cisco专有协议，而不是标准、开放协议，考虑到系统的开放性与互连性，不建议选择EIGRP。(2)RIP是较老的路由协议，加上它收敛慢，受Hop跳数限制，所以也不建议选择。(3)IS-IS路由协议多用于ISP，企业用户不熟悉，不建议选择。(4)从MPLS草案及现实运行来看，如果要运行MPLS网络，OSPF和IS-IS经常被选用做内部IGP，但是根据综合业务数据网的规模和层次化结构，建议选择OSPF+MPBGP作为主要的路由协议，其中OSPF路由协议作为骨干数据网连接路由协议，MPBGP用于MPLSVPN的实现。(5)静态路由协议的优点是配置简单，效率高，缺点是不灵活。我们可以在局部情况下，例如MPLSPE和CE的连接中部分选择静态路由协议。

1.3QoS技术分析QoS指网络提供服务的能力，包括专用带宽、抖动控制和延迟（用于实时和交互式流量情形）、丢包率的改进以及不同WAN、LAN和MAN技术下的指定网络流量等，同时确保为每种流量提供的优先权不会阻碍其他流量的进程。QoS是网络与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定，例如，传输延迟允许时间、最小传输画面失真度以及声像同步等，是用来解决网络延迟和阻塞等问题的一种技术。现在的路由器一般均支持QoS，当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

1.4IPv6技术分析IPv6被称作下一代互联网协议，它是由IETF设计的用来替代现行的IPv4的一种新IP。现在互联网大多数应用的是IPv4，但IPv4面临着地址匮乏等一系列问题。在IPv6的设计过程中除解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其他一些问题，主要有端到端IP连接、QoS、安全性、多播、移动性、即插即用等。

二、安全体系建设内容

2.1MPLSVPN协议安全性辽宁电力综合数据通信网承载了数10个重要业务，业务之间的安全和隔离成为首要安全设计目标，正是因为如此，辽宁电力综合数据通信网使用MPLSVPN技术对网络进行整合。MPLSVPN提供的业务之间的隔离性是逻辑性的，但是要想从一个业务VPN非法访问另一个业务VPN基本不可能。在MPLSVPN中，业务隔离性是来自于每个业务VPN实例都有一个独立的逻辑控制平面，这表明一个业务VPN实例并不能学习到另一个业务VPN的路由表。这样的隔离性不仅可以确保VPN之间的独立性，还可以确保任何一个业务VPN都不能访问骨干网的全局路由空间（IGP），确保骨干网的安全。因此MPLSVPN在协议上即具备极高的安全性和可靠性。使用MPLSVPN技术对辽宁电力综合数据通信网进行整合可确保辽宁电力各项重要业务的隔离性和安全性。

2.2数据链路层安全综合数据通信网的本地接入层和边缘接入层连接的网点、厂商网络众多，接口数量巨大，是进行安全防御的重点区域，而在本地接入层和边缘接入层网络中，数据链路层较容易出现安全问题。为了防范问题，辽宁电力综合数据通信网部署了如下安全措施：对于所有的中继端口使用专门的VLANID；避免使用VLAN1；将所有的业务接口设置为非中继；为业务接口部署端口安全；部署ARP安全选项；启用STP攻击防御（BPDU防护及根防护）；在不需要的地方禁用CDP；禁用所有未使用的端口，并将它们放入一个为使用的VLAN中；在需要的地方部署DHCP安全选项。

2.3IP地址安全辽宁电力综合数据通信网在IP地址规划充分考虑了安全控制，采取基于业务角色的子网划分方法，并预留足够的扩展空间。同时，也采用路由汇总的方法来提高路由效率以及管理效率。辽宁电力综合数据通信网地址规划使用RFC1918定义的私网地址，确保综合数据通信网的地址空间独立和安全。辽宁电力综合数据通信网使用了MPLSVPN技术，在MPLSVPN中，VPN实例通过路由标识符RD（RouteDistinguisher）实现地址空间独立，且MPLSVPN使用VPN-IPv4地址族，VPN-IPv4地址共有12个字节，包括8Byte的路由标识符RD（RouteDistinguisher）和4Byte的IPv4地址前缀，如图1所示。增加了RD的IPv4地址称为VPN-IPv4地址，这样PE从CE接收到普通IPv4路由后，转换为VPN-IPv4路由，进行私网路由在公网上的传输。RD确保了MPLSVPN中的地址空间独立性和安全性。

2.4预防DoS安全辽宁电力综合数据通信网完善工程在省网骨干层以及地市汇聚层均增加了防火墙板卡以及入侵检测板卡，可以有效预防DoS攻击。防火墙板卡可以拦截TCPSYN泛洪等欺骗类DoS攻击，可以通过限制会话数量以及设置会话超时来预防DoS攻击。当入侵检测板卡发现DoS攻击时，还可以进行记录并与防火墙联动对攻击进行拦截。另外，在重要的业务网络边缘上进行限速措施，防止DoS攻击对业务网络或骨干网络造成严重影响。同时，在辽宁电力综合数据通信网部署NetFlow管理，可以及时发现异常流量以及蠕虫、DoS攻击等威胁。

