基于IP安全協(xié)議的陜西地方電力調(diào)度數(shù)據(jù)網(wǎng)的設(shè)計(jì)和實(shí)現(xiàn)

摘 要：虛擬專用網(wǎng)技術(shù)（Virtual Private Network，VPN）是利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全地訪問單位的私有數(shù)據(jù)。它可以替代專線，把單位的移動(dòng)員工、遠(yuǎn)程分支機(jī)構(gòu)、供應(yīng)商和合作伙伴連接到單位的內(nèi)部網(wǎng)，從而為單位和個(gè)人節(jié)省了昂貴的長(zhǎng)途通信費(fèi)用。

關(guān)鍵詞：基于IP 安全協(xié)議 陜西地方 電力調(diào)度 數(shù)據(jù)網(wǎng) 設(shè)計(jì)和實(shí)現(xiàn)

中圖分類號(hào)：TM734 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2012）11（a）-0097-01

IPSec協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它適應(yīng)向IPv6遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。它是完全意義上的VPN，能直接與PKI、CA設(shè)備密切協(xié)同完成認(rèn)證功能。缺點(diǎn)是需要固定范圍的IP地址，因此在動(dòng)態(tài)分配IP地址時(shí)不太適合。它只支持TCP/IP協(xié)議外，最適合可信的網(wǎng)關(guān)到網(wǎng)關(guān)之間的虛擬專用網(wǎng)，即企業(yè)廣域網(wǎng)的構(gòu)建。

1 IPSec的相關(guān)概念和介紹

1.1 IPSec的組成

IPSec是因特網(wǎng)工程任務(wù)組（IETF）定義的一種協(xié)議套件，由一系列協(xié)議組成，驗(yàn)證頭（AH）、封裝安全載荷（ESP）、Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP的Internet IP安全解釋域（DOI）、ISAKMP、Internet密鑰交換（IKE）等。圖1顯示了IPSec的體系結(jié)構(gòu)。

ESP：ESP是插入IP數(shù)據(jù)報(bào)內(nèi)的一個(gè)協(xié)議頭，為IP數(shù)據(jù)包提供完整性檢查、認(rèn)證和加密，它提供的機(jī)密性可防止篡改。ESP頭可位于IP頭與上層協(xié)議之間，或者用它封裝整個(gè)IP數(shù)據(jù)報(bào)。AH：用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗(yàn)證和一些有限的抗重播服務(wù)，AH不提供對(duì)通信數(shù)據(jù)的加密服務(wù)。IKE：IKE利用ISAKMP語(yǔ)言來定義密鑰交換，是對(duì)安全服務(wù)進(jìn)行協(xié)商的手段。IKE交換的最終結(jié)果是一個(gè)通過驗(yàn)證的密鑰以及建立在通信雙方同意基礎(chǔ)上的安全服務(wù)。SA：一套專門將安全服務(wù)/密鑰和需要保護(hù)的通信數(shù)據(jù)聯(lián)系起來的方案。它保證了IPSec數(shù)據(jù)報(bào)封裝及提取的正確性，同時(shí)將遠(yuǎn)程通信實(shí)體和要求交換密鑰的IPSec數(shù)據(jù)傳輸聯(lián)系起來。SA解決的是如何保護(hù)通信數(shù)據(jù)、保護(hù)什么樣的通信數(shù)據(jù)以及由誰(shuí)來實(shí)行保護(hù)的問題。

1.2 IPSec的兩種模式

IPSec有兩種模式：傳輸模式和隧道模式。傳輸模式：傳輸模式是IPSec的默認(rèn)模式，用于進(jìn)行端對(duì)端的通信，IPSec只對(duì)IP負(fù)載進(jìn)行加密。傳輸模式通過AH或ESP報(bào)頭對(duì)IP負(fù)載提供保護(hù)。隧道模式：隧道模式為整個(gè)IP包提供保護(hù)。要保護(hù)的整個(gè)IP包都需封裝到另一個(gè)IP數(shù)據(jù)報(bào)中，同時(shí)在外部與內(nèi)部IP頭之間插入一個(gè)IPSec頭。所有原始的或內(nèi)部包通過這個(gè)隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報(bào)頭，不檢查內(nèi)部原來的IP報(bào)頭。

2 基于IPSec的陜西地方電力調(diào)度數(shù)據(jù)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 方案描述

陜西地方電力調(diào)度數(shù)據(jù)網(wǎng)項(xiàng)目是陜西地方電力的全省性工程，此項(xiàng)目涉及全省7個(gè)地市局（咸陽(yáng)市、寶雞市、延安市、渭南市、商洛市、漢中市、安康市）及其所屬縣局、變電站、廠站。本項(xiàng)目包括各個(gè)供電局、縣局和站點(diǎn)的網(wǎng)絡(luò)接入設(shè)備及VPN安全設(shè)備。根據(jù)陜西地電集團(tuán)所轄7個(gè)分公司的電網(wǎng)實(shí)際情況，基礎(chǔ)的通信設(shè)施基本上都需要向電信服務(wù)商租用，鑒于租賃的費(fèi)用，為了最大限度的實(shí)現(xiàn)性價(jià)比，因此網(wǎng)絡(luò)拓?fù)湓瓌t上采用“星形和樹形”網(wǎng)絡(luò)，即從地電集團(tuán)運(yùn)行管理中心租用7個(gè)2 M的E1通道實(shí)現(xiàn)與7個(gè)市調(diào)的互聯(lián)，各個(gè)市調(diào)租用2 M的E1通道互聯(lián)各個(gè)縣調(diào)和直調(diào)廠站，各個(gè)縣調(diào)還可租用2 M通道實(shí)現(xiàn)下級(jí)廠站的互聯(lián)，從而實(shí)現(xiàn)一個(gè)以“地電集團(tuán)運(yùn)管中心”為金字塔的樹形網(wǎng)絡(luò)。

