VPN技術(shù)在電力系統(tǒng)中的應用

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 1、前言   隨著供電企業(yè)的信息化建設，企業(yè)的計算機網(wǎng)絡也基本上覆蓋到了辦公樓的角角落落。各種應用系統(tǒng)也在方方面面得到了全面的應用。但是唯有變電站由于地理位置的關系，網(wǎng)絡連接成為應用系統(tǒng)的瓶頸。   2、現(xiàn)狀及問題的提出   現(xiàn)狀寶雞供電局現(xiàn)有變電站50座，光纜連通且具備多余纜芯的變電站確不多，只有10座左右。這幾座變電站，可以通過光纜和局里的局域網(wǎng)連接。   但是隨著供電企業(yè)信息化建設的發(fā)展，邊遠地區(qū)的變電站也需要接入信息網(wǎng)絡，電子工作票、操作票的傳輸，各種報表，通知等的應用，迫切要求所有變電站接入企業(yè)局域網(wǎng)中。   在過去，對于這種問題有一個現(xiàn)成的解決方案，通過電話撥號上網(wǎng)，在企業(yè)內(nèi)部建立一個MODEM池，可以使邊遠變電站接入企業(yè)局域網(wǎng)，完成自己的應用。但是這種應用技術(shù)有明顯的缺點。   第一、費用難以控制。電力企業(yè)內(nèi)部的載波電話在大部分情況下是難以用來撥號上的。在實踐過程中，載波傳遞輸數(shù)據(jù)型號總是有很多問題。在實際工作不能使用。微波基本可以使用，但是大部分情況下，效果不好。所以只好選擇利用電信的公網(wǎng)電話進行撥號上網(wǎng)。通過撥號上網(wǎng)工作，時間長短不一，越長費用越高，難以衡量標準。   第二、撥號上網(wǎng)屬于窄帶上網(wǎng)，網(wǎng)速慢，對于工作效率影響較大?；鶎邮褂谜咭庖姌O大。 第三、撥號上網(wǎng)難以控制員工瀏覽互聯(lián)網(wǎng)。在上班時間瀏覽互聯(lián)網(wǎng)或者玩網(wǎng)絡游戲，按照單位規(guī)定都是不允許的。   3.利用VPN技術(shù)實現(xiàn)變電站聯(lián)網(wǎng)   3．1VPN技術(shù)簡介   隨著企業(yè)網(wǎng)應用的不斷發(fā)展，企業(yè)網(wǎng)的范圍也不斷擴大，從一個本地網(wǎng)絡發(fā)展到跨地區(qū)跨城市甚至是跨國家的網(wǎng)絡。與此同時隨著互聯(lián)網(wǎng)絡的迅猛發(fā)展，Internet已經(jīng)遍布世界各地，從物理上講Internet把世界各地的資源相互連通。正因為internet是對全世界開放的，如果企業(yè)的信息要通過Internet進行傳輸，在安全性上可能存在著很多問題。但如果采用專用線路構(gòu)建企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)據(jù)專線。如何能夠利用現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡呢？虛擬專用網(wǎng)（VPN：Virtual Private Network）技術(shù)就成為一個很好的解決方案。虛擬專用網(wǎng)（VPN）是指利用公共網(wǎng)絡來建立專用網(wǎng)絡，數(shù)據(jù)通過安全的"加密通道"在公共網(wǎng)絡中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的Internet，各地的機構(gòu)就可以互相傳遞信息。   虛擬專用網(wǎng)絡是創(chuàng)建基于IP的VPN，一個為員工遠程訪問公司網(wǎng)絡的途徑。該解決方案包括站點間加密隧道傳輸；從交換機到桌面的IP Sec加密；集成配置和管理軟件；支持交換機管理和IP Sec客戶機的簡化接口；集成的授權(quán)、鑒權(quán)和記帳（AAA）服務器，以及靈活可擴展的VPN部署組件。高性能VPN平臺使用戶能夠通過安全虛擬專用網(wǎng)絡隨時隨地訪問企業(yè)內(nèi)部網(wǎng)絡。VPN網(wǎng)關產(chǎn)品在一個平臺上集成了所有必要的VPN技術(shù)，提供路由、防火墻、帶寬管理、加密、鑒權(quán)和數(shù)據(jù)完整性，從而確保了通過互聯(lián)網(wǎng)進行安全隧道傳輸。   