VPN技術(shù)在電力系統(tǒng)中的應(yīng)用

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件 1、前言   隨著供電企業(yè)的信息化建設(shè)，企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)也基本上覆蓋到了辦公樓的角角落落。各種應(yīng)用系統(tǒng)也在方方面面得到了全面的應(yīng)用。但是唯有變電站由于地理位置的關(guān)系，網(wǎng)絡(luò)連接成為應(yīng)用系統(tǒng)的瓶頸。   2、現(xiàn)狀及問(wèn)題的提出   現(xiàn)狀寶雞供電局現(xiàn)有變電站50座，光纜連通且具備多余纜芯的變電站確不多，只有10座左右。這幾座變電站，可以通過(guò)光纜和局里的局域網(wǎng)連接。   但是隨著供電企業(yè)信息化建設(shè)的發(fā)展，邊遠(yuǎn)地區(qū)的變電站也需要接入信息網(wǎng)絡(luò)，電子工作票、操作票的傳輸，各種報(bào)表，通知等的應(yīng)用，迫切要求所有變電站接入企業(yè)局域網(wǎng)中。   在過(guò)去，對(duì)于這種問(wèn)題有一個(gè)現(xiàn)成的解決方案，通過(guò)電話撥號(hào)上網(wǎng)，在企業(yè)內(nèi)部建立一個(gè)MODEM池，可以使邊遠(yuǎn)變電站接入企業(yè)局域網(wǎng)，完成自己的應(yīng)用。但是這種應(yīng)用技術(shù)有明顯的缺點(diǎn)。   第一、費(fèi)用難以控制。電力企業(yè)內(nèi)部的載波電話在大部分情況下是難以用來(lái)?yè)芴?hào)上的。在實(shí)踐過(guò)程中，載波傳遞輸數(shù)據(jù)型號(hào)總是有很多問(wèn)題。在實(shí)際工作不能使用。微波基本可以使用，但是大部分情況下，效果不好。所以只好選擇利用電信的公網(wǎng)電話進(jìn)行撥號(hào)上網(wǎng)。通過(guò)撥號(hào)上網(wǎng)工作，時(shí)間長(zhǎng)短不一，越長(zhǎng)費(fèi)用越高，難以衡量標(biāo)準(zhǔn)。   第二、撥號(hào)上網(wǎng)屬于窄帶上網(wǎng)，網(wǎng)速慢，對(duì)于工作效率影響較大。基層使用者意見(jiàn)極大。 第三、撥號(hào)上網(wǎng)難以控制員工瀏覽互聯(lián)網(wǎng)。在上班時(shí)間瀏覽互聯(lián)網(wǎng)或者玩網(wǎng)絡(luò)游戲，按照單位規(guī)定都是不允許的。   3.利用VPN技術(shù)實(shí)現(xiàn)變電站聯(lián)網(wǎng)   3．1VPN技術(shù)簡(jiǎn)介   隨著企業(yè)網(wǎng)應(yīng)用的不斷發(fā)展，企業(yè)網(wǎng)的范圍也不斷擴(kuò)大，從一個(gè)本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)跨城市甚至是跨國(guó)家的網(wǎng)絡(luò)。與此同時(shí)隨著互聯(lián)網(wǎng)絡(luò)的迅猛發(fā)展，Internet已經(jīng)遍布世界各地，從物理上講Internet把世界各地的資源相互連通。正因?yàn)閕nternet是對(duì)全世界開(kāi)放的，如果企業(yè)的信息要通過(guò)Internet進(jìn)行傳輸，在安全性上可能存在著很多問(wèn)題。但如果采用專用線路構(gòu)建企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)據(jù)專線。如何能夠利用現(xiàn)有的Internet來(lái)建立企業(yè)的安全的專有網(wǎng)絡(luò)呢？虛擬專用網(wǎng)（VPN：Virtual Private Network）技術(shù)就成為一個(gè)很好的解決方案。