电力系统综合数据网与局域网VPN对接模型研究
2017-01-03 08:29 [电力论文] 来源于:互联网 作者:互联网
导读:【摘要】本文针对电力系统特征,建立综合数据网网络模型,针对此模型进行研究,提出综合数据网与局域网VPN对接模型方案。 【关键词】VPN对接; 1 前言 在电力系统,承载各类管理信息系统的数据通信网络主要分为广域网(综合数据网)和局域网,在广域网上根据
|
【摘要】本文针对电力系统特征,建立综合数据网网络模型,针对此模型进行研究,提出综合数据网与局域网VPN对接模型方案。
【关键词】VPN对接;
1 前言
在电力系统,承载各类管理信息系统的数据通信网络主要分为广域网(综合数据网)和局域网,在广域网上根据业务隔离和QOS保障的需求划分了多个VPN进行数据传输,局域网是直接承载本地业务系统和终端的接入网络,局域网连通接入了本地终端之后,需要通过合理的技术手段和方式与广域网VPN对接,以充分满足业务隔离和高效传输的需求。
本文将对局域网和广域网VPN对接方式进行研究,提出二者的对接模型。
2 数据网网络结构模型研究
电力系统数据网主要包括:综合数据网、局域网、IDC网络,对于网络的建设方式,以下提出三种模型:
(1) 模型一:IDC网络与局域网分别上联综合网
在综合数据网边缘PE设备上,骨干网络 VPN进行终结并以子接口的形式,将各个VPN对应连接局域网核心交换机,局域网核心交换机上针对各个综合网PE设备连接过来的子接口设置相应的接口路由,并维护此路由表,以承担内部局域网用户访问广域网的路由选路需求,同时局域网用户访问IDC的路由也在此局域网核心交换机上,以满足局域网用户访问IDC的需求。
(2) 模型二: IDC网络通过局域网设备上联综合网
综合数据网的VPN在PE设备上终结,局域网核心交换机通过多个VLAN子接口(或多条物理链路)分别对应连接至综合数据网PE设备的不同VPN。
IDC网络通过防火墙与局域网核心交换机连接,局域网核心交换机与IDC之间通过全局路由互联,局域网内用户可以直接访问IDC,仅在IDC边缘防火墙上针对不同类别用户访问IDC内服务器的权限进行控制。
(3) 模型三:三角连接结构
综合数据网PE设备、局域网核心交换机、IDC出口防火墙之间,以两两互联的三角结构进行互联。
综合数据网的VPN在PE设备上终结,IDC防火墙通过多个VLAN子接口(或多条物理链路)分别对应连接至综合数据网PE设备的不同VPN。
IDC网络核心交换机与局域网核心交换机通过防火墙直接连接,局域网核心交换机与IDC之间走全局路由,局域网内用户通过防火墙的限制和控制访问IDC网络。
(4) 比较分析
表1 网络结构模型比较分析
序号 方案比较 模型一 模型二 模型三
1 用户访问 局域网用户如需访问IDC网络,需通过综合数据网设备转发,效率存在影响。 局域网核心交换机一般都是大容量、高性能的设备,可满足此种网络结构的要求。
VLAN和VPN可在广域网入口处终结,局域网用户访问各个网络节点均可以满足。 用户访问IDC及综合网从各自不同链路进入,可以分别设置链路及接口访问策略,相对效率较高。
2 设备需求 此种方式对综合数据网设备PE设备需要端口数量较多,且PE设备需作为局域网和IDC的数据转发核心。 需局域网核心交换机作为广域网与IDC的数据交互中心,对设备接口性能等要求较高。 对局域网核心设备,IDC出口防火墙,以及综合网核心设备均有相对较高的端口要求,但各自增加一定接口问题不大。
3 VPN与VLAN对接复杂度 局域网VLAN与VPN在PE设备处实现VPN与VLAN对接, IDC设备直接通过防火墙接口对接,相对复杂度较低。 广域网VPN需要先转换为局域网VLAN,再对接IDC防火墙VLAN子接口 局域网与IDC之间采用VLAN接口,综合网设备与局域网和IDC间均为VPN子接口对接,接口较多,涉及设备较多,相对较复杂
综上所述,从易用性、实现难度、复杂度以及充分考虑现状出发,可采用模型一;模型三的数据处理效率较高,如果能够解决配置复杂度的问题,采用模型三可以提高整体局域网与IDC和综合网连接的效率。
局域网与综合网及IDC对接采用模型一,但在新建网络及较容易实现路由控制的场合可以采用模型三进行设计及建设。
3 综合数据网与局域网VPN对接模型研究
(1) 模型一
局域网内部不划分VLAN,各用户在综合数据网入口根据不同业务需求接入不同VPN。
此种方式须在局域网核心设备进行路由选路,在局域网与综合数据网互联接口进行用户地址段的对应,同时由于用户IP网段在同一网段,则对端站点的返回路由需要进行相应的控制或者策略,以避免由于用户网段在同一网段,而路由控制的来回VPN路径不一致,引起部分业务系统的故障问题。
(2) 模型二
局域网VLAN划分和综合数据网VPN划分保持一致。
此种方式可确保不同VLAN和VPN间的完全对应,如果全网按照此模式部署,各个业务系统终端有可能实现端到端的完全隔离,但本方式对局域网内VLAN数量限制为与综合数据网VPN数量完全一致,不能支持局域网内VLAN的扩展,且如果存在跨VLAN或者VPN访问的业务,则不能实现业务访问。
(3) 模型三
局域网VLAN和综合数据网VPN按各自需求划分,根据具体业务需求进行对接。
此种方式在局域网核心交换机实现VLAN的终结,再根据网络业务系统的互访互通关系,由局域网核心交换机将不同业务系统的业务访问放入不同的综合数据网VPN进行承载。
(4) 比较分析
表2 VPN对接模型比较分析
序号 方案比较 模型一 模型二 模型三
1 业务分类 不清晰 清晰 相对清晰
2 安全隔离保障 局域网内部无隔离,各类业务在局域网中混合传输,自由互访,仅在广域网入口实现VPN隔离.安全隔离性低 同一性质或者信息安全等级的业务可达到安全隔离保障 在VLAN使用模式清晰的情况下,可完全实现安全隔离保障
3 与综合数据网 VPN对接 局域网未划分VLAN,业务整理及归集将非常困难,达不到安全隔离的要求。 相对简单,将各个VLAN对应南网VPN划分要求直接整理即可
VLAN划分与VPN的对应关系不一致,则必须要进行大量业务重新归集和整理工作,比较复杂
综上所述,模型一在局域网内部安全性和可管理性均不足,模型二则可能由于广域网的VPN划分影响局域网内部VLAN划分的灵活性,综合分析比较,采用模型三,可实现广域网和局域网间VPN和VLAN对应关系按需确定,在确保安全性的同时满足网络运行管理的灵活性需求。
【参考文献】
[1] 国家电力监管委员会令(第5号令)《电力二次系统安全防护规定》2005年
[2]王占京,张丽诺,雷波.VPN网络技术与业务应用.北京:国防工业出版社,2012.
[3]贺力伟,吴劲.VPN技术在供电企业中的应用,2006年电力行业信息化年会论文集:226-232.
[4] 汪国安,侯秀红.BGP/MPLS VPN技术及其应用研究[J].实验技术与管理,2004,(4):13-18.
(编辑:韩语) |
贵州盘江月亮田矿多形推荐文章
热点阅读