使用VPN技術(shù)具有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等優(yōu)點，將會成為今后企業(yè)網(wǎng)絡發(fā)展的趨勢。   3.2設計原則   在方案剛剛提出的時候，我們經(jīng)過研討，確定了如下的基本原則：   （1）、客戶端設備必須支持動態(tài)IP；因為，電信如果提供靜態(tài)IP，則要收取租賃費，而且，不是所有變電站所在地電信都可以提供靜態(tài)IP。   （2）、客戶端最好為硬件，而且在PC機上不要安裝客戶端軟件。這樣可以保證網(wǎng)絡傳遞的高效性;其次可以減少微機的維護工作量。   （3）、客戶端的VPN路由應支持內(nèi)部PPP撥號。支持內(nèi)部PPP撥號，可以隱藏ADSL上網(wǎng)密碼，達到控制變電站值班員上互聯(lián)網(wǎng)的目的。如果不具有這一項功能，變電站值班員完全可以繞過VPN設備，直接接入到ADSL適配器上，在工作時間接入互聯(lián)網(wǎng)。   （4）、VPN設備的SERVER端，應同時支持第二層隧道協(xié)議和第三層隧道協(xié)議，支持ADLS/LAN/Modem/WLAN/GPRS /CDMA 1X等任何Internet接入方式均可支持，可以穿透NAT和防火墻。支持最流行的協(xié)議L2TP和IPSec。支持動態(tài)IP、寬帶內(nèi)部IP地址。對于任一種操作系統(tǒng)Windows 98 ，Windows 2000，Windows XP都可以方便設置，快速接入局域網(wǎng)。   3.3設備選型   依據(jù)我們的基本要求，VPN設備客戶端應至少具有兩個以太口，對于小型變電站，電腦比較少的情況下，不需要添加別的設備就可以滿足連接兩臺電腦的需求。其次，VPN設備的SERVER端，應具有超過100路并發(fā)處理能力。支持軟件路由和硬件路由的接入。在一個平臺上應集成了所有必要的VPN技術(shù)，提供路由、防火墻、帶寬管理、加密、鑒權(quán)和數(shù)據(jù)完整性。支持動態(tài)VPN的接入。集成的授權(quán)、鑒權(quán)和記帳（AAA）服務器，以及靈活可擴展的VPN部署組件。高性能VPN平臺使用戶能夠安全通過虛擬專用網(wǎng)絡隨時隨地訪問企業(yè)內(nèi)部網(wǎng)絡。從而確保了企業(yè)數(shù)據(jù)通過互聯(lián)網(wǎng)進行安全的傳輸。   為了滿足寶雞供電局變電站聯(lián)網(wǎng)的工作實際要求。即滿足3.2中的四點要求。我們對三種設備進行了對比。甲設備可以做到客戶端支持動態(tài)地址的，但是客戶端不僅需要VPN路由，而且需要安裝客戶端軟件。這樣就對網(wǎng)絡部署，以后的維護工作量帶來極大的更多的麻煩。從技術(shù)角度對它進行了否決。乙設備可以滿足一、二條，但是對于第三條支持內(nèi)部PPP撥號做不到。這一條對于技術(shù)人員無所謂，但是從管理制度上講，不能杜絕值班員上互聯(lián)網(wǎng)的可能性，因而從管理角度上，被管理者否決。丙設備，即我們最終選型的港灣NetHammerM582/242 VPN網(wǎng)關，它可以滿足以上四項基本原則。尤其是第四條，既可以滿足變電站聯(lián)網(wǎng)的需求，也可以移動辦公的需要。VPN移動客戶端運行在移動用戶的計算機上（如出差人員的便攜機、在家辦公的計算機等），僅提供VPN連接功能。支持任何一種Internet接入方式（如MODEM撥號，ISDN，ADSL、寬帶等），支持動態(tài)IP、寬帶內(nèi)部IP地址，安裝VPN移動客戶端的操作系統(tǒng)可以為Windows 98 ，Windows 2000，Windows XP中的任意一種。這是一種比較好的選擇。   3.4網(wǎng)絡選擇說明   （1）公網(wǎng)采用電信最普及的adsl,它有比較明顯的優(yōu)點，網(wǎng)絡覆蓋范圍廣，最長距離可以達到5公里，寶雞供電局大部分變電站都在它的覆蓋范圍之內(nèi)。有著其他傳輸方式難以比擬的廣泛適應性。 （2）價格的低廉。Adsl普遍采用包月方式，市場報價1M帶寬每月50元。如果選擇其他專線，費用都比較高，月租費至少是ADSL的20倍以上。 （3）、每座變電站基本上都已經(jīng)安裝了電信的有線電話，再安裝adsl比較容易。   3.5路由設計

