电力调度数据网总体描述和总体方案建议

总体描述和总体方案建议

目录

1

前言 ......................................................................................................................................... 1

2 集成及设备公司简介 ............................................................................................................. 2 2.1 2.2

集成商公司介绍 ............................................................................................................. 2 XXXX公司介绍 .............................................................................................................. 2

XXXX技术有限公司简介 ...................................................................................... 2 XXXX产品概况 ...................................................................................................... 3 XXXX公司系列网络产品的主要特点 .................................................................. 5

2.2.1 2.2.2 2.2.3 2.3

XXXX承建电力调度数据网工程工程的优势 ............................................................... 6

2.3.1 2.3.2 2.3.3 2.3.4

持续创新是XXXX发展的原动力 .......................................................................... 6 电力行业的主导型供应商 ..................................................................................... 7 技术先进、应用成熟、安全可靠的解决方案 ..................................................... 8

XXXX公司强大的售后保障体系 .......................................................................... 8

完善的服务组织结构 ............................................................................................................. 9 服务及时性保障 ................................................................................................................... 10 服务有效性保障 ................................................................................................................... 11 以优良的持续服务作回报 ................................................................................................... 12

3

工程概况 ............................................................................................................................... 13 3.1 3.2 4

网络现状描述 ............................................................................................................... 13 本期工程的传输链路 ................................................................................................... 13

网络总体方案设计 ............................................................................................................... 14 4.1 4.2 4.3

设计原则 ....................................................................................................................... 14 拓扑结构的设计 ........................................................................................................... 14 各级节点设备的配置建议 ........................................................................................... 15

4.3.1 4.3.2

电力调度数据网节点设计原则 ........................................................................... 15 电力调度数据网核心层设备建议 ....................................................................... 17

4.3.3 4.3.4 4.3.5 4.3.6 4.4

电力调度数据网汇聚层设备建议 ....................................................................... 19 电力调度数据网接入层设备建议 ....................................................................... 20 配置总结 ............................................................................................................... 23 不同方案配置 ....................................................................................................... 24

网络路由协议和路由策略 ........................................................................................... 25

4.4.1 4.4.2 4.5 4.6 4.7

区域内路由协议 ................................................................................................... 25 域间路由协议 ....................................................................................................... 27

IP地址分配建议 ........................................................................................................... 27 VPN组网建议 ............................................................................................................... 28 网络服务质量（QOS）建议 ...................................................................................... 29

4.7.1 4.7.2 4.8

设计原则 ............................................................................................................... 29

QOS的部署建议 .................................................................................................. 29

流量工程建议 ............................................................................................................... 30

4.8.1 4.8.2 4.9 4.10 4.11 4.12 4.12.1 4.12.2 4.12.3 4.13 4.14

传统路由的困难 ................................................................................................... 30 部署MPLS 流量工程（TE）建议 ..................................................................... 31

IPV4迁移IPV6方案 .......................................................................... 错误!未定义书签。 时钟同步方案 ........................................................................................................... 32 网络的自愈与恢复 ................................................................................................... 32 网络安全方案 ........................................................................................................... 40

用户安全管理 ....................................................................................................... 40 网络设备安全 ....................................................................................................... 40

MPLS VPN的安全管理 ....................................................................................... 42 网络管理方案 ........................................................................................................... 43 设备命名设计 ........................................................................................................... 43

1 前言

电力调度数据网工程(I期)是电力二次系统安全防护系统的重要组成部分，依据“安全分区、网络专用、横向隔离、纵向防护”的技术原则建设实施，遵循“统一领导、分级管理、总体设计、分步实施、远近结合、突出重点”的总原则。

本方案依据电力调度数据网工程招标文件的技术规范书部分，对电力调度数据网工程所涉及的网络部分进行方案的总体描述和总体方案建议。

我们本着先进性、现实性和经济性统一的原则进行网络设计，使网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据用户的需求提供不同网络业务的服务保证，为各类信息系统提供统一的综合业务网络平台。

在本文中，我们从总体上对网络结构和组网方式进行了描述，主要采用了华为公司的NE系列路由器组网，来实现电力调度数据网工程的各项业务，有关拓扑结构、节点结构、路由协议、地址分配、路由策略、VPN规划、QoS及流量工程、网络管理等方面的详细设计，请参见《网络详细设计及实施方案》等部分。

本方案对电力调度数据网工程网络方案进行了描述，介绍了XXXX公司的Quidway系列设备配置。

1

2 集成及设备公司简介

2.1 集成商公司介绍

2.2 XXXX公司介绍

2.2.1 XXXX技术有限公司简介

XXXX公司是由华为公司与3Com公司共同组建的合资企业,专注于数据通信产品的研究、开发和生产，向客户提供从核心骨干网到桌面终端，包括路由器、交换机、防火墙、无线局域网、IP语音、网卡和业务系统在内的全系列IP产品和解决方案。XXXX公司服务所有规模的企业和公共机构，聚焦于、教育、金融、电力和制造业等国民经济的重要行业。

XXXX公司总部设在杭州，在北京和杭州设有研发机构，在中国国内建立了28个销售与服务机构。目前公司拥有员工近3000人。

多年来，XXXX公司的母公司--华为公司和3Com公司积极参与全球众多的大型网络建设，其中既包括电信运营商的国家骨干网，也包括、公共事业的核心网络，为网络与社会发展做出了杰出贡献。站在数据通信领域两大巨人的肩膀上，XXXX志在凭借强大的产品研发、技术、服务和战略合作，获取全球企业网络市场的领导地位。

XXXX公司秉承根植中国、面向全球的发展战略，整合了华为公司和3Com公司在数据通信领域的技术优势、客户资源和渠道资源，旨在为用户创造更大的应用价值。“客户至上”是XXXX公司奉行的价值准则，她以持续、高效、快捷的方式，为客户提供全面、创新、业务特性丰富的网络产品，量身定制的解决方案，专业化、标准化、多元化的服务，中国市场本地化的快速响应，以及权威专业的网络技术培训认证。

2

2.2.2 XXXX产品概况

XXXX公司产品线重心设置在杭州和北京，包含市场、研发、技术支援中心、产品测试部、培训中心等部门，同时在深圳设置中间试验部，对产品从研发到生产的可生产性进行测试、优化，中试测试包括结构、工艺、流水线通过性、电磁兼容、颠簸、老化、高温、潮热等多项测试和优化，验证产品的批量生产性。转产的产品需经过多道严格工序，从物料采购、IQC测试，到最后产品出厂，有严格的工序和流程文件把关；现有投入市场的产品已通过国际ISO9001质量体系认证。

公司目前的产品品牌涉及系列路由器、系列以太网交换机、系列IP语音产品、系例安全产品、系列无线局域网产品、业务系统等六大类、近100种产品。XXXX产品服务全国各大运营商及各个行业用户，并在海外市场规模应用。

