惠州供电局综合数据网统一VPN调整实施方案研究

摘要：为加强南方电网公司信息化业务通信保障工作，公司开展了“网络VPN与业务QOS及安全管理专题研究”。根据研究结果，需要对全网各省、地区综合数据网VPN进行统一调整。文章按照网、省公司要求，规范惠州供电局地综合数据网VPN配置，实现网省地综合数据网VPN统一划分，保障业务有效隔离。

关键词：综合数据网；统一VPN；方案调整；信息化业务；通信保障 文献标识码：A

中图分类号：TN915 文章编号：1009-2374（2016）08-0013-02 DOI：10.13535/j.cnki.11-4406/n.2016.08.007

1 综合数据网现状

综合数据网是南方电网内部承载企业管理信息类业务及互联网类业务的广域数据网络，不直接接入各类业务；各级综合数据网在公司总部、各分子公司总部、地区供电局本部等节点与局域网互联，各类信息业务由不同的VPN通道承载，通过局域网进入综合数据网，最终实现互联互通。惠州供电局综合数据网分为核心层、汇聚层与接入层，全网互联带宽为千兆光纤互联，链路带宽充裕度良好，已覆盖地调、各县区局、各电压等级变电站、供电所、营业厅及其他办公场所等，通过局本部两台思科6509核心交换机与省综合数据网互联，网络结构见图1：

全网采用MPLS VPN技术组网，根据综合业务的应用需求，网络上设置了常规VPN与私有VPN。

常规VPN与省公司安排一致，包括OA、财务、营销、生产、网管、人力6个业务VPN及DMZ、Internet、IDC3个省网VPN，并通过Option-B跨域方式进行省地互联，其中OA、生产、IDC VPN采用full-mesh模式，地区网之间及省网间均互通；其余6个VPN采用hub-and-spoke模式，地区网之间不互通，仅与省网互通。

2 技术要求

2.1 VPN互联

（1）网省、省地综合数据网互联采用Option A方式，采用其他方式无法适应网省、省地互联部署防火墙等安全设备对VPN业务的访问控制；（2）网省、省地互联防火墙应采用透明方式部署；（3）网省、省地互联路由应采用汇总路由，不允许明细路由在网间传播；（4）网省、省地互联路由协议应采用BGP协议（汇总路由在互联设备采用静态黑洞路由的方式产生，黑洞静态路由禁止在网内传播）或静态路由协议，可采用与链路检测协议（BFD、NQA、IP SLA）联动。

说明：目前广东电网公司综合数据网省地VPN采用的互联方式为Option B方式；为了避免省地VPN互联方式调整对网络和业务的影响，确保平稳过渡，暂时不要求按照本规范性要求进行调整，等日后省地之间部署防火墙设备的时候，再同时调整为Option A互联方式。

2.2 VPN规范

所有VPN内的路由控制均采用全网状（FullMesh）组网模型，RT、RD应遵循统一的命名规范：（1）综合VPN（ZH-VPN）：输出RT值，AS：8001；导入RT值，AS：8001；（2）语音视频VPN（TX-VPN）：输出RT值，AS：8002；导入RT值，AS：8002；（3）数据中心VPN（IDC-VPN）：输出RT值，AS：8003；导入RT值，AS：8003；（4）容灾VPN（DR-VPN）：输出RT值，AS：8004；导入RT值，AS：8004；（5）互联网VPN（INT-VPN）：输出RT值，AS：8005；导入RT值，AS：8005；（6）其他省地网VPN自主命名。

说明：为了避免VPN调整对网络和业务的影响，确保平稳过渡，在此次调整中涉及的VPN命名、RT、RD设置等规范性要求，适用于新建网络和新建VPN，对于已有综合VPN可以不做调整。

2.3 各类终端接入方式

（1）PC终端：综合VPN；（2）IP电话：语音视频VPN。IP电话与PC终端共用一个交换机端口的，根据IP电话功能配置选择接入综合VPN或语音视频VPN；（3）视频终端：语音视频VPN；（4）95598等专用业务：视业务情况，如需要访问互联网或其他业务系统则接入综合VPN，如仅语音业务且不与其他系统互访则接入语音视频VPN，如不与网公司或其他公司业务互通则接入省地专用VPN。

3 实施思路

3.1 VPN统一思路

根据省公司实施方案的要求，计划将惠州供电局VPN划分做以下调整：（1）综合VPN（OA_VPN）：各类管理信息业务和生产管理业务系统，仅供综合数据网客户终端访问各个IDC服务器（OA、营销管理系统、综合管理系统、资产管理系统等），将原划分的生产、财务、营销、人力、网管5个VPN合并到OA_VPN，并保留名称不变；（2）数据中心VPN（IDC_VPN）：仅供IDC服务器之间互相访问，与原划分一致，不变动；（3）语音视频VPN（TX-VPN）：新增；（4）容灾VPN（DR-VPN）：对网络时延无特殊要求，仅对带宽有要求的业务，主要为容灾备份等大颗粒业务（可在晚上等空闲时间传输），新增；（5）互联网VPN（INTERNET_VPN）：仅省网及地区网与省网互联的PE路由设备存在，主要推荐业务为互联网统一出口业务，与原划分一致，不变动；（6）DMZ_VPN：仅地区网与省网互联的PE路由设备存在，主要推荐业务为DMZ业务，与原划分一致，不变动。

