作者:蒋康明,张筱云
出版社:暨南大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
电力调度数据网施工实训教程试读:
前言
电力调度数据网络设备为电力系统提供调度生产实时业务和生产管理信息的网络通道,是保证电力系统安全运行的重要基础设施。因此,防范电力调度数据网络设备故障而引起的通道障碍,是保障电力生产业务准时、可靠、正确传输的基础条件。所以,正确、科学、规范地安装、配置、测试、维护电力调度数据网络设备,对电力通信网的安全可靠运行有着举足轻重的意义。
目前,市面上介绍电力调度数据网络设备施工的书籍往往偏重于基础理论知识,且以纯文字描述为主,缺乏系统完整的电力调度数据网络设备施工过程的内容,实用性较差。特别是对于现场运行人员来说,这些书籍中有用信息的获取量小且零散,原理较为深奥,学习效果不佳,难以满足电力调度数据网络设备施工和运维人员快速上手的学习要求。
针对以上问题,我们突破传统,编写了《电力调度数据网施工实训教程》。本书在系统地介绍电力调度数据网的基本概念及技术规范的基础上,结合大量工程实践经验和现场施工素材,介绍了数据网络设备的施工前准备、设备安装、设备配置、单机测试、系统测试、故障排除及处理方法等内容,并总结了其中重要的施工要素与注意事项。
本书理论结合实例,除介绍了必要的基础原理外,还辅以大量的现场操作、作业图片,图文并茂,形象生动,可读性强;内容覆盖电力调度数据网络设备从到货、查检、安装、配置、测试到故障排除的全过程,并对其中的关键技术进行了重点介绍,具有较好的系统性。本书是一本具鲜明电网特色的实操培训教程,旨在让电力通信施工、运维人员和有现场操作需求的学员轻松、明晰地理解电力调度数据网络设备施工的相关知识和技术要求,并针对自身需求,迅速获取所需知识,从而掌握电力调度数据网施工作业的相关技能。编者2015年9月1电力调度数据网介绍1.1电力调度数据网1.1.1 电力调度数据网概念
电力调度数据网是通过VPN(虚拟专用网络)实现各级调度中心之间以及调度中心与相关发电厂、变电站之间的互联,在专用通道上利用IP路由交换设备组网,实现在SDH或PDH层面上与系统内公用的电力信息包括SCADA/EMS调度自动化系统、电能量计费系统(电能量采集装置)、继电保护管理信息系统、动态预警监测系统(功角测量装置)和安全自动装置信息等的数据传输业务。从而满足电力生产、电力调度、继电保护等信息传输需要,协调电力系统发、送、变、配、用电等组成部分的联合运转,保证电网安全、经济、稳定、可靠运行。1.1.2 电力调度数据网承载业务介绍
目前电力调度系统数据业务可分为两类,一类是以调度自动化系统为代表的实时业务,另一类是以电能量计量系统为代表的非实时业务。这两类业务的共同特点是数据以周期性传输,所占用带宽不大,数据具有分布采集,集中汇聚的特点。数据在变电站端产生后,传输至一级调度部门,经过处理后按需要转发至更高一级的调度部门。
电力调度数据网承载的调度业务具体如下:
1. 实时业务(1)EMS系统与变电站自动化系统之间实时数据的传输;(2)各级EMS系统之间交换的实时数据;(3)水调自动化数据;(4)继电保护管理信息;(5)实时电力市场辅助控制信息;(6)电力系统动态测量数据。
调度自动化系统数据汇集中心是供电局调度中心,调度中心所需的实时监控数据一部分直接从厂站端采集获得,一部分通过现调直采获得。该系统对电网的频率、电压、潮流等信息以及变压器、断路器、隔离开关等设备的状态信息进行实时监控。这部分数据包括遥测、遥信、遥控和遥调等信息,关系到调度中心对所调度管辖范围的电网、电厂和变电站实施监视和控制的安全可靠性,所以这类数据要求具有很高的可靠性和很强的实时性。
2. 非实时业务(与调度生产直接相关的业务)(1)电能量计量计费信息;(2)调度生产运行报表(日报、月报、季报);(3)与故障录波、继电保护和安全自动装置有关的管理数据;(4)电力市场申报数据和交易计划数据;(5)雷电定位数据。
电能量计量系统数据汇集中心是供电局调度中心,数据为周期性采集。该系统对实时性要求不高,主要实现电厂上网、下网和联络线关口点电能量的计量,分时段存储、采集和处理,为结算和分析提供基本数据。1.2术语和定义
1. ACL—Access Control List
访问控制列表。是应用在路由器接口的指令列表。
2. AS—Autonomous System
自治域。是一组路由器的集合,它们拥有同样的选路策略,被同一技术管理部门管理运行。
3. BGP—Border Gateway Protocol
边界网关协议。是运行于TCP上的一种自治系统的路由协议。
4. FE—Fast Ethernet
快速以太网。是一种局域网传输标准,它提供每秒100兆的数据传输率。
5. GE—Giga Bit Ethernet
千兆以太网。是建立在基础以太网之上的技术。
6. MPLS—MultiProtocol Label Switching
多协议标记交换。是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由地址、转发和交换等能力。
7. MP-BGP—MultiProtocol BGP
多协议BGP。
8. PE—Provider Edge
MPLS网中的边缘设备。
9. CE—Customer Edge
客户边缘设备。
10. MCE—Multi-VPN-Instance-CE
多实例CE。通过多实例在CE设备上提供逻辑独立的路由实例和地址空间,使多个用户共享一个CE。
11. VLAN—Virtual Local Area Network
虚拟局域网。是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像在同一个网段中一样。
12. VRRP—Virtual Router Redundancy Protocol
虚拟路由器冗余协议。是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。
