-
随着电力系统管理信息类业务对数据通信方式的应用不断深化,各类信息化业务等越来越依赖于数据通信网络承载,且对于数据通信网络的功能和性能提出了更高的要求,网络需要满足业务系统的隔离性、可靠性、QOS和安全管理等多方面的需求。
本文将针对电力系统数据网络在VPN技术选择和VPN划分方面的技术路线,开展有针对性的理论研究。
HTML
-
为方便展开研究,下面以某电力系统综合数据网为例建立模型。
该电力系统综合数据网架构分为网省地三层,各省之间综合数据网不直接互联,而是分别与网综合数据网互联。网省两级综合数据网的VPN划分情况完全不一致,网省根据自身实际情况,为满足各自业务需求,分别进行了VPN划分。其中网综合数据网现划分为两个VPN:综合VPN和预留VPN。各类需要实现网省互通的业务均汇集到网省综合数据网之间的防火墙终结,再通过网省综合数据网互联通道与网综合数据网的综合VPN互通,实现网省VPN之间的互联[1-2]。具体现状模型图如图1所示。
Figure 1. Integrated Data Network Status of VPN Model Diagram
该网络模型存在一个很严重的问题:VPN划分没有统一规划,网省VPN划分各自为政,没有统一的技术思路或者政策手段,造成在各级网络边缘需要采用VPN路由互导、路由过滤及接口合并等多种复杂的技术措施,使用不便。同时各类业务系统没有一致规定的VPN承载方式,造成业务间通信存在较大问题。
-
目前在数据网络中为充分利用物理网络资源,提高设备使用效率,同时又实现业务隔离传输和安全保障,一般采用VPN技术实现在同一个物理数据网络中构建多个逻辑虚拟的数据网络即VPN(虚拟专用网络)[3],当前可以采用的各种VPN技术分析如表1所示。
技术对比 技术实现 隔离性 灵活性 MPLS三层VPN 利用标签技术,对数据包进行标记 二层及三层间的标签(LABLE)隔离,逻辑隔离,相对其它VPN技术,隔离性较强 目前的三层MPLS VPN可通过RT及Community实现多种逻辑拓扑,灵活度最高 MPLS二层VPN 利用标签技术,标记二层信息,端口号,ATM PVC等 二层及三层间的标签(LABLE)隔离,逻辑隔离,相对其它VPN技术,隔离性较强 可通过RT及Community实现多种逻辑拓扑,灵活度较高,但受到二层技术本生的生成树等方面限制 QinQ VLAN 多层802.1Q标签嵌套,将本地VLAN封装进广域网VLAN 二层隔离,在逻辑通道隔离技术层面,隔离性最强 仅能实现点对点、点对多点,灵活度受限 IP SEC VPN 通过两端加密解密,修改三层IP包头,对数据包进行封装 与普通数据包一起传输,仅通过加密实现隔离,相对隔离性一般 仅能实现点对点、点对多点,灵活度受限 SSL VPN 基于应用层的安全套接层协议(Security Socket Layer-SSL),在用户终端和服务器间建立链接,形成应用层隧道,逻辑上的VPN 与普通数据包一起传输,仅通过加密实现隔离,相对隔离性一般 仅能实现点对点、点对多点,灵活度受限 L2TP隧道 基于拨号技术的隧道协议,可建立点对多点隧道,形成VPN,技术相对较老,一般用于运营商的远程拨号用户接入。 与普通数据包一起传输,仅通过加密实现隔离,相对隔离性一般 仅能实现点对点、点对多点,灵活度受限 Table 1.
