用電信息采集系統(tǒng)EPON建設(shè)方案

圖4 用電信息采集系統(tǒng)

4.3 分布式部署方式中二三層技術(shù)應(yīng)用比較

現(xiàn)有電力行業(yè)的傳輸資源和網(wǎng)絡(luò)基本覆蓋到110 kv變電站，各個(gè)基本的OLT需要與變電站中的傳輸設(shè)備或已有的數(shù)據(jù)網(wǎng)設(shè)備連接，從而實(shí)現(xiàn)各種信息數(shù)據(jù)的長(zhǎng)傳。在應(yīng)用EPON技術(shù)建設(shè)用電信息采集系統(tǒng)過程中，為避免三層設(shè)備全部集中于主站系統(tǒng)造成安全風(fēng)險(xiǎn)，大規(guī)模組網(wǎng)情況下需要EPON網(wǎng)絡(luò)承擔(dān)分3層功能，分析如下。

1)純2層網(wǎng)絡(luò)存在安全隱患。純2層網(wǎng)絡(luò)為1個(gè)大的廣播域系統(tǒng)抄表總站的網(wǎng)絡(luò)設(shè)備與每一個(gè)采集器都直接互通，存在廣播風(fēng)暴、ARP攻擊等各種安全隱患，對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生巨大影響，如消耗設(shè)備的CPU資源、搶占上行的鏈路帶寬導(dǎo)致正常業(yè)務(wù)異常。另外，ARP攻擊會(huì)造成CPU利用率直線上升，甚至造成CPU滿負(fù)荷工作，短時(shí)間內(nèi)無法響應(yīng)外界正常請(qǐng)求。EPON系統(tǒng)包含3層路由設(shè)備，3層設(shè)備可以天然隔離廣播風(fēng)暴和ARP攻擊，即使網(wǎng)絡(luò)中發(fā)生這些異常時(shí)，可以把異常產(chǎn)生的負(fù)面影響控制在其相應(yīng)的VLAN區(qū)域內(nèi)，避免對(duì)整網(wǎng)產(chǎn)生影響。

2)純2層網(wǎng)絡(luò)對(duì)系統(tǒng)抄表總站的設(shè)備壓力巨大，并且存在VLAN資源不夠的問題。純2層網(wǎng)絡(luò)為1個(gè)大的廣播域系統(tǒng)抄表總站的網(wǎng)絡(luò)設(shè)備與每個(gè)采集器都直接互通，因此每個(gè)采集器的數(shù)據(jù)報(bào)文都需要直接透?jìng)鞯较到y(tǒng)抄表總站的網(wǎng)絡(luò)設(shè)備上。據(jù)了解全國(guó)有260多萬個(gè)采集器，平均每省有近10萬個(gè)，這樣系統(tǒng)抄表總站的網(wǎng)絡(luò)設(shè)備需要終結(jié)10萬個(gè)采集器的VLAN數(shù)據(jù)報(bào)文，對(duì)總站網(wǎng)絡(luò)設(shè)備的要求很高。另外，VLAN ID的資源只有1～4 096，與10萬個(gè)采集器的需求相比遠(yuǎn)遠(yuǎn)無法滿足。雖然采用QinQ等多層封裝的技術(shù)可以解決問題，但這樣會(huì)造成巨大的整網(wǎng)配置工作量和管理復(fù)雜度，增加后期定位解決問題以及擴(kuò)容成本。

3)純2層網(wǎng)絡(luò)的QOS能力很差。采用純2層組網(wǎng)時(shí)從采集器、集中器、ONU、OLT直到抄表總站的網(wǎng)絡(luò)設(shè)備QOS保障能力很弱，在這種情況下無法對(duì)來自同一個(gè)采集器的多種業(yè)務(wù)進(jìn)行區(qū)分，無法實(shí)現(xiàn)端到端的QOS保證。雖然2層網(wǎng)絡(luò)中VLAN TAG中帶有802.1p優(yōu)先級(jí)的字段，但是多個(gè)采集器上的報(bào)文，經(jīng)過集中器、ONU、OLT的層層匯聚之后802.1p的幾個(gè)優(yōu)先級(jí)，根本無法再區(qū)分出各自的業(yè)務(wù)，實(shí)現(xiàn)端到端的精細(xì)化QOS管理。

4)純2層網(wǎng)絡(luò)實(shí)現(xiàn)廣域網(wǎng)接口部分技術(shù)復(fù)雜，不便維護(hù)。一般網(wǎng)絡(luò)構(gòu)架均通過3層路由設(shè)備上接SDH傳輸網(wǎng)絡(luò)，如果用電信息采集系統(tǒng)規(guī)模建設(shè)時(shí)，應(yīng)參考此模式，只有網(wǎng)絡(luò)規(guī)模較小時(shí)候可以考慮純2層設(shè)備上聯(lián)SDH網(wǎng)絡(luò)。當(dāng)純2層組網(wǎng)時(shí)，OLT以及總站設(shè)備E1/STM-1等廣域網(wǎng)鏈路必須使用“橋接”等陳舊且復(fù)雜的2層技術(shù)，一一配置VLAN和SDH通道的對(duì)應(yīng)關(guān)系，增加網(wǎng)絡(luò)配置工作量和維護(hù)的難度，增加設(shè)備的處理壓力。

從上分析，同時(shí)結(jié)合后續(xù)實(shí)際運(yùn)行維護(hù)角度考慮，在用戶用電信息采集系統(tǒng)考慮分布式3層架構(gòu)比較合適。

