惠州供電局綜合數(shù)據(jù)網(wǎng)統(tǒng)一VPN調(diào)整實(shí)施方案研究

摘要：為加強(qiáng)南方電網(wǎng)公司信息化業(yè)務(wù)通信保障工作，公司開展了“網(wǎng)絡(luò)VPN與業(yè)務(wù)QOS及安全管理專題研究”。根據(jù)研究結(jié)果，需要對全網(wǎng)各省、地區(qū)綜合數(shù)據(jù)網(wǎng)VPN進(jìn)行統(tǒng)一調(diào)整。文章按照網(wǎng)、省公司要求，規(guī)范惠州供電局地綜合數(shù)據(jù)網(wǎng)VPN配置，實(shí)現(xiàn)網(wǎng)省地綜合數(shù)據(jù)網(wǎng)VPN統(tǒng)一劃分，保障業(yè)務(wù)有效隔離。

關(guān)鍵詞：綜合數(shù)據(jù)網(wǎng)；統(tǒng)一VPN；方案調(diào)整；信息化業(yè)務(wù)；通信保障 文獻(xiàn)標(biāo)識碼：A

中圖分類號：TN915 文章編號：1009-2374（2016）08-0013-02 DOI：10.13535/j.cnki.11-4406/n.2016.08.007

1 綜合數(shù)據(jù)網(wǎng)現(xiàn)狀

綜合數(shù)據(jù)網(wǎng)是南方電網(wǎng)內(nèi)部承載企業(yè)管理信息類業(yè)務(wù)及互聯(lián)網(wǎng)類業(yè)務(wù)的廣域數(shù)據(jù)網(wǎng)絡(luò)，不直接接入各類業(yè)務(wù)；各級綜合數(shù)據(jù)網(wǎng)在公司總部、各分子公司總部、地區(qū)供電局本部等節(jié)點(diǎn)與局域網(wǎng)互聯(lián)，各類信息業(yè)務(wù)由不同的VPN通道承載，通過局域網(wǎng)進(jìn)入綜合數(shù)據(jù)網(wǎng)，最終實(shí)現(xiàn)互聯(lián)互通?；葜莨╇娋志C合數(shù)據(jù)網(wǎng)分為核心層、匯聚層與接入層，全網(wǎng)互聯(lián)帶寬為千兆光纖互聯(lián)，鏈路帶寬充裕度良好，已覆蓋地調(diào)、各縣區(qū)局、各電壓等級變電站、供電所、營業(yè)廳及其他辦公場所等，通過局本部兩臺思科6509核心交換機(jī)與省綜合數(shù)據(jù)網(wǎng)互聯(lián)，網(wǎng)絡(luò)結(jié)構(gòu)見圖1：

全網(wǎng)采用MPLS VPN技術(shù)組網(wǎng)，根據(jù)綜合業(yè)務(wù)的應(yīng)用需求，網(wǎng)絡(luò)上設(shè)置了常規(guī)VPN與私有VPN。

常規(guī)VPN與省公司安排一致，包括OA、財(cái)務(wù)、營銷、生產(chǎn)、網(wǎng)管、人力6個(gè)業(yè)務(wù)VPN及DMZ、Internet、IDC3個(gè)省網(wǎng)VPN，并通過Option-B跨域方式進(jìn)行省地互聯(lián)，其中OA、生產(chǎn)、IDC VPN采用full-mesh模式，地區(qū)網(wǎng)之間及省網(wǎng)間均互通；其余6個(gè)VPN采用hub-and-spoke模式，地區(qū)網(wǎng)之間不互通，僅與省網(wǎng)互通。

2 技術(shù)要求

2.1 VPN互聯(lián)

（1）網(wǎng)省、省地綜合數(shù)據(jù)網(wǎng)互聯(lián)采用Option A方式，采用其他方式無法適應(yīng)網(wǎng)省、省地互聯(lián)部署防火墻等安全設(shè)備對VPN業(yè)務(wù)的訪問控制；（2）網(wǎng)省、省地互聯(lián)防火墻應(yīng)采用透明方式部署；（3）網(wǎng)省、省地互聯(lián)路由應(yīng)采用匯總路由，不允許明細(xì)路由在網(wǎng)間傳播；（4）網(wǎng)省、省地互聯(lián)路由協(xié)議應(yīng)采用BGP協(xié)議（匯總路由在互聯(lián)設(shè)備采用靜態(tài)黑洞路由的方式產(chǎn)生，黑洞靜態(tài)路由禁止在網(wǎng)內(nèi)傳播）或靜態(tài)路由協(xié)議，可采用與鏈路檢測協(xié)議（BFD、NQA、IP SLA）聯(lián)動(dòng)。