XXXX已经成为国内研发投入最大、产品线最全的专业数据设备提供商。XXXX产品获奖情况

在2003年3月由信息产业部、赛迪集团、中国计算机用户协会联合举办的 “中国计算机用户二十年信赖品牌”大型调查活动中，华为被评选为“中国计算机用户二十年国内网络产品首选品牌”。以下是华为数据通信领域部分获奖情况。 产品获奖情况：

1. Quidway® NetEngine 16 获“年度大奖”（2000年，《计算机世界》） 2. Quidway® NetEngine 80 核心千兆交换路由器获“年度产品奖”（2001年，

《计算机世界》）

3. Quidway® NetEngine 80 核心千兆交换路由器获“CIO选择奖”最佳IT企

业产品奖（2001年，《互联网周刊》）

4. Quidway® NetEngine 40通用交换路由器获 “年度产品奖”（2002年，《计

算机世界》）

5. Quidway® R3680模块化路由器获 “用户满意产品奖” （2000年，《中国计

算机用户》）；

6. Quidway® R1760模块化路由器获“编辑选择奖”（2002年，《计算机世界报》） 7. Quidway® S6506核心多层交换机获“编辑选择奖”（2002年，《计算机世界

报》）

3

8. Quidway® S3526路由交换机获“交换机质量可靠满意奖”（2001年，《中国

计算机用户）》

9. Quidway® S3526路由交换机获 “编辑选择奖”（2002年，《网络世界》） 10. Quidway® S3526E智能路由交换机获“交换机产品设计创新奖”（2002年，

《中国计算机用户》） 方案获奖情况：

1. “中国电子政务IT百强企业优秀网络设备厂商第一名”（2002，《互连网周

刊》）

2. “江西政务信息网纵向网”获“电子政务类优秀解决方案奖”（2002年，首

届“中国信息化优秀解决方案评选”活动）；

3. “山西教育骨干网”获“网络构建类优秀解决方案奖”（2002年，首届“中国

信息化优秀解决方案评选”活动）

4. “国家电力公司北京地区数据网”获“电力行业专用系统类杰出解决方案奖”

（2002年，首届“中国信息化优秀解决方案评选”活动）

5. “同济大学网络系统”获 “校园网领域”优秀典范奖（2002年，《中国计算

机报》）

6. “宁夏综合信息网网络系统”获 “电子政务领域”优秀典范奖（2002

年，《中国计算机报》） 渠道获奖情况：

1. “渠道选择提名奖”—LAN（2002年，《计算机产品与流通》）

2. “渠道选择提名奖”—骨干网络设备（2002年，《计算机产品与流通》） 3. “网络产品渠道最合理价格奖”（2002年，《中国计算机报》和赛迪网，

“2002’中国IT渠道满意度调查暨优秀渠道管理厂商推荐活动”）

4. “网络产品渠道最佳综合管理奖” （2002年，《中国计算机报》和赛迪网，

“2002’中国IT渠道满意度调查暨优秀渠道管理厂商推荐活动”）

5. “网络产品优秀渠道管理厂商”（2002年，《中国计算机报》东北地区）

其他获奖情况：

1. “CIO选择奖”最佳IT企业品牌（2001年，《互联网周刊》）

2. “交换机最佳服务承诺兑现奖”（2002年，中国电子信息产业发展研究院和

4

CCID，中国IT用户服务满意度调查）

3. “路由器最佳用户服务满意度奖”（2002年，中国电子信息产业发展研究院

和CCID，中国IT用户服务满意度调查）

4. “中国信息化知识大赛贡献奖”（2002年，CCID）

随着产品不断完善和市场需求的不断增加，XXXX从更加贴近用户、满足用户需求、提高服务质量的角度出发，XXXX遍布全国30多个省市的售后服务网络能为其数据通信产品销售提供强大的技术和服务支持，无疑将给您带来信心保证。

2.2.3 XXXX公司系列网络产品的主要特点

提供全线网络产品和解决方案

XXXX公司提供从局域网交换机到广域网路由器的全线网络产品：路由器产品包括低端Quidway R17、AR28系列，中端包括Quidway R2600、R3600、AR46系列，高端Quidway NetEngine5000、80、40、20、16系列骨干路由器；交换机提供边缘Quidway S2400系列，桌面接入产品Quidway S3000系列，中心堆叠和三层交换Quidway S5000系列，千兆多层交换Quidway S6000核心交换机、Quidway S8016核心交换机， Quidway S8500万兆核心交换机，提供端到端的网络产品系列，为企业网和运营商提供全线解决方案。 电信级的可靠性设计

XXXX公司是国内大型的电信设备制造商之一，在网络产品上XXXX秉承了电信产品的可靠性设计，设计开发出具备电信级可靠性的网络产品。包括主要控制板热备份、接口板热插拔、元器件的入库和整机出厂的IQC检测、电磁兼容设计等。XXXX Quidway NetEngine系列骨干路由器及S8500新一代核心交换机，在硬件和软件设计上尤其重视设备的运转可靠性。 硬件设计上进行冗余考虑，高总线带宽保证板间交换有足够的资源，支持双主控冗余备份、冗余电源备份、单板热插拔、接口板N+1备份等方式保证设备的高可靠性。

5

跟踪最新IP技术，保持技术领先

XXXX公司具备强大的研发力量，密切注视和跟踪国际最新网络技术动态，并积极参与国际标准的制订。目前XXXX公司网络产品支持最新VOIP、VPN、IP Qos、IP、MPLS/VPN、视频多播等最新IP技术，支持各种飞速发展的IP新业务和多媒体服务；XXXX自主知识产权的IP TurboEngineTM快速转发技术，使得XXXX公司网络产品的性能可以和国际一流产品相媲美。

具有自主知识产权的软硬件平台，配合防火墙，保障网络安全可靠

依托XXXX公司强大的技术开发实力，公司自主研制开发出Quidway系列网络产品和S系列交换机产品，拥有完全的软硬件知识产权，配合XXXX网络产品的完善的防火墙功能，专业的VPN网关，保障网络的安全可靠。 XXXX遍布全国的售后服务网络

除外全国28多个办事处及用服中心，结合XXXX在各地的合作伙伴，无处不达和便捷的服务，是XXXX产品得到用户信任的可靠保障。

2.3 XXXX承建电力调度数据网工程工程的优势

2.3.1 持续创新是XXXX发展的原动力

XXXX是IP技术与传统电信技术结合的实践者，给IP技术及应用重定规则，将电信产品设计、网络构建及管理特性引入IP技术与应用领域，对IP技术及应用方面做了全面创新：

