基于IP安全协议的陕西地方电力调度数据网的设计和实现

摘 要：虚拟专用网技术（Virtual Private Network，VPN）是利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全地访问单位的私有数据。它可以替代专线，把单位的移动员工、远程分支机构、供应商和合作伙伴连接到单位的内部网，从而为单位和个人节省了昂贵的长途通信费用。

关键词：基于IP 安全协议 陕西地方 电力调度 数据网 设计和实现

中图分类号：TM734 文献标识码：A 文章编号：1672-3791（2012）11（a）-0097-01

IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。它适应向IPv6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。它是完全意义上的VPN，能直接与PKI、CA设备密切协同完成认证功能。缺点是需要固定范围的IP地址，因此在动态分配IP地址时不太适合。它只支持TCP/IP协议外，最适合可信的网关到网关之间的虚拟专用网，即企业广域网的构建。

1 IPSec的相关概念和介绍

1.1 IPSec的组成

IPSec是因特网工程任务组（IETF）定义的一种协议套件，由一系列协议组成，验证头（AH）、封装安全载荷（ESP）、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域（DOI）、ISAKMP、Internet密钥交换（IKE）等。图1显示了IPSec的体系结构。

ESP：ESP是插入IP数据报内的一个协议头，为IP数据包提供完整性检查、认证和加密，它提供的机密性可防止篡改。ESP头可位于IP头与上层协议之间，或者用它封装整个IP数据报。AH：用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务，AH不提供对通信数据的加密服务。IKE：IKE利用ISAKMP语言来定义密钥交换，是对安全服务进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务。SA：一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性，同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。

1.2 IPSec的两种模式

IPSec有两种模式：传输模式和隧道模式。传输模式：传输模式是IPSec的默认模式，用于进行端对端的通信，IPSec只对IP负载进行加密。传输模式通过AH或ESP报头对IP负载提供保护。隧道模式：隧道模式为整个IP包提供保护。要保护的整个IP包都需封装到另一个IP数据报中，同时在外部与内部IP头之间插入一个IPSec头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端，沿途的路由器只检查最外面的IP报头，不检查内部原来的IP报头。

2 基于IPSec的陕西地方电力调度数据网的设计与实现

2.1 方案描述

陕西地方电力调度数据网项目是陕西地方电力的全省性工程，此项目涉及全省7个地市局（咸阳市、宝鸡市、延安市、渭南市、商洛市、汉中市、安康市）及其所属县局、变电站、厂站。本项目包括各个供电局、县局和站点的网络接入设备及VPN安全设备。根据陕西地电集团所辖7个分公司的电网实际情况，基础的通信设施基本上都需要向电信服务商租用，鉴于租赁的费用，为了最大限度的实现性价比，因此网络拓扑原则上采用“星形和树形”网络，即从地电集团运行管理中心租用7个2 M的E1通道实现与7个市调的互联，各个市调租用2 M的E1通道互联各个县调和直调厂站，各个县调还可租用2 M通道实现下级厂站的互联，从而实现一个以“地电集团运管中心”为金字塔的树形网络。

2.2 具体实施方案

（1）将7个局NE20-8作为PE设备构成MPLS核心，先实现本自治系统的规划和VPN配置。（2）将NE20-8做为PE设备，各局现有由于缺少三层交换或防火墙，所以将后台作为CE端，完成PE、CE之间互通，实现下属分局至地区局各业务VPN的互通。（3）在供电局NE20-8下联NE20-4作为分局PE设备，NE20-4下联设备由于缺少防火墙或交换机作为分局CE设备，所以将综自后台作为CE设备。（4）110 kV厂站PE为AR28-31.部署方案同上。（5）35 kV厂站设备为USG2130防火墙，通过电信公网建立IPSec VPN将数据传至地调USG2210防火墙。（6）USG2210防火墙将其与35 kV变电站的IPSec VPN业务收集到的数据通过NE20-8路由器转发至调度后台。

2.3 设计方案特点

一是系统的可靠性和安全性。IPSec在IP层上实现了加密、认证、访问控制等多种安全技术，极大地提高了TCP/IP协议的安全性。由于整个协议在IP层上实现，上层应用可不必进行任何修改。考虑到陕西地方电力电网结构特点，使用IPSec VPN更加安全可靠。二是在陕西地方电力现有网络上进行接入改动，IPSec可透过公共网络搭建企业Intranet 和Extranet，有效地降低了网络建设和运营的成本。陕西地方电力其他部分的业务也是由中国电信运营商提供网络接入，本次网络建设是在原有网络上的提升。三是组网的灵活性。IPSec VPN在实现安全策略上的灵活性，使得对安全网络系统的管理变得简便灵活。IPSec VPN接入的灵活性将实现陕西地方电力的三级调度结构。四是性价比的原因。作为国有企业，作为配电网公司，用更合理的投入换取更丰厚的回报，是陕西地方电力公司投资建设首要考虑的原因。目前陕西地方电力只开展了实时的远动数据传输。

3 结语

陕西地方电力采用IPSec技术组建的电力通信网，提高了原有网络的带宽及智能化水平，降低运行维护成本，避免了传输资源搁浅。通过建立省、地市、县、厂站四级通信网络，实现了地方电力调度通信业务、调度数据业务、管理信息业务的整合，使陕西地方电力通信网成为一个既有较大的承载能力满足各种业务的需求，又有较高的可靠性和较好的经济性、运行稳定、资源充足的通信网络。通过组织完成了网络系统测试，测试结果表明，IPSec VPN网络可以把不同类型的接入点安全、简单、可靠地接入到省地方电力的调度数据网，能满足三级调度的需求。