變電站VPN聯(lián)網(wǎng)路由表
序號	站名	loopback	eth0/0地址	核心tunnel地址	分支tunnel地址	pppoe用戶名	pppoe密碼
1	核心	10.0.1.1	61.149.124.132
2	太白變	10.0.0.1	11.0.0.1/24	172.16.0.254/30	172.16.0.253/30	bj4951202	***
3	眉縣變	10.0.2.1	11.0.1.1	172.16.1.254/30	172.16.1.253/30	bj5558224	***
4	降帳變	10.0.3.1	11.0.2.1/24	172.16.2.254/30	172.16.2.253/30	bj5335039	***
5	石頭坡	10.0.4.1	11.0.3.1/24	172.16.3.254/30	172.16.3.253/30	bj7515483	***
6	天合公司	10.0.5.1	11.0.4.1/24	172.16.4.254/30	172.16.4.253/30	bj6290368	***
7	縣功變	10.0.6.1	11.0.5.1./24	172.16.5.254/30.	172.16.5.253/30	bj3968633	***
8	賈村變	10.0.7.1	11.0.6.1/24	172.16.6.254/30	172.16.6.253/30	bj6556485	***
9	千陽變	10.0.8.1	11.0.7.1/24	172.16.7.254/30	172.16.7.253/30	bj560876	***
10	隴縣變	10.0.9.1	11.0.8.1/24	172.16.8.254/30	172.16.8.253/30	bj4601041	***
11	赤沙變	10.0.10.1	11.0.9.1./24	172.16.9.254/30	172.16.9.253/30	bj3960527	***
12	耀興公司	10.0.11.1	11.0.10.1/24	172.16.10.254/30	172.16.10.253/30	bj390687	***
13	黃牛變	10.0.12.1	11.0.11.1/24	172.16.11.254/30	172.16.11.253/30	bj4791059	***
14	橫渠變	10.0.13.1	11.0.12.1/24	172.16.12.254/30	172.16.12.253/30	bj4657090	***
15	齊鎮(zhèn)	10.0.14.1	11.0.13.1/24	172.16.13.254/30	172.16.13.253/30	bj5755398	***
16	營頭變	10.0.15.1	11.0.14.1/24	172.16.14.254/30	172.16.14.253/30	bj5767335	***
17	鳳翔變	10.0.16.1	11.0.15.1/24	172.16.15.254/30	172.16.15.253/30	bj5790032	***
18	柳林變	10.0.17.1	11.0.16.1/24	172.16.16.254/30	172.16.16.253/30	bj7281960	***
19	岐山變	10.0.18.1	11.0.17.1/24	172.16.17.254/30	172.16.17.253/30	bj7421306	***
20	祝家莊	10.0.19.1	11.0.18.1/24	172.16.18.254/30	172.16.18.253/30	bj477590	***
…	…	…	…	…	…	…	…