說明：目前廣東電網(wǎng)公司綜合數(shù)據(jù)網(wǎng)省地VPN采用的互聯(lián)方式為Option B方式；為了避免省地VPN互聯(lián)方式調(diào)整對網(wǎng)絡(luò)和業(yè)務(wù)的影響，確保平穩(wěn)過渡，暫時(shí)不要求按照本規(guī)范性要求進(jìn)行調(diào)整，等日后省地之間部署防火墻設(shè)備的時(shí)候，再同時(shí)調(diào)整為Option A互聯(lián)方式。

2.2 VPN規(guī)范

所有VPN內(nèi)的路由控制均采用全網(wǎng)狀（FullMesh）組網(wǎng)模型，RT、RD應(yīng)遵循統(tǒng)一的命名規(guī)范：（1）綜合VPN（ZH-VPN）：輸出RT值，AS：8001；導(dǎo)入RT值，AS：8001；（2）語音視頻VPN（TX-VPN）：輸出RT值，AS：8002；導(dǎo)入RT值，AS：8002；（3）數(shù)據(jù)中心VPN（IDC-VPN）：輸出RT值，AS：8003；導(dǎo)入RT值，AS：8003；（4）容災(zāi)VPN（DR-VPN）：輸出RT值，AS：8004；導(dǎo)入RT值，AS：8004；（5）互聯(lián)網(wǎng)VPN（INT-VPN）：輸出RT值，AS：8005；導(dǎo)入RT值，AS：8005；（6）其他省地網(wǎng)VPN自主命名。

說明：為了避免VPN調(diào)整對網(wǎng)絡(luò)和業(yè)務(wù)的影響，確保平穩(wěn)過渡，在此次調(diào)整中涉及的VPN命名、RT、RD設(shè)置等規(guī)范性要求，適用于新建網(wǎng)絡(luò)和新建VPN，對于已有綜合VPN可以不做調(diào)整。

2.3 各類終端接入方式

（1）PC終端：綜合VPN；（2）IP電話：語音視頻VPN。IP電話與PC終端共用一個(gè)交換機(jī)端口的，根據(jù)IP電話功能配置選擇接入綜合VPN或語音視頻VPN；（3）視頻終端：語音視頻VPN；（4）95598等專用業(yè)務(wù)：視業(yè)務(wù)情況，如需要訪問互聯(lián)網(wǎng)或其他業(yè)務(wù)系統(tǒng)則接入綜合VPN，如僅語音業(yè)務(wù)且不與其他系統(tǒng)互訪則接入語音視頻VPN，如不與網(wǎng)公司或其他公司業(yè)務(wù)互通則接入省地專用VPN。

3 實(shí)施思路

3.1 VPN統(tǒng)一思路

根據(jù)省公司實(shí)施方案的要求，計(jì)劃將惠州供電局VPN劃分做以下調(diào)整：（1）綜合VPN（OA_VPN）：各類管理信息業(yè)務(wù)和生產(chǎn)管理業(yè)務(wù)系統(tǒng)，僅供綜合數(shù)據(jù)網(wǎng)客戶終端訪問各個(gè)IDC服務(wù)器（OA、營銷管理系統(tǒng)、綜合管理系統(tǒng)、資產(chǎn)管理系統(tǒng)等），將原劃分的生產(chǎn)、財(cái)務(wù)、營銷、人力、網(wǎng)管5個(gè)VPN合并到OA_VPN，并保留名稱不變；（2）數(shù)據(jù)中心VPN（IDC_VPN）：僅供IDC服務(wù)器之間互相訪問，與原劃分一致，不變動(dòng)；（3）語音視頻VPN（TX-VPN）：新增；（4）容災(zāi)VPN（DR-VPN）：對網(wǎng)絡(luò)時(shí)延無特殊要求，僅對帶寬有要求的業(yè)務(wù)，主要為容災(zāi)備份等大顆粒業(yè)務(wù)（可在晚上等空閑時(shí)間傳輸），新增；（5）互聯(lián)網(wǎng)VPN（INTERNET_VPN）：僅省網(wǎng)及地區(qū)網(wǎng)與省網(wǎng)互聯(lián)的PE路由設(shè)備存在，主要推薦業(yè)務(wù)為互聯(lián)網(wǎng)統(tǒng)一出口業(yè)務(wù)，與原劃分一致，不變動(dòng)；（6）DMZ_VPN：僅地區(qū)網(wǎng)與省網(wǎng)互聯(lián)的PE路由設(shè)備存在，主要推薦業(yè)務(wù)為DMZ業(yè)務(wù)，與原劃分一致，不變動(dòng)。

