本站小編為你精心準備了電力數據通信應用論文參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

一、技術分析

1.1BGP/MPLSVPN技術分析基于BGP與MPLS結合的第三層VPN在確保安全性的基礎上為解決骨干網絡的可擴展性問題提供了一種有效的技術手段。MPLS技術為IP骨干網提供了安全、高速的數據傳輸隧道以及流量工程控制的能力；而BGP則負責骨干網中的路由信息與控制信息的傳遞，通過BGP的擴展屬性實現VPN的地址與路由信息分離。

1.2路由設計技術分析路由設計是數據網建設中的核心問題，設計恰當與否直接影響到整個網絡的可靠性及效率。在建設骨干IP網中，選擇合適的路由協議非常重要，路由協議有域內路由和域間路由兩種基本類型。域間路由協議主要有邊界網關協議（BGP）和外部網關協議（EGP）等；域內路由協議主要有開放式最短路由優先協議（OSPF）、中間系統路由選擇協議（IS-IS）和路由信息協議（RIP）/RIP2等。作為一個大型電力城域網的內部路由協議可供選擇的實際上有：靜態路由、RIP、EIGRP、OSPF和IS-IS。(1)由于EIGRP是Cisco專有協議，而不是標準、開放協議，考慮到系統的開放性與互連性，不建議選擇EIGRP。(2)RIP是較老的路由協議，加上它收斂慢，受Hop跳數限制，所以也不建議選擇。(3)IS-IS路由協議多用于ISP，企業用戶不熟悉，不建議選擇。(4)從MPLS草案及現實運行來看，如果要運行MPLS網絡，OSPF和IS-IS經常被選用做內部IGP，但是根據綜合業務數據網的規模和層次化結構，建議選擇OSPF+MPBGP作為主要的路由協議，其中OSPF路由協議作為骨干數據網連接路由協議，MPBGP用于MPLSVPN的實現。(5)靜態路由協議的優點是配置簡單，效率高，缺點是不靈活。我們可以在局部情況下，例如MPLSPE和CE的連接中部分選擇靜態路由協議。

1.3QoS技術分析QoS指網絡提供服務的能力，包括專用帶寬、抖動控制和延遲（用于實時和交互式流量情形）、丟包率的改進以及不同WAN、LAN和MAN技術下的指定網絡流量等，同時確保為每種流量提供的優先權不會阻礙其他流量的進程。QoS是網絡與用戶之間以及網絡上互相通信的用戶之間關于信息傳輸與共享的質的約定，例如，傳輸延遲允許時間、最小傳輸畫面失真度以及聲像同步等，是用來解決網絡延遲和阻塞等問題的一種技術。現在的路由器一般均支持QoS，當網絡過載或擁塞時，QoS能確保重要業務量不受延遲或丟棄，同時保證網絡的高效運行。

1.4IPv6技術分析IPv6被稱作下一代互聯網協議，它是由IETF設計的用來替代現行的IPv4的一種新IP。現在互聯網大多數應用的是IPv4，但IPv4面臨著地址匱乏等一系列問題。在IPv6的設計過程中除解決了地址短缺問題以外，還考慮了在IPv4中解決不好的其他一些問題，主要有端到端IP連接、QoS、安全性、多播、移動性、即插即用等。

二、安全體系建設內容

2.1MPLSVPN協議安全性遼寧電力綜合數據通信網承載了數10個重要業務，業務之間的安全和隔離成為首要安全設計目標，正是因為如此，遼寧電力綜合數據通信網使用MPLSVPN技術對網絡進行整合。MPLSVPN提供的業務之間的隔離性是邏輯性的，但是要想從一個業務VPN非法訪問另一個業務VPN基本不可能。在MPLSVPN中，業務隔離性是來自于每個業務VPN實例都有一個獨立的邏輯控制平面，這表明一個業務VPN實例并不能學習到另一個業務VPN的路由表。這樣的隔離性不僅可以確保VPN之間的獨立性，還可以確保任何一個業務VPN都不能訪問骨干網的全局路由空間（IGP），確保骨干網的安全。因此MPLSVPN在協議上即具備極高的安全性和可靠性。使用MPLSVPN技術對遼寧電力綜合數據通信網進行整合可確保遼寧電力各項重要業務的隔離性和安全性。