上表顯示的只是部分變電站的路由設計數(shù)據(jù)。通過，逐個設備的設置，安裝、調(diào)試。歷時兩個星期，基本上完成了寶雞現(xiàn)有條件可以使用VPN技術(shù)聯(lián)網(wǎng)的變電站的連接。 VPN連接示意圖：   如圖可以看到，用戶電腦直接連接VP路由，在連接ADSL適配器，通過撥號連接到INTERNET上，我們單位通過防火墻連接到互聯(lián)網(wǎng)上，然后內(nèi)部再接入SERVER端VPN路由，通過交換機，可以訪問內(nèi)部服務器。達到了我們聯(lián)網(wǎng)的目的。   4、系統(tǒng)實施后的效果   效果如何,需要數(shù)據(jù)來說明問題。我們選擇了三座變電站，進行了網(wǎng)絡速度的測試。采用是最基本的下載速度測試。單位內(nèi)部架設了FTP服務器。通過三座變電站下載其上的300M大小的軟件包，來測試速度。然后又通過發(fā)PING包，依據(jù)丟包率判斷網(wǎng)絡線路狀況。具體情況如下：

變電站VPN網(wǎng)速測試表一
序號	站名	Loopback地址		eth0/0地址		eth0/1	下載速率
1	核心	10.0.1.1/32		61.149.124.132		192.1.1.161/24
2	太白變	10.0.0.1/32		11.0.0.1/24		Pppoe	123k/s
3	眉縣變	10.0.2.1/32		11.0.1.1/24		Pppoe	172k/s
4	降帳變	10.0.3.1/32		11.0.2.1/24		Pppoe	98k/s
變電站VPN網(wǎng)速測試表二
序號	站名	包大小	發(fā)包個數(shù)		反饋時間	丟包率
1	核心
2	太白變	1024K	100		24ms	0.00%
3	眉縣變	1024K	100		16ms	0.00%
4	降帳變	1024K	100		29ms	0.00%

通過以上表格可以看出，三座變電站基本上類似局域網(wǎng)內(nèi)部工作站的連接速度?？梢赃_到應用的要求。從訪問速度和其他指標上工作人員可以接受。因此，我們可以認為ADSL+VPN這種聯(lián)網(wǎng)方式基本上解決了寶雞供電局大部分變電站的網(wǎng)絡互連互通問題。達到了我們項目實施的預期目的。   5、通過VPN技術(shù)聯(lián)網(wǎng)變電站的優(yōu)點   通過VPN技術(shù)，寶雞供電局的所有變電站都接入局內(nèi)MIS網(wǎng)的好處主要有如下幾點：   （1）降低網(wǎng)絡通訊成本。一般情況，電信提供的ADSL通道使用費用都是包月，每月固定費用，與電話比較，費用是固定的，而且可以長時間保持網(wǎng)絡連接狀態(tài)。   （2）網(wǎng)絡速度可以滿足要求。ADSL連接屬于寬帶連接。從512K到8M，帶寬基本上可以滿足變電站日常工作的需要。 （3）切切實實的降低工作成本費用?；緫弥?，變電一種工作票可以通過網(wǎng)上許可。大大節(jié)省了經(jīng)費。以段家變電站為例，小車通過高速公路到達變電站，一個來回，過路費為60元，汽油花費大約30元，司機和工作負責人差費20元，耗時一天。全局一年變電一種工作票估算有400張。每次花費平均100元，則400張共花費4萬元。如果通過網(wǎng)絡傳遞工作票，就可以節(jié)省4萬元。最主要的是時間的解決，也意味著人工的節(jié)約，這是最大的節(jié)約。對于工作票來說，這只是網(wǎng)絡上的一種應用。其他的應用，都是基于網(wǎng)絡的，只要網(wǎng)絡暢通，則通知，報表都可以通過它傳輸。而且是多種形式和多種媒體的內(nèi)容。   （4）、管理上的高效和創(chuàng)新。對于變電站的管理可以像對待局內(nèi)的班組規(guī)范化管理一樣，全面規(guī)范化管理。過去網(wǎng)絡不同，局限于條件，做不到?，F(xiàn)在，想到就能做到。網(wǎng)絡的聯(lián)通，拉近了邊遠班站和局內(nèi)的距離，新聞、通知、公告都可以第一時間傳遞到最基層?；鶎拥穆曇粢部梢宰羁斓膫鬟f到局里。盡管，實際的距離依然沒有變化，但是心理距離縮短了。   6．系統(tǒng)存在問題及改進措施   6.1項目實施完成以后,槐芽變電站丟包率比較高,已經(jīng)影響了正常的使用。對于這種情況,我們與電信一起分析和測試，認為故障在電話線路上，經(jīng)過檢查，有一段線路為鐵絲。電信承諾，在隨后的線路改造中，優(yōu)先更換這一段電纜。   6.2湯峪變電站由于距離電信機房超過5公里,滿足不了adsl的距離要求，則這座變電站通過ADSL+VPN方式也不能聯(lián)網(wǎng)。光纖也沒有敷設到，只能考慮其他方式聯(lián)網(wǎng)了。(CCW)