王玉林 陳紅偉 河南省漯河市郾城電業局 462300
摘 要:隨著電力農網改造的進行,電力信息網絡的安全性、可靠性、穩定性和高速性不斷提高,電力綜合管理信息系統將由分散數據處理向集中數據處理方向發展,實現轄區用戶的異地電費查收、實時業擴流程、移動辦公等業務;并通過可靠的網絡,實現內部IP電話和視頻會議,節約和控制日常的辦公通信費用。在系統的開發上,以數據為中心,通過網絡平臺更有效地實現辦公自動化和管理信息化的功能。而VPN技術以其獨有的優勢,為電力提供集成語音、視頻、數據三網合一的連網解決方案,逐漸在電力系統信息化中得到廣泛的應用。
關鍵詞:VPN技術;農網建設;綜合應用
0 引言
電力行業網絡建設的加快,信息技術應用的推廣。開發建設企業管理信息系統,信息技術的應用由操作層向管理層延伸,從單機、單項目向網絡化、整體性、綜合性應用發展。各級供電企業紛紛建立信息系統和基于Internet的管理應用,以提高勞動生產率,提高管理水平,加強
信息反饋,提高決策的科學性和準確性,提高企業的綜合競爭力。以MIS、OA系統的綜合開發和應用為目標。鄉所與主站網絡互聯已經提升到了日程,自架設光纜專線,或租用
電信的DDN、ISDN、幀中繼等數據專線,撥號上網等方式,組網投資費用高,維護成本高等原因
[ 1 ],目前不能滿足現有的需要。而VPN技術在電力技術的應用,為網絡提供了完善的建設方案,以及相關網絡設備,并提供了優質的服務支撐。為電力系統提供性能優異、擴展性好的語音、視頻、數據三網合一新一代網絡。
1VPN技術
VPN(Virtual Private Network):虛擬專用網是一門網絡新技術,指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接,并沒有傳統專用網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成。
通過建立虛擬數據傳輸通道(也稱為隧道),將遠程的分支辦公室、商業伙伴、
移動辦公人員等連接起來,提供端到端的服務質量(QoS)保證以及安全服務。提供了一種通過公用
網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。一個網絡連接通常由三部分組成:客戶機、傳輸介質和服務器。VPN也由這三部分組成,不同的是VPN連接使用隧道作為傳輸通道,該隧道是建立在公共網絡或專用網絡基礎之上的,如:Internet或Intranet。
在農網改造過程中,大部分的供電企業在抄表、收費、業擴報裝、設備管理、物資管理、生產安排、電工管理、辦公
自動化等方面,實現了計算機管理。即生產MIS和營銷MIS。但由于大多的供電所、變電站、局直屬單位(如物資部門、安裝、維修部門等)地理位置分散,沒有高速、安全的信息網絡,無法保證局端與終端(供電所、局直屬單位)的信息資源共享,也無法保證局端在生產、經營管理過程中的實時監控。兩者數據的傳輸,直接影響到了整個
信息化的初期建設。
2.1 自己建立專線。雖然光纖通信是最可靠、最快捷的
信息傳輸方式。隨著光纜的價格不斷下降,再趁電業系統自己的桿路,費用有所降低,但光纖網絡建設還是資金投入大、建設周期長,難以滿足現階段網絡應用需求
[ 2 ]。
2.2租用
電信部門的數據專線。租用DDN、ISDN、幀中繼等數據專線,雖一次投資比較小,但后續租金比較 貴,仍不可取。
2.3撥號上網。在局端放置一個撥號服務器(即MODEM池),通過電話線路撥號連接。缺點是速度極慢,不能在線,電話費用較高。不能滿足MIS系統的帶寬要求。
2.4物理上不連接,數據(主要指抄表、收費
信息)通過移動介質(如磁盤、
移動硬盤等)。實時性差,反復修改難。
基于以上傳輸方式的缺點,以及傳輸的信息比較單一,圖像、數據、語音等業務不能同時得到很好的解決。同時,電力企業網絡不僅面臨著將多樣性的遠程辦公模式作為企業內部辦公網絡環境的擴展和延伸,而且還需要滿足為合作伙伴提供通過外部