2.2 具體實(shí)施方案

（1）將7個(gè)局NE20-8作為PE設(shè)備構(gòu)成MPLS核心，先實(shí)現(xiàn)本自治系統(tǒng)的規(guī)劃和VPN配置。（2）將NE20-8做為PE設(shè)備，各局現(xiàn)有由于缺少三層交換或防火墻，所以將后臺(tái)作為CE端，完成PE、CE之間互通，實(shí)現(xiàn)下屬分局至地區(qū)局各業(yè)務(wù)VPN的互通。（3）在供電局NE20-8下聯(lián)NE20-4作為分局PE設(shè)備，NE20-4下聯(lián)設(shè)備由于缺少防火墻或交換機(jī)作為分局CE設(shè)備，所以將綜自后臺(tái)作為CE設(shè)備。（4）110 kV廠站PE為AR28-31.部署方案同上。（5）35 kV廠站設(shè)備為USG2130防火墻，通過電信公網(wǎng)建立IPSec VPN將數(shù)據(jù)傳至地調(diào)USG2210防火墻。（6）USG2210防火墻將其與35 kV變電站的IPSec VPN業(yè)務(wù)收集到的數(shù)據(jù)通過NE20-8路由器轉(zhuǎn)發(fā)至調(diào)度后臺(tái)。

2.3 設(shè)計(jì)方案特點(diǎn)

一是系統(tǒng)的可靠性和安全性。IPSec在IP層上實(shí)現(xiàn)了加密、認(rèn)證、訪問控制等多種安全技術(shù)，極大地提高了TCP/IP協(xié)議的安全性。由于整個(gè)協(xié)議在IP層上實(shí)現(xiàn)，上層應(yīng)用可不必進(jìn)行任何修改。考慮到陜西地方電力電網(wǎng)結(jié)構(gòu)特點(diǎn)，使用IPSec VPN更加安全可靠。二是在陜西地方電力現(xiàn)有網(wǎng)絡(luò)上進(jìn)行接入改動(dòng)，IPSec可透過公共網(wǎng)絡(luò)搭建企業(yè)Intranet 和Extranet，有效地降低了網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)的成本。陜西地方電力其他部分的業(yè)務(wù)也是由中國(guó)電信運(yùn)營(yíng)商提供網(wǎng)絡(luò)接入，本次網(wǎng)絡(luò)建設(shè)是在原有網(wǎng)絡(luò)上的提升。三是組網(wǎng)的靈活性。IPSec VPN在實(shí)現(xiàn)安全策略上的靈活性，使得對(duì)安全網(wǎng)絡(luò)系統(tǒng)的管理變得簡(jiǎn)便靈活。IPSec VPN接入的靈活性將實(shí)現(xiàn)陜西地方電力的三級(jí)調(diào)度結(jié)構(gòu)。四是性價(jià)比的原因。作為國(guó)有企業(yè)，作為配電網(wǎng)公司，用更合理的投入換取更豐厚的回報(bào)，是陜西地方電力公司投資建設(shè)首要考慮的原因。目前陜西地方電力只開展了實(shí)時(shí)的遠(yuǎn)動(dòng)數(shù)據(jù)傳輸。

3 結(jié)語(yǔ)

陜西地方電力采用IPSec技術(shù)組建的電力通信網(wǎng)，提高了原有網(wǎng)絡(luò)的帶寬及智能化水平，降低運(yùn)行維護(hù)成本，避免了傳輸資源擱淺。通過建立省、地市、縣、廠站四級(jí)通信網(wǎng)絡(luò)，實(shí)現(xiàn)了地方電力調(diào)度通信業(yè)務(wù)、調(diào)度數(shù)據(jù)業(yè)務(wù)、管理信息業(yè)務(wù)的整合，使陜西地方電力通信網(wǎng)成為一個(gè)既有較大的承載能力滿足各種業(yè)務(wù)的需求，又有較高的可靠性和較好的經(jīng)濟(jì)性、運(yùn)行穩(wěn)定、資源充足的通信網(wǎng)絡(luò)。通過組織完成了網(wǎng)絡(luò)系統(tǒng)測(cè)試，測(cè)試結(jié)果表明，IPSec VPN網(wǎng)絡(luò)可以把不同類型的接入點(diǎn)安全、簡(jiǎn)單、可靠地接入到省地方電力的調(diào)度數(shù)據(jù)網(wǎng)，能滿足三級(jí)調(diào)度的需求。