2.2數據鏈路層安全綜合數據通信網的本地接入層和邊緣接入層連接的網點、廠商網絡眾多，接口數量巨大，是進行安全防御的重點區域，而在本地接入層和邊緣接入層網絡中，數據鏈路層較容易出現安全問題。為了防范問題，遼寧電力綜合數據通信網部署了如下安全措施：對于所有的中繼端口使用專門的VLANID；避免使用VLAN1；將所有的業務接口設置為非中繼；為業務接口部署端口安全；部署ARP安全選項；啟用STP攻擊防御（BPDU防護及根防護）；在不需要的地方禁用CDP；禁用所有未使用的端口，并將它們放入一個為使用的VLAN中；在需要的地方部署DHCP安全選項。

2.3IP地址安全遼寧電力綜合數據通信網在IP地址規劃充分考慮了安全控制，采取基于業務角色的子網劃分方法，并預留足夠的擴展空間。同時，也采用路由匯總的方法來提高路由效率以及管理效率。遼寧電力綜合數據通信網地址規劃使用RFC1918定義的私網地址，確保綜合數據通信網的地址空間獨立和安全。遼寧電力綜合數據通信網使用了MPLSVPN技術，在MPLSVPN中，VPN實例通過路由標識符RD（RouteDistinguisher）實現地址空間獨立，且MPLSVPN使用VPN-IPv4地址族，VPN-IPv4地址共有12個字節，包括8Byte的路由標識符RD（RouteDistinguisher）和4Byte的IPv4地址前綴，如圖1所示。增加了RD的IPv4地址稱為VPN-IPv4地址，這樣PE從CE接收到普通IPv4路由后，轉換為VPN-IPv4路由，進行私網路由在公網上的傳輸。RD確保了MPLSVPN中的地址空間獨立性和安全性。

2.4預防DoS安全遼寧電力綜合數據通信網完善工程在省網骨干層以及地市匯聚層均增加了防火墻板卡以及入侵檢測板卡，可以有效預防DoS攻擊。防火墻板卡可以攔截TCPSYN泛洪等欺騙類DoS攻擊，可以通過限制會話數量以及設置會話超時來預防DoS攻擊。當入侵檢測板卡發現DoS攻擊時，還可以進行記錄并與防火墻聯動對攻擊進行攔截。另外，在重要的業務網絡邊緣上進行限速措施，防止DoS攻擊對業務網絡或骨干網絡造成嚴重影響。同時，在遼寧電力綜合數據通信網部署NetFlow管理，可以及時發現異常流量以及蠕蟲、DoS攻擊等威脅。

2.5訪問控制安排和部署(1)MPLSVPN策略設計使用MPLSVPN技術，在同一物理拓撲的基礎上，MPLSVPN能夠按照需求實現多種業務的隔離，并且管理和控制VPN的業務只是在數據上作相應配置，物理設備和鏈路都不用作改動，這樣為各VPN業務的管理和維護提供了很大的方便，具有很好的業務擴展性。BGP/MPLSIPVPN使用32位的BGP擴展團體屬性－VPNTarget（也稱為RouteTarget/RT）來控制VPN路由信息的。通過嚴格的RT規則控制，上述業務網絡之間做到了完全隔離，確保各業務網絡的運行安全。遼寧電力綜合數據通信網通過MPLSVPN部署，實現物理上多網合一、邏輯上各網絡隔離，滿足多種靈活的業務需求。(2)面向MPLSVPN的防火墻及入侵檢測系統設計及部署地市業務匯聚層設備連接了地市各類業務網絡，是綜合數據通信網的重要安全邊界，也是MPLSVPN的重要PE設備，本次新增防火墻板卡及入侵檢測板卡主要部署在此設備上。在省網骨干層以及地市匯聚層均增加了防火墻板卡以及入侵檢測板卡，在PE的邊界進行邏輯部署，對PE上每個業務VPN的進出流量都可以執行訪問控制等防火墻功能，確保業務網絡以及綜合數據通信網骨干網的安全運行，部署方式如圖2所示。入侵檢測系統（IDSM-2）的邏輯部署位置在防火墻后側，靠近業務網絡CE。入侵監控模塊本身沒有物理端口，通過多個GE和背板總線連接，可以同時監控多個VLAN和VLANID，通過VLAN訪問控制列表VACL獲取功能來提供對數據流的訪問權限VACL。防火墻板卡（FWSM）與入侵檢測系統（IDSM-2）聯動部署。融合兩種技術發展趨勢的優點，在單一設備中提供業界領先的安全保護；IDSM-2和FWSM防火墻模塊之間可以非常容易地實現互動，IDSM-2在監測到網絡攻擊之后，可以直接控制FWSM防火墻模塊和CAT6K做出相應的安全防護動作，有效地防護網絡攻擊。

