论文部分内容阅读
【摘 要】随着电网建设的速度加快和规模的扩大,各类调度自动化系统相继建成,且地调以及县调各系统之间的业务交互应用也变得比较频繁。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。本文结合电力调度数据网结构特性的分析,对电力调度数据网网络建设中的技术体制、网络拓扑、路由策略、网络节点及IP规划等方面进行了分析阐述。
【关键词】电力调度;数据网;建设与应用
电力调度数据网是为电力调度和生产服务的专用数据网络,其安全、稳定、可靠的运行是整个电网安全生产的基础保障。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。”以及“电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。
1.电力调度数据网结构特性分析
电力调度数据网是通过VPN(虚拟专用网络)实现各级调度中心之间以及调度中心与相关发电厂、变电站之间的互联,在专用通道上利用IP路由交 换设备组网,实现在SDH或PDH层面上与系统内公用的电力信息包括SCADA/EMS调度自动化系统(综合自动化、远)、电能量计费系统(电能量采集装置)、继电保护管理信息系统、动态预警监测系统(功角测量装置)和安全自动装置信息等数据传输业务。从而满足电力生产、电力调度、继电保护等信息传输需 要,协调电力系统发、送、变、配、用电等组成部分的联合运转,保证电网安全、经济、稳定、可靠运行。电力调度数据网络架构范围主要包括以下几个层次。
1.1核心层
核心层是电力调度数据网的主干部分,由位于省调和地调的核心路由器组成,利用可靠的网络拓扑结构和高性能的网络设备实现网络报文的高速转发,并提供220kV变电站和统调发电厂的网络接入功能。
1.2骨干层
骨干层由位于地调和部分县调、监控中心(集控站)的路由器组成,负责汇接管辖范围内的所有接入层节点的信息。接入层:接入层主要承担各调度点 的业务接入及数据汇入骨干层的作用。电力调度数据网络承载的调度系统数据通信业务大致可分为以下几类:一是实时监控业务。包括EMS(能量管理系统)与 RTU(远程终端控制系统)或变电所自动化系统的实时数据及地/县级调度、县级市/县级调度EMS之间交换的实时数据。二是运行管理业务。如发电、用电及 联络线交换计划、联络线考核;调度票、操作票、检修票等;调度生产运行报表(日报、月报、季报);电能量计量计费信息;故障录波、保护和安全自动装置有关 管理数据。
2.电力调度数据网建设方案
2.1设计电力调度数据网技术体制
2.1.1虚拟局域网技术
虚拟局域网技术(VPN)是指网络中的站点不拘泥于所处的物理位置,可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。在网络中根据不 同业务需求划分了几个虚拟局域网(VLan):EMS、自动化、保护、方式、调度等。因为VLan间是不通的,所以在链路末端的交换机上可以划分属于不同 VLan的端口。在这些端口上公用一个该VLan的网关,并且分配一个子网,这样接在该VLan上的工作站只需与该网关进行通讯,该网关再为数据寻找路 由。这样,不同业务的工作站只需接到自己的VLan端口,再将自己的IP地址改为网段中的地址,再设上相应的网关和掩码即可,实现数据包的转发。
2.1.2多协议标签交换协议
多协议标签交换协议(MPLS)是核心路由器利用含有边缘路由器在IP分组内提供的前向信息的标签(label)或标记(tag)实现网络层 交换的一种交换方式。由于骨干网内全网部署MPLSVPN,为降低网络复杂度,需要在全网PE上运行MP-BGP。并可通过建立路由反射器(RR)来实现 MP-BGP的路由交换。MPLS的工作原理是通过路由表对相应的转发等价类(FEC)查询并分配,同时采用固定长度的标签对该FEC进行描述与编码,并 将此标签附加到IP报头的前面。相应的处于LSP中的标签交换路由器,利用报文携带的标签信息库(LIB)进行索引,确定相应的下一跳,在LSR出端口用 新的标签替换原有标签,实现携带新标签的报文便沿着LSP向目的地转发。
2.2设计网络拓扑结构方案
网络拓扑(Topology)结构是指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。电力调度数据网采用分层设计,内 部结构分为核心层、骨干层和接入层三层。三层设计便于组织网络路由,优化网络结构,简化厂站接入。网络拓扑结构设计原则应遵循以下几点。
2.2.1拓扑可靠性原则
网络的拓扑设计应遵循N-1的电路可靠性和N-1的节点可靠性原则。即要求每个节点至少有2条不相关的链路与其他节点相连,去掉拓扑中任何1 条链路,对节点的连通性无影响;N-1的节点可靠性是指去掉拓扑中任何1个节点,对其他节点的连通性无影响,如某个地调节点故障应不影响其他节点的连通。