3.2 VPN調(diào)整思路

（1）調(diào)整過程中會中斷辦公業(yè)務(wù)，同時(shí)省公司需同步進(jìn)行調(diào)整，因此實(shí)施前需向省公司申請?jiān)S可；（2）VPN調(diào)整需信息中心IDC配置作相應(yīng)調(diào)整，因此需與信息中心做好溝通協(xié)調(diào)；（3）VPN調(diào)整實(shí)施按逐個(gè)VPN逐個(gè)地點(diǎn)進(jìn)行調(diào)整，先調(diào)整調(diào)度大樓生產(chǎn)、財(cái)務(wù)VPN，該兩個(gè)VPN調(diào)整完成后，再相繼調(diào)整人力、營銷、網(wǎng)管VPN；（4）調(diào)整過程中綜合數(shù)據(jù)網(wǎng)原有VPN配置保持不變（用于回退）。割接完成后運(yùn)行一段時(shí)間才能刪除不需要的VPN數(shù)據(jù)；（5）調(diào)整過程中原有VPN的所有IP地址保留不變，端口編號（如子接口編號、VLAN接口編號），盡量保留不變；（6）在省地綜合數(shù)據(jù)網(wǎng)省地互聯(lián)設(shè)備MP-BGP處做路由匯總及路由控制，手動(dòng)路由匯總后發(fā)給省網(wǎng)。

4 實(shí)施內(nèi)容

4.1 實(shí)施總體說明

在做每個(gè)實(shí)施工作的正式實(shí)施之前，先通過事先確認(rèn)的測試項(xiàng)目，對主要的網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進(jìn)行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都工作正常，并記錄下檢測情況。然后按照事先確認(rèn)的實(shí)施步驟，一步步地進(jìn)行實(shí)施。所有實(shí)施步驟實(shí)施完畢后，再重復(fù)一次正式實(shí)施之前所做的工作，通過事先確認(rèn)的測試項(xiàng)目，對主要的網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進(jìn)行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都工作正常。通過這種對比方式，從而確保整個(gè)系統(tǒng)的實(shí)施成功?；葜菥窒冗M(jìn)行VPN合并，同時(shí)由省公司在河源局、惠州局省骨干路由器也做適當(dāng)配置調(diào)整。分為如下兩個(gè)階段：

階段1：先進(jìn)行惠州局的VPN整合，把其他VPN的接口，都一次性修改為OA_VPN的接口，接口保留原有的IP地址；其他VPN的配置都保留，一來避免改動(dòng)過大，二來用于應(yīng)急回退；省骨干對應(yīng)的網(wǎng)絡(luò)設(shè)備（省地互聯(lián)路由器）和防火墻的配置要調(diào)整。

階段2：完成VPN調(diào)整網(wǎng)絡(luò)運(yùn)行一段時(shí)間后，待省公司同意再刪除其他VPN配置

4.2 實(shí)施內(nèi)容說明

4.2.1 核心交換機(jī)互聯(lián)調(diào)整（包括地區(qū)省地互聯(lián)的業(yè)務(wù)調(diào)整）：（1）省地互聯(lián)路由：OA_VPN增加本地區(qū)人力、財(cái)務(wù)、網(wǎng)管、營銷、生產(chǎn)VPN地址匯總路由，導(dǎo)入到BGP。去掉OA_VPN對應(yīng)in方向的路由控制；（2）地區(qū)INTERNET防火墻：增加人力、財(cái)務(wù)、網(wǎng)管、營銷、生產(chǎn)VPN地址段路由指向綜合VPN（OA_VPN），修改防火墻策略。

4.2.2 接入調(diào)整：（1）PE設(shè)備：修改人力、財(cái)務(wù)、網(wǎng)管、營銷、生產(chǎn)VPN的接口，改為forwarding OA_VPN，同時(shí)在BGP路由進(jìn)程的OA_VPN中，發(fā)布對應(yīng)的路由；（2）MCE設(shè)備：修改人力、財(cái)務(wù)、網(wǎng)管、營銷、生產(chǎn)VPN的接口，改為forwarding OA_VPN，同時(shí)在VRF OSPF中發(fā)布對應(yīng)的路由；（3）連接局域網(wǎng)防火墻的PE設(shè)備：在綜合VPN增加到人力、財(cái)務(wù)、網(wǎng)管、營銷、生產(chǎn)VPN地址段路由指向防火墻。