虛擬專用網(wǎng)（VPN）是指利用公共網(wǎng)絡(luò)來(lái)建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的"加密通道"在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的Internet，各地的機(jī)構(gòu)就可以互相傳遞信息。   虛擬專用網(wǎng)絡(luò)是創(chuàng)建基于IP的VPN，一個(gè)為員工遠(yuǎn)程訪問(wèn)公司網(wǎng)絡(luò)的途徑。該解決方案包括站點(diǎn)間加密隧道傳輸；從交換機(jī)到桌面的IP Sec加密；集成配置和管理軟件；支持交換機(jī)管理和IP Sec客戶機(jī)的簡(jiǎn)化接口；集成的授權(quán)、鑒權(quán)和記帳（AAA）服務(wù)器，以及靈活可擴(kuò)展的VPN部署組件。高性能VPN平臺(tái)使用戶能夠通過(guò)安全虛擬專用網(wǎng)絡(luò)隨時(shí)隨地訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。VPN網(wǎng)關(guān)產(chǎn)品在一個(gè)平臺(tái)上集成了所有必要的VPN技術(shù)，提供路由、防火墻、帶寬管理、加密、鑒權(quán)和數(shù)據(jù)完整性，從而確保了通過(guò)互聯(lián)網(wǎng)進(jìn)行安全隧道傳輸。   使用VPN技術(shù)具有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，將會(huì)成為今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。   3.2設(shè)計(jì)原則   在方案剛剛提出的時(shí)候，我們經(jīng)過(guò)研討，確定了如下的基本原則：   （1）、客戶端設(shè)備必須支持動(dòng)態(tài)IP；因?yàn)?，電信如果提供靜態(tài)IP，則要收取租賃費(fèi)，而且，不是所有變電站所在地電信都可以提供靜態(tài)IP。   （2）、客戶端最好為硬件，而且在PC機(jī)上不要安裝客戶端軟件。這樣可以保證網(wǎng)絡(luò)傳遞的高效性;其次可以減少微機(jī)的維護(hù)工作量。   （3）、客戶端的VPN路由應(yīng)支持內(nèi)部PPP撥號(hào)。支持內(nèi)部PPP撥號(hào)，可以隱藏ADSL上網(wǎng)密碼，達(dá)到控制變電站值班員上互聯(lián)網(wǎng)的目的。如果不具有這一項(xiàng)功能，變電站值班員完全可以繞過(guò)VPN設(shè)備，直接接入到ADSL適配器上，在工作時(shí)間接入互聯(lián)網(wǎng)。   （4）、VPN設(shè)備的SERVER端，應(yīng)同時(shí)支持第二層隧道協(xié)議和第三層隧道協(xié)議，支持ADLS/LAN/Modem/WLAN/GPRS /CDMA 1X等任何Internet接入方式均可支持，可以穿透NAT和防火墻。支持最流行的協(xié)議L2TP和IPSec。支持動(dòng)態(tài)IP、寬帶內(nèi)部IP地址。對(duì)于任一種操作系統(tǒng)Windows 98 ，Windows 2000，Windows XP都可以方便設(shè)置，快速接入局域網(wǎng)。   3.3設(shè)備選型   依據(jù)我們的基本要求，VPN設(shè)備客戶端應(yīng)至少具有兩個(gè)以太口，對(duì)于小型變電站，電腦比較少的情況下，不需要添加別的設(shè)備就可以滿足連接兩臺(tái)電腦的需求。其次，VPN設(shè)備的SERVER端，應(yīng)具有超過(guò)100路并發(fā)處理能力。支持軟件路由和硬件路由的接入。在一個(gè)平臺(tái)上應(yīng)集成了所有必要的VPN技術(shù)，提供路由、防火墻、帶寬管理、加密、鑒權(quán)和數(shù)據(jù)完整性。支持動(dòng)態(tài)VPN的接入。集成的授權(quán)、鑒權(quán)和記帳（AAA）服務(wù)器，以及靈活可擴(kuò)展的VPN部署組件。