2.2.2双出口原则
国调局域网、每个网调局域网都有两个出口。同时,为防止因外部原因(如停电)造成两出口同时失效,两个出口应位于不同的地理位置,两出口的外联电路中至少有两条没有相关性。
2.2.3流量优化与时延原则 根据网络的流量和流向,合理配置电路及其带宽。网络流量分布均匀,各电路带宽得到较充分的利用,不存在网络带宽瓶颈,并适度考虑“N-1”情况下的网络流量。
2.3设计路由策略
根据路由协议的分析可知,调度数据网首选路由协议为OSPF,而该协议支持两层结构,即主干域和子域,从而分散路由处理,减少网络带宽占用。使用OSPF协议必须考虑到骨干区域的连通性,即使某条链路断开后也可以保证主干区域不会分离。每个子域将省调节点或较为重要的地调节点设置为该域的边界路由器ABR。为保证网络的弹性,每个子域ABR均应考虑采用分布体系结构,以满足可靠性、冗余性要求。系统OSPF划分为8个区域,区域0:加入到区域 0中的接口是各地调上联省调路由器的接口,与其他地调路由器互联;区域1~7:区域1~7分别为各地调及下属变电站的相关接口。
2.4设计网络节点
由于核心层站点汇聚了整个地区调度数据网络的信息,所以对可靠性要求极高,宜采用路由器+交换机方式。远景规划在地调网络中心增加1台路由 器,2台路由器通过快速以太网相连,实现站点设备的备份。由于骨干层站点汇聚了各县级调度数据网络的信息,所以对可靠性要求较高,采用路由器+交换机方式。接入层站点采用路由器+交换机方式。
2.5设计IP规划方案
地址编码的基本原则是满足地址的唯一性。为使寻址更加有效,且保证地址的唯一性,网络地址编址编码及分配应与网络拓扑及地址管理体制相结合。可采用30位掩码的分配方式,每条链路(如为N×E1则视为1条链路)采用1个子网网段。核心、汇聚层节点间的连接共有9条链路,共需9个子网网段。接层 节点上联汇聚层节点的链路为90个变电站,其中82个110kVA变电站按单链路上联链路计算,则共需82个子网网段,8个330kVA变电站按双链路上 联链路计算,则共需16个子网网段。
2.6二次安防防病毒服务器系统
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪事故。省调防病毒服务器系统包括省调中心服务器,各地区局分中心服务器,县调服务器端和客户端,邮件服务器及网关服务器。各层服务器主要提供病毒代码的升级和分发,同时也作为防病毒中心的数据库服务器,接受各种病毒报告以及向上以及防病毒中心提出告警。而客户端不管使用何种操作系统,都必须有相应的防病毒软件进行安装防范。
具体实施办法:在整个调度自动化内联网系统中,制定并采用统一的防病毒服务策略,同时省调度中心和绍兴等各地调中心分别部署一台中心服务器,各自管理自己的网络。各地调中心服务器与省调中心服务器相联,病毒代码由省调中心分发更新,总中心的病毒代码更新采取离线方式;由省调专职人员定期到隔离区外去拷贝经过病毒查杀的防病毒更新码,各地调中心所辖的客户端则由地调中心分发防病毒更新代码。
根据二次防护总体框架,安全I区和II区内主站的每个业务系统都分配在不同的VPN内,安全I区和II区之间通过防火墙隔离,相同安全区内的各业务系统之间也要通过防火墙隔离;同时安全I区和II区,在纵向上分别形成2个不同的VPN通道,原则上互不通信。在安全隔离区内部署防病毒中心,由于各业务系统均十分重要,存在许多网段,且防病毒中心必须覆盖调度自动化系统内的所有业务主机,因此应将防病毒中心也看作是一个业务系统,安排独立的网段,并在纵向形成单独的VPN通道,通过路由重分布,将需要访问该VPN的网段路由发布进该VPN,实现网络互通。通过各防病毒中心服务器,对安全隔离区内各业务系统网段上的主机进行客户端防病毒软件的安装、升级、配置以及病毒代码的更新。
3.结束语
电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。”以及“电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。 本文结合电力调度数据网结构特性的分析,对电力调度数据网网络建设中的技术体制、网络拓扑、路由策略、网络节点及IP规划等方面进行了分析阐述。通过电力调度数据网的建设,从根本上改变了传统的点对点信息传送方式,为生产调度信息资源的充分开发和优化配置提供了基础,大大改善了信息传输通道的质量,提高了信息的准确性和信息的冗余度,为电力调度和电力生产数据业务提供高速、稳定的网络通道保障。 [科]
【参考文献】
[1]冯薇.唐山城市排水有限公司办公自动化系统解决方案[J].办公自动化,2013(18).
