淺談電力通信地市級綜合數據網的優化與運維

黃嘉庚

摘 要：電力通信綜合數據網是承載管理信息類和企業辦公類業務，實現廠站間、調度機構間、辦公樓間、營業場所間數據通信的數據網絡平臺。本文主要介紹了電力系統通信綜合數據網中較為常見的網絡優化與運維的問題，并綜合考慮電力通信網絡的應用要求，提出了相應合理的優化措施，目的在于有效的提高綜合數據網絡的使用性能及安全穩定性。

關鍵詞：電力通信；數據網；優化；運維

中圖分類號：TN915.853 文獻標識碼：A 文章編號：1004-7344（2018）11-0243-02

前 言

面對電力行業綜合數據網網絡規模越來越大，網絡終端用戶越來越多，業務數量及種類越來越繁復，數據流量和網絡病毒也不斷增多，為確保網絡能為電力系統提供更安全可靠的，更高效率的數據傳輸，這就對綜合數據網網絡的性能與安全性的要求越來越高，對運維人員的水平要求也越來越高。本文總結了相關綜合數據網運行和維護優化的經驗進行如下說明。

1 網絡結構的優化

在受設備的性能限制下，許多電力通信地市級綜合數據網網絡拓撲早期還是以簡單的MCE組成的環網為主，如今隨著產品的豐富以及技術的提升，地市級綜合數據網網絡結構應進行優化，如圖1所示，可采用三級網絡，由核心層、匯聚層、接入層三層網絡組成。采用層次化架構，將復雜的網絡系統化、層次化。

①核心層，核心層有3套配置設備，采用冗余備份的方式，以10G光口互相連接，其中2臺核心安裝在地調，1臺安裝于其他關鍵核心節點；②匯聚層，匯聚層是多臺路由器的匯聚點，分區域與核心層的設備相連接，主要設置位置為供電局的220V變電站，它的功能是處理來自接入層設備的所有通信量，并提供到核心層。每個匯聚節點以2條鏈路分別接入核心節點，鏈路承載在MSTP光傳輸網上。各站網絡設備采用光接口與MSTP光傳輸設備互連，每條至核心節點的鏈路帶寬至少按1000mbit/s配置；③接入層，設置位置遍布所有變電站、供電所和營業網點，利用光纖、雙絞線等傳輸介質，實現與終端連接，并進行業務和帶寬的分配。

地調設置兩臺核心交換機，雙設備冗余處理地調側業務。

2 邏輯協議的優化

由于早期用MCE技術組網的設備多為三層交換機，在網絡結構的優化以后，接入層都配置上了路由器，可采用BGP/MPLS IP VPN技術。BGP/MPLS IP VPN支持地址空間重疊、支持重疊VPN、組網方式靈活、可擴展性好，對業務來說，將網絡組成三個基本模型，CE、PE和P，其中P設備只需要具備基本MPLS轉發能力，大大提高了業務的轉發效率。

綜合數據網BGP/MPLS IP VPN技術自治域間路由協議應采用EBGP路由協議，自治域內路由協議采用IBGP、OSPF路由協議及靜態路由協議。地市級綜合數據網與省級互聯是不同的自治域，使用EBGP路由協議作為全局路由的路由傳遞協議，采用MP-BGP的RFC2547bis Option A方式實現跨域MPLS-VPN的互聯互通，兩側的設備上應同時使用路由策略的技術進行路由過濾，控制路由器的路由表規模，節約系統資源，對網絡數據流量進行合理規劃，提高網絡性能。

地市級綜合數據網自治域內公網采用路由OSPF協議，PE之間采用MP-IBGP協議傳遞私網路由。其中OSPF協議要根據網絡結構合理的劃分路由區域（area），OSPF區域劃分應確保滿足網絡運行維護及網絡擴展的需要，每區域內容納路由器數量應不超過50，OSPF協議可以使用NQA和BFD技術來提高路由的收斂性能，可以通過修改鏈路的OSPF的cost值，合理分配業務流量。在匯聚層設備可采用BGP路由反射器，建立組（group），避免IBGP之間建立全連接關系，減少配置口令數目。至于根據此網絡拓撲，在核心層設置發射器涉及到路由條目數量過大以及路由的可靠性，還需要進一步的實踐與研究。