高性能VPN平臺(tái)使用戶能夠安全通過(guò)虛擬專用網(wǎng)絡(luò)隨時(shí)隨地訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。從而確保了企業(yè)數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)進(jìn)行安全的傳輸。   為了滿足寶雞供電局變電站聯(lián)網(wǎng)的工作實(shí)際要求。即滿足3.2中的四點(diǎn)要求。我們對(duì)三種設(shè)備進(jìn)行了對(duì)比。甲設(shè)備可以做到客戶端支持動(dòng)態(tài)地址的，但是客戶端不僅需要VPN路由，而且需要安裝客戶端軟件。這樣就對(duì)網(wǎng)絡(luò)部署，以后的維護(hù)工作量帶來(lái)極大的更多的麻煩。從技術(shù)角度對(duì)它進(jìn)行了否決。乙設(shè)備可以滿足一、二條，但是對(duì)于第三條支持內(nèi)部PPP撥號(hào)做不到。這一條對(duì)于技術(shù)人員無(wú)所謂，但是從管理制度上講，不能杜絕值班員上互聯(lián)網(wǎng)的可能性，因而從管理角度上，被管理者否決。丙設(shè)備，即我們最終選型的港灣NetHammerM582/242 VPN網(wǎng)關(guān)，它可以滿足以上四項(xiàng)基本原則。尤其是第四條，既可以滿足變電站聯(lián)網(wǎng)的需求，也可以移動(dòng)辦公的需要。VPN移動(dòng)客戶端運(yùn)行在移動(dòng)用戶的計(jì)算機(jī)上（如出差人員的便攜機(jī)、在家辦公的計(jì)算機(jī)等），僅提供VPN連接功能。支持任何一種Internet接入方式（如MODEM撥號(hào)，ISDN，ADSL、寬帶等），支持動(dòng)態(tài)IP、寬帶內(nèi)部IP地址，安裝VPN移動(dòng)客戶端的操作系統(tǒng)可以為Windows 98 ，Windows 2000，Windows XP中的任意一種。這是一種比較好的選擇。   3.4網(wǎng)絡(luò)選擇說(shuō)明   （1）公網(wǎng)采用電信最普及的adsl,它有比較明顯的優(yōu)點(diǎn)，網(wǎng)絡(luò)覆蓋范圍廣，最長(zhǎng)距離可以達(dá)到5公里，寶雞供電局大部分變電站都在它的覆蓋范圍之內(nèi)。有著其他傳輸方式難以比擬的廣泛適應(yīng)性。 （2）價(jià)格的低廉。Adsl普遍采用包月方式，市場(chǎng)報(bào)價(jià)1M帶寬每月50元。如果選擇其他專線，費(fèi)用都比較高，月租費(fèi)至少是ADSL的20倍以上。 （3）、每座變電站基本上都已經(jīng)安裝了電信的有線電話，再安裝adsl比較容易。   3.5路由設(shè)計(jì)

變電站VPN聯(lián)網(wǎng)路由表
序號(hào)	站名	loopback	eth0/0地址	核心tunnel地址	分支tunnel地址	pppoe用戶名	pppoe密碼
1	核心	10.0.1.1	61.149.124.132
2	太白變	10.0.0.1	11.0.0.1/24	172.16.0.254/30	172.16.0.253/30	bj4951202	***
3	眉縣變	10.0.2.1	11.0.1.1	172.16.1.254/30	172.16.1.253/30	bj5558224	***
4	降帳變	10.0.3.1	11.0.2.1/24	172.16.2.254/30	172.16.2.253/30	bj5335039	***
5	石頭坡	10.0.4.1	11.0.3.1/24	172.16.3.254/30	172.16.3.253/30	bj7515483	***
6	天合公司	10.0.5.1	11.0.4.1/24	172.16.4.254/30	172.16.4.253/30	bj6290368	***
7	縣功變	10.0.6.1	11.0.5.1./24	172.16.5.254/30.	172.16.5.253/30	bj3968633	***