13. 电力调度数据网
它是指各级电力调度专用广域数据网络、电力生产专用拨号网络等,主要负责生产、控制大区的各类电力二次系统数据业务。
14. 网络拓扑
它是指数据通信网络中各个节点相互连接的方式,主要有总线型、星型、网状型以及环型等。
15. 核心路由器
它是指配置在调度数据网络拓扑中的核心层节点,用于数据交换、转发并汇接网络汇聚设备的路由器。
16. 汇聚路由器
它是指配置在调度数据网络拓扑中的汇聚层节点,用于数据交换、转发并汇接网络接入设备的路由器。
17. 接入路由器
它是指配置在调度数据网络拓扑中的接入层节点的路由器。
18. 接入交换机
它是指用于调度数据网业务接入的交换机设备。
19. 网络管理系统
它是指在数据网络中对网络及设备运行状态进行监视与管理的软件及硬件系统。
20. 全局BGP
全局边界网关路由协议。
21. EBGP—External Border Gateway Protocol
外部边界网关路由协议。用于在不同的自治系统间交换路由信息。
22. IBGP—Internal Border Gateway Protocol
内部边界网关路由协议。仅用于多归属场合。
23. RD—Route Distinguisher
路由标识。是VPN路由表的标识,用于不同VPN路由表的区分。
24. RT—Route Target
路由标签。是VPN路由条目的标签,用于VPN路由控制。
25. RR—Route Reflector
路由反射器。提供了在大型IBGP中实现IBGP全网状连接问题的一个简单解决方案。
26. RT-VPN
电力调度数据网实时VPN。
27. NRT-VPN
电力调度数据网非实时VPN。
28. MED—Multi-Exit Discriminator
BGP多出口区分属性。它可以在多归路的情况下为一个外部路由定义权重,值小者优先。
29. MPLS VPN
用于承载实时区与非实时区的业务。
30. OSPF路由协议
主要用于全局互联以及网络管理,并用于BGP邻居建立。
31. BGP路由协议
主要用于承载和传输MPLS VPN。
32. 静态路由协议
主要用于与调度端互联。
33. POS—Packet over SDH
它是一种利用SDH提供的高速传输通道直接传送IP数据包的技术。
34. QOS—Quality of Service
服务质量。反映了其数据传输以及对业务提供服务的质量。
35. VPN—Vitual Private Network
虚拟专用网络。是指一种在同一物理网络介质上为不同业务分别提供相互逻辑隔离的多个虚拟专用数据网络的技术。
36. RSTP—Rapid Spanning Tree Protocol
快速生成树协议。可以在网络发生变化时,更快地收敛网络。
37. VLSM—Variable Length Subnet Masking
可变长子网掩码。为了解决在一个网络系统中使用多种层次的子网化IP地址的问题而发展起来的掩码。
38. ABR—Area Border Router
区域边界路由器。是位于一个或多个OSPF区域的一个路由器。
39. PPTP—Point to Point Tunneling Protocol
点对点隧道协议。是一种支持多协议虚拟专用网络的网络技术。
40. VTT—Virtual Teletype Terminal
虚拟终端。是一种网络设备的连接方式。
41. BFD—Bidirectional Forwarding Detection
双向转发检测协议。是一种用于检测两个转发点之间故障的网络协议。2电力调度数据网应用要求及相关技术2.1电力调度数据网拓扑及组网2.1.1 拓扑2.1.1.1 网络拓扑结构对比分析
常用的网络拓扑结构有总线型、环型、星型和网状型四种,它们的特点如表2-1所示:表2-1 网络拓扑结构比较
1. 总线型拓扑结构图2-1 总线型拓扑结构图(1)总线型拓扑结构的优点:
①结构简单,可扩充性好,组网容易;
②多个节点共用一条传输信道,信道利用率高;
③传输速率较高。(2)总线型拓扑结构的缺点:
①故障诊断困难,发生故障时往往需要检测网络上的每个节点;
②故障隔离困难,故障一旦发生在公用总线上,可能影响整个网络的运行;
③网上计算机发送信息容易发生冲突,网络实时性不强。
2. 环型拓扑结构图2-2 环型拓扑结构图(1)环型拓扑结构的优点:
①网络结构简单;
②缆线长度比较短;
③网络整体效率比较高。(2)环型拓扑结构的缺点:
①故障的诊断和隔离较困难;
②环路是封闭的,不便于扩充;
③控制协议较复杂。
3. 星型拓扑结构图2-3 星型拓扑结构图(1)星型拓扑结构的优点:
①网络结构简单,组网容易,便于管理;
②故障诊断容易。(2)星型拓扑结构的缺点:
①网络需要智能的、可靠的中央节点设备。中央节点的故障会使整个网络瘫痪;
②中央节点负荷太重;
③每台计算机直接与中央节点相连,需要大量电缆;
④通信电缆是专用的,利用率不高。
4. 网状型拓扑结构图2-4 网状型拓扑结构图
网状型网络的每一个节点都与其他节点有一条专门线路相连。网状型拓扑结构广泛应用于广域网中。(1)网状型拓扑结构的优点:
①节点间路径多,碰撞和阻塞减少;
②局部故障不影响整个网络,可靠性高;
③网络扩充和主机入网比较灵活简单。(2)网状型拓扑结构的缺点:
①网络关系复杂,建网较难;
②网络控制机制复杂。2.1.1.2 网络拓扑结构的选用原则
选择网络拓扑结构时应主要考虑以下因素:(1)数据的流向。
业务由各个站点流向调度中心为主,各站点之间流通业务较少。(2)传输链路。
由于数据业务是构筑在电力专用网络传输链路上的,因此,传输链路应可靠且带宽充足,这也是网络拓扑结构设计的一个重点。(3)节点之间的地理位置。
设计网络拓扑结构时应考虑各节点之间的相互地理位置关系。(4)节点之间的业务隶属关系。