[2]徐昌彪.IP QoS体系结构综述[J].重庆邮电学院学报(自然科学版),2011(02).
【关键词】电力调度;数据网;建设与应用
电力调度数据网是为电力调度和生产服务的专用数据网络,其安全、稳定、可靠的运行是整个电网安全生产的基础保障。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。”以及“电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。
1.电力调度数据网结构特性分析
电力调度数据网是通过VPN(虚拟专用网络)实现各级调度中心之间以及调度中心与相关发电厂、变电站之间的互联,在专用通道上利用IP路由交 换设备组网,实现在SDH或PDH层面上与系统内公用的电力信息包括SCADA/EMS调度自动化系统(综合自动化、远)、电能量计费系统(电能量采集装置)、继电保护管理信息系统、动态预警监测系统(功角测量装置)和安全自动装置信息等数据传输业务。从而满足电力生产、电力调度、继电保护等信息传输需 要,协调电力系统发、送、变、配、用电等组成部分的联合运转,保证电网安全、经济、稳定、可靠运行。电力调度数据网络架构范围主要包括以下几个层次。
1.1核心层
核心层是电力调度数据网的主干部分,由位于省调和地调的核心路由器组成,利用可靠的网络拓扑结构和高性能的网络设备实现网络报文的高速转发,并提供220kV变电站和统调发电厂的网络接入功能。
1.2骨干层
骨干层由位于地调和部分县调、监控中心(集控站)的路由器组成,负责汇接管辖范围内的所有接入层节点的信息。接入层:接入层主要承担各调度点 的业务接入及数据汇入骨干层的作用。电力调度数据网络承载的调度系统数据通信业务大致可分为以下几类:一是实时监控业务。包括EMS(能量管理系统)与 RTU(远程终端控制系统)或变电所自动化系统的实时数据及地/县级调度、县级市/县级调度EMS之间交换的实时数据。二是运行管理业务。如发电、用电及 联络线交换计划、联络线考核;调度票、操作票、检修票等;调度生产运行报表(日报、月报、季报);电能量计量计费信息;故障录波、保护和安全自动装置有关 管理数据。
2.电力调度数据网建设方案
2.1设计电力调度数据网技术体制
2.1.1虚拟局域网技术
虚拟局域网技术(VPN)是指网络中的站点不拘泥于所处的物理位置,可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。在网络中根据不 同业务需求划分了几个虚拟局域网(VLan):EMS、自动化、保护、方式、调度等。因为VLan间是不通的,所以在链路末端的交换机上可以划分属于不同 VLan的端口。在这些端口上公用一个该VLan的网关,并且分配一个子网,这样接在该VLan上的工作站只需与该网关进行通讯,该网关再为数据寻找路 由。这样,不同业务的工作站只需接到自己的VLan端口,再将自己的IP地址改为网段中的地址,再设上相应的网关和掩码即可,实现数据包的转发。
2.1.2多协议标签交换协议
多协议标签交换协议(MPLS)是核心路由器利用含有边缘路由器在IP分组内提供的前向信息的标签(label)或标记(tag)实现网络层 交换的一种交换方式。由于骨干网内全网部署MPLSVPN,为降低网络复杂度,需要在全网PE上运行MP-BGP。并可通过建立路由反射器(RR)来实现 MP-BGP的路由交换。MPLS的工作原理是通过路由表对相应的转发等价类(FEC)查询并分配,同时采用固定长度的标签对该FEC进行描述与编码,并 将此标签附加到IP报头的前面。相应的处于LSP中的标签交换路由器,利用报文携带的标签信息库(LIB)进行索引,确定相应的下一跳,在LSR出端口用 新的标签替换原有标签,实现携带新标签的报文便沿着LSP向目的地转发。
2.2设计网络拓扑结构方案
网络拓扑(Topology)结构是指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。电力调度数据网采用分层设计,内 部结构分为核心层、骨干层和接入层三层。三层设计便于组织网络路由,优化网络结构,简化厂站接入。网络拓扑结构设计原则应遵循以下几点。
2.2.1拓扑可靠性原则
网络的拓扑设计应遵循N-1的电路可靠性和N-1的节点可靠性原则。即要求每个节点至少有2条不相关的链路与其他节点相连,去掉拓扑中任何1 条链路,对节点的连通性无影响;N-1的节点可靠性是指去掉拓扑中任何1个节点,对其他节点的连通性无影响,如某个地调节点故障应不影响其他节点的连通。
2.2.2双出口原则
