多级VPN加密传输网的实现.pdfVIP

2009年第5期 广西电力 47 多级VPN加密传输网的实现 RealizationofM ulti—VPN EncryptedTransmissionNetwork 蘑正 MO Zheng—kun (广西电力调度通信中心，广西 南宁 530023) 摘要：在不具备电网通信专网的厂站、县调、和配网中如何保证数据在传输过程中的机密性，完整性和不可否认性，是当 前各级电力网络都非常关注的问题。论述如何采用 IPSEC协议 ，构建一个动态的，易于管理的VPN加密传输网络，以满足业 务用户 的需求 。 关键词 ：VPN；网络传输加密 ；设备集中管理 中图分类号 ：TN915．853 文献标志码：B 文章编号：1671—8380(2009)05—0047—03 0 引言 的就是如何基于 IPSEC之上，构建 GRE隧道的多 级的动态 VPN传输网，从而实现电厂、县调、及配 随着电网的快速发展，电网对其 自身及 电厂的 网自动化系统VPN隧道的动态认证、协商和建立， 数据采集要求更为严格，实时性，安全性要求也更 方便数据传输加密，使得管理人员能够高效率地对 高。广西电网目前已经建成以广西电力调度通信中 多层次的VPN分级管理或集中管理。 心为核心，覆盖全部地调、97％220kV站点的2级 通信网络，和部分 110kV站点的3级通信网络，但 1 组建多级VPN加密网络的必要性 是多数电厂、县凋和城市内部配网自动化涉及到的 电厂和县调内部常常有 自建的局域网，为了业 节点没有建立电力系统的通信网络。自建通道或者 务的正常开通，需要将不同地方的局域网进行互联， 支付高昂的费用租借专用通道来传输少量的生产数 由于可能会涉及到多级单位局域网的连接，节点的 据使得投资与收效比例大大的失调。为此多数电 数量非常多。传统的VPN 网络组建方法是在节点 厂、县调、及配网系统采用租借公网通道开通 VPN 之间建立 Ⅵ)N隧道，这种方式在节点数非常多的 或拨号的形式与广西 电网内部网络相连接 ，以满足 情况下，要实现不同站点之间的多向传输，就要在每 业务传输的需求。但 由于 Internet所采用的TCP／ 个站点、不同的业务都要建立独立的隧道 ，假设有 IP协议的固有的安全方面的缺陷，致使网络消息的 1O个节点，每个节点都要建立 10条隧道 ，10个节点 传输缺乏有效的安全保护，这些缺陷主要表现在 ：缺 总共就要添加 100条隧道 ，那样隧道的添加量和 日 乏通信双方身份的认证、缺乏保密机制、缺乏有效的 常对隧道的维护量会非常大。其次，如果使用传统 鉴别机制。因此，构建管辖范围广、覆盖区市县多级 的方法建立VPN 网络，在管理上属于分散式 (相当 节点、庞大的加密传输网络是我们关注的问题。 于只有两级)，每个节点各 自为政 ，各 自维护和管理 随着 Internet的迅猛发展及VPN技术的出现， 自己的VPN设备，造成设备管理上的混乱，故障排 为企业、单位信息化应用提供了良机和更好的选择。 查困难，处理故障时问会大大地延长。 VPN技术是利用公共网络资源来构建的虚拟专用 因此，对于这种多级结构全区性质的局域网联 网络，它是通过特殊设计的硬件或软件直接在共享 网，建议采用一种称为VPN隧道接力方式进行，即 网络中