应考虑各节点之间的业务联系,由于网络采用链路状态协议,因此,有必要将相互间业务联系较多的节点设置在同一个子域内,以提高网络的效率。(5)网络的可靠性及冗余性。(6)网络的收敛时间。
电力调度数据网络对数据传输的要求高,所以网络的收敛时间要短。网络的收敛时间除了与采用的路由协议有关,还受网络拓扑结构的制约。此外网络的直径以及链路的多少都与收敛时间有关。2.1.1.3 拓扑规则(1)充分利用电力通信传输网络资源,网络连接采用半网状连接。(2)在条件许可的情况下尽可能采用P与PE设备分离的部署结构,保障骨干网络的可靠性,将网络路由的收敛振荡影响限定在网络的一定范围内。(3)为保证网络的可靠运行,省骨干网内各节点至省中调直达路由跳数不大于4跳,迂回跳数不大于6跳。地区网内各节点至地调、县(区)调直达路由跳数不大于5跳,迂回路由跳数不大于7跳。2.1.2 组网2.1.2.1 组网原则图2-5 网络架构示意图
核心层,作为网络的核心部分,负责集中处理网络路由信息更新,可靠而迅速地传输大量的数据流。
汇聚层,作为网络中核心层和接入层沟通的桥梁,上连核心层,下接接入层。
接入层,作为骨干网络中的末端节点,直接为业务单元提供丰富的业务接口。
组网原则主要包括以下几个方面:(1)电力调度数据网省骨干网和地区网链路技术采用IP over SDH体制。(2)全网采用MPLS技术组网,全网实现端到端的MPLS VPN。(3)骨干部分(汇聚层及核心层):路由器POS接口+SDH。(4)接入部分(接入层):路由器2M广域网接口+SDH。(5)与调度端(业务系统)互联:路由器GE或FE接口。2.1.2.2 组网技术介绍
基于技术先进性和成熟性的原则,考虑到电力调度数据网传输的信息均为IP数据包,因此电力调度数据网采用IP技术体制。
目前广域网骨干网建设选择的组网技术主要有三种:一种是釆用IP over OPTIC(裸光纤)方式进行组网;一种是通过SDH传输设备提供POS/CPOS接口进行组网;还有一种就是通过MSTP(多业务传输平台)提供以太网接口进行组网。
1. IP over OPTIC
采用裸光纤方式进行组网是在各个节点设备之间采用千兆或百兆光纤进行互联,而且由于各个节点之间的距离会超过路由器接口的最大传输距离,需要增加光功率放大器,导致投资过大;同时不能利用现有网络资源,容易造成资源浪费。另外,采用光纤组网没有传输层,光纤质量、性能监测和保护等功能无法实现,断光纤即断业务,虽然借助网络层协议能够实现快速切换,能够达到传输的50ms倒换。但是因为光纤资源独占,利用率大打折扣。
2. IP over SDH
IP over SDH,也称Packet over SDH(POS)。IP数据通过SDH网络传送,它的封装过程为:首先IP分组根据RFC 1662规范插入到PPP帧中的信息段,利用PPP协议对IP数据包进行封装,然后将封装后的IP数据包映射到SDH的同步净荷中,再经过SDH传输层和段层,加上相应的开销,把净荷装入一个SDH帧中,最后到达光层,在光纤中传输。
IP over SDH传输效率高,适合组建以IP业务为主要承载的数据网络。其原因主要在于它具备以下几个优点:(1)利用PPP协议将IP数据包映射到SDH帧结构上,不仅使IP网络体系结构更加简化,同时大大提高了数据传输效率。(2)由于是基于SDH传输平台的IP网络技术,因此即便节点之间距离较远,也可以在兼容不同技术和标准的基础上,简单地实现网络互联。(3)基于SDH传输平台,同时具备SDH技术的各项优点,进一步保障了网络的可靠性。SDH的主要优点在于其保护能力和50ms的倒换能力,且不受传送距离限制;缺点是投资大,维护管理相对复杂。
3. MSTP
MSTP是在传统SDH基础上发展出来的一种新技术,能够在SDH设施上支持数据业务的传送,通过以太网接口,实施二层交换和本地汇聚或数据透传。用户以多点到单点的汇聚方式接入网络,用户数据根据MAC地址完成用户侧不同以太网端口与网络侧不同虚容器间的包交换。此方式具有端口汇聚、带宽共享的优势,并且通过VLAN方式可以实现用户的逻辑隔离和速率限制。利用SDH环或RSTP实现二层保护和环上的带宽共享,节省了设备端口和网络资源。但由于二层交换具有竞争带宽的特性,用户实际带宽难以确保,安全性不高。
4. 组网技术比较分析(1)IP over OPTIC和IP over SDH两种方式的比较分析如表2-2所示:表2-2 IP over OPTIC和IP over SDH的对比分析
目前光纤资源相当稀缺,且通信传输网本身就是为各类业务应用系统提供通信通道,并已进行先期投资,因此电力调度数据网采用IP over SDH的组网方式较IP over OPTIC更适合。(2)IP over SDH与MSTP的比较。
①在通道扩容及配置灵活性方面,IP over SDH主要提供E1、POS、CPOS接口,其中POS、CPOS可以选择155M、622M以及2.5G的传输容量;而MSTP提供10/100/1 000M以太网接口。两种方式通道容量的选择都可以满足各类业务传送的需求,且配置都很灵活,但IP over SDH造价较高。
②在传输通道带宽利用率方面,两种方式的带宽均可用软件将其设置为n×2M或n×155M,利用率基本一致。
③在通道实时性方面,根据MSTP的基本功能模型可知,数据通过以太网接口直接接入需要经过以太网帧的切片、协议封装和速率映射,整体上比PDH(E1等)和STM-N(POS/CPOS)处理所需的时延更长。
④在电力调度数据网路由器QOS调节机制的发挥方面,当部分E1或155M POS/CPOS通道发生故障而导致网络过载或拥塞时,为确保电力调度数据网的部分重要业务不受延迟或丢弃,路由器会利用自身的路由策略而避免拥塞;而当路由器通过以太网接口与SDH互联时,路由器无法感知SDH传输层内部物理通道的带宽变化,在E1或155M POS/CPOS通道故障导致网络过载或拥塞时,此时路由器的QOS调节机制失效,路由器无法对QOS策略进行调整,进而出现各种问题,如调度业务传输的时延、报文重传和丢包等。