 业界少数能够提供包括业务的端到端解决方案供应商之一；

 可靠、安全、实时调度数据网络的倡导者、实践者和领先者（承建电力行业

第一个IP调度数据网－安徽电力调度数据网）；

 VRP统一操作系统、iManager N2000/Quidview统一网管系统已经有八年的

积累与应用，业务特性及实用性处于业界领先水平；

6

 IP技术与传统电信技术结合的实践者：将电信级产品设计、网络构建及管理

特性引入数据产品及应用，先后推出Quidway A8010、Quidway Netengine系列、Quidway S系列电信级产品及解决方案；

 第五代路由器的倡导者：业界首先倡导和采用网络处理器技术开发高端路由

器，Quidway Netengine系列产品在设备性能、业务灵活性、兼容性及投资保护方面处于领先水平；

 在IP新技术新应用领域处于领先水平：MPLS VPN L2/L3端到端解决方案处

于业界领先水平；业界唯一实现可管理、可运营的组播方案（可控组播技术）；提供固定、移动一体化IPv6 解决方案；提供端到端的Qos和安全解决方案。

2.3.2 电力行业的主导型供应商

作为全球领先的IP端到端解决方案最完善及市场覆盖范围最广的主导性厂商之一，2003年，国内数据通信（路由器、以太网交换机、VoIP、ADSL）销售达到67亿人民币，首次超过国外厂商，成为中国市场第一数据通信设备供应商。

XXXX公司的产品凭借先进的技术和优秀的解决方案在电力行业骨干网得到成熟应用，目前已经承建：  国家电力全国调度数据网；  东北电力网局数据网  华中调度网局数据网  安徽电力调度数据网  天津电力调度数据网  陕西电力调度数据网  辽宁电力调度数据网  吉林电力调度数据网  广西电力调度数据网  河南电力调度数据网  浙江电力调度数据网

7

 内蒙古电力调度数据网  山东电力调度数据网  国电北京宽带数据调度网  陕西电力信息广域网  顺德电力数据调度网

等重大工程，成为电力行业中调度数据网、数据通信网新建网络或网络改造的主导性方案供应商。

XXXX公司的电力解决方案荣获中国电子信息产业发展研究院和中国信息化推进联盟联合颁发的“2003年中国电力行业解决方案用户满意奖”

2.3.3 技术先进、应用成熟、安全可靠的解决方案

 技术先进：产品先进，NE40/40采用网络处理器技术，无源背板，分布式结

构，MPLS VPN/QoS/组播处理能力强大，具备良好的平滑升级能力；组网先进，领先的分布式HoPE技术，完备的设备管理和VPN管理系统，解决方案更加合理；

 应用成熟： 截止2004年6月份，NE40/40网上运行超过1900台；MPLS VPN

国内市场无论是开局数量还是单个局规模，华为MPLS VPN解决方案均处于领先水平。

 安全可靠：采用电信级可靠性设计，所有软硬件具有核心知识产权；

2.3.4 XXXX公司强大的售后保障体系

一个网络系统的正常运行需要良好的售后服务来支撑，作为业界领先的企业网络设备与解决方案供应商，XXXX公司坚持以客户为中心，提出了“应用创造价值，网络服务为先”的服务理念，建立了优秀的服务品牌。

XXXX公司售后服务保障体系由XXXX技术支援部与XXXX公司合作伙伴共同构成，拥有高素质的专职售后服务队伍并形成了完善的服务网络。目前，

8

XXXX的服务网络覆盖30个省市和200多个地区，通过技术支持中心、E-support和800免费电话等完善的服务网络，可以持续、高效、快捷地向客户提供服务。

完善的服务组织结构

XXXX公司技术支援部由总部（管理办、技术支持中心、合作管理部、备件中心）、区域技术支持部和区域备件中心等部门组成两级技术服务体系。

技术支持中心

XXXX公司技术支持中心TSC（Technical Support Center）拥有众多的经验丰富的服务专家，通过800电话、FAX、功能丰富的网站、专用E-MAIL帐号和必要的现场服务提供称为“E-Support”的服务。服务内容主要包括：集中客户问题管理、重大故障及时响应处理、产品疑难故障处理、丰富的产品资料和问题案例库、工程项目管理和质量管理、大型网络的规划和实施、重要客户设备故障档案管理和重要客户定制个性化服务。通过建立完善的面向全球的服务网络，持续、高效、快捷地向客户提供专业化、标准化、多元化的服务。

XXXX技术支持中心拥有一批高素质的服务队伍，所有服务人员都具有本科以上学历，且有3年以上大型网络服务经验。

备件中心

9

XXXX备件中心(Spare Parts Center，简称SPC)隶属于XXXX全球技术服务部, 是一个支持XXXX公司服务能力和承诺的重要基础组织，与其他服务组织（包括XXXX公司和XXXX公司合作伙伴）协同合作，提供AHR（Advance Hardware Replacement）支持，共同帮助最终客户保持网络的平稳运行。

SPC在全球备件网络体系（包括XXXX区域备件支持中心和国家/地区备件服务合作伙伴）的基础上，向最终用户提供以下快速的备件更换和维修服务：

----保修期内产品的更换和维修服务 ----保修期外产品的更换和维修服务 ----签订服务合约的备件更换和维修服务

服务及时性保障

XXXX公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外，我们还在全国建立了28个售后服务中心，建有完备的技术支援平台和备件系统，通过先进的通信技术与总部的技术支援平台连接，完成用户信息、故障处理流程、备件库存、产品分布等信息的共享，形成一个覆盖全国地市级城市，专职人员规模超过100人的技术支援体系。同时还在各省市派遣有售后服务工程师，以提高售后服务的响应速度。

XXXX公司遍布全国的服务机构保证此次工程中每个节点都可以得到优良、快速的服务。

下图为XXXX公司服务机构分布图：

10

同时为了对不同重要等级的服务要求提供不同的及时性保障，XXXX公司技术支援部建立了一套科学的服务问题升级系统，保证最紧急的故障能够得到最快的处理。同时，根据对故障的分级，也有利于对故障解决时间的监控，保证故障能在规定的时间内得到处理。

服务有效性保障

7×24小时热线技术支持电话

XXXX公司TSC中心设有7×24小时的RSC（远程支援中心），提供全天候无间断的远程技术服务，可随时接收故障的反馈和申报，XXXX公司将根据故障报告内容对问题进行分级，在规定的时间内对申报的问题进行响应及解决。对于非紧急问题XXXX公司的合作伙伴以及最终用户可以在任何时间通过电子邮件向XXXX公司寻求技术支持，并最迟在24小时内得到响应。 区域技术支持平台

XXXX公司数据通信技术支持部在其总部技术支持中心和全国各办事处都配备足够数量的技术支持工程师。可根据用户申报问题的具体情况对用户进行现场技术支持。在技术支持中心设有资深技术支持工程师，对重点项目进行技术支持。

11

以优良的持续服务作回报

XXXX公司真诚地希望参与电力调度数据网工程数据网的建设，用优质的产品和服务为电力调度数据网工程提供高可靠、高安全、及时的IP网络平台。  升级扩容：由于数据产品的价格随着时间的推移都会有一些下调，XXXX承