Analysis of the Contrast of VPN Technology MPLS VPN技术是电力通信IP数据网的主流技术,MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求[4]。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以是千变万化的:可以为各种业务提供不同性能的VPN业务[5-6]。目前主流厂商全系列的路由器都支持端到端MPLS技术。
综上所述,采用MPLS 3层VPN技术比较适合电力系统综合数据网需求。
-
1)方案一:根据业务需求划分
根据业务要求,每个重要业务单独一个VPN。在网省间互联节点的省网侧进行VPN归集整合,以适应网层面对VPN的划分。具体示意图如图2所示。
Figure 2. A Schematic Diagram of VPN Division 1
2)方案二:根据业务性质划分
根据业务性质或需求,同一类安全等级,或类似流量模型的业务划分为一个VPN[7]。即在网省间互联节点的上级网络侧进行VPN归集整合,以对应网VPN的划分。具体示意图如图3所示。
Figure 3. A Schematic Diagram of VPN Division 2
3)方案三:混合传输不划分VPN
不划分VPN,在综合数据网上各种业务均通过同一个VPN承载。即在网省间互联节点的省网侧进行业务整理,以对应网VPN的划分。具体示意图如图4所示。
Figure 4. A Schematic Diagram of VPN Division 3
4)比较分析及建议
下面将对以上方案从业务分类、安全隔离保障、后续扩展能力、维护难度。具体如表2所示。
问题 根据业务需求划分VPN 根据业务性质划分VPN 混合传输不划分VPN 业务分类 清晰 相对混合传输清晰 不清晰 安全 在VPN使用模式清晰的情况下,可完全实现安全隔离保障 同一性质或者信息安全等级的业务同VPN,可达到安全隔离保障 无隔离,各类业务在广域网中混合传输,自由互访,仅在两端节点可通过安全设备进行端点控制.安全隔离性低 后续扩展能力 随着业务增加,VPN数量同步增加,对于电力系统的业务流量模型而言,意味着需要更多跨VPN间访问的策略设置,维护和管理难度呈指数增加。 随业务增加,根据业务性质放到不同VPN中,由于事先已经进行了IP地址分类,其维护管理难度增加不大,扩展能力较优 由于无VPN限制,各业务间可以自由互通,相对扩展能力最优 维护难度 VPN数量的增加提高了维护难度,但上下级网络互联节点的维护难度无增加 VPN数量较少,且可相对固定,维护难度较按照业务需求划分较低,但在网络内部是难于不划分VPN的方式. 1)本网络内部相对简单;2)需要上下级网络跨网互联的业务,维护较为困难,在保障路由可达的同时,还要确保不因为本网络内部的VPN混合互通影响上级网络的VPN隔离,需要在网络边缘设置防火墙,以大量ACL进行控制。 Table 2.
Scheme Comparison of VPN Division 综上比较,采用以业务性质划分VPN的方式进行网主干网的VPN划分,同时进行对下级省网和地区网的VPN划分规范化工作。
-
综合前述,以采用以业务性质的分类为前提,从划分操作的管理实现难易程度考虑,根据数据流向并综合等级保护和服务质量要求对VPN进行分类,具体分类情况如表3所示。
VPN序号 综合QOS及等保要求划分 推荐业务 MPLS EXP位 802.1P VPN 1 综合承载VPN 各类管理信息业务等 4 4 VPN 2 IDC VPN IDC服务器之间互相访问 5 5 VPN 3 QOS优先保障VPN 语音视频等 7 7 VPN 4 容灾备份VPN 容灾备份等大颗粒业务 2 2 VPN 5 互联网统一出口VPN 承载互联网统一出口业务 3 3 Table 3.
VPN Classification -
根据以上分析,得出如图5所示模型。
Figure 5. Shematic Diagram of the VPN Application Model
如图所示,综合VPN和语音视频VPN的最终末梢至地区厂站,IDC VPN和容灾备份VPN末梢至地区供电局。
本省或者本地区内无需全网贯通的业务可以各自网络分别存在。
3.1 VPN划分方式研究
3.2 VPN分类研究
3.3 VPN应用模型结论
-
本文建议在电力系统综合数据网采用MPLS VPN技术进行业务分类隔离和传输,在电力综合数据网中的VPN应用模型应采用以业务性质划分VPN的方式,并具有网省地三级一致联通、仅省地区网内部联通两种VPN。综合数据网VPN划分方式应综合考虑业务安全等级保护要求和QOS保障要求进行划分和设置,在控制网络运维管理复杂度的情况下,充分保障承载业务的隔离性和安全性。
DownLoad:
