摘 要：虛擬專用網技術（Virtual Private Network，VPN）是利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全地訪問單位的私有數據。它可以替代專線，把單位的移動員工、遠程分支機構、供應商和合作伙伴連接到單位的內部網，從而為單位和個人節(jié)省了昂貴的長途通信費用。

關鍵詞：基于IP 安全協議 陜西地方 電力調度 數據網 設計和實現

中圖分類號：TM734 文獻標識碼：A 文章編號：1672-3791（2012）11（a）-0097-01

IPSec協議是一個范圍廣泛、開放的虛擬專用網安全協議。它適應向IPv6遷移，它提供所有在網絡層上的數據保護，提供透明的安全通信。它是完全意義上的VPN，能直接與PKI、CA設備密切協同完成認證功能。缺點是需要固定范圍的IP地址，因此在動態(tài)分配IP地址時不太適合。它只支持TCP/IP協議外，最適合可信的網關到網關之間的虛擬專用網，即企業(yè)廣域網的構建。

1 IPSec的相關概念和介紹

1.1 IPSec的組成

IPSec是因特網工程任務組（IETF）定義的一種協議套件，由一系列協議組成，驗證頭（AH）、封裝安全載荷（ESP）、Internet安全關聯和密鑰管理協議ISAKMP的Internet IP安全解釋域（DOI）、ISAKMP、Internet密鑰交換（IKE）等。圖1顯示了IPSec的體系結構。

ESP：ESP是插入IP數據報內的一個協議頭，為IP數據包提供完整性檢查、認證和加密，它提供的機密性可防止篡改。ESP頭可位于IP頭與上層協議之間，或者用它封裝整個IP數據報。AH：用于為IP數據包提供數據完整性、數據包源地址驗證和一些有限的抗重播服務，AH不提供對通信數據的加密服務。IKE：IKE利用ISAKMP語言來定義密鑰交換，是對安全服務進行協商的手段。IKE交換的最終結果是一個通過驗證的密鑰以及建立在通信雙方同意基礎上的安全服務。SA：一套專門將安全服務/密鑰和需要保護的通信數據聯系起來的方案。它保證了IPSec數據報封裝及提取的正確性，同時將遠程通信實體和要求交換密鑰的IPSec數據傳輸聯系起來。SA解決的是如何保護通信數據、保護什么樣的通信數據以及由誰來實行保護的問題。

1.2 IPSec的兩種模式

IPSec有兩種模式：傳輸模式和隧道模式。傳輸模式：傳輸模式是IPSec的默認模式，用于進行端對端的通信，IPSec只對IP負載進行加密。傳輸模式通過AH或ESP報頭對IP負載提供保護。隧道模式：隧道模式為整個IP包提供保護。要保護的整個IP包都需封裝到另一個IP數據報中，同時在外部與內部IP頭之間插入一個IPSec頭。所有原始的或內部包通過這個隧道從IP網的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報頭，不檢查內部原來的IP報頭。

2 基于IPSec的陜西地方電力調度數據網的設計與實現

2.1 方案描述

陜西地方電力調度數據網項目是陜西地方電力的全省性工程，此項目涉及全省7個地市局（咸陽市、寶雞市、延安市、渭南市、商洛市、漢中市、安康市）及其所屬縣局、變電站、廠站。本項目包括各個供電局、縣局和站點的網絡接入設備及VPN安全設備。根據陜西地電集團所轄7個分公司的電網實際情況，基礎的通信設施基本上都需要向電信服務商租用，鑒于租賃的費用，為了最大限度的實現性價比，因此網絡拓撲原則上采用“星形和樹形”網絡，即從地電集團運行管理中心租用7個2 M的E1通道實現與7個市調的互聯，各個市調租用2 M的E1通道互聯各個縣調和直調廠站，各個縣調還可租用2 M通道實現下級廠站的互聯，從而實現一個以“地電集團運管中心”為金字塔的樹形網絡。

2.2 具體實施方案

（1）將7個局NE20-8作為PE設備構成MPLS核心，先實現本自治系統(tǒng)的規(guī)劃和VPN配置。（2）將NE20-8做為PE設備，各局現有由于缺少三層交換或防火墻，所以將后臺作為CE端，完成PE、CE之間互通，實現下屬分局至地區(qū)局各業(yè)務VPN的互通。（3）在供電局NE20-8下聯NE20-4作為分局PE設備，NE20-4下聯設備由于缺少防火墻或交換機作為分局CE設備，所以將綜自后臺作為CE設備。（4）110 kV廠站PE為AR28-31.部署方案同上。（5）35 kV廠站設備為USG2130防火墻，通過電信公網建立IPSec VPN將數據傳至地調USG2210防火墻。（6）USG2210防火墻將其與35 kV變電站的IPSec VPN業(yè)務收集到的數據通過NE20-8路由器轉發(fā)至調度后臺。

2.3 設計方案特點

一是系統(tǒng)的可靠性和安全性。IPSec在IP層上實現了加密、認證、訪問控制等多種安全技術，極大地提高了TCP/IP協議的安全性。由于整個協議在IP層上實現，上層應用可不必進行任何修改。考慮到陜西地方電力電網結構特點，使用IPSec VPN更加安全可靠。二是在陜西地方電力現有網絡上進行接入改動，IPSec可透過公共網絡搭建企業(yè)Intranet 和Extranet，有效地降低了網絡建設和運營的成本。陜西地方電力其他部分的業(yè)務也是由中國電信運營商提供網絡接入，本次網絡建設是在原有網絡上的提升。三是組網的靈活性。IPSec VPN在實現安全策略上的靈活性，使得對安全網絡系統(tǒng)的管理變得簡便靈活。IPSec VPN接入的靈活性將實現陜西地方電力的三級調度結構。四是性價比的原因。作為國有企業(yè)，作為配電網公司，用更合理的投入換取更豐厚的回報，是陜西地方電力公司投資建設首要考慮的原因。目前陜西地方電力只開展了實時的遠動數據傳輸。

3 結語

陜西地方電力采用IPSec技術組建的電力通信網，提高了原有網絡的帶寬及智能化水平，降低運行維護成本，避免了傳輸資源擱淺。通過建立省、地市、縣、廠站四級通信網絡，實現了地方電力調度通信業(yè)務、調度數據業(yè)務、管理信息業(yè)務的整合，使陜西地方電力通信網成為一個既有較大的承載能力滿足各種業(yè)務的需求，又有較高的可靠性和較好的經濟性、運行穩(wěn)定、資源充足的通信網絡。通過組織完成了網絡系統(tǒng)測試，測試結果表明，IPSec VPN網絡可以把不同類型的接入點安全、簡單、可靠地接入到省地方電力的調度數據網，能滿足三級調度的需求。