2.6網絡管理協議安全性在網絡管理協議安全性方面，本次工程采取了如下措施：通過全網安全加固，已全部禁用Telnet遠程訪問協議，并啟用SSHv2協議；Web管理協議已全部啟用HTTPs，禁用HTTP；網絡管理協議正在向SNMPv3遷移；禁用TFTP進行設備文件傳輸，從FTP向SFTP遷移；定期檢查設備的Syslog服務器配置來確保Syslog傳輸安全；只在網絡的關鍵點部署NetFlow，并避免長距離傳輸NetFlow數據，通過NetFlow的正確部署，遼寧電力綜合數據通信網可以及時發現異常流量以及蠕蟲、DoS攻擊等威脅。

2.7重點業務保障對于重點業務，例如視頻會議、調度電話、95598用電服務、行政電話網絡、電能質量在線監測等業務實現安全保護機制，網絡實時業務安全（監控）機制。對各專項業務采取有效的安全保障管理，確保業務網絡數據傳輸質量，減少因個體業務分支的因素影響全部數據信通運行的風險。

2.8實時業務服務質量保障對重點保障業務，由使用單位提出最低保障帶寬，通過QoS保障技術確保數據傳送的安全。為了保障實時業務的服務質量，主要采取如下措施：實時業務流量抓取及分析；基于MPLSVPNQoS的實時業務服務質量保障；實時業務的QoS持續優化。

三、項目創新點

在本次遼寧電力綜合數據通信網安全體系建設中進行了大量的技術創新，這些技術和管理方法上的創新形成了一個創新集合，為電力綜合數據通信網建設積累了大量的經驗和案例，本次完善工程中主要的技術創新點如下。(1)基于MPLSVPN的綜合數據網整合方案傳統的VPN構建使用永久虛電路（PVC）和隧道技術。隨著網絡連接范圍的不斷擴大，其可擴展性和管理問題日益突出。MPLS技術的出現使我們可以建設能夠支持多種業務級別并且能夠無限擴展的全互連IPVPN。(2)基于MPLSVPNQoS的實時業務服務質量保障MPLS實現了一種高效的流量工程機制。采用基于MPLSVPNQoS的實時業務服務質量保障解決方案能夠平衡網絡中的各種鏈接、路由器和交換機上的網絡匯集業務負載，使這些特定的單元不會被過分使用，也不會未被充分利用。這樣可以使網絡的運行更有效，并能提供更多可預測的業務。(3)面向MPLSVPN的防火墻及入侵檢測系統設計及部署，建立通道保障體系面向MPLSVPN的防火墻及入侵檢測系統在復雜網絡、多數據、多設備的情況下，通過該保障體系保障了實時業務、高保護業務的安全。(4)IPv6在綜合數據網中的應用遼寧電力公司是國網IPv6試點單位，率先在省公司和營口、渤海等地進行應用，在使用過程中驗證了IPv6的優越性。

四、工作展望

遼寧電力綜合數據通信網從建設至今一直在摸索中前進。遼寧電力綜合數據通信網在網站點已經超過3000個，各類設備如交換機、路由器、安全設備等在網數量十分巨大，各業務接入系統數量更是難以統計。如此巨大的復雜企業網其安全管理手段是否能夠跟上企業發展的步伐，直接決定其有效防范風險的能力。由于2013年度網絡應用需求爆發式的增長，這就對我們提出了更高要求，包括增加網管覆蓋率、提高網管性能；建設自動巡檢系統提高對設備狀態監控能力；建立一體化配置平臺；逐步實現從交換設備組網向路由設備組網的過渡。

作者：李威顧海林單位：國家電網遼寧省電力有限公司信息通信分公司