8	賈村變	10.0.7.1	11.0.6.1/24	172.16.6.254/30	172.16.6.253/30	bj6556485	***
9	千陽(yáng)變	10.0.8.1	11.0.7.1/24	172.16.7.254/30	172.16.7.253/30	bj560876	***
10	隴縣變	10.0.9.1	11.0.8.1/24	172.16.8.254/30	172.16.8.253/30	bj4601041	***
11	赤沙變	10.0.10.1	11.0.9.1./24	172.16.9.254/30	172.16.9.253/30	bj3960527	***
12	耀興公司	10.0.11.1	11.0.10.1/24	172.16.10.254/30	172.16.10.253/30	bj390687	***
13	黃牛變	10.0.12.1	11.0.11.1/24	172.16.11.254/30	172.16.11.253/30	bj4791059	***
14	橫渠變	10.0.13.1	11.0.12.1/24	172.16.12.254/30	172.16.12.253/30	bj4657090	***
15	齊鎮(zhèn)	10.0.14.1	11.0.13.1/24	172.16.13.254/30	172.16.13.253/30	bj5755398	***
16	營(yíng)頭變	10.0.15.1	11.0.14.1/24	172.16.14.254/30	172.16.14.253/30	bj5767335	***
17	鳳翔變	10.0.16.1	11.0.15.1/24	172.16.15.254/30	172.16.15.253/30	bj5790032	***
18	柳林變	10.0.17.1	11.0.16.1/24	172.16.16.254/30	172.16.16.253/30	bj7281960	***
19	岐山變	10.0.18.1	11.0.17.1/24	172.16.17.254/30	172.16.17.253/30	bj7421306	***
20	祝家莊	10.0.19.1	11.0.18.1/24	172.16.18.254/30	172.16.18.253/30	bj477590	***
…	…	…	…	…	…	…	…

上表顯示的只是部分變電站的路由設(shè)計(jì)數(shù)據(jù)。通過(guò)，逐個(gè)設(shè)備的設(shè)置，安裝、調(diào)試。歷時(shí)兩個(gè)星期，基本上完成了寶雞現(xiàn)有條件可以使用VPN技術(shù)聯(lián)網(wǎng)的變電站的連接。 VPN連接示意圖：   如圖可以看到，用戶電腦直接連接VP路由，在連接ADSL適配器，通過(guò)撥號(hào)連接到INTERNET上，我們單位通過(guò)防火墻連接到互聯(lián)網(wǎng)上，然后內(nèi)部再接入SERVER端VPN路由，通過(guò)交換機(jī)，可以訪問(wèn)內(nèi)部服務(wù)器。達(dá)到了我們聯(lián)網(wǎng)的目的。   4、系統(tǒng)實(shí)施后的效果   效果如何,需要數(shù)據(jù)來(lái)說(shuō)明問(wèn)題。我們選擇了三座變電站，進(jìn)行了網(wǎng)絡(luò)速度的測(cè)試。采用是最基本的下載速度測(cè)試。單位內(nèi)部架設(shè)了FTP服務(wù)器。通過(guò)三座變電站下載其上的300M大小的軟件包，來(lái)測(cè)試速度。然后又通過(guò)發(fā)PING包，依據(jù)丟包率判斷網(wǎng)絡(luò)線路狀況。具體情況如下：

變電站VPN網(wǎng)速測(cè)試表一
序號(hào)	站名	Loopback地址		eth0/0地址		eth0/1	下載速率
1	核心	10.0.1.1/32		61.149.124.132		192.1.1.161/24
2	太白變	10.0.0.1/32		11.0.0.1/24		Pppoe	123k/s
3	眉縣變	10.0.2.1/32		11.0.1.1/24		Pppoe	172k/s