诺板件扩容均参照以后的市场价格，而不是以初始建设的价格为参照；  二次开发：为提供最优的服务，关注客户需求，提供二次开发，通过深入合

作，满足电力调度数据网工程业务不断发展的需要；

 在技术进步、产品成熟上进行持续的努力，聚焦系统性价比的提高，关注网

络综业务能力的提升及维护管理简单方便的要求。

12

3 工程概况

3.1 网络现状描述

本工程建成后，该网络将承载电量计费系统、电力市场支持系统、保护故障信息管理系统、EMS系统、功角测量系统以及RTU上网等业务。使电力调度数据更安全、可靠、实时地传送，以确保电网安全、可靠、稳定、经济的运行。

运行维护管理方面，在省电网调度中心设立电力调度数据网的网管中心，负责电力调度数据网的管理。并配置维护终端方便现场的检测调试工作。

电力调度数据网是专门为电力调度生产服务的，网络承载业务主要是数据业务。调度数据网承载的业务对网络可靠性要求高，网络的可用率、实时业务的传输时延（业务应有不同的优先级）、网络的收敛时间等关键性能必须予以保证。同时，目前大多承载业务的传输频度为秒级，网络节点的业务量相对比较恒定，网络的流量不大。

本网络中传输的业务将按安全等级通过MPLSVPN技术进行业务的逻辑隔离,实现业务的有效隔离。

3.2 本期工程的传输链路

调度数据网由三层构成，核心层设在省调，汇聚层设在14个地区电业局，接入层为各个变电站和电厂。电厂采用同时接入所在地区电业局和省调的接入方式。整个调度数据网所需通信通道将主要由光纤通信电路提供，对于无光纤通信电路的结点将由数字微波和光纤通信电路共同提供。

13

4 网络总体方案设计

4.1 设计原则

根据电力调度数据网工程的现状和工程需求，我们按以下原则设计网络方案：

综合性：为多种业务应用与信息网络提供统一的综合业务传送平台 高可靠性：整体网络的设计具有很高的容错能力，保证单点故障都不影响整个网络的正常运作。

高性能：具有较高的传输带宽，并在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。

安全性：选择了完备的安全防护方案和策略，保护对网络资源的合法应用和访问。

标准化、开放性：本设计遵循国内和电力行业的标准，符合开放性的原则，具有连好的扩展能力。此外在组网设计中也采用了骨干与接入的分离，业务网与承载网分离的设计理念。

先进、实用性：本设计结合电力调度数据网工程的要求和实际需求，结合网络技术的发展趋势，在网络平台、设备选择、组网技术、业务实现和网路管理等方面具有良好一定的先进性，并选用了成熟可靠的组网方案，选择了性能价格比高的设备配置，经济实用。

可管理：整个网络平台的设备、业务、性能、故障、都可以实现管理和控制，整个网络可以进行远程控制。

4.2 拓扑结构的设计

电力调度数据网共分为三层，第一层为核心层，第二层为汇聚层，第三层为接入层。省调与各汇聚节点及汇聚节点之间连接构成网络骨干，每个节点至少有二条出口链路至省调。

为了保证重要节点的可靠性因此采用双机方案，组成星形结构，之间通过

14

n*2M连接，利用星型双链路拓扑结构，实现网络的容错，充分保证数据网有一个可靠的核心。省调节点为核心层节点，长沙等14个地调作为网络汇聚层节点，各变电站、电厂作为网络接入节点，根据通信网的实际情况，每个变电站通过两条链路分别接入汇聚层两台路由器，每个电厂一条链路接入汇聚层，另一条直接接入核心层，每个汇聚层节点通过两条链路分别接入核心层节点的两台路由器。

4.3 各级节点设备的配置建议

4.3.1 电力调度数据网节点设计原则

电力调度数据网的核心层负责整个网络的数据交换； 汇聚层负责整个网络的数据汇聚，包括14个地调骨干节点；20个直调电厂和63个直调变电站为接入节点。

电力调度数据网的主要负责电力的电能、电量计费数据和调度数据的传输，要求较高的实时性、可靠性、安全性。对设备的可靠性、处理能力、安全、可维护省等要求较高。

选取节点时通常必须遵循以下几个原则： 1、必须具备高可靠性及高冗余性； 2、必须能够提供故障隔离功能； 3、必须具有迅速升级能力；

4、必须具有较少的时延和好的可管理性。

其中设备的可靠性对电力调度数据网来说至关重要，设备的任何故障对于调度网络来说都可能引起严重的后果，要保证电力数据网平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。

设备的高可靠性从硬件、软件、保护机制等几个方面体现： 1、采用分布式体系结构：

分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将

15

管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。

而且，分布式体系结构可以提高组网的物理可靠性，如在调度网环网组网中，每个骨干节点都有多条接口与相邻的节点或本地互联，从路由上提高了可靠性。如果采用是集中式体系，则当节点设备出现故障时，这个节点所有接口都会失效，造成节点所带网络的中断；而采用分布式结构时，这些接口可以分别配置到不同的接口处理板上，这样，无论这台设备的管理单元、交换转发单元，还是单一接口出现故障，都可以保证至少有部分路径是连通的，降低网络中断的危险。

2、关键部件冗余：

采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。

3、实时热备份机制：

在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。

4、热插拔特性：

设备任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。

5、冗余电源支持：

冗余电源负载分担及备份供电可保障系统具有可靠的能量源。 6、散热系统：

散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。

具备这些特性的网络设备是保障数据网高可靠运行的基础，在设计中我们将参照及遵循这样的原则，构建高可靠、可管理、可运行的电力数据网。

16

同时还需要考虑： ➢ 路由器的处理性能

目前路由器的结构主要是集中式和分布式两种。集中式路由器的路由计算、配置管理、网管等工作和数据报的转发共同使用一个处理器，对大量数据包的转发性能影响很大。而分布式体系结构把任务分散地进行处理并简化处理的流程，能大幅度地提高系统性能。分布式转发的特点，在于增加端口密度的同时，不会影响到单接口的转发速度，整机的转发性能也不会受影响。

➢ 扩展能力强

对于湖北电力调度数据网，建网时必须考虑到网络的可扩展性。不管在网络升级还是扩容时，都应该确保网络不间断。随着业务内容的增多，及用户运用水平的提高，网络将会进一步扩容或升级。省调、地调的设备要承担着地调或厂站的作用，因此在整个调度数据网中具有重要的作用，设备的选择就非常关键。性能高、扩展能力强的设备才是真正满足省调、地调的设备。因为随着用电量的不断增加厂站的数量也会增加，这就需要省调、地调设备可以提供大量的接口，因此，在选用路由器时，应选择端口密度高、扩容能力强的设备。要求在不改变网络结构的情况下，只增加相应的接口模块就能方便简单地完成扩容。如果初期工程中采用端口密度低的路由器，在扩容时就需更换成密度高的设备来替换原有的设备，不能做到保护用户投资。而下联厂站的数量增多势必要将上联的链路带宽扩大这样才能保证实时业务的转发，同样设备要有较高的性能这样可以保证下联设备大量增加后转发性能不变，保证调度数据网中各项生产业务以低时延的进行转发。