互聯網絡接入的需求。更重要的是電力流動服務車無法與95598網絡進行聯網。嚴重影響了電力
信息化的推廣應用。
虛擬專用網(VPN)代表了當今網絡發展的最新趨勢,它綜合了傳統數據網絡的性能優點(安全和 QoS)和共享數據網絡結構的優點(簡單和低成本),能夠提供遠程訪問,外部網和內部網的連接,價格比專線或者幀中繼網絡要低得多。而且,VPN在降低成本的同時滿足了對網絡帶寬、接入和服務不斷增加的需求。因此,VPN以其自身網絡的靈活性、安全性、經濟性、擴展性等諸多優勢,在光纖網絡沒有建成之前,必將成為電力企業傳輸業務的主要工具。
可以在局端通過光纜與
電信部門連接,帶寬采用100M;固定終端采用ADSL,帶寬采用8M;
移動用戶通過
聯通的CDMA無線網卡,帶寬采用2M,來組建供電企業的信息網絡,采用虛擬專用網絡技術實現偏遠鄉鎮供電所網絡接入,能夠較好地解決其信息化建設初期
信息傳輸的通道問題。
3.1供電所、直屬單位(如物資、安裝、維修等部門)與供電公司總部之間不通過專線互聯,通過Internet提供遠程接入。
3.2公司內部員工在家或外出時能夠通過
互聯網既方便又安全地訪問公司的
信息網絡。
3.3電力巡徊服務車在進行移動值班時,可以進行
移動辦公,與局端的95598呼叫中心時刻保持聯系,時事進行數據交換。
3.4提供了安全的訪問和控制機制。
3.4.1強有力的用戶身份認證和安全機制,確保企業內部
信息網絡免受非法用戶的惡意訪問和攻擊。
3.4.2強有力的訪問控制機制,確保用戶通過認證后只能訪問到被授權允許的內容。
3.4.3數據加密功能,避免敏感
信息被竊取和篡改。
3.4.4抵御針對安全、設備與系統軟件集成方面的攻擊,并對客戶端提供安全脆弱性檢查的功能。
3.5遠程用戶可以通過向當地的ISP申請賬戶登錄到Internet,以Internet作為隧道與企業內部專用網絡相連,通信費用大幅度降低;如果再使用IP電話,網內通話費用可以為零。
3.7為滿足以后電力行業網絡需求,提供了一整套先進、完整、實用、可擴展的系統應用,如視頻會議、IP電話等業務。
4電力系統對VPN技術的要求
大多數供電企業建設了MIS系統、OA系統,并建立了自己的企業網站,實現各個所(站)、企業直屬單位與局端進行數據、語音、視頻的聯網及
互聯網絡的安全,為MIS以及各種辦公
自動化軟件提供安全、經濟、穩定、高帶寬的數據通道;以便于統一管理,提高工作效率和工作質量,同時節省各終端與局端的通話費用。
邁普系列的VPN安全網關,帶有標配4個百兆以太口,VoIP插槽可插入VoIP語音模塊,實現VoIP與VPN的融合,為視頻會議、IP電話、數據等業務提供了很好的擴展性。在本文中,我們以邁普系列的VPN產品為例,作一下具體組網、設置等技術方面的介紹。
5.1 解決方案網絡拓撲(見圖1)
圖1 供電企業的VPN網絡拓撲圖
5.2.1線路選擇
局端:通過一條100M的光纖連接
電信部門的Internet,100M的帶寬可以保證高速的Internet上網,與辦公MIS、各供電所、局直屬單位的高帶寬通道連接。按高清晰視頻計算帶寬,一路視頻需要256K,32路高清晰視頻,只需要8M帶寬就能滿足需求。換句話說,8M的帶寬可以完全滿足32個終端的視頻會議業務。按照G.729語音編碼標準,一路語音只需要12K帶寬,所以語音幾乎不會占用超過100K的帶寬
[ 3]。
終端:租用
電信部門的ADSL線路,下行2 — 8M帶寬,上行512K帶寬,完全可以滿足MIS、OA辦公、視頻、語音通信。
5.2.2 VPN安全網關選擇
在局端、終端放置VPN安全網關,建立IPsec VPN隧道,為供電企業內部數據創建一條安全的通道,VPN網關通過IPsec的加密算法為數據進行加密,防竄改、地址欺騙;同時在局端統一放置一臺CMS電子證書管理系統,為整個的VPN安全網關頒發電子證書,保證網關之間隧道建立的高安全性認證手段。在局端通過網管軟件,對整個VPN網關進行全面的網管。
