用电信息采集系统EPON建设方案
4.3 分布式部署方式中二三层技术应用比较
现有电力行业的传输资源和网络基本覆盖到110 kv变电站,各个基本的OLT需要与变电站中的传输设备或已有的数据网设备连接,从而实现各种信息数据的长传。在应用EPON技术建设用电信息采集系统过程中,为避免三层设备全部集中于主站系统造成安全风险,大规模组网情况下需要EPON网络承担分3层功能,分析如下。
1)纯2层网络存在安全隐患。纯2层网络为1个大的广播域系统抄表总站的网络设备与每一个采集器都直接互通,存在广播风暴、ARP攻击等各种安全隐患,对整个网络产生巨大影响,如消耗设备的CPU资源、抢占上行的链路带宽导致正常业务异常。另外,ARP攻击会造成CPU利用率直线上升,甚至造成CPU满负荷工作,短时间内无法响应外界正常请求。EPON系统包含3层路由设备,3层设备可以天然隔离广播风暴和ARP攻击,即使网络中发生这些异常时,可以把异常产生的负面影响控制在其相应的VLAN区域内,避免对整网产生影响。
2)纯2层网络对系统抄表总站的设备压力巨大,并且存在VLAN资源不够的问题。纯2层网络为1个大的广播域系统抄表总站的网络设备与每个采集器都直接互通,因此每个采集器的数据报文都需要直接透传到系统抄表总站的网络设备上。据了解全国有260多万个采集器,平均每省有近10万个,这样系统抄表总站的网络设备需要终结10万个采集器的VLAN数据报文,对总站网络设备的要求很高。另外,VLAN ID的资源只有1~4 096,与10万个采集器的需求相比远远无法满足。虽然采用QinQ等多层封装的技术可以解决问题,但这样会造成巨大的整网配置工作量和管理复杂度,增加后期定位解决问题以及扩容成本。
3)纯2层网络的QOS能力很差。采用纯2层组网时从采集器、集中器、ONU、OLT直到抄表总站的网络设备QOS保障能力很弱,在这种情况下无法对来自同一个采集器的多种业务进行区分,无法实现端到端的QOS保证。虽然2层网络中VLAN TAG中带有802.1p优先级的字段,但是多个采集器上的报文,经过集中器、ONU、OLT的层层汇聚之后802.1p的几个优先级,根本无法再区分出各自的业务,实现端到端的精细化QOS管理。
4)纯2层网络实现广域网接口部分技术复杂,不便维护。一般网络构架均通过3层路由设备上接SDH传输网络,如果用电信息采集系统规模建设时,应参考此模式,只有网络规模较小时候可以考虑纯2层设备上联SDH网络。当纯2层组网时,OLT以及总站设备E1/STM-1等广域网链路必须使用“桥接”等陈旧且复杂的2层技术,一一配置VLAN和SDH通道的对应关系,增加网络配置工作量和维护的难度,增加设备的处理压力。
从上分析,同时结合后续实际运行维护角度考虑,在用户用电信息采集系统考虑分布式3层架构比较合适。
4.4 EPON系统的安全可靠性
用电信息采集系统是营销管理业务应用系统的基础数据源的提供者,为了确保系统的安全性和可靠性,首先应做到统一规划,全面考虑;应采用多种先进技术,如环网保护技术、VPN业务隔离技术、虚拟交换网与EPON融合技术、防火墙技术、加密技术、网络存储与备份技术、网络管理与用电采集器/集中器统一管理技术等,在系统的各个层面(操作系统、数据库系统、应用系统、网络系统等)加以防范;另外,在系统的日常运行管理中,加强规范管理、严格安全管理制度。
用电信息采集系统划分为网络、边界、主机、应用4个层次进行安全防护设计,以实现层层递进,纵深防御,EPON设备在满足系统可靠性的基础上应满足用电信息采集系统的网络、边界安全防护要求。用电信息采集系统应首先考虑架构安全性,采用IP千兆环网+EPON无源光网络技术。EPON系统除基本的EPON协议外,还必须考虑骨干网络的可靠性和健壮性,应具有丰富的3层特性、2层特性、多种端口种类、高可靠性、高性能的特点。110 kV/35 kV配变核心主站和及10 kV配变子站组建千兆IP主干环网,通过快速环网保护协议实现主干环网高带宽以及小于50 ms快速无缝切换的功能,全面提高主干环网效率及可靠性。整个网络向上接入电力数据通信骨干网,向下接入本地集抄网,实现全省数据网与集抄网的无缝接入。如图5所示。
图5 OLT环网架构
放置用电信息采集终端的公变开闭所、环网柜至配变子站的分支网采用无源光网络EPON接入技术高效利用光纤资源,就近接入,OLT单设备通过双主控备份、电源备份解决硬件单点故障隐患点。OLT通过快速环网保护技术组环实现链路和设备备份。安全可靠性得到极大提升。用电采集系统与其他外系统间的边界网络接口必须考虑安全防护。因此EPON系统架构时候必须考虑以下几点。
1)域间访问控制:在不同的安全域之间对所交换的数据流进行访问控制,包括连接请求、通信流量、入侵检测等。
2)远程接入安全防护:对于远程访问,应当在信息边界采用认证加密等手段进行相应的安全防护。
3)对外服务安全:对通过边界提供给外系统的数据,要有相应的数据校验和审核机制,对数据的流出做好记录。
EPON系统应通过ACL访问控制列表进行数据访问控制、内置或通过其他防火墙设备进行外部链接检测、防病毒、对外部流量进行入侵检测;对于远程接入和网管防护,EPON系统应考虑SSH安全登录技术、远程网管协议SNMP V3。实现不同用户不同访问、控制权限,并且保证远程登录不会被窃听、盗窃帐号、密码。EPON系统应考虑安全日志功能记录异常信息,还应考虑流量统计对网络流入流出数据进行实时监控分析、及时对异常流量采取防护措施,建设一套网络7×24 h安全保护机制。
5 结束语
用电信息采集系统的建设作为一个长远的综合系统工程,必须在网络架构、网络安全、后期维护、系统管理等多方面进行考虑,因此EPON系统也必须满足上述要求, EPON作为点对多点的光纤接入技术无疑是用电信息采集系统数据通信网络的最佳方案。
评论