➢ 网络的安全性考虑

网络的安全性是极其重要的。要保证整个网络的安全，首先要确保网络设备的安全，如果从路由器内部进行攻击，再多的安全措施都是白费。因此从安全性角度考虑，需要使用安全可靠的网络设备。

综合以上考虑，对电力调度网设备选择做以下建议：

4.3.2 电力调度数据网核心层设备建议

电力调度数据网核心层省调节点，建议采用华为公司Quidway  NetEngine

17

40高端路由器。

NE40基于分布式的网络处理器硬件转发和无阻塞交换技术，具备优异的扩展能力，可以通过软件平滑升级的方式支持IPv6。NE40融合核心路由器强大的IP业务处理能力和三层交换机低成本以太交换能力，可提供更丰富的业务、更灵活的组网和更理想的性价比。NE40是Internet骨干网和IP调度网的向宽带化、安全化、业务化发展的重要源动力。

➢ 分布式第五代路由器

NE40作为第五代路由器采用了业界高性能网络处理器技术，充分继承了全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，即提供线速转发性能，又具备快速良好的业务升级和扩展能力，最大限度地保证用户投资，加速IP网络向宽带化、安全化、业务化、智能化方向发展。

➢ 业务丰富

高品质QoS能力，是网络业务的重要技术基础。NE40实现智能业务感知，提供先进的队列调度算法、SARED拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”要求。

NE40基于分布式硬件处理，具备高性能的业务能力，提供全面的MPLS VPN业务，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLS VPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。

NE40具备快速良好的扩展能力，通过软件升级即可平滑支持IPv6和未来新业务，是未来网络可持续发展的条件，是未来IP电信网（IPTN）和下一代互联网的重要基石。

➢ 灵活的组网能力

拥有从k到2.5G速率接口，支持RPR环网技术，提供丰富的协议功能，能够应对各种复杂组网，满足IP调度网、骨干网、运营支撑网的组网需求。

NE40提供报文过滤、流量采样、端口镜像、安全日志等各种安全措施，是构建高安全可维护网络的最佳设备。

➢ 高可靠性

NE40各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换；所有组件支持热插拔；采用无源背板设计；提供热补丁技术，实现软件完全平滑升级；支持动态路由协议、MPLS流量工程，提供IP/MPLS快速重路由、接口自动保护切换（MSP）、虚拟

18

路由冗余协议（VRRP）、RPR自愈环网(IPS)等保护机制，有效保证了全网运行的高速可靠。

4.3.3 电力调度数据网汇聚层设备建议

电力调度数据网汇聚层共14个地调节点建议采用华为公司Quidway NetEngine NE08E高端路由器。产品致力于面向电信级运营网络和企业级核心网络，有强大的专线接入及VPN业务能力，提供丰富的业务功能，具备完善QOS和安全特性，适用于运营商、、教育、金融、电力、企业的内部网和业务网。，NE08E具有先进的分布式转发体系结构和灵活的组网能力，它本身具有的边缘接入特性，决定了其可以在多种网络中应用，能够为用户提供全方位的解决方案，最大限度的满足客户的需求。

NE08E支持双电源冗余，支持双路电源输入。 采用NE08E组网有如下特点：

1、先进的体系结构：采用新一代的工业标准cPCI总线技术，其带宽和性能优于采用普通Cybus总线技术的同类产品。

2、高可靠性：主控板冗余设计，主备倒换实现零丢包率。双电源热备份，可靠性更高。接口备份、APS、端口捆绑实现了链路的高可靠性。VRRP协议保证了设备间的可靠性。所有单板支持热插拔。整机实现7x24小时的不间断运行。

3、高性能：分布式的转发结构，高性能的CPU配合自主知识产权的IP TurboEngine TM技术。

4、安全性：支持包过滤防火墙及动态防火墙ASPF，支持用户的认证和路由协议的验证， 支持标准协议的IPSEC和IKE，支持XXXXIspKeeper抗流量攻击技术。

6、路由处理能力：支持RIP、OSPF、BGP、IS-IS路由协议、策略路由和多播路由协议IGMP、PIM、DVMRP、MBGP、MSDP等。

7、强大的QOS能力：支持流量监管、 流量整形、 拥塞控制和多队列调度。

业务能力：支持专线接入、PPPOE接入、PPPOA接入、PPPOEOA接入、以太网VLAN接入、Portal、Web认证、端口出租、DHCP RELAY、DNS、DLSW。

8、强大的VPN业务能力：支持三层MPLS VPN和二层MPLS VPN、L2TP、GRE、IPSEC等VPN业务，提供隧道融合与VPN互通。

9、高密度端口：提供12个通用I/O槽位， 单框最大负载能力为：24

19

个155M POS接口，36个100M 以太网接口，192个E1/CE1接口， 96个同步串口；支持类型丰富的接口。

10、统一网管：支持HP UX/SUN Solaris/IBM AIX等UNIX操作系统。

4.3.4 电力调度数据网接入层设备建议

4.3.4.1

电厂、变电站设备建议

变电站和厂站等接入节点有监控类、调度生产类等多种业务，各种业务对网络的性能、时延、安全的需求不同。需要接入路由器满足多种业务的综合接入需求。

变电站和厂站的接入路由器主要需要通过2M E1线路接入，需要支持快速以太网、SDH（E1）连接。

调度数据网的业务都在接入层，核心、骨干层设备都通过冗余引擎和冗余链路来保证可靠性，而在接入层往往对可靠性考虑的不够，为了建立一个可靠、安全的调度数据网，并考虑到设备技术性能和业务网络安全性能，结合端口配置，我们建议使用XXXX公司自主研发的多业务模块化Quidway AR40路由器作为各发电厂站、变电站的接入路由器，配置冗余电源，支持板卡热插拨功能。AR4600系列路由器支持双路电源输入。

Quidway® AR 46系列路由器面向企业中心及大型行业网络应用环境设计，充分继承了华为公司Quidway® NetEngine高端路由器在高性能、高品质业务、可靠性、安全性方面的设计优势，同时又融合了华为公司Quidway® R系列中低端路由器的业务能力，以及在企业应用中积累的经验，充分满足信息化迅猛发展对网络性能、业务集成、高可靠性、高安全性、三网合一等方面的要求。具有以下主要技术特点：

