基于MPLSVPN的地区通信数据网络设计与建设

【摘要】 电力通信数据网是电网语音、数据、视频等多种业务的综合服务平台，泰州电力通信数据网络分为核心层、汇聚层和接入层，其中核心层采用A、B双平面设计，同时通过应用MPLS VPN，解决了泰州电力通信各业务系统的“私有性”问题，为各业务系统提供了良好的安全机制、QoS机制等，为泰州电力通信语音、数据、高清视频、MIS等多种业务提供了服务质量优良、可靠性高的网络平台。本文介绍了泰州电力通信数据网的设计思路、网络架构、MPLS VPN部署方案、建设情况，对地区电力通信数据网建设与维护具有一定的参考价值。

【关键词】 电力通信 数据网 MPLS VPN

为适应电网发展的需要，满足调度通信机构各种生产业务需求，对现有电力通信数据网进行改造，建设一个坚强的通信数据网络，全面提高网络可靠性及业务保障能力成为电力通信数据网发展的主要任务。

泰州地区下辖兴化、姜堰、泰兴、靖江四个县公司。根据通信十二五规划，按照分层管理、容灾汇聚、环网接入的原则，泰州供电公司于2011年、2012年分别实施了通信数据网一期和二期工程，网络采用IP over SDH技术机制，在服务上利用灵活的MPLS/VPN技术，初步形成通信数据网核心层双平面、汇聚层互备用、接入层环保护的网络结构。一期工程建设5台核心路由设备，形成地区通信数据网核心B平面，二期工程建设7台路由设备，形成地区通信数据网核心A平面，同时建设10台路由设备形成汇聚层和27台交换设备作为城区通信数据网接入层。目前泰州通信数据网已延伸到县公司、500KV变电站和城区35KV及以上变电所。通过将业务范围拓展到厂站一级，满足了泰州地区电网范围内语音、数据、视频等各种生产业务的需求，保障了泰州电力通信业务系统的高度可靠性和安全性。

一、VPN方案选择

虚拟专用网（VPN）是一种在公共互联网上建立私有安全通道来保障可靠传输的技术，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。目前，主流的VPN技术主要有IPsec VPN、SSL VPN和MPLS VPN。

IPSec协议是IETF工作组制定的，定义在IP层的网络安全协议，IPSec VPN通过建立一条基于网络的IP层的通道，实现数据加密和认证，从而提供端到端的网络安全方案。由于IPSec VPN路由配置繁琐、客户端需安装复杂的软件、不同的终端操作系统需要不同的客户端软件，造成其建设成本高、可扩展性差，因此在电力系统信息化的建设中较少采用。

SSL VPN是基于SSL协议结合强加密算法和身份认证技术，建立远程访问通道的VPN技术。SSL VPN通过建立一条基于应用的会话层的通道，实现VPN隧道的搭建。由于SSL协议位于TCP/IP和应用层之间，它只能访问那些支持SSL或Web浏览器的资源，其应用范围主要是电子邮件系统、Web应用程序等，因此并不适合电力系统信息化应用。

MPLS（多协议标签交换）技术通过在数据包内部引入标签的机制，将第二层高速交换的能力和第三层灵活选径的能力结合起来。MPLS VPN通过在网络路由和交换设备上应用MPLS技术，简化了核心路由器的路由选择方式，实现了向不同VPN提供不同服务质量的服务，同时利用VPN路由转发表（VRF）解决了地址重叠的问题。由于MPLS VPN技术的上述优点，泰州电力通信数据网适宜采用该技术，实现语音、电话、视频等不同业务数据的安全传输。

二、网络建设方案

2.1 网络结构设计

根据标准化、开放性、可靠性和易管理型等方面的考虑，泰州电力通信数据网络按三层结构设计：核心层、汇聚层和接入层。

核心层的功能主要是实现骨干网络之间的优化传输，核心层是所有流量的最终承受者和汇聚者，所以对核心层的设计及网络设备的要求十分严格，目前泰州通信数据网核心层由A、B两个平面构成：其中B平面为一期工程建设，使用5台Cisco 7606路由器覆盖市公司和4个县公司本部，由市县光传输B网承载；A平面为二期工程建设，使用7台Cisco 3560 ME路由设备覆盖市公司和4个县公司本部及地区2个500kV变电站，由市县光传输A网承载。A、B平面分别采用2张不同的传输网，从而确保2个平面的完全互备。核心层内部节点之间使用155M POS链路两两互联，其互联结构如图1所示。通过核心层的双平面化设计，提高了数据网络的可靠性和对业务的保护能力。

汇聚层主要完成与核心层、接入层数据的上联下达，负责将来自接入层的通信业务数据提供至核心层的上行链路。为确保汇聚层的可靠运行，泰州通信数据网由10个节点构成：在泰州城区、四个县公司均设置了二个汇聚点，其中一个点设在公司通信机房，另一个点设在本部和4个县域内的传输第二汇聚点（220KV变电站）。上述节点按地理位置分布在泰州地区5个区域（县域）内，每个区域内2个节点与同一区域内的核心层A、B二个平面使用155M POS链路互联。汇聚层节点与核心层A、B平面间的互联结构如图2所示。汇聚层建设方案既完善了市公司至各个县公司的网络架构，又为通信数据网业务范围拓展到厂站一级留了很大空间。

接入层是直接面向用户连接或访问网络的部分，主要负责接入变电站通信数据采集终端、机房环境监控、通信视频信号和软交换IAD终端等设备。目前泰州通信数据网接入层在城区共部署27台接入层设备，形成了五个接入支环网，各支环均通过城区SDH环网接入汇聚层的“泰州3”和“白马变”汇聚设备，连接结构如图3所示，4个县域内的接入交换机将在后期逐步开展部署。

2.2 AS规划

在MPLS/VPN的骨干网络（PE间）需要运行BGP协议来承载各VPN路由信息，传递MPLS/VPN的标签及其它属性信息。

由于电力通信数据网是电力系统内部网络，所以在为自治域分配号码时理论上可以任意选择，只要不与其它互联的网络冲突即可。但是，考虑到今后网络的发展，应尽可能在私有号码中选择自治域号码。按照江苏电力通信数据网总体规划，泰州地区数据网全网对外为一个统一的自治系统，全网使用一个私有AS号：65008。