⑤在电力调度数据网通道故障及性能的监测方面,电力调度数据网和SDH传输网两侧的网管在E1或155M POS/CPOS通道发生故障时,均可监测到两种通道的链路状态。对于以太网接口,SDH已有完备的故障性能监测管理功能;而电力调度数据网则必须要在路由器上配置双向转发检测协议(BFD)等辅助手段来检测通道,以便通过毫秒级的链路故障发现来帮助网络迅速实现故障的恢复和保护网络。
综上所述,虽然带有二层交换和汇聚功能的MSTP系统可以明显减少节点的业务端口数,降低网络成本,减轻三层交换机或路由器的负担,组网灵活,适合于网络汇聚层和接入层使用,以及安全性要求较低的网络浏览和视频点播(VOD)等业务。而点到点的透传方式是直接将数据封装到虚容器中进行传送,结构简单,成本较低,且具备较好的用户带宽保证和安全隔离功能,适合有较高QOS要求的数据租线业务,但是其带宽利用率较低,网络硬件资源消耗较大,不支持端口汇聚等应用,灵活性不如IP over SDH。而且点到点透传方式需要手工配置每一个物理通道,耗时费力,因此电力调度数据网推荐采用IP over SDH的组网方式。2.2电力调度数据网路由协议及IP地址分配2.2.1 路由协议介绍
路由器能够支持不同网络之间的互联,将一个网络的数据包发送到另一个网络。路由是指导IP数据包发送的路径信息,而路由协议则是指导IP数据包发送过程中事先约定好的规则和标准。路由协议负责创建路由表和描述网络拓扑结构;路由协议与路由器协同工作,执行路由选择和数据包转发功能。路由协议分为静态路由协议和动态路由协议。根据路由算法,动态路由协议可分为距离向量路由协议(Distance Vector Routing Protocol)和链路状态路由协议(Link State Routing Protocol)。距离向量路由协议与链路状态路由协议基于不同的算法,在距离向量路由协议中,路由器将部分或全部的路由表传递给与其相邻的路由器;而在链路状态路由协议中,路由器将链路状态信息传递给同一区域内的所有路由器。根据路由器在自治系统中的位置,可将路由协议分为内部路由协议(Interior Gateway Protocol, IGP)和外部路由协议(External Gateway Protocol, EGP),如图2-6所示:图2-6 路由协议示意图2.2.1.1 开放式最短路径优先协议(OSPF)
OSPF是一种为IP网络开发的内部网关路由选择协议。OSPF由三个子协议组成:Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用,并完成指定路由器及备份指定路由器;交换协议完成“主”“从”路由器的指定并交换各自的路由数据库信息;扩散协议则完成各路由器中路由数据库的同步维护。
OSPF具有以下优点:(1)OSPF能够在自己的链路状态数据库内表示整个网络,这极大地减少了收敛时间,并且支持大型异构网络的互联,提供了在一个异构网络间通过同一种协议交换网络信息的途径,并且不容易出现错误的路由信息。(2)OSPF支持通往相同目的的多重路径。(3)OSPF使用路由标签区分不同的外部路由。(4)OSPF支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息,并且可以对不同的区域定义不同的验证方式,从而提高了网络的安全性。(5)OSPF支持费用相同的多条链路上的负载均衡。(6)OSPF是一个非族类路由协议,路由信息不受跳数的限制,减少了因分级路由带来的子网分离问题。(7)OSPF支持VLSM和非族类路由查表,有利于网络地址的有效管理。(8)OSPF使用AREA对网络进行分层,减少了协议对CPU处理时间和内存的需求。
OSPF计算路由过程如图2-7所示:图2-7 OSPF计算路由过程示意图2.2.1.2 静态路由协议
静态路由表在开始选择路由之前已由网络管理员建立,并且只能由网络管理员更改,所以只适于网络传输状态比较简单的环境。静态路由协议具有以下特点:(1)静态路由协议无须进行路由交换,因此节省网络的带宽、CPU的利用率和路由器的内存。(2)静态路由协议具有更高的安全性。在使用静态路由协议的网络中,所有要连到网络上的路由器都需在邻接路由器上设置其相应的路由。因此,在某种程度上提高了网络的安全性。(3)有的情况下必须使用静态路由协议,如DDR、使用NAT技术的网络环境。
此外,静态路由协议具有以下缺点:(1)管理者必须真正理解网络的拓扑结构并正确配置路由。(2)网络的扩展性能差。如果要在网络上增加一个网络,管理者必须在所有路由器上加一条路由。(3)配置烦琐,特别是当需要跨越几台路由器通信时,其路由配置更为复杂。2.2.1.3 边界网关协议(BGP/IBGP/EBGP)(1)BGP(边界网关协议)是一种外部的路由协议,可认为是一种高级的距离向量路由协议。
在BGP网络中,可以将一个网络分成多个自治系统。自治系统间使用EBGP广播路由,自治系统内使用IBGP在自己的网络内广播路由。Internet由多个互相连接的商业网络组成。每个企业网络或ISP必须定义一个自治系统号(ASN)。这些自治系统号由IANA (Internet Assigned Numbers Authority)分配。共有65 535个可用的自治系统号,其中65 512~65 535为私用保留。当共享路由信息时,这个号码也允许以层的方式进行维护。BGP使用可靠的会话管理,TCP中的179端口用于触发Update和Keepalive将信息发给它的邻居,以传播和更新BGP路由表。(2)BGP的主要特点如下:
①BGP是外部路由协议,用来在AS之间传递路由信息;
②是一种距离向量的路由协议;
③从设计上避免了环路的发生;
④为路由附带属性信息;
⑤传送协议:TCP中的179端口;
⑥支持CIDR;
⑦路由更新:只发送增量路由;
⑧丰富的路由过滤和路由策略。(3)BGP的两种对等体——IBGP和EBGP,如图2-8所示:图2-8 BGP的两种对等体——IBGP和EBGP(4)BGP的消息种类:
① OPEN:你好,跟我交个朋友吧!