➢ 端到端可靠性保证

关键器件冗余设计：Quidway® AR46系列路由器充分考虑网络应用对高可靠性的要求，融入了高端路由器的技术，设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计，采用互为冗余备份的双电源（1＋1备份）模块，

20

支持交、直流输入；

关键模块热插拔：Quidway® AR 46系列路由器所有接口板、电源、风扇都支持热插拔功能，充分满足网络维护、升级、优化的需求；

软件在线补丁：Quidway® AR 46系列路由器提供独特的软件在线热补丁功能，保证软件优化时业务不会中断；

丰富的网络冗余：Quidway® AR 46系列路由器具备丰富的链路备份、链路捆绑、路由备份、拨号备份、VRRP等功能，保证网络节点及全网的可靠性；

通过多方面的保证，Quidway® AR46系列路由器整机可实现7*24小时的不间断运行。

➢ 高性能

Quidway® AR 46路由转发能力高达350Kpps（155M接口线速转发），远远高于于业界同等档次产品系列，全面提升企业中心应用环境的业务性能。同时AR 46从设计上也充分考虑了未来性能进一步提升的空间，AR 46采用双总线体系结构，未来可提供超过2Mpps的处理性能。AR46系列路由器的高性能是业务的高性能，在处理各种业务时转发性能不会出现明显下降。

➢ 突出的集成安全性

Quidway® AR 46系列路由器全面集成了包过滤防火墙、动态防火墙、ISPKeeper DOS防御系统、NAT、用户认证、安全日志、设备安全、VPN加密，业务隔离（VR）等安全特性，在时间、空间、网络层次等三个纬度为网络用户量身定制安全策略。

➢ 强大的MPLS能力

Quidway® AR 46系列路由器提供LAN、WAN、POS接入、VOIP、ADSL，ＡＴＭ等完善的接口类型，支持灵活丰富的接入方式；全面支持二层和三层MPLS VPN，支持256VPN*256路由，支持三种跨自治域方式：VRF－VRF、EBGP扩展、Multihop BGP扩展，支持HOPE（MPLS VPN中的PE分层体系结构），支持MPLS流量工程；AR46与NE系列路由器可以作为多样化、不同性能等级的PE设备，应用于行业网与运营商边缘，更好的支持大规模、高品质MPLS VPN业务的全面开展。

➢ 易维护、人性化设计

Quidway® AR 46系列路由器充分考虑了DFT（design for testability 可测性

21

设计 ）设计，并且在此基础上，提供了独特的自动故障定位分析工具。通过运行在PC机上的故障诊断软件，能够以清晰的思路帮助网络工程师快速准确定位系统故障；并提供了系统状态和告警信息查询，以及丰富的诊断测试手段。

4.3.4.2

终端服务器设备建议

在电力系统运行中，需要实时采集电厂等地设备及网络的信息资源，一般通过RTU设备、电能量采集装置等进行，对这些设备的接入是电力调度网络非常重要的一种业务。

在原有网络中，RTU设备通常是通过异步串口及异步专线或拨号，远程连接到各级调度中心通信前置机的多串口卡上，通过前置机与服务器进行通信。

RTU设备及电能量采集装置需要用串口方式接入数据网络，Quidway系列中低端路由器，可以对电力厂站RTU及电能量采集装置的数据接入及远程管理提供综合支持。这样可以做的全网统一管理，减少故障点。

因此建议电力调度数据网在终端服务器上选择与网络设备相同厂家的产品，这样可以保证全网的可靠性，而且此种方式已经在华中网局调度网中得到大规模的应用，成熟稳定。

推荐采用XXXX公司的AR2810模块化多业务路由器。

AR28产品功能特性

互连协议：以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoE Client、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、IPSEC建立三层隧道、xDSL宽带接入。

网络协议：DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。

应用层协议及业务特性：Telnet、SSH、Rlogin、dumb terminal、增强安全特性的终端接入服务器、金融POS接入服务、RTC、LPD、FTP、Ping及NTP应用层协议或业务特性。

网络安全：登录用户认证、RADIUS/Tacacs+认证/计费、IPSEC、IKE、硬件加密卡、防火墙（支持对接口/时间段/MAC地址的过滤）、高性能NAT。

网络可靠性：接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接

22

口间的链路层备份,动态路由实现网络层备份、VRRP实现设备层备份。

语音特性：静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP传真、语音RADIUS、GK Client、IPHC、语音QoS。

服务质量：流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。

配置管理：中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可通过FTP或TFTP进行系统升级、可通过Console/AUX/X.25 PAD/Telnet/反向Telnet等方式进行配置。

4.3.5 配置总结

本方案建议电力调度数据网工程核心、汇聚各级节点全面采用华为公司的NE系列高端路由器。

本方案具有以下优势： 起点高、品质优：

全面采用高性能的NE40系列高端路由器组网，该系列产品基于最新的“第五代路由器”技术，无论在交换容量、转发性能还是在路由表容量，都居业界领先地位。NE08E在性能和扩展能力也同样领先与同类产品。

业务能力强大：

基于NE40的NP技术实现全业务的硬件交换，在各种高速接库上都能提供线速支持，NE40和NE08E均支持全面的MPLS 业务、MPLS 三层VPN、二层VPN等全套特性。

组网灵活：

NE40支持高密度以太网组网，也具有支持RPR环组网能力，今后如果有需要，可以在调度网内组成2.5G环网。并且，NE40和NE08E还能够提供以太、POS、ATM、E1等几乎所有互联网接口，组网能力强大。

扩展性好：

23

NE40采用了网络处理器体系，今后如果需要需要开展新业务，只需要升级网络处理器微码，不需要更换硬件。

安全性高：

NE40、NE08E提供ACL、URPF等各种安全特性，并采用了控制管理平面与数据业务平面分离的体系结构，有效增强网络安全。同时， NE40、NE08E基于完全自主知识产权的路由软件平台，杜绝网络后门。

总之，本方案是一个起点高、性能卓越、业务能力强大的方案，能够满足目前业务开展需要，并适应未来调度数据网业务发展要求。

4.3.6 不同方案配置

按照标书要求根据省调到各个地调采用不同的连接方式有三种配置方案： 1、省调采用信道化155M方式对地调和省调直属的厂站提供链路，地调也通过信道化155M方式与省调互联，同时供电厂、变电站接入。

这次方式简化了省调、地调两端设备与SDH设备间链接方式，尤其是省调节点要将与所有地调节点和直属厂站互联，需要非常多的接口，随着E1接口数量增加到一定的程度，配置信道化155M是比较合理，还可以节约插槽数。采用这种方式直接通过一个光口就可以接入多个节点。这种方式需要SDH设备增加光接口，同时过于集中如果发生故障将会导致大面积的网络中断。