4.2.3 新增VPN：（1）在與IDC互聯(lián)PE設(shè)備增加容災(zāi)VPN（DR-VPN）的配置，根據(jù)需要在PE及MCE設(shè)備增加語音VPN（TX-VPN）的配置；（2）在省地互聯(lián)路由器（ASBR設(shè)備）增加路由過濾策略，路由匯總后的容災(zāi)VPN（DR-VPN）、語音VPN（TX-PN）路由發(fā)送省網(wǎng)。

4.2.4 VPN刪除：完成VPN調(diào)整網(wǎng)絡(luò)運(yùn)行一段時(shí)間后在地區(qū)綜合數(shù)據(jù)網(wǎng)刪除人力、財(cái)務(wù)、網(wǎng)管、營銷、生產(chǎn)VPN配置。

4.3 實(shí)施過程

（1）惠州局綜合數(shù)據(jù)網(wǎng)兩臺核心思科6509設(shè)備OA_VPN增加惠州局本地的FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的地址段的匯總路由，導(dǎo)入到BGP發(fā)送給省公司；（2）在惠州局internet防火墻上指向OA_VPN的下一跳的路由的目的地址，增加FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的所有業(yè)務(wù)地址段，修改防火墻對應(yīng)安全策略；（3）在惠州局IDC防火墻上指向OA_VPN的下一跳的路由的目的地址，增加FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的所有業(yè)務(wù)地址段，按不同的業(yè)務(wù)地址訪問服務(wù)器的要求修改對應(yīng)安全策略；（4）修改所有匯聚PE設(shè)備上FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的業(yè)務(wù)網(wǎng)關(guān)接口，修改為binding OA_VPN，同時(shí)在BGP address-family ipv4 vrf OA_VPN發(fā)布對應(yīng)的路由；（5）修改所有MCE設(shè)備上FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的業(yè)務(wù)網(wǎng)關(guān)接口，修改為forwording OA_VPN，同時(shí)在OA_VPN的進(jìn)程中發(fā)布對應(yīng)的業(yè)務(wù)路由；（6）按照業(yè)務(wù)種類新增VPN。

4.4 回退措施

在實(shí)施前，須對設(shè)備進(jìn)行數(shù)據(jù)備份，同時(shí)為了方便回退，所有配置數(shù)據(jù)不刪除?；赝瞬襟E如下：（1）按照回退流程，對故障原因進(jìn)行排查，確認(rèn)確實(shí)無法找出原因后開始進(jìn)行系統(tǒng)回退；（2）恢復(fù)IDC防火墻、INTERNET防火墻的設(shè)備配置；（3）恢復(fù)地市綜合數(shù)據(jù)網(wǎng)的設(shè)備配置；（4）確認(rèn)配置恢復(fù)后網(wǎng)絡(luò)通訊正常；（5）確認(rèn)配置恢復(fù)后業(yè)務(wù)系統(tǒng)工作正常；（6）回退完畢。

5 結(jié)語

綜合數(shù)據(jù)網(wǎng)統(tǒng)一VPN的實(shí)施，進(jìn)一步明確了VPN各種技術(shù)（如VPN技術(shù)選擇、VPN劃分、綜合數(shù)據(jù)網(wǎng)和局域網(wǎng)的VPN互聯(lián)互通、VPN設(shè)置方式與隔離技術(shù)、網(wǎng)絡(luò)安全管理等）的技術(shù)特性、理論模型以及與南方電網(wǎng)現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的結(jié)合及應(yīng)用等方面，進(jìn)一步提高了南方電網(wǎng)公司信息化技術(shù)應(yīng)用水平，為各類信息化業(yè)務(wù)提供了更安全、更可靠的承載平臺。

參考文獻(xiàn)

[1]南方電網(wǎng)公司綜合數(shù)據(jù)網(wǎng)互聯(lián)管理辦法[S].

[2]南方電網(wǎng)網(wǎng)絡(luò)VPN與業(yè)務(wù)Qos及安全管理專題研究報(bào)告[R].

作者簡介：葉學(xué)平（1985-），男，廣東博羅人，廣東電網(wǎng)有限責(zé)任公司惠州供電局電力調(diào)度控制中心工程師，研究方向：通信與信息技術(shù)。

（責(zé)任編輯：黃銀芳）