② KEEPALIVE:我还活着呢,别不理我。
③ UPDATE:有新闻……
④ NOTIFICATION:我不跟你玩了!(5)一个BGP路由器对路由的处理过程,如图2-9所示:图2-9 BGP路由器对路由的处理过程(6)BGP典型组网图,如图2-10所示:图2-10 BGP典型组网图2.2.2 路由规划2.2.2.1 OSPF路由规划
1. OSPF选择
一个网络是否需要运行OSPF,可以从以下几个方面来考虑:(1)网络规模。
一个网络中如果路由器少于5台,可以考虑配置静态路由,而一个有10台左右路由器的网络运行RIP即可满足需求。如果有更多的路由器则应该运行OSPF。但是如果这个网络属于不同的自治系统则还需要同时运行BGP。(2)网络的拓扑结构。
网络的拓扑结构如果是树状或星型结构,可以考虑使用缺省路由+静态路由的方式。如果是网状并且任意两台路由器都有互通的需求,则应该使用OSPF。(3)对路由器自身的需求。
运行OSPF对路由器CPU的处理能力及内存的大小都有一定的需求,性能很低的路由器不推荐使用OSPF。一个OSPF网络是由各种路由器组成的,通常的做法是:在低端路由器上配置缺省路由到与之相连的上级路由器,在上级路由器上面配置静态路由指向低端路由器,并在OSPF中引入这些静态路由。
2. OSPF的基本规划(1)选择合适的私有地址段用于Router ID;(2)在每个OSPF路由器上建立环回接口并使用32位掩码的IP地址;(3)环回接口地址在OSPF网络中的发布应该根据实际情况而定;(4)一般情况下不要在OSPF网络中发布,以减少路由表项;(5)如果需要将环回接口地址作为管理使用,可以考虑发布;(6)为保证OSPF运行的稳定性,建议在进行网络规划时应该确定网络中各OSPF路由器Router ID的分配方案,并且在相应路由器上进行手工指定。
3. OSPF区域划分的基本方法(1)核心层与汇聚层划为Area 0,汇聚层设备为ABR,汇聚层与接入层划为非骨干区域。(2)非骨干区域可以按照组织结构、行政地区等因素进行划分,尽量将非骨干区域划分为完全NSSA区域(路由少,又能做重发布)。(3)每个区域能承载20~50台设备,但不是绝对的,主要与设备性能、链路稳定性密切相关;区域中设备越多,对设备性能和链路稳定性要求越高。2.2.2.2 BGP路由规划
1. 何时使用BGP(1)网络过于庞大,IGP难以胜任;(2)网络中的路由需要复杂的路由策略进行分流和过滤;(3)网络中需要部署MPLS VPN。
2. 何种设备使用BGP(1)BGP本身并不消耗设备资源,是路由本身消耗设备资源;(2)路由条目较多,且对等体较多时,对设备性能要求比较高;(3)规划得当,任何设备都可轻松运行BGP。
3. BGP Router ID的规划(1)建议使用设备的Loopback接口作为BGP的Router ID;(2)核心设备或主要的网络设备选用较小的Router ID。
4. AS Number的规划(1)如果不与Internet互联,建议使用私有AS号;(2)使用范围为65 400~65 535;(3)有多个AS时,可采用自然连续编号。
5. 对等体的规划(1)采用IBGP还是EBGP由网络规模和控制策略决定;(2)IBGP对等体采用Loopback接口建立对等体关系;(3)EBGP对等体采用互联接口建立对等体关系;(4)IGP保证建立对等体关系的接口地址可达。
6. BGP路由的发布(1)BGP本身没有严格的路由发现功能,它的路由发布依赖于本路由表中的IGP路由;(2)BGP路由的发布可采用静态注入路由表:network X.X.X.X mask 255.X.X.X;(3)BGP路由的发布采用动态引入其他路由协议的路由:import other igp protocol;(4)BGP路由的发布也可采用配置黑洞路由,静态或动态引入BGP路由表的方式。
7. ORIGIN属性规划(1)利用ORIGIN属性,可分析此路由的产生源:
①INCOMPLETE:动态注入;
②IGP:静态注入。(2)尽量使用静态方式注入,除非路由数目巨大,且无法聚合。
8. Next-hop属性规划(1)IBGP对等体发布路由时不会改变路由的下一跳;(2)EBGP对等体发布路由时,建议由本AS内的ASBR设置改变下一跳,尽量避免将ASBR之间的直连路由发布到本AS中的IGP中。
9. LOCAL_PREF及MED属性规划(1)本AS内的出AS流量可采用LOCAL_PREF属性进行控制;(2)从其他AS进入本AS的流量,可采用MED属性进行控制;(3)两者之间的功能需求实现一致,注意如果是单AS,只能使用LOCAL_PREF属性。MED属性只能用在AS之间,LOCAL_PREF属性用在AS内。
10. 大规模BGP部署(1)IBGP对等体过多,采用路由反射器或联盟方式,建议多使用路由反射器,并作分级反射;(2)BGP路由在注入时,尽量作聚合;(3)对性能较差的设备,在运行BGP时,尽量采用只发布本地路由,不接收或少接收对等体路由的方式;(4)当路由振荡比较频繁时,建议采用BGP路由惩罚;(5)多设置Community属性,便于对不同的路由进行分类控制。2.2.2.3 P-PE间路由设计
对于省骨干网和规模比较大的地区网(存在单独分离的骨干层),为保证网络的可靠性、提高网络路由收敛的时间,应将整个网络划分为两个功能区:
P设备(LSP):全部骨干层节点。
PE设备(LER):汇聚层和接入层设备。图2-11 P设备和PE设备的划分示意图
对于网络规模不大的地区电力调度数据网,全网实现端到端的MPLS VPN,可全部作为PE路由器。2.2.3 IP地址分配要求
即省骨干网和地区网IP地址统一规划分配。(1)IP地址分为网络管理地址及业务地址。网络管理地址包括设备管理地址和链路互联地址;业务地址分为实时VPN地址和非实时VPN地址两类,地址空间互不重叠。(2)为利于今后网络节点和业务终端规模的扩展,在地址分配时需预留充足的IP地址空间。(3)在分配设备互联地址时需考虑OSPF区域规划以便路由汇总。(4)在分配设备互联地址时需考虑调度管理关系以便于网管运维。2.3电力调度数据网网络性能