2、省调采用信道化155M方式对地调和省调直属的厂站提供链路，地调通过E1方式与省调互联，同时供电厂、变电站接入。

方式二在省调端的配置与方式一完全相同，只是在地调侧是采用E1方式提供上联和下联，这样可以减少整个网络的故障率。对于SDH设备来说只需要在省调侧增加相应的板卡。

3、省调和地调直接通过SDH提供的FE口来进行互联，再配置一些E1接口用于接入电厂、变电站。

在采用E1方式进行连接时就相当于两台路由器进行直连，一旦某一端发生变化SDH就会产生告警通知对端SDH设备，然后也会反映到路由器上，这样就可以及时的处理故障或者切换到其他链接上保证调度生产不中断，而在FE连接

24

方式下，由于对端设备、本单板、网线、人为等原因引起的以太网端口连接状态的变化（由Up变为Down或由Down变为Up），需要SDH的以太板发出告警将另外一端的链接状态也进行改变，从而使数据转发的路径改变，不致于一端发生中断数据还在不断的发送过来。要想做到这点必须要求SDH设备的以太板卡可以使数据设备可以通过网口连接的SDH设备迅速感知通道的连通性，并做出相应的反映。FE方式也需要SDH增加大量的FE板卡。另外由于采用了MPLSVPN，会在在正常数据包前增加标签，如果采用以太网方式进行转发，而SDH的以太口不能支持Jumbo frame 那么就会产生丢包，最终导致转发中断。

4.4 网络路由协议和路由策略

动态路由协议可以及时地动态获取网络拓扑信息，引导IP数据报文逐步转发到达目的地，使IP网络具备了很好的灵活性和扩展性。例如使用动态路由协议的IP网络能够在一条传输路径中断时，自动选择其他的路径继续执行数据转发；同样，在网络中增加了新的传输路径时，IP网络也可在很短时间内获得并传播拓扑变化信息，对网络资源实现灵敏和合理的应用。不同的路由协议有各自的特点，分别适用于不同的条件之下。

选择适当的路由协议需要考虑以下因素：

1）网络的拓扑结构 2）网络节点数量 3）与其他网络的互连要求 4）管理和安全上的要求

华为公司Quidway NE系列路由器等提供了丰富的路由协议支持，以适应不同的网络环境。

4.4.1 区域内路由协议

（1）RIP

RIP（Route information protocol，即路由信息协议）是基于D-V算法（距离向量算法）的内部动态路由协议。

RIP协议的标准主要有RFC1058（版本1）和RFC1723（版本2）。

25

Quidway NE产品不仅实现了这两个版本的RIP协议，还支持MD5验证，还可以在必要时提供更安全的快速收敛的RIP服务。

（2）OSPF

OSPF（Open Shortest Path First，即最短路径优先协议）是一种基于链路状态的内部动态路由协议。

目前OSPF的主要标准是RFC2328（版本2）。

Quidway NE等产品实现了完整的OSPF功能和一些扩展特性。包括支持广播、NBMA、点到多点、点到点四种接口类型，以及MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等丰富的特性。

（3）IS-IS

IS-IS（Intermediate System - Intermediate System，中间系统到中间系统协议）是由国际标准化组织（ISO）制订的路由协议，属于开放系统互联协议簇。

IS-IS 对应的标准是ISO 105和RFC1195。Quidway NE16E/08E、AR4600等能实现IP网络上的IS-IS协议完整功能。

在IGP路由协议的选择上，尽量不要采用扩展性差的（RIP）和厂家的私有路由协议（IGRP和EIGRP），尽量采用OSPF或IS-IS。

对于OSPF和IS-IS的选择依据为：

基本原理相同（基于链路状态算法），OSPF用于IP， IS-IS用于ISO的CLNP，也支持IP（“集成IS-IS”）；

IS-IS结构严谨，OSPF更加灵活，OSPF协议是基于接口的，而IS-IS路由器只能属于一个Area，并且不支持NBMA网络；

IS-IS占用网络资源相对较少，支持网络规模大于OSPF，在网络相当庞大时能体现出优势；一个IGP域运行的三层交换机及路由器的数量一般不会超过200台，因此从实际情况来看，运行OSPF和IS-IS对IP调度网/承载网的建设不会有差异；对于网络的稳定性、可扩充性，两种协议都能很好地支持；在大型ISP上，IS-IS与OSPF二者均获得普遍应用；

从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经常被选用做内部IGP，当然IS-IS也有，但是MPLS草案中认为在MPLS环境中

26

运行OSPF更合适；使用MPLS TE的时候，采用IS-IS扩展的较多；

从目前很多厂商的设备来看，存在这样一个问题，不少厂商的中低端路由器及三层交换机不支持IS-IS，从这个角度讲OSPF比IS-IS有优势，所有的主流路由器及三层交换机都支持OSPF。

综合以上因素，建议电力调度数据网工程工程的IGP协议继续使用OSPF。 有关OSPF的详细设计，请参考《网络详细设计及实施方案》的路由规划部分。

4.4.2 域间路由协议

BGP（Border Gateway Protocol，即边界网关协议）是一种自治系统间的动态路由发现协议，它的基本功能是在自治系统间自动交换无环路的路由信息。

目前BGP的标准是RFC1771/RFC1772（版本4）。

华为公司NE系列路由器实现了BGP-4协议的完整功能和一些扩展，包括路由聚合、路由衰减、路由反射、AS联盟、团体属性，以及用于支持MPLS VPN的BGP多协议扩展（MP-IBGP）。

电力调度数据网工程要与其他电信运营商实现互联，因此建议

采用的

BGP-4域间路由协议。城域边界路由器与外部网络之间运行EBGP，边界路由器内部之间运行IBGP。

有关BGP的详细设计，请参考《网络详细设计及实施方案》的路由规划部分。

4.5 IP地址分配建议

IP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。

网络地址的规划一般要遵循的规则：唯一性、连续性、可扩充性、灵活性、可管理性、安全性，这也是骨干网络重点要考虑的问题。本次IP网络扩容的地址规划基于以下一些原则：

27

IP地址分配总体原则

充分高效利用有限的IP地址资源。IP地址使用特点是子网划分越多，地址越零碎，IP地址利用率越低。因此，尽量采用连续的IP地址段，即IP地址尽可能归整。

IP地址分配要考虑减少路由表长度，便于路由聚合。这样可以提高网络设备的性能和管理维护的效率。

IP地址分配要考虑管理维护的方便性，将IP地址按照用途分类，分别采用不同的分配方式。对于管理地址，要优先考虑管理方便性。

IP地址分配还要考虑网络扩展，留有余地。

总之，IP地址分配要基于高效节约、连续归整、方便管理、利于扩展的原则来开展。

具体的IP地址规划方案详见《网络详细设计及实施方案》中网络IP地址规划的部分。

4.6 VPN组网建议

在电力调度数据网工程中，有多种业务及应用，为使这些业务进行隔离保障安全，建议使用VPN技术。VPN技术包括普通的L2TP、GRE、IPSec，以及MPLS VPN等，从VPN技术的发展、VPN性能的支持、QOS能力等方面考虑，建议在电力调度数据网工程中采用MPLS VPN，因为近年来MPLS VPN已经成为运营级VPN的通用标准，采用MPLS VPN来实现不同部门、地域、不同业务的VPN隔离，不仅能为当前的服务提供很好的安全隔离和QOS保障，而且从网络运行的角度，也可为将来作为运营提供技术基础和运营经验。