4	降帳變	10.0.3.1/32		11.0.2.1/24		Pppoe	98k/s
變電站VPN網(wǎng)速測(cè)試表二
序號(hào)	站名	包大小	發(fā)包個(gè)數(shù)		反饋時(shí)間	丟包率
1	核心
2	太白變	1024K	100		24ms	0.00%
3	眉縣變	1024K	100		16ms	0.00%
4	降帳變	1024K	100		29ms	0.00%

通過(guò)以上表格可以看出，三座變電站基本上類(lèi)似局域網(wǎng)內(nèi)部工作站的連接速度?？梢赃_(dá)到應(yīng)用的要求。從訪問(wèn)速度和其他指標(biāo)上工作人員可以接受。因此，我們可以認(rèn)為ADSL+VPN這種聯(lián)網(wǎng)方式基本上解決了寶雞供電局大部分變電站的網(wǎng)絡(luò)互連互通問(wèn)題。達(dá)到了我們項(xiàng)目實(shí)施的預(yù)期目的。   5、通過(guò)VPN技術(shù)聯(lián)網(wǎng)變電站的優(yōu)點(diǎn)   通過(guò)VPN技術(shù)，寶雞供電局的所有變電站都接入局內(nèi)MIS網(wǎng)的好處主要有如下幾點(diǎn)：   （1）降低網(wǎng)絡(luò)通訊成本。一般情況，電信提供的ADSL通道使用費(fèi)用都是包月，每月固定費(fèi)用，與電話比較，費(fèi)用是固定的，而且可以長(zhǎng)時(shí)間保持網(wǎng)絡(luò)連接狀態(tài)。   （2）網(wǎng)絡(luò)速度可以滿足要求。ADSL連接屬于寬帶連接。從512K到8M，帶寬基本上可以滿足變電站日常工作的需要。 （3）切切實(shí)實(shí)的降低工作成本費(fèi)用?；緫?yīng)用之一，變電一種工作票可以通過(guò)網(wǎng)上許可。大大節(jié)省了經(jīng)費(fèi)。以段家變電站為例，小車(chē)通過(guò)高速公路到達(dá)變電站，一個(gè)來(lái)回，過(guò)路費(fèi)為60元，汽油花費(fèi)大約30元，司機(jī)和工作負(fù)責(zé)人差費(fèi)20元，耗時(shí)一天。全局一年變電一種工作票估算有400張。每次花費(fèi)平均100元，則400張共花費(fèi)4萬(wàn)元。如果通過(guò)網(wǎng)絡(luò)傳遞工作票，就可以節(jié)省4萬(wàn)元。最主要的是時(shí)間的解決，也意味著人工的節(jié)約，這是最大的節(jié)約。對(duì)于工作票來(lái)說(shuō)，這只是網(wǎng)絡(luò)上的一種應(yīng)用。其他的應(yīng)用，都是基于網(wǎng)絡(luò)的，只要網(wǎng)絡(luò)暢通，則通知，報(bào)表都可以通過(guò)它傳輸。而且是多種形式和多種媒體的內(nèi)容。   （4）、管理上的高效和創(chuàng)新。對(duì)于變電站的管理可以像對(duì)待局內(nèi)的班組規(guī)范化管理一樣，全面規(guī)范化管理。過(guò)去網(wǎng)絡(luò)不同，局限于條件，做不到?，F(xiàn)在，想到就能做到。網(wǎng)絡(luò)的聯(lián)通，拉近了邊遠(yuǎn)班站和局內(nèi)的距離，新聞、通知、公告都可以第一時(shí)間傳遞到最基層?；鶎拥穆曇粢部梢宰羁斓膫鬟f到局里。盡管，實(shí)際的距離依然沒(méi)有變化，但是心理距離縮短了。   6．系統(tǒng)存在問(wèn)題及改進(jìn)措施   6.1項(xiàng)目實(shí)施完成以后,槐芽變電站丟包率比較高,已經(jīng)影響了正常的使用。對(duì)于這種情況,我們與電信一起分析和測(cè)試，認(rèn)為故障在電話線路上，經(jīng)過(guò)檢查，有一段線路為鐵絲。電信承諾，在隨后的線路改造中，優(yōu)先更換這一段電纜。   6.2湯峪變電站由于距離電信機(jī)房超過(guò)5公里,滿足不了adsl的距離要求，則這座變電站通過(guò)ADSL+VPN方式也不能聯(lián)網(wǎng)。光纖也沒(méi)有敷設(shè)到，只能考慮其他方式聯(lián)網(wǎng)了。(CCW)