用電信息采集系統EPON建設方案

圖4 用電信息采集系統

4.3 分布式部署方式中二三層技術(shù)應用比較

現有電力行業(yè)的傳輸資源和網(wǎng)絡(luò )基本覆蓋到110 kv變電站，各個(gè)基本的OLT需要與變電站中的傳輸設備或已有的數據網(wǎng)設備連接，從而實(shí)現各種信息數據的長(cháng)傳。在應用EPON技術(shù)建設用電信息采集系統過(guò)程中，為避免三層設備全部集中于主站系統造成安全風(fēng)險，大規模組網(wǎng)情況下需要EPON網(wǎng)絡(luò )承擔分3層功能，分析如下。

1)純2層網(wǎng)絡(luò )存在安全隱患。純2層網(wǎng)絡(luò )為1個(gè)大的廣播域系統抄表總站的網(wǎng)絡(luò )設備與每一個(gè)采集器都直接互通，存在廣播風(fēng)暴、ARP攻擊等各種安全隱患，對整個(gè)網(wǎng)絡(luò )產(chǎn)生巨大影響，如消耗設備的CPU資源、搶占上行的鏈路帶寬導致正常業(yè)務(wù)異常。另外，ARP攻擊會(huì )造成CPU利用率直線(xiàn)上升，甚至造成CPU滿(mǎn)負荷工作，短時(shí)間內無(wú)法響應外界正常請求。EPON系統包含3層路由設備，3層設備可以天然隔離廣播風(fēng)暴和ARP攻擊，即使網(wǎng)絡(luò )中發(fā)生這些異常時(shí)，可以把異常產(chǎn)生的負面影響控制在其相應的VLAN區域內，避免對整網(wǎng)產(chǎn)生影響。

2)純2層網(wǎng)絡(luò )對系統抄表總站的設備壓力巨大，并且存在VLAN資源不夠的問(wèn)題。純2層網(wǎng)絡(luò )為1個(gè)大的廣播域系統抄表總站的網(wǎng)絡(luò )設備與每個(gè)采集器都直接互通，因此每個(gè)采集器的數據報文都需要直接透傳到系統抄表總站的網(wǎng)絡(luò )設備上。據了解全國有260多萬(wàn)個(gè)采集器，平均每省有近10萬(wàn)個(gè)，這樣系統抄表總站的網(wǎng)絡(luò )設備需要終結10萬(wàn)個(gè)采集器的VLAN數據報文，對總站網(wǎng)絡(luò )設備的要求很高。另外，VLAN ID的資源只有1～4 096，與10萬(wàn)個(gè)采集器的需求相比遠遠無(wú)法滿(mǎn)足。雖然采用QinQ等多層封裝的技術(shù)可以解決問(wèn)題，但這樣會(huì )造成巨大的整網(wǎng)配置工作量和管理復雜度，增加后期定位解決問(wèn)題以及擴容成本。

3)純2層網(wǎng)絡(luò )的QOS能力很差。采用純2層組網(wǎng)時(shí)從采集器、集中器、ONU、OLT直到抄表總站的網(wǎng)絡(luò )設備QOS保障能力很弱，在這種情況下無(wú)法對來(lái)自同一個(gè)采集器的多種業(yè)務(wù)進(jìn)行區分，無(wú)法實(shí)現端到端的QOS保證。雖然2層網(wǎng)絡(luò )中VLAN TAG中帶有802.1p優(yōu)先級的字段，但是多個(gè)采集器上的報文，經(jīng)過(guò)集中器、ONU、OLT的層層匯聚之后802.1p的幾個(gè)優(yōu)先級，根本無(wú)法再區分出各自的業(yè)務(wù)，實(shí)現端到端的精細化QOS管理。

4)純2層網(wǎng)絡(luò )實(shí)現廣域網(wǎng)接口部分技術(shù)復雜，不便維護。一般網(wǎng)絡(luò )構架均通過(guò)3層路由設備上接SDH傳輸網(wǎng)絡(luò )，如果用電信息采集系統規模建設時(shí)，應參考此模式，只有網(wǎng)絡(luò )規模較小時(shí)候可以考慮純2層設備上聯(lián)SDH網(wǎng)絡(luò )。當純2層組網(wǎng)時(shí)，OLT以及總站設備E1/STM-1等廣域網(wǎng)鏈路必須使用“橋接”等陳舊且復雜的2層技術(shù)，一一配置VLAN和SDH通道的對應關(guān)系，增加網(wǎng)絡(luò )配置工作量和維護的難度，增加設備的處理壓力。