3 網絡安全性能的優化

電力通信綜合數據網的安全對保證電網的安全，穩定，經濟運行至關重要。南方電網按照“安全分區、網絡專用、橫向隔離、縱向認證”的總體策略，建立安全防護體系。為了提高網絡的安全性能，應在省、地之間以及地市級本部局域網與接入廣域網之間部署防火墻。部署防火墻后，防火墻采用透明傳輸模式，因此對于防火墻來說，其通過相應的VID號來隔離不同業務的。為增加業務之間互訪的安全性，要求防火墻對大部分業務采用“白名單”策略，只允許“白名單”的業務互訪，其他互訪會話將被阻斷。由于互聯網業務的特殊性，因此不能將其他業務的安全策略應用在互聯網業務中，需要針對互聯網業務部署“黑名單”安全策略，其他業務也需要獨立出來，按照自身業務需求部署相應的“白名單”或者“黑名單”策略。

防火墻防護策略原則如下：①第一條訪問控制策略禁止任意源/目的IP訪問135、137、138、139、445和3389等高危端口；②業務系統可根據需要使用高危端口，但必須精確到業務的源IP地址、目的IP地址、端口及協議；③采用白名單方式（互聯網業務采用黑名單）設置各業務通信的訪問控制策略，控制粒度須達到IP地址、端口及協議級，且源IP、目的IP、目的端口不能出現any/all；④顯式拒絕其它業務訪問，即最后一條策略必須配置為源IP、目的IP和端口為any/all，且動作為拒絕。

在接入層針對業務的接入也要啟用安全策略，使用訪問控制列表：①通過黑名單限制高危端口，不考慮IP。②通過白名單允許業務通信地址段，不考慮端口。③定義的訪問控制列表為擴展訪問控制列表，黑名單和白名單序號合理安排，預留一定的擴容空間，避免無法插入其它業務需求而需要重新定義列表。④最后一條訪問控制策略為拒絕所有訪問流量。⑤有條件可使用ARP防護等安全策略。

啟用用戶安全性配置，遠程登錄為SSH方式，禁止telnet方式，采用ACL方式對管理員登錄地址進行限制，設置非法登錄次數、網絡登錄連接超時自動退出等措施，嚴格限制默認賬戶的訪問權限。SNMP服務，應采用安全性增強版本（支持v2c和v3）；并應設定復雜的Community控制字段，禁止使用Public、Private等默認字段，讀和寫權限團體字復雜度夠高。

NTP服務需要啟用認證。

4 綜合數據網的運維

網絡的運維要充分利用綜合數據網網管，部署網絡流量監控系統，可對全網所有鏈路流量實現自動監測，采集綜合數據網核心層及匯聚層網絡設備的流量信息，對過載的數據流量能夠分析數據源。當綜合數據網互聯鏈路帶寬日平均利用率超過物理帶寬50%時應考慮進行網絡優化或鏈路擴容。當網絡次優路徑產生時，適當的選用路由過濾、修改路由協議優先級、BGP路由屬性等策略優化路由。

業務運維方面，未接業務的接口應關閉，通過白名單控制業務的開通，在接口下應加業務的描述，便于管理。網路設備應進行例行維護，包括設備環境檢查，基本信息檢查，運行狀態檢查，接口內容檢查，路由檢查，配置文件備份等。

綜上所述，為了提升電力通信綜合數據網絡的可靠性、增強業務接入能力，本文根據以往的電力通信綜合數據網的建設和運行維護經驗，提出了對數據網的優化和完善改進意見，希望多從事此業務工作的人員可以有一定的參考。能夠更快速、更準確的進行故障排查和運行維護工作，保障業務服務質量。

參考文獻

[1]張啟才.淺析電力通信綜合數據網絡的優化[J].科技資訊，2014.

[2]鄭全吉.淺析電力通信綜合數據網絡的維護[J].科技向導，2011.

收稿日期：2018-3-28