电力调度数据网网络性能的主要指标要求如下:(1)链路的带宽以2Mbit/s为基础,链路利用率一般不超过60%,当达到80%时应做链路扩容;(2)所有设备的CPU处理负荷不应超过30%;(3)网络关键节点设备应设置流量监控等功能;(4)在各级电力调度数据网内,任意站点至所属调度中心网络时延控制在100ms以内。2.4电力调度数据网网络安全可靠性2.4.1 电力调度业务对网络安全的要求
电力调度业务中,不同类型的数据应用对网络的安全可靠性有不同的要求,需要与其他数据隔离。基于以上原因,如果依照传统的组网方式,我们将需要建设两套或者多套物理隔离的网络才能满足电力系统数据传输的相关要求。这样不但需要花费大量的资金购买设备,还需要投入更多的人力进行网络维护,所以我们需要一种能够实现多网合一,能满足电力系统不同业务传输要求和电力系统安全防护相关规定的数据网络。当前VPN技术正在得到广泛的应用,通过在IP网络上构建VPN专网是一个实现安全分区、网络隔离的解决办法。2.4.1.1 VPN的分类
由于侧重点不同,VPN可以分为两类:
一类侧重于网络层的信息保护,提供各种加密安全机制以便灵活地支持认证、完整性、访问控制和密码服务,保证信息传送过程中的保密性和不可篡改性。这类协议包括IPSec、PPTP、SSL等;另一类VPN技术以MPLS技术为代表,主要考虑的问题是如何保证网络的服务质量(QOS),通过定义QOS协议来保证网络服务的水平,如时延、带宽等。
IPSec是由IETF的IPSec工作组定义的一种开放源代码框架。IPSec的工作组对数据源认证、数据完整性、重播保护、密钥管理以及数据机密性等主要的有关方面作了特定协议。IPSec通过激活系统所需要的安全协议,确定用于服务的算法及所要求的密钥来提供安全服务。由于这些服务在IP层提供,能被更高层次的协议所利用(如TCP、UDP、ICMP、BGP等),并且对于应用程序和终端用户来说是透明的,所以应用和终端用户不需要更改程序和进行安全方面的专门培训,同时对现有网络的改动也最小。MPLS是由IETF提出的新一代IP骨干网络交换标准协议,是一种集成式的IP over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务。MPLS VPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间的数据隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的QOS/COS问题。MPLS自身有提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。MPLS是目前除了ATM外唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于MPLS技术的MPLS VPN,在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外,MPLS VPN提供灵活的策略控制,可以满足不同用户的特殊要求,快速实现增值服务(VAS),在带宽价格比、性能价格比上,相比其他广域VPN也具有较大的优势。2.4.1.2 VPN的选择
IPSec VPN与MPLS VPN两者所面向的应用领域是不同的,当安全性是设计VPN网络时考虑的首要因素时,应当采用IPSec VPN,因为MPLS VPN不提供加密、认证等安全服务。IPSec VPN可以使分布在不同地方的专用网络在不可信任的公共网络上安全地通信,采用复杂的算法来加密传输的信息,保证数据不会被窃听。MPLS VPN主要是用于建设全网结构的数据专线,保证局域网互联的带宽与服务质量。但IPSec VPN难以扩展,通常是点到点的连接。MPLS VPN则由提供商配置,能够轻易地实现全网状的网络结构,并且MPLS VPN还允许网络管理者利用MPLS的特性(如QOS),因此在企业环境中的MPLS VPN比IPSec VPN更具有扩展性。MPLS VPN和IPSec VPN具有各自的优点,MPLS VPN扩展性好,能够提供更好的数据有效性;而IPSec VPN能够更好地保障数据机密性和完整性。
MPLS VPN从网络层次来区分,有第二层的MPLS VPN和第三层的MPLS VPN。对于第二层MPLS VPN来说,最重要的是在MPLS网络上建立简单的点到点的隧道,这样就能处理各种二层数据流。CE路由器将第二层VLAN信息映射到MPLS标签中,然后再利用服务提供商的标签交换网络中的路由。通过这种方式可以将企业用户的各个远端站点连接起来,就好像它们都在一个大型VLAN中。
RFC 2547定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。RFC 2547也被称为BGP/MPLS VPN,因为BGP被用来在提供商骨干网中发布VPN路由信息,而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。BGP/MPLS VPN能够利用公用骨干网络强大的传输能力,降低企业内部网络/互联网的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。灵活运用BGP/MPLS VPN在企业IP网络上构建VPN专网,可以实现安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活高效地结合在一起,提供高质量的服务。2.4.1.3 MPLS VPN技术简介
1. MPLS VPN的模型
在MPLS VPN的模型中包括三种设备,CE设备、PE设备和P设备。如图2-12所示:图2-12 MPLS VPN模型