從上分析，同時(shí)結合后續實(shí)際運行維護角度考慮，在用戶(hù)用電信息采集系統考慮分布式3層架構比較合適。

4.4 EPON系統的安全可靠性

用電信息采集系統是營(yíng)銷(xiāo)管理業(yè)務(wù)應用系統的基礎數據源的提供者，為了確保系統的安全性和可靠性，首先應做到統一規劃，全面考慮;應采用多種先進(jìn)技術(shù)，如環(huán)網(wǎng)保護技術(shù)、VPN業(yè)務(wù)隔離技術(shù)、虛擬交換網(wǎng)與EPON融合技術(shù)、防火墻技術(shù)、加密技術(shù)、網(wǎng)絡(luò )存儲與備份技術(shù)、網(wǎng)絡(luò )管理與用電采集器/集中器統一管理技術(shù)等，在系統的各個(gè)層面(操作系統、數據庫系統、應用系統、網(wǎng)絡(luò )系統等)加以防范;另外，在系統的日常運行管理中，加強規范管理、嚴格安全管理制度。

用電信息采集系統劃分為網(wǎng)絡(luò )、邊界、主機、應用4個(gè)層次進(jìn)行安全防護設計，以實(shí)現層層遞進(jìn)，縱深防御，EPON設備在滿(mǎn)足系統可靠性的基礎上應滿(mǎn)足用電信息采集系統的網(wǎng)絡(luò )、邊界安全防護要求。用電信息采集系統應首先考慮架構安全性，采用IP千兆環(huán)網(wǎng)+EPON無(wú)源光網(wǎng)絡(luò )技術(shù)。EPON系統除基本的EPON協(xié)議外，還必須考慮骨干網(wǎng)絡(luò )的可靠性和健壯性，應具有豐富的3層特性、2層特性、多種端口種類(lèi)、高可靠性、高性能的特點(diǎn)。110 kV/35 kV配變核心主站和及10 kV配變子站組建千兆IP主干環(huán)網(wǎng)，通過(guò)快速環(huán)網(wǎng)保護協(xié)議實(shí)現主干環(huán)網(wǎng)高帶寬以及小于50 ms快速無(wú)縫切換的功能，全面提高主干環(huán)網(wǎng)效率及可靠性。整個(gè)網(wǎng)絡(luò )向上接入電力數據通信骨干網(wǎng)，向下接入本地集抄網(wǎng)，實(shí)現全省數據網(wǎng)與集抄網(wǎng)的無(wú)縫接入。如圖5所示。

圖5 OLT環(huán)網(wǎng)架構

放置用電信息采集終端的公變開(kāi)閉所、環(huán)網(wǎng)柜至配變子站的分支網(wǎng)采用無(wú)源光網(wǎng)絡(luò )EPON接入技術(shù)高效利用光纖資源，就近接入，OLT單設備通過(guò)雙主控備份、電源備份解決硬件單點(diǎn)故障隱患點(diǎn)。OLT通過(guò)快速環(huán)網(wǎng)保護技術(shù)組環(huán)實(shí)現鏈路和設備備份。安全可靠性得到極大提升。用電采集系統與其他外系統間的邊界網(wǎng)絡(luò )接口必須考慮安全防護。因此EPON系統架構時(shí)候必須考慮以下幾點(diǎn)。

1)域間訪(fǎng)問(wèn)控制：在不同的安全域之間對所交換的數據流進(jìn)行訪(fǎng)問(wèn)控制，包括連接請求、通信流量、入侵檢測等。

2)遠程接入安全防護：對于遠程訪(fǎng)問(wèn)，應當在信息邊界采用認證加密等手段進(jìn)行相應的安全防護。

3)對外服務(wù)安全：對通過(guò)邊界提供給外系統的數據，要有相應的數據校驗和審核機制，對數據的流出做好記錄。

EPON系統應通過(guò)ACL訪(fǎng)問(wèn)控制列表進(jìn)行數據訪(fǎng)問(wèn)控制、內置或通過(guò)其他防火墻設備進(jìn)行外部鏈接檢測、防病毒、對外部流量進(jìn)行入侵檢測;對于遠程接入和網(wǎng)管防護，EPON系統應考慮SSH安全登錄技術(shù)、遠程網(wǎng)管協(xié)議SNMP V3。實(shí)現不同用戶(hù)不同訪(fǎng)問(wèn)、控制權限，并且保證遠程登錄不會(huì )被竊聽(tīng)、盜竊帳號、密碼。EPON系統應考慮安全日志功能記錄異常信息，還應考慮流量統計對網(wǎng)絡(luò )流入流出數據進(jìn)行實(shí)時(shí)監控分析、及時(shí)對異常流量采取防護措施，建設一套網(wǎng)絡(luò )7×24 h安全保護機制。

5 結束語(yǔ)

用電信息采集系統的建設作為一個(gè)長(cháng)遠的綜合系統工程，必須在網(wǎng)絡(luò )架構、網(wǎng)絡(luò )安全、后期維護、系統管理等多方面進(jìn)行考慮，因此EPON系統也必須滿(mǎn)足上述要求， EPON作為點(diǎn)對多點(diǎn)的光纖接入技術(shù)無(wú)疑是用電信息采集系統數據通信網(wǎng)絡(luò )的最佳方案。