电力系统综合数据网和局域网VPN对接模型研究.docVIP

电力系统综合数据网和局域网VPN对接模型研究 　　【摘要】本文针对电力系统特征，建立综合数据网网络模型，针对此模型进行研究，提出综合数据网与局域网VPN对接模型方案。 　　【关键词】VPN对接； 　　1 前言 　　在电力系统，承载各类管理信息系统的数据通信网络主要分为广域网（综合数据网）和局域网，在广域网上根据业务隔离和QOS保障的需求划分了多个VPN进行数据传输，局域网是直接承载本地业务系统和终端的接入网络，局域网连通接入了本地终端之后，需要通过合理的技术手段和方式与广域网VPN对接，以充分满足业务隔离和高效传输的需求。 　　本文将对局域网和广域网VPN对接方式进行研究，提出二者的对接模型。 　　2 数据网网络结构模型研究 　　电力系统数据网主要包括：综合数据网、局域网、IDC网络，对于网络的建设方式，以下提出三种模型： 　　（1） 模型一：IDC网络与局域网分别上联综合网 　　在综合数据网边缘PE设备上，骨干网络 VPN进行终结并以子接口的形式，将各个VPN对应连接局域网核心交换机，局域网核心交换机上针对各个综合网PE设备连接过来的子接口设置相应的接口路由，并维护此路由表，以承担内部局域网用户访问广域网的路由选路需求，同时局域网用户访问IDC的路由也在此局域网核心交换机上，以满足局域网用户访问IDC的需求。 　　（2） 模型二： IDC网络通过局域网设备上联综合网 　　综合数据网的VPN在PE设备上终结，局域网核心交换机通过多个VLAN子接口（或多条物理链路）分别对应连接至综合数据网PE设备的不同VPN。 　　IDC网络通过防火墙与局域网核心交换机连接，局域网核心交换机与IDC之间通过全局路由互联，局域网内用户可以直接访问IDC，仅在IDC边缘防火墙上针对不同类别用户访问IDC内服务器的权限进行控制。 　　（3） 模型三：三角连接结构 　　综合数据网PE设备、局域网核心交换机、IDC出口防火墙之间，以两两互联的三角结构进行互联。 　　综合数据网的VPN在PE设备上终结，IDC防火墙通过多个VLAN子接口（或多条物理链路）分别对应连接至综合数据网PE设备的不同VPN。 　　IDC网络核心交换机与局域网核心交换机通过防火墙直接连接，局域网核心交换机与IDC之间走全局路由，局域网内用户通过防火墙的限制和控制访问IDC网络。 　　（4） 比较分析 　　表1 网络结构模型比较分析 　　序号 方案比较 模型一 模型二 模型三 　　1 用户访问 局域网用户如需访问IDC网络，需通过综合数据网设备转发，效率存在影响。 局域网核心交换机一般都是大容量、高性能的设备，可满足此种网络结构的要求。 　　VLAN和VPN可在广域网入口处终结，局域网用户访问各个网络节点均可以满足。 用户访问IDC及综合网从各自不同链路进入，可以分别设置链路及接口访问策略，相对效率较高。 　　2 设备需求 此种方式对综合数据网设备PE设备需要端口数量较多，且PE设备需作为局域网和IDC的数据转发核心。 需局域网核心交换机作为广域网与IDC的数据交互中心，对设备接口性能等要求较高。 对局域网核心设备，IDC出口防火墙，以及综合网核心设备均有相对较高的端口要求，但各自增加一定接口问题不大。 　　3 VPN与VLAN对接复杂度 局域网VLAN与VPN在PE设备处实现VPN与VLAN对接， IDC设备直接通过防火墙接口对接，相对复杂度较低。 广域网VPN需要先转换为局域网VLAN，再对接IDC防火墙VLAN子接口 局域网与IDC之间采用VLAN接口，综合网设备与局域网和IDC间均为VPN子接口对接，接口较多，涉及设备较多，相对较复杂 　　综上所述，从易用性、实现难度、复杂度以及充分考虑现状出发，可采用模型一；模型三的数据处理效率较高，如果能够解决配置复杂度的问题，采用模型三可以提高整体局域网与IDC和综合网连接的效率。 　　局域网与综合网及IDC对接采用模型一，但在新建网络及较容易实现路由控制的场合可以采用模型三进行设计及建设。 　　3 综合数据网与局域网VPN对接模型研究 　　（1） 模型一 　　局域网内部不划分VLAN，各用户在综合数据网入口根据不同业务需求接入不同VPN。 　　此种方式须在局域网核心设备进行路由选路，在局域网与综合数据网互联接口进行用户地址段的对应，同时由于用户IP网段在同一网段，则对端站点的返回路由需要进行相应的控制或者策略，以避免由于用户网段在同一网段，而路由控制的来回VPN路径不一致，引起部分业务系统的故障问题。 　　（2） 模型二 　　局域网VLAN划分和综合数据网VPN划分保持一致。 　　此种方式可确保不同VLAN和VPN间的完全对应，如果全网按照此模式部署，各个业务系统终端有可