电力无线虚拟专网组网架构及IP地址分配研究.pdf

LECT日 IC POWER ICT
BENSO
中图分类号:TP319文献标志码:B文章编号:2095-641X(2014)06-0016-06
电力无线拟专网组网架构及
IP地址分配研究
王一蓉,邹颖,王艳茹
(北京国电通网络技术有限公司,北京100072)
摘要:文章结合电力通信网络边缘接入的现状和应用特点,在大量研究目前网络技术及通信运
营商组网架构的基础上,深入探讨了适用于承载电力行业无线应用的电力无线虚拟专网的网
络架构、IP的分配策略及安全防护措施。文章首先从接入网、传输网和核心网3个层面分析了
电力无线虚拟专网网络架构,然后针对IP地址分配,提出了适合电力无线虚拟专网的P地址
分配方式和IP地址使用策略,最后根据企业对网络安全的特殊要求,提出了包括终端安全、网
络安全、边界安全及应用层安全等的多种安全措施,为电力及其他行业无线虚拟专网的建设提
技术研究与应用
供了参考。
关键词:电力无线虚拟专网;IP地址分配;VLAN
0引言
1电力无线虚拟专网网络架构
随着国家电网公司坚强智能电网和三集五大体
根据《国家电网公司“十二五”通信网规刘》提
系建设的持续推进,国家电网公司大范围开展了通出的加强国家电网公司接入层边缘接入能力建设的
过无线公网接入的业务应用,国家电网公司营销、运规划,以及电力无线应用分布广、终端数量庞大的特
检、物资、基建等业务对无线应用提出了更多需求,点,充分利用国家电网现有的通信网络资源、通过各
对业务承载网络提出了更高要求。但现状是各移动运营商2G/3G/4G无线接入网络,实现公司无线
省电力公司自建网络通道,无统一标准,无法实现集通信业务集约化运营和规模化发展。电力无线虚
中管控;建设主体不统一,造成网络拓扑的差异化拟专网总体架构如图1所示。
大。主要缺点表现在:部分省公司业务部门、各地
电力无线虚拟专网接入图如图2所示。从电力
市或县公司单独规划和分配IP地址,各自和运营商终端到应用服务器的整个通信网络可以分为3个部
合作建设造成线路、维护费用的浪费并增加了安全分。第1部分是无线接入网,负责电力终端接入运
隐患。
营商网络;第2部分是数据传输网,负责电力业务数
本文将研究适合电力无线虚拟专网的组网架构据在运营商GGSN/PDSN和电力接入设备之间传输
及IP地址规划和分配方式,为国家电网公司网络边第3部分是电力核心网,负责接入设备与应用服务
缘接入的规划和建设提供参考。
器间的数据转发。
2014年第12卷第6期
ELECTRIC POWER ICI
ELECTRIC POWER ICT?
方究
BENSO
RADIUS/DHCP服务器。
1.2电力数据传输网
电力无线虚拟专网采用隧道技术构建安全可靠
综合数据网互联网
的数据传输通道,实现以下功能:①将数据流量传送
经的“数数
专线
专线
⑤协助完成用户基于AAA的管理;①可提供数据包
专属需道专
移动
认证、数据加密以及密钥管理等安全手段
GCSN/"CCSN/ GCSN/ CCSN GCSN/CGSV GCSNGCS
PDSN PDSN PISN PDSN PDSNPDSNPDSNPDSN
中国三大运营商分別提供第二层隧道协议
( Layer2 Tunneling Protocol,L2TP)、通用路由封
装( Generic Routing Encapsulation,GRE)2种隧道
内网与总部互联-外网与总部互联
技术构建无线虚拟专网。L2TP协议结合了点对点
隧道协议和第二层转发协议2种二层隧道协议的优
图1电力无线虚拟专网总体架构
点,是ETF有关二层隧道协议的工业标准。L2TP
Fig,1 The general architecture of wireless VPN for power grid二层隧道技术的起始点在网络接入服务器,终点在
无线接入网
数据传输网
电力核心网
用户网设备。另外,在隧道内整个PPP帧都封装在
内,PPP会话贯穿到用户网设备界内的网关或服务
接人
接人
运营商核心网)!路由器
路由器
器上。GRE协议规定了怎样用一种网络层协议去
IP承载网
封装另一种网络层协议的方法,第三层隧道技术的技
电力终端 SGSN/ CCSN
PCF PDSN
起点及终点均在互联网服务提供商界内,不会对用术
图2电力无线虚拟专网接入
户网的安全构成减、PP会话終止于网接入服し究
务器内,只携带第三层报文体,终接设备同时也作为与
Fig. 2 The network access of wireless VPN for power grid
用户网设备的网关的。L2TP和GRE对比见表
1.1电力无线接入网
所列。
用
电力无线接入网采用租用运营商无线网络的
对于安全级别要求高的无线应用,建议使用
方式实现电力终端的无线接入需求。目前国内运营L2TP方式,由电力公司负责规划和分配IP地址,在
商的无线通信制式有GPRS,TD- SCDMA,CDMA,电网侧对移动终端设置的用户名和密码进行认证以
WCDMA,CDMA2000。LTE-FD,LTE-TD。本文以及进行相应的流量监控。GRE方式在网络接入时
中国移动GPRS网络为例介绍电力无线终端接入网。不进行用户名和密码的认证,安全性偏低,需要在
电力终端接入GPRS网络的过程大概分为2个业务层实现安全控制,这种接入方式部署简单、灵
阶段,第一阶段是GPRS附着,第二阶段是分组数活,适合业务终端量较大且对安全要求不高的无线
据协议( Packet Data Protocol,PDP)上下文的激应用。
活。GPRS附着过程在终端上电时完成,同时验证1.3电力业务核心网
国际移动用户识別码的合法性。PDP上下文激活
电力业务核心网负责接入设备与业务服务器问
时,通过解析接入点对应的GGSN,GGSN将用户认的数据转发。电力接入设备与业务服务器中间一般
证信息(手机号码、用户账号、密码等)通过专线送部署防火墙,防止来自外网的攻击,保护内网的安
至 RADIUS进行认证, RADIUS向动态主机配置协全。同时根据业务的安全防护等级部署入侵检测系
议( Dynamic Host Configuration Protocol,DHCP)统,及时发现网络入侵行为,切断入侵者的连接。还
服务器请求分配用户IP地址,移动终端就可以访问可以在防火墙上做服务器虚拟IP与真实IP的映射,
网络的资源。 RADIUS/DHCP服务器可以由企业从而隐藏真实服务器的IP地址,避免服务器IP直
用户自行提供和维护,也可以租用移动公司提供的接暴露在无线网络中,保护服务器的安全。另外,在
2014年第12卷第6期
EIECTRIC POWER ICT