Customer Edge(CE)客户边缘设备,一个CE设备驻留在客户网络中,拥有一个或多个网络接口直接与服务提供商相连。它可以是一个路由器、交换机或主机,通常是一个路由器。它既不能够感知VPN的存在,也不需要任何支持MPLS。当一个CE设备与它邻接的PE设备建立连接后,它发布它的VPN路由到PE设备并从PE设备上学习远端VPN路由。一个CE设备与PE设备之间使用BGP/IGP路由协议来交换路由信息。
MCE(Multi-VPN-Instance CE,多实例CE)通过多实例在CE设备上提供逻辑独立的路由实例和地址空间,使多个用户可以共享一个CE设备。MCE以较低的成本解决了局域网的业务隔离和安全问题,提供了新的、经济的、管理简化的解决方案。在局域网内的CE设备上运行VPN多实例,可以实现将一台物理路由器划分为多个虚拟的路由器,由一台路由器完成多个传统路由器的功能。从而解决局域网内部业务分离、保证业务安全性的问题。
Provider Edge(PE)服务提供商边缘路由器,一个PE路由器驻留在服务提供商网络中,并与一个或多个CE设备直接相连。在MPLS网络中,VPN的所有进程都发生在PE路由器,PE路由器也是MPLS网络中的标签边缘路由器(LER),它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息,当一个PE设备学习到CE设备的路由信息,它使用BGP来交换其他PE设备的VPN路由信息。一个PE设备只维护有直连路由的VPN网络信息,而不是所有的VPN路由信息。
Provider Router(P)服务提供商网络主干路由器,也就是MPLS网络中的LSR,它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护PE设备的路由信息,它并不需要知道任何关于VPN内部的路由信息。
MPLS实际上是一种分类转发的技术,它将具有相同转发处理方式(目的地相同、使用的转发路径相同、具有相同的服务等级等)的分组归为一类,这种类别就称为转发等价类。所有的数据包都是通过入口LSR进入MPLS网络,并通过出口LSR离开MPLS网络的。这种机制创建了LSP,它指的是对于特定的转发等价类,带标签的数据包到达出口LSR之前,必须经过的一组LSR。这种LSP是单向的,即返回特定转发等价类中的数据流时,将使用不同的LSP。
根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN两种。其中Layer3 MPLS VPN遵循RFC 2547bis标准,使用BGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。
2. VPN实例
在MPLS VPN中,不同的VPN实例确定了不同VPN的路由,一个PE路由器创建和维护直接相连的VPN实例。每个VPN实例包含VPN成员和相应的站点的路由规则。对于独立和安全的VPN数据,每一个VPN实例保持相对独立的路由表和一个单独的标签转发信息库(LFIB)。VPN实例信息包括:LFIB、IP路由表、绑定到VPN实例的端口和VPN实例的管理信息。VPN实例的管理信息包括Route Distinguisher(RD)、路由过滤策略、成员接口列表。
3. VPN-IPv4地址
每个VPN独立管理它自己使用的地址,这样的VPN地址叫做地址空间。传统BGP无法处理VPN的路由重叠的地址空间。例如,两个VPN使用同样的地址10.110.10.0/24,并各自发布一条去往此网段的路由,BGP将只会选择其中一条路由信息,丢弃另一条路由信息。MPLS VPN技术解决了这种问题,每个VPN在路由器中都有自己的路由表和转发表,因此属于该VPN的所有客户或站点都只能访问该表中的路由集。因此,MPLS VPN的所有PE路由器都包含大量单VPN路由表以及一个全局路由表,后者用于到达提供商网络中的其他路由器以及外部的全局性可达的目的地。PE路由器之间使用MP-BGP发布的VPN路由信息,并使用VPN-IPv4地址族来解决传统的BGP带来的问题。
一个VPN-IPv4地址共有12个字节。最前面是8个字节的RD,然后是4个字节的IPv4地址前缀。如图2-13所示:图2-13 VPN-IPv4地址结构
当PE路由器接收从普通CE设备发来的IPv4路由,它必须发布VPN路由到对端的PE路由器。这条唯一的VPN路由是通过添加一个RD到路由中来实现的。
一个服务提供商可以自主分配RD,但必须保证RD是独一无二的。这样,即使使用相同的IPv4地址空间,一个PE路由器仍然可以发布路由到不同的VPN。
4. VPN-Target属性
MPLS VPN使用的BGP扩展团体属性称为VPN-Target属性,或叫路由目标属性,用来控制VPN路由信息的发布。一个PE路由器的一个VPN实例支持两种类型的VPN路由目标属性。
第一种是导入目标属性Export Target Attribute,即一个本地PE路由器设置这种类型的VPN目标属性,在发布它们到别的PE路由器之前,从直连站点学习。
第二种是导出目标属性Import Target Attribute,即一个PE路由器检查别的PE路由器发布的导出目标属性,如果这个导出目标属性匹配VPN实例的导入目标属性,这个PE路由器就添加路由到VPN路由表中。
简单来说,VPN的目标属性定义了哪些站点可以接收VPN-IPv4路由,也就是说PE路由器可以接收该站点的路由。
5. MP-BGP
Multi-Protocol Extensions for BGP-4(MP-BGP,多协议扩展的BGP协议)组成PE路由器之间的路由信息。它向后兼容,并同时支持传统的IPv4地址族和其他地址族,如VPN-IPv4地址族。
使用MP-BGP可以保证一个VPN的私有路由信息仅在VPN内发布,实现MPLS VPN成员之间的通信。
6. MPLS VPN的报文转发
在一个单独的自治系统内的基本的MPLS VPN应用中,VPN包带着两层标签被转发。
