广域网双链路项目在电力企业的实现

刘惠颖 李井泉

（1.河北省电力公司电力科学研究院 河北 石家庄 050021；2.河北省电力公司信息通信分公司 河北 石家庄 050021）

0 引言

为实现国网公司信息安全防护要求的“区域核心节点到网省公司骨干节点建立双设备、双路由传输通道”的目标，电力企业内部开展了广域网双链路改造项目，进一步提高网络环境的安全性和可靠性。

1 概述及设计原则

1.1 双链路技术的实现方式

1.1.1 设备级可靠性技术，通过设备冗余或者功能模块冗余实现。 当一个设备发生故障时， 冗余设备能够马上自动替换发生故障的设备，使网络的功能不受影响，能够正确地执行预定任务。

1.1.2 链路级可靠性技术， 可通过链路聚合技术和生成树技术实现。在网络正常运行时， 业务的信息数据可以在主链路和备用链路中传输，提高了链路的传输带宽，当主链路发生故障时，数据自动选择备用链路进行传输，提高了整个链路的可靠性。

1.1.3 网络级可靠性技术，对于网络层的可靠性，可以通过协议的可靠性技术来保证核心应用系统的快速切换，防止由于网络的局部故障导致网络单点失效。 例如：为实现交换机的冗余，可以采用STP 协议，为实现路由的冗余，可以采用VRRP 协议。

1.2 项目设计原则

1.2.1 实用性原则

信息系统建设的最终目标是形成一整套先进实用的计算机信息管理系统，系统设计原则把实用性放在首位，从使用角度出发，注重系统的综合能力和总体性能，系统必须具有方便的故障诊断能力和设备监控能力，便于今后技术人员对系统日常管理及维护。

1.2.2 开放性原则

各种设计规范、技术指标及产品均要符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都要满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，能够与局内其它应用系统互联，可以有效保护投资。

1.2.3 可管理性原则

面对各个应用层面的业务人员，运行着各种应用软件，要求有强有力的网络管理手段，合理地调整和优化网络资源，监视网络运行状态和控制网络运行，以提高网络效率，降低维护成本。

能够与现有的或以后的网络设备、服务器兼容。 所有的网络设备符合国际标准和工业标准，使网络具有较高的可互操作性，易于扩充。

1.2.4 安全性原则

应采用先进的网络安全技术， 对现有系统进行安全风险评估，针对不同的信息和资源采用不同的安全策略，总体规划并逐步建立一套较为严密的安全防范体系，使网络的安全危害降到最小。

2 广域网双链路改造项目建设

2.1 项目实施前电力企业网络现状

项目实施前，电力企业信息内网和省级电力综合数据网的连接属于单设备单线上联，任何设备出现单点故障都会造成电力企业信息网络和省级综合数据网的通讯中断，而目前省电力综合数据网已经建成两套MPLS VPN 网络（双平面双环型结构）。

项目实现前内网网络拓扑图如下图1 所示：

图1 内网网络拓扑图（项目实施前）

2.2 项目实施方案

利用新采购的两台路由器替换原有PE 设备，并配置相应接口板卡，将其作为省电力综合数据网的PE 设备，分别上联综合数据网的两台路由器，形成双链路相互冗余热备，保证数据网络线路的高利用率和可靠性，当其中一条发生故障时，业务自动切换到另外一条链路上。 考虑到网络的安全性和可靠性，新增两台千兆防火墙替代原有的防火墙，以主备模式进行部署并进行各种网络安全策略的添加。 两台防火墙分别使用两条千兆线路与两台核心交换机以及两台PE 路由器形成上下互联，形成双线冗余结构，消除了原有网络单点故障，进一步提高网络的可用性和可靠性。

2.3 项目具体实施

2.3.1 路由规划

由于本次改造区域为双设备双上联的双线冗余结构，为了更好地实现双链路相互冗余热备， 当链路发生故障时实现快速收敛自动切换，同时为了简化网络结构，内网局域网设备之间决定采用OSPF 动态路由协议。

首先在两台路由器启用OSPF 进程1， 将两台路由器上联至两台省级电力综合数据网PE 路由器区域划分到OSPF 区域Area 1； 由于路由器同时担任了PE 和CE 的角色，启用OSPF 进程100，将路由器上内网VPN1 至信息内网局域网的区域划分到骨干区域Area 0，用于PE 和CE 之间交换路由信息，PE 方面BGP 路由同时引入OSPF 和直连路由。 两台核心交换机分别通过两台防火墙连接两台路由器，设备之间运行OSPF 动态路由协议，完成对综合数据网的访问。

2.3.2 网络规划

1）物理层部分

路由器设计如下所示：

接口接口说明接口类型连接器接口转换器 对端设备G3/0/0连接NE80千兆光口单模光纤连接防火墙千兆电口以太网线LC- STNE80 G3/0/1FW G2/0/0连接路由器千兆电口以太网线路由器

2）安全区设计

防火墙安全区设计如下所示：

区域名用途说明包含端口trus t连接电力企业信息网络G1/5 untrust连接省综合数据网G1/4

2.4 项目完成

项目完成后网络拓扑图如图2。

3 结论

通过广域网双链路改造项目的实施，消除了网络中的单点故障问题，实现了双链路冗余，为业务提供了快速、稳定、安全、可靠、高效的数据网络系统。 实现了国网公司信息安全防护要求的“区域核心节点到网省公司骨干节点建立双设备、双路由传输通道”的目标。

图2 内网网络拓扑图（新）

［1］唐明伟.一种双链路网络的设计与实现[J].电脑知识与技术,2010.

［2］贾娟.一种基于VRRP 的核心路由器可用性方法研究与实现[J].电子技术应用，2007.

［3］陈敬添.基于双链路冗余的广电业务网络设计与实现[J].东南传播，2011.