局端:配置邁普VPN3020安全網關(見圖2),MPSec VPN3020標配4個百兆以太口,明文吞吐能力達到100Mbps,3DES加密吞吐量達到56Mbps,處理速率800MHZ,隧道數支持6000個,支持雙
電源冗余。
圖2 MPSec VPN3020安全網關外觀圖
終端:配置邁普VPN3005安全網關(見圖3),MPSec VPN3005C標配2個百兆以太口,最多支持3個以太接口,密文吞吐量達到10Mbps,支持隧道數為200個,并提供VoIP插槽可插入VoIP語音模塊實現VoIP與VPN的融合。
圖3 MPSec VPN3005C安全網關外觀圖
采用3Com防火墻,該設備的IPsec隧道方式提供網關到網關以及客戶端到網關的VPN連接,用于分支機構,遠程工作人員,客戶以及合作伙伴對企業網絡的訪問。
同時,3Com 防火墻支持GroupVPN配置功能,一個Group VPN允許100個使用IKE方式的VPN客戶端接入。3Com防火墻還提供客戶端VPN軟件SafeNet/IRE VPN。
5.2.4 IP語音網關選擇
整個網絡通過邁普IP語音網關設備,進行語音的互連互通,保護電力企業現有的網絡投資,不改變其原有的撥號習慣、無需進行大的網絡布線改造,即可輕松實現系統內部的“零”話費。
多數的供電企業在局端安裝了PBX程控交換機,只需放置MyPower VG2000,即可通過E1、VOP、VOS、E&M中繼模塊實現PBX和IP語音網絡的互連互通
[ 3 ];在終端MPSec VPN3005集成了IP語音功能,可以實現1路或者是2路的語音電話接入。
邁普安全管理平臺,以VPN業務網絡的拓撲為管理核心;監控和管理隧道異常方便,用戶訪問控制策略的制定非常簡單, 使用集成的網絡拓撲管理、性能管理和故障管理來保證供電企業
信息管理人員對網絡結構和運行情況一覽無遺;使用多種性能故障告警方式來保證網絡運行故障實時通知管理人員;管理人員能夠在一個平臺內就可以管理VPN網絡內的所有設備,為維護工作帶來極大的方便(見圖4)。
圖4 網絡管理界面
5.3.2高安全性
邁普安全網關完全支持標準的X.509證書體系,可以通過邁普數字證書系統CMS和多種第三方的CA軟件進行統一證書管理,提供最高安全性的認證方式,邁普VPN網關還支持DES、3DES、AES等多種國際標準加密算法,并支持高強度專用國密辦SSP02加密算法,密鑰長度最高可達256bits,安全強度高,計算速度快。
5.3.3.高穩定性
邁普VPN3020B/VPN3005網關支持雙
電源備份、鏈路備份、負載均衡、配置文件備份等多種備份方式。保證系統運行的穩定性和連續性,且邁普VPN設備具有DPD功能,可以探測到由于網絡故障等原因造成的隧道斷開,可以避免VPN設備在網絡出現故障時,兩端VPN設備的狀態不同步,從而進行備份的切換和隧道的從聯,更有效地保證了隧道的暢通。
5.3.4. 可擴展性良好
邁普VPN3005集成安全、語音、路由等功能于一身,模塊化設計,可提供專線或撥號的備份接口,同時可以根據用戶需求,提供1路或2路的IP語音模塊接入
;標配2個百兆以太口,都可以進行視頻、數據連接。對視頻業務的實現,預留了接口。
5.4.1易使用性
從建設的角度看,IP語音系統的“易使用”體現為“四不”原則,即不改變原有的網絡結構、不改變原有的電話號碼、不改變原有的撥號方式、不影響原有的業務數據。
從應用的角度看,IP語音系統的“易使用”落實在對多種增值功能的有效支持上。為提高辦公效率的需求,可增值的功能包括:呼叫轉移/等待/保持/轉接、多方會議、熱線撥號、IP傳真、縮位撥號、一機多號、一號多機、黑白名單和
智能語音提示
。5.4.2高適應性
IP語音系統具有覆蓋廣、應用環境復雜的特點,需要覆蓋到各級機構接入方式各異,應用模式也不盡相同。首先,IP語音系統必須基于標準協議,以便支持多廠商設備的互聯互通;其次,IP語音網關必須提供靈活的接入能力,不但提供E1(支持PRI信令)數字接口,還可以提供E&M、VOP和VOS等模擬接口,以滿足不同的接入需要;最后,IP語音網關應該支持“忙音識別”技術,能夠檢測各類PBX的摘掛機信號,以便與原有的語音系統順利對接