第一层标签:外标签,用于在骨干网中的标签交换。外标签指出从本地PE路由器的LSP到远端PE路由器的LSP。基于第一层标签,VPN的数据包可以沿LSP的路径标签交换到远程PE路由器。
第二层标签:内标签,用于远端PE路由器到CE设备的数据包转发。内标签指出数据包应被发送到哪个站点,或更确切地说到哪个CE设备。PE路由器根据内标签发现包转发接口。
如果两个CE设备属于同一个VPN,并且连接在同一个PE路由器,它们每个只需要知道怎样到达远端CE设备,下面以图2-14为例来说明VPN的报文转发过程。图2-14 VPN报文转发过程(1)站点1发送一个IP数据包,目的地址为1.1.1.2。CE 1传输该包到PE 1。(2)PE 1根据传入接口和包的目标地址搜索VPN实例条目,一旦找到一个匹配项,PE 1使用内、外部标签标记该包并转发数据包。(3)MPLS使用外标签通过骨干网传输数据包到PE 2。外标签在包转发到倒数第二跳时去掉。(4)PE 2根据内标签和包的目标地址来搜索VPN实例的条目信息,确定出口地址,然后转发该包到CE 2的接口上。(5)CE 2通过IP转发、传输该包到目的地址。2.4.2 电力调度业务对网络可靠性的要求2.4.2.1 虚拟路由器冗余协议
虚拟路由器冗余协议(VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC 2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及在实际第一跳路由器使用失败的情形下仍能够及时维护路由器间的连通性。
VRRP是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,允许虚拟路由器的IP地址作为终端主机的默认第一跳路由器。
VRRP也是一种路由容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将通过缺省路由被发往外部路由器,从而实现了主机与外部网络的通信。当缺省路由器的端口关闭之后,内部主机将无法与外部通信,如果路由器设置了VRRP,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。2.4.2.2 双向转发检测
双向转发检测(Bidirectional Forwarding Detection,BFD)能够快速检测到与相邻设备间的通信故障,以便及时将流量切换至备份链路以加快网络收敛速度,从而保证业务继续进行,减小设备故障或链路故障对业务的影响,提高网络的可用性。BFD报文分为控制报文(Control Packets)和回复报文(Echo Packets)。
现有的故障检测方法主要包括以下几种:
硬件检测:例如通过SDH(Synchronous Digital Hierarchy,同步数字体系)告警检测链路故障。硬件检测的优点是可以很快发现故障,但并不是所有介质都能提供硬件检测。
慢Hello机制:通常采用路由协议中的Hello报文机制,这种机制检测到故障所需时间为秒级。对于高速数据传输,例如吉比特速率级,超过1秒的检测时间将导致大量数据丢失;对于时延敏感的业务,例如语音业务,超过1秒的延迟也是不能接受的。并且,这种机制依赖于路由协议。
其他检测机制:不同的协议有时会提供专用的检测机制,但在系统间互联互通时,这样的专用检测机制通常难以部署。
BFD将帮助解决这些问题,提高故障检测与恢复速度。作为一项IETF草案标准,BFD提供一种检测链路或提高系统转发、传输流能力的简单方法。
BFD是从基础传输技术逐步发展而来的,因此它可以检测网络各层的故障。它可以用以太网、MPLS路径、普通路由封装以及IPSec隧道在内的多种类型的传输。
从本质上讲,BFD是一种高速的独立Hello协议(类似于那些在路由协议中使用的协议,如开放最短路径优先协议,或可以与链路、接口、隧道、路由或其他网络转发部件建立联系的中间系统到中间系统协议)。
BFD能够与相邻系统建立对等关系,然后,每个系统以协商的速率监测来自其他系统的BFD速率,监测速率能够以毫秒级增量设定。当对等系统没有接到预先设定数量的数据包时,它将推断BFD保护的软件或硬件基础设施发生故障,不管基础设施是标记交换路径、其他类型的隧道还是交换以太网络。BFD部署在路由器和其他系统的控制平面上。BFD检测到的网络故障可以由转发平面恢复或由控制平面恢复。2.4.3 电力调度数据网的安全防护
广域网网络层安全要求是保护网络不受攻击,确保网络服务的可用性。广域网链路层的安全问题通过物理隔离来解决。
局域网网络层安全要求机密信息不能被随意访问,因此局域网网络层安全问题主要通过防火墙技术和数据加密技术来解决。在电力调度数据网络中,各子网进行局域网上的各种应用,系统之间均应设置防火墙予以隔离。2.4.3.1 网络安全技术
1. 防火墙
防火墙的作用是通过对访问的相应协议数据包进行控制,过滤进出网络的数据包、管理进出网络的访问行为、封堵某些禁止的访问行为、记录通过防火墙的信息内容和活动、对网络攻击进行检测和告警等。
防火墙是电力调度信息数据的第一道防线。
2. 网络安全审计
电力行业中的网络管理与一般网络管理相比有其特殊性,例如其中的发电报价系统等电力市场信息系统要求做加密和隔离处理。电力系统信息安全的防护对网络设备、数据备份及容错、病毒防范比较重视,但对应用层的防护重视不够,主要的信息安全隐患有:①身份认证:“用户名+口令”的传统认证方式安全性较弱,用户口令易被窃取而导致损失;②信息机密性:在内、外部网络上传输的敏感信息和数据有可能在传输过程中被非法用户截取;③信息的完整性:敏感、机密信息和数据在传输过程中可能被恶意篡改;④信息的不可抵赖性:财务报表、采购清单、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录来作为仲裁的依据。
试读结束[说明:试读内容隐藏了图片]