3.2 VPN调整思路

（1）调整过程中会中断办公业务，同时省公司需同步进行调整，因此实施前需向省公司申请许可；（2）VPN调整需信息中心IDC配置作相应调整，因此需与信息中心做好沟通协调；（3）VPN调整实施按逐个VPN逐个地点进行调整，先调整调度大楼生产、财务VPN，该两个VPN调整完成后，再相继调整人力、营销、网管VPN；（4）调整过程中综合数据网原有VPN配置保持不变（用于回退）。割接完成后运行一段时间才能删除不需要的VPN数据；（5）调整过程中原有VPN的所有IP地址保留不变，端口编号（如子接口编号、VLAN接口编号），尽量保留不变；（6）在省地综合数据网省地互联设备MP-BGP处做路由汇总及路由控制，手动路由汇总后发给省网。

4 实施内容

4.1 实施总体说明

在做每个实施工作的正式实施之前，先通过事先确认的测试项目，对主要的网络路径的通断情况、主要业务的状况进行检测，确保这些要检测的网络路径和业务都工作正常，并记录下检测情况。然后按照事先确认的实施步骤，一步步地进行实施。所有实施步骤实施完毕后，再重复一次正式实施之前所做的工作，通过事先确认的测试项目，对主要的网络路径的通断情况、主要业务的状况进行检测，确保这些要检测的网络路径和业务都工作正常。通过这种对比方式，从而确保整个系统的实施成功。惠州局先进行VPN合并，同时由省公司在河源局、惠州局省骨干路由器也做适当配置调整。分为如下两个阶段：

阶段1：先进行惠州局的VPN整合，把其他VPN的接口，都一次性修改为OA_VPN的接口，接口保留原有的IP地址；其他VPN的配置都保留，一来避免改动过大，二来用于应急回退；省骨干对应的网络设备（省地互联路由器）和防火墙的配置要调整。

阶段2：完成VPN调整网络运行一段时间后，待省公司同意再删除其他VPN配置

4.2 实施内容说明

4.2.1 核心交换机互联调整（包括地区省地互联的业务调整）：（1）省地互联路由：OA_VPN增加本地区人力、财务、网管、营销、生产VPN地址汇总路由，导入到BGP。去掉OA_VPN对应in方向的路由控制；（2）地区INTERNET防火墙：增加人力、财务、网管、营销、生产VPN地址段路由指向综合VPN（OA_VPN），修改防火墙策略。

4.2.2 接入调整：（1）PE设备：修改人力、财务、网管、营销、生产VPN的接口，改为forwarding OA_VPN，同时在BGP路由进程的OA_VPN中，发布对应的路由；（2）MCE设备：修改人力、财务、网管、营销、生产VPN的接口，改为forwarding OA_VPN，同时在VRF OSPF中发布对应的路由；（3）连接局域网防火墙的PE设备：在综合VPN增加到人力、财务、网管、营销、生产VPN地址段路由指向防火墙。

4.2.3 新增VPN：（1）在与IDC互联PE设备增加容灾VPN（DR-VPN）的配置，根据需要在PE及MCE设备增加语音VPN（TX-VPN）的配置；（2）在省地互联路由器（ASBR设备）增加路由过滤策略，路由汇总后的容灾VPN（DR-VPN）、语音VPN（TX-PN）路由发送省网。

4.2.4 VPN删除：完成VPN调整网络运行一段时间后在地区综合数据网删除人力、财务、网管、营销、生产VPN配置。

4.3 实施过程

（1）惠州局综合数据网两台核心思科6509设备OA_VPN增加惠州局本地的FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的地址段的汇总路由，导入到BGP发送给省公司；（2）在惠州局internet防火墙上指向OA_VPN的下一跳的路由的目的地址，增加FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的所有业务地址段，修改防火墙对应安全策略；（3）在惠州局IDC防火墙上指向OA_VPN的下一跳的路由的目的地址，增加FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的所有业务地址段，按不同的业务地址访问服务器的要求修改对应安全策略；（4）修改所有汇聚PE设备上FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的业务网关接口，修改为binding OA_VPN，同时在BGP address-family ipv4 vrf OA_VPN发布对应的路由；（5）修改所有MCE设备上FMIS_VPN、RMIS_VPN、PMIS_VPN、NM_VPN、HRMIS_VPN的业务网关接口，修改为forwording OA_VPN，同时在OA_VPN的进程中发布对应的业务路由；（6）按照业务种类新增VPN。

4.4 回退措施

在实施前，须对设备进行数据备份，同时为了方便回退，所有配置数据不删除。回退步骤如下：（1）按照回退流程，对故障原因进行排查，确认确实无法找出原因后开始进行系统回退；（2）恢复IDC防火墙、INTERNET防火墙的设备配置；（3）恢复地市综合数据网的设备配置；（4）确认配置恢复后网络通讯正常；（5）确认配置恢复后业务系统工作正常；（6）回退完毕。

5 结语

综合数据网统一VPN的实施，进一步明确了VPN各种技术（如VPN技术选择、VPN划分、综合数据网和局域网的VPN互联互通、VPN设置方式与隔离技术、网络安全管理等）的技术特性、理论模型以及与南方电网现有数据网络的结合及应用等方面，进一步提高了南方电网公司信息化技术应用水平，为各类信息化业务提供了更安全、更可靠的承载平台。

参考文献

[1]南方电网公司综合数据网互联管理办法[S].

[2]南方电网网络VPN与业务Qos及安全管理专题研究报告[R].

作者简介：叶学平（1985-），男，广东博罗人，广东电网有限责任公司惠州供电局电力调度控制中心工程师，研究方向：通信与信息技术。

（责任编辑：黄银芳）