[ 4]。
5.4.3高質量
IP語音系統的基本功能是語音通信,如果沒有良好的語音質量,IP語音技術所具有的一切優勢難以得到體現和認可。因此需要采用一系列專門的機制來保證通話質量。語音質量保證機制包括:高質量的語音編碼、時延及時延抖動抑制、快速轉發、丟包補償、舒適噪聲、回波抵消以及
智能切換。
科學證明,人耳對話音的時延和時延抖動非常敏感,為保證通話質量,有效抑制時延和時延抖動是非常必要的。時延包括網絡傳輸時延、編碼及打包時延、處理時延和抑制緩沖區時延。從技術角度,網絡傳輸時延不可控,對時延的抑制主要考慮從其他幾種時延因素入手。因此,IP語音網關最好是采用分布式的硬件架構,必須由單獨的DSP媒體卡處理語音并打包發送,還應該支持高性能的快速轉發機制。
由于網絡擁塞等原因而引起的數據包丟失會造成語音、語義的斷續,因此IP語音網關必須具備舒適噪聲和分組丟失補償機制來還原丟失的數據包,從而保證通話的連貫性。
在IP語音系統中,回波是一個常見現象,嚴重的回波反射將對通話質量產生顯著的影響。回波路徑是一個可變參數,通常在30ms-60ms左右,所以IP語音網關不僅要具備回波抵消器,回波抵消器還必須具有自適應能力,支持回波抵消長度在0-128ms的范圍內可配置,滿足現有各種場合的應用需求[ 5 ]。
考慮到IP網的Qos機制尚不完善,為保證通話質量,IP 語音網關還必須具有
智能切換功能,以便在網絡帶寬不夠時,對當前呼叫實現由IP網到PSTN線路的平滑切換,從而保障通話的正常進行。
5.4.4高可靠性
由于IP語音將成為企業內部辦公溝通的一種有效工具,保證IP語音系統的可靠性是首要的設計原則。為實現高可靠性,IP語音系統應具有以下特性:
5.4.4.1 斷電保護
普通PBX或IP語音設備面臨的最大挑戰是網絡不通或停電的時候沒有辦法使用。因此,IP語音系統是否支持斷電保護功能,能夠根據網絡的實際情況在IP網與PSTN之間實現透明切換,是衡量其可靠性的一個重要指標。
5.4.4.2網守冗余
網守實現地址解析、接入控制、帶寬管理等諸多關鍵功能,是整個IP語音系統的“大腦”所在。為保證IP語音系統的正常運行,網守冗余功能必不可少。針對電力企業穩定性的特殊需求,網守冗余機制應包括:分級網守、
智能網守和網守熱備。這三種機制既互相獨立又彼此關聯,從三個層次上充分保證了網守的可靠性。
IP語音系統是電力未來電子業務平臺的重要組成部分,在容量和應用模式兩個方面具有高度的擴展性。IP語音系統應采用模塊化結構,以便電力企業根據未來業務結構的變化和業務量的增長情況,靈活地選配各種功能模塊,從而實現IP語音系統從應用模式到系統容量的無縫升級[ 6 ]。
6結語
VPN以其自身成熟的技術,低廉的投資和運行費用,以及組網的靈活性、安全性、經濟性、擴展性等各方面的優勢,將在電力系統內部得到廣泛的應用。為電力MIS、辦公
自動化等應用系統提供了一個集成語音、視頻、數據需求的VPN解決方案。通過對
信息資源的有效開發和利用,服務于企業發展目標,提高企業競爭力。從而促進了企業的現代化管理,提高了企業整體管理水平和經濟效益。
參考文獻:
[1] 張磊,韓東,張春光等.《電力信息管理管理實用手冊》[M],安徽,安徽文化音像出版社,2003。
[2] 達新宇,孟濤,龐寶茂等.《現代通信新技術》[M],西安電子科技大學出版社,2001.9。
[3] 郎為民.《下一代網絡技術》[M],北京,機械工業出版社,2006.2。
[4] 張繼軍,屈軍鎖,楊武軍等.《現代交換技術》[M],西安電子科技大學出版社,2004.1。
[5] 張輝,曹麗娜.《現代通信原理與技術》[M],西安電子科技大學出版社,2002.1。
[6] 劉后銘,洪福明.《計算機通信網》[M],西安電子科技大學出版社,1996.6。
作者簡介:
陳紅偉(1973.11.8生):男,河南省漯河市人,畢業于鄭州大學電力系統及其自動化專業,從事電力系統的設計、建設、管理工作。