国调局域网、每个网调局域网都有两个出口。同时,为防止因外部原因(如停电)造成两出口同时失效,两个出口应位于不同的地理位置,两出口的外联电路中至少有两条没有相关性。
2.2.3流量优化与时延原则 根据网络的流量和流向,合理配置电路及其带宽。网络流量分布均匀,各电路带宽得到较充分的利用,不存在网络带宽瓶颈,并适度考虑“N-1”情况下的网络流量。
2.3设计路由策略
根据路由协议的分析可知,调度数据网首选路由协议为OSPF,而该协议支持两层结构,即主干域和子域,从而分散路由处理,减少网络带宽占用。使用OSPF协议必须考虑到骨干区域的连通性,即使某条链路断开后也可以保证主干区域不会分离。每个子域将省调节点或较为重要的地调节点设置为该域的边界路由器ABR。为保证网络的弹性,每个子域ABR均应考虑采用分布体系结构,以满足可靠性、冗余性要求。系统OSPF划分为8个区域,区域0:加入到区域 0中的接口是各地调上联省调路由器的接口,与其他地调路由器互联;区域1~7:区域1~7分别为各地调及下属变电站的相关接口。
2.4设计网络节点
由于核心层站点汇聚了整个地区调度数据网络的信息,所以对可靠性要求极高,宜采用路由器+交换机方式。远景规划在地调网络中心增加1台路由 器,2台路由器通过快速以太网相连,实现站点设备的备份。由于骨干层站点汇聚了各县级调度数据网络的信息,所以对可靠性要求较高,采用路由器+交换机方式。接入层站点采用路由器+交换机方式。
2.5设计IP规划方案
地址编码的基本原则是满足地址的唯一性。为使寻址更加有效,且保证地址的唯一性,网络地址编址编码及分配应与网络拓扑及地址管理体制相结合。可采用30位掩码的分配方式,每条链路(如为N×E1则视为1条链路)采用1个子网网段。核心、汇聚层节点间的连接共有9条链路,共需9个子网网段。接层 节点上联汇聚层节点的链路为90个变电站,其中82个110kVA变电站按单链路上联链路计算,则共需82个子网网段,8个330kVA变电站按双链路上 联链路计算,则共需16个子网网段。
2.6二次安防防病毒服务器系统
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪事故。省调防病毒服务器系统包括省调中心服务器,各地区局分中心服务器,县调服务器端和客户端,邮件服务器及网关服务器。各层服务器主要提供病毒代码的升级和分发,同时也作为防病毒中心的数据库服务器,接受各种病毒报告以及向上以及防病毒中心提出告警。而客户端不管使用何种操作系统,都必须有相应的防病毒软件进行安装防范。
具体实施办法:在整个调度自动化内联网系统中,制定并采用统一的防病毒服务策略,同时省调度中心和绍兴等各地调中心分别部署一台中心服务器,各自管理自己的网络。各地调中心服务器与省调中心服务器相联,病毒代码由省调中心分发更新,总中心的病毒代码更新采取离线方式;由省调专职人员定期到隔离区外去拷贝经过病毒查杀的防病毒更新码,各地调中心所辖的客户端则由地调中心分发防病毒更新代码。
根据二次防护总体框架,安全I区和II区内主站的每个业务系统都分配在不同的VPN内,安全I区和II区之间通过防火墙隔离,相同安全区内的各业务系统之间也要通过防火墙隔离;同时安全I区和II区,在纵向上分别形成2个不同的VPN通道,原则上互不通信。在安全隔离区内部署防病毒中心,由于各业务系统均十分重要,存在许多网段,且防病毒中心必须覆盖调度自动化系统内的所有业务主机,因此应将防病毒中心也看作是一个业务系统,安排独立的网段,并在纵向形成单独的VPN通道,通过路由重分布,将需要访问该VPN的网段路由发布进该VPN,实现网络互通。通过各防病毒中心服务器,对安全隔离区内各业务系统网段上的主机进行客户端防病毒软件的安装、升级、配置以及病毒代码的更新。
3.结束语
电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。”以及“电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。 本文结合电力调度数据网结构特性的分析,对电力调度数据网网络建设中的技术体制、网络拓扑、路由策略、网络节点及IP规划等方面进行了分析阐述。通过电力调度数据网的建设,从根本上改变了传统的点对点信息传送方式,为生产调度信息资源的充分开发和优化配置提供了基础,大大改善了信息传输通道的质量,提高了信息的准确性和信息的冗余度,为电力调度和电力生产数据业务提供高速、稳定的网络通道保障。 [科]
【参考文献】
[1]冯薇.唐山城市排水有限公司办公自动化系统解决方案[J].办公自动化,2013(18).
[2]徐昌彪.IP QoS体系结构综述[J].重庆邮电学院学报(自然科学版),2011(02).