2.5访问控制安排和部署(1)MPLSVPN策略设计使用MPLSVPN技术，在同一物理拓扑的基础上，MPLSVPN能够按照需求实现多种业务的隔离，并且管理和控制VPN的业务只是在数据上作相应配置，物理设备和链路都不用作改动，这样为各VPN业务的管理和维护提供了很大的方便，具有很好的业务扩展性。BGP/MPLSIPVPN使用32位的BGP扩展团体属性－VPNTarget（也称为RouteTarget/RT）来控制VPN路由信息的。通过严格的RT规则控制，上述业务网络之间做到了完全隔离，确保各业务网络的运行安全。辽宁电力综合数据通信网通过MPLSVPN部署，实现物理上多网合一、逻辑上各网络隔离，满足多种灵活的业务需求。(2)面向MPLSVPN的防火墙及入侵检测系统设计及部署地市业务汇聚层设备连接了地市各类业务网络，是综合数据通信网的重要安全边界，也是MPLSVPN的重要PE设备，本次新增防火墙板卡及入侵检测板卡主要部署在此设备上。在省网骨干层以及地市汇聚层均增加了防火墙板卡以及入侵检测板卡，在PE的边界进行逻辑部署，对PE上每个业务VPN的进出流量都可以执行访问控制等防火墙功能，确保业务网络以及综合数据通信网骨干网的安全运行，部署方式如图2所示。入侵检测系统（IDSM-2）的逻辑部署位置在防火墙后侧，靠近业务网络CE。入侵监控模块本身没有物理端口，通过多个GE和背板总线连接，可以同时监控多个VLAN和VLANID，通过VLAN访问控制列表VACL获取功能来提供对数据流的访问权限VACL。防火墙板卡（FWSM）与入侵检测系统（IDSM-2）联动部署。融合两种技术发展趋势的优点，在单一设备中提供业界领先的安全保护；IDSM-2和FWSM防火墙模块之间可以非常容易地实现互动，IDSM-2在监测到网络攻击之后，可以直接控制FWSM防火墙模块和CAT6K做出相应的安全防护动作，有效地防护网络攻击。

2.6网络管理协议安全性在网络管理协议安全性方面，本次工程采取了如下措施：通过全网安全加固，已全部禁用Telnet远程访问协议，并启用SSHv2协议；Web管理协议已全部启用HTTPs，禁用HTTP；网络管理协议正在向SNMPv3迁移；禁用TFTP进行设备文件传输，从FTP向SFTP迁移；定期检查设备的Syslog服务器配置来确保Syslog传输安全；只在网络的关键点部署NetFlow，并避免长距离传输NetFlow数据，通过NetFlow的正确部署，辽宁电力综合数据通信网可以及时发现异常流量以及蠕虫、DoS攻击等威胁。

2.7重点业务保障对于重点业务，例如视频会议、调度电话、95598用电服务、行政电话网络、电能质量在线监测等业务实现安全保护机制，网络实时业务安全（监控）机制。对各专项业务采取有效的安全保障管理，确保业务网络数据传输质量，减少因个体业务分支的因素影响全部数据信通运行的风险。

2.8实时业务服务质量保障对重点保障业务，由使用单位提出最低保障带宽，通过QoS保障技术确保数据传送的安全。为了保障实时业务的服务质量，主要采取如下措施：实时业务流量抓取及分析；基于MPLSVPNQoS的实时业务服务质量保障；实时业务的QoS持续优化。

三、项目创新点

在本次辽宁电力综合数据通信网安全体系建设中进行了大量的技术创新，这些技术和管理方法上的创新形成了一个创新集合，为电力综合数据通信网建设积累了大量的经验和案例，本次完善工程中主要的技术创新点如下。(1)基于MPLSVPN的综合数据网整合方案传统的VPN构建使用永久虚电路（PVC）和隧道技术。随着网络连接范围的不断扩大，其可扩展性和管理问题日益突出。MPLS技术的出现使我们可以建设能够支持多种业务级别并且能够无限扩展的全互连IPVPN。(2)基于MPLSVPNQoS的实时业务服务质量保障MPLS实现了一种高效的流量工程机制。采用基于MPLSVPNQoS的实时业务服务质量保障解决方案能够平衡网络中的各种链接、路由器和交换机上的网络汇集业务负载，使这些特定的单元不会被过分使用，也不会未被充分利用。这样可以使网络的运行更有效，并能提供更多可预测的业务。(3)面向MPLSVPN的防火墙及入侵检测系统设计及部署，建立通道保障体系面向MPLSVPN的防火墙及入侵检测系统在复杂网络、多数据、多设备的情况下，通过该保障体系保障了实时业务、高保护业务的安全。(4)IPv6在综合数据网中的应用辽宁电力公司是国网IPv6试点单位，率先在省公司和营口、渤海等地进行应用，在使用过程中验证了IPv6的优越性。

四、工作展望

辽宁电力综合数据通信网从建设至今一直在摸索中前进。辽宁电力综合数据通信网在网站点已经超过3000个，各类设备如交换机、路由器、安全设备等在网数量十分巨大，各业务接入系统数量更是难以统计。如此巨大的复杂企业网其安全管理手段是否能够跟上企业发展的步伐，直接决定其有效防范风险的能力。由于2013年度网络应用需求爆发式的增长，这就对我们提出了更高要求，包括增加网管覆盖率、提高网管性能；建设自动巡检系统提高对设备状态监控能力；建立一体化配置平台；逐步实现从交换设备组网向路由设备组网的过渡。

作者：李威顾海林单位：国家电网辽宁省电力有限公司信息通信分公司