4.4 EPON系統(tǒng)的安全可靠性

用電信息采集系統(tǒng)是營(yíng)銷管理業(yè)務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)數(shù)據(jù)源的提供者，為了確保系統(tǒng)的安全性和可靠性，首先應(yīng)做到統(tǒng)一規(guī)劃，全面考慮;應(yīng)采用多種先進(jìn)技術(shù)，如環(huán)網(wǎng)保護(hù)技術(shù)、VPN業(yè)務(wù)隔離技術(shù)、虛擬交換網(wǎng)與EPON融合技術(shù)、防火墻技術(shù)、加密技術(shù)、網(wǎng)絡(luò)存儲(chǔ)與備份技術(shù)、網(wǎng)絡(luò)管理與用電采集器/集中器統(tǒng)一管理技術(shù)等，在系統(tǒng)的各個(gè)層面(操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等)加以防范;另外，在系統(tǒng)的日常運(yùn)行管理中，加強(qiáng)規(guī)范管理、嚴(yán)格安全管理制度。

用電信息采集系統(tǒng)劃分為網(wǎng)絡(luò)、邊界、主機(jī)、應(yīng)用4個(gè)層次進(jìn)行安全防護(hù)設(shè)計(jì)，以實(shí)現(xiàn)層層遞進(jìn)，縱深防御，EPON設(shè)備在滿足系統(tǒng)可靠性的基礎(chǔ)上應(yīng)滿足用電信息采集系統(tǒng)的網(wǎng)絡(luò)、邊界安全防護(hù)要求。用電信息采集系統(tǒng)應(yīng)首先考慮架構(gòu)安全性，采用IP千兆環(huán)網(wǎng)+EPON無源光網(wǎng)絡(luò)技術(shù)。EPON系統(tǒng)除基本的EPON協(xié)議外，還必須考慮骨干網(wǎng)絡(luò)的可靠性和健壯性，應(yīng)具有豐富的3層特性、2層特性、多種端口種類、高可靠性、高性能的特點(diǎn)。110 kV/35 kV配變核心主站和及10 kV配變子站組建千兆IP主干環(huán)網(wǎng)，通過快速環(huán)網(wǎng)保護(hù)協(xié)議實(shí)現(xiàn)主干環(huán)網(wǎng)高帶寬以及小于50 ms快速無縫切換的功能，全面提高主干環(huán)網(wǎng)效率及可靠性。整個(gè)網(wǎng)絡(luò)向上接入電力數(shù)據(jù)通信骨干網(wǎng)，向下接入本地集抄網(wǎng)，實(shí)現(xiàn)全省數(shù)據(jù)網(wǎng)與集抄網(wǎng)的無縫接入。如圖5所示。

圖5 OLT環(huán)網(wǎng)架構(gòu)

放置用電信息采集終端的公變開閉所、環(huán)網(wǎng)柜至配變子站的分支網(wǎng)采用無源光網(wǎng)絡(luò)EPON接入技術(shù)高效利用光纖資源，就近接入，OLT單設(shè)備通過雙主控備份、電源備份解決硬件單點(diǎn)故障隱患點(diǎn)。OLT通過快速環(huán)網(wǎng)保護(hù)技術(shù)組環(huán)實(shí)現(xiàn)鏈路和設(shè)備備份。安全可靠性得到極大提升。用電采集系統(tǒng)與其他外系統(tǒng)間的邊界網(wǎng)絡(luò)接口必須考慮安全防護(hù)。因此EPON系統(tǒng)架構(gòu)時(shí)候必須考慮以下幾點(diǎn)。

1)域間訪問控制：在不同的安全域之間對(duì)所交換的數(shù)據(jù)流進(jìn)行訪問控制，包括連接請(qǐng)求、通信流量、入侵檢測(cè)等。

2)遠(yuǎn)程接入安全防護(hù)：對(duì)于遠(yuǎn)程訪問，應(yīng)當(dāng)在信息邊界采用認(rèn)證加密等手段進(jìn)行相應(yīng)的安全防護(hù)。

3)對(duì)外服務(wù)安全：對(duì)通過邊界提供給外系統(tǒng)的數(shù)據(jù)，要有相應(yīng)的數(shù)據(jù)校驗(yàn)和審核機(jī)制，對(duì)數(shù)據(jù)的流出做好記錄。

EPON系統(tǒng)應(yīng)通過ACL訪問控制列表進(jìn)行數(shù)據(jù)訪問控制、內(nèi)置或通過其他防火墻設(shè)備進(jìn)行外部鏈接檢測(cè)、防病毒、對(duì)外部流量進(jìn)行入侵檢測(cè);對(duì)于遠(yuǎn)程接入和網(wǎng)管防護(hù)，EPON系統(tǒng)應(yīng)考慮SSH安全登錄技術(shù)、遠(yuǎn)程網(wǎng)管協(xié)議SNMP V3。實(shí)現(xiàn)不同用戶不同訪問、控制權(quán)限，并且保證遠(yuǎn)程登錄不會(huì)被竊聽、盜竊帳號(hào)、密碼。EPON系統(tǒng)應(yīng)考慮安全日志功能記錄異常信息，還應(yīng)考慮流量統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)流入流出數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控分析、及時(shí)對(duì)異常流量采取防護(hù)措施，建設(shè)一套網(wǎng)絡(luò)7×24 h安全保護(hù)機(jī)制。

5 結(jié)束語

用電信息采集系統(tǒng)的建設(shè)作為一個(gè)長(zhǎng)遠(yuǎn)的綜合系統(tǒng)工程，必須在網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全、后期維護(hù)、系統(tǒng)管理等多方面進(jìn)行考慮，因此EPON系統(tǒng)也必須滿足上述要求， EPON作為點(diǎn)對(duì)多點(diǎn)的光纖接入技術(shù)無疑是用電信息采集系統(tǒng)數(shù)據(jù)通信網(wǎng)絡(luò)的最佳方案。