MPLS的一个重要应用是VPN。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的：可以是用在解决同一张网上企业互连、相同/不同办事部门的互连、也可以时用来提供新的业务---如为IP电话业务专门开辟一个VPN、以此解决IP网络地址不足和QoS的问题，也可以为用MPLS VPN为IPv6提供开展业务的可能。

根据扩展方式的不同MPLS VPN可以分为BGP扩展实现的MPLS VPN，和

28

LDP扩展实现的VPN。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。三层MPLS BGP VPN相对来说比较成熟，已经形成了国标，但是整体来说MPLS VPN尤其是二层MPLS VPN还是在发展和成型阶段。

具体各种MPLS VPN的业务系统的实施方案请参见《各项业务系统的实施方案》。

4.7 网络服务质量（QOS）建议

电力调度数据网工程将面向各类生产业务，他们对于网络的服务质量有不同的要求，这些业务对网络的服务质量有不同的要求。为体现差异性服务，更好的满足客户需求，在提供充足带宽的前提下，还需要实施端到端的QoS机制。

4.7.1 设计原则

电力调度数据网工程的QoS设计符合下面的原则：

端到端的解决方案：包括接入层、汇聚层和骨干层而且相互衔接； 差异性：为不同用户，不同业务提供不同的QoS保证； 可管理：灵活的带宽控制，体现QoS的计费策略； 经济性：有效利用网络资源，包括带宽、端口等；

高可用性：设计备份路径，采用具备热备份、热插拔能力的设备，并对关键的网络节点进行冗余备份；

可扩展性：采用能够在带宽、业务种类增加时平滑扩容、升级的设备。

4.7.2 QOS的部署建议

IP QoS有两种主要的体系结构，IntServ模式和DiffServ模式，其中IntServ对网络设备包括终端要求高，路由器难以维护大量的软状态和控制流，可扩展性差，仅适合在小规模网络中使用，不适于在电力调度数据网工程这种网上部署。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用，也是目前应用最广泛的QOS技术。

在本次工程中，我们建议电力调度数据网工程上部署DiffServ模式的QoS技术，具体QOS的实现方案请参考《网络详细设计及实施方案》中的QOS部

29

分。

4.8 流量工程建议

4.8.1 传统路由的困难

传统的路由器选择最短的路径作为路由，不考虑带宽等因素。这样，即使某条路径发生拥塞，也不会将流量切换到其他的路径上。在网络流量比较小的情况下，这种问题不是很严重，但是随着Internet走出实验室，走出少数研究人员的范围，应用越来越广泛，传统的最短路径优先的路由的问题暴露无遗。

如图3-3所示，假设每个链路的metric值相同。R1（RB）到R5的最短路径为R1（R8）-R2-R3-R4-R5，尽管存在其他到达R5的路径，数据转发也走R1（R8）-R2-R3-R4-R5这条最短路径。这样，就可能出现一条链路R1（R8）-R2-R3-R4-R5过载，而另外一条链路R1（R8）-R2-R6-R7-R4-R5空闲的情况。

为了解决上述问题，可以采用调整链路metric值的方法。通过分析拓扑结构，将R2-R3段的metric值调整为3。这样，可以将流量引到链路R1（R8）-R2-R6-R7-R4-R5上来。

这种解决方法解决了一条链路上的拥塞（R1（R8）-R2-R3-R4-R5），但是可能会引起另外的链路拥塞（R1（R8）-R2-R6-R7-R4-R5）。另外，在拓扑结构复

30

杂的网络上，metric值的调整比较困难，往往一条链路的改动会影响多个路由，难以把握和权衡。

4.8.2 部署MPLS 流量工程（TE）建议

流量工程关注网络整体性能的优化，其主要目标是方便地提供高效的、可靠的网络服务，优化网络资源的使用，优化网络流量。这分两个层面：一是面向流量的，即关注如何提高网络的服务质量；二是面向资源的，即关注如何优化网络资源的使用，最主要是带宽资源的有效利用。

MPLS作为一种叠加模型，可以方便地在物理的网络拓扑上建立一个虚拟的拓扑，然后将流量映射到这个拓扑上。因此，MPLS与流量工程相结合的技术——MPLS TE应运而生。 MPLS TE在解决网络拥塞问题是有着自己的优势。

       

支持建立显示LSP隧道，可以对路径进行控制；

通过信令建立LSP隧道， 配置起来比较简单，容易维护； 网络流量可以方便地映射到某条LSP隧道上；

LSP隧道有优先级、抢占等多种属性，可以方便地控制LSP隧道的行为； 颜色等属性可以控制LSP隧道经由的路径；

MPLS允许流量聚合和非聚合两种方式，比IP灵活； MPLS可以容易地集成约束路由；

建立LSP隧道的负荷小，不会影响网络的正常业务；

通过MPLS TE，运营商可以精确地控制流量流经的路径，从而可以避开拥塞的节点，解决那种一部分路径过载，另一部路径空闲的问题，使现有的带宽资源充分利用起来。同时，MPLS TE在建立LSP隧道的过程中，可以预留资源，保证服务质量；为了保证服务的连续性，MPLS TE还引入路径备份和快速重路由的机制，可以在链路出现问题时及时进行切换。

通过MPLS TE技术，服务提供商能够充分利用现有的网络资源，提供多样化的服务。同时可以优化网络资源，进行科学的网络管理。

在本次调度网建设如果采用传统的路由协议和QOS策略不能实现网络资源的充分利用和流量的合理分配，我们建议在电力调度数据网工程骨干上部署MPLS流量工程技术，具体MPLS 流量工程的实施，请参考《网络详细设计及实施方案》中的流量工程部分。

31

4.9 时钟同步方案

NTP协议组网建议，采用树型分层结构、节点间时间同步尽量保证底时延的原则，以确保全网的时间精确同步。

一般时钟同步方案采用3层结构：第一层，根节点选用核心节点，跟节点可以是NTP服务器；第二层，二层节点选择离根节点最近的设备；第三层，第二层节点连接的外围设备作为三级节点。考虑到时钟同步备份，建议：

（1）、两个根节点之间构成peer关系，相互备份；

（2）、因为根节点已经备份，所以这个层次节点之间可以根据实际情况建立peer关系，但是不做强制要求。

（3）、第三层节点，如果要求，可以考虑同步两个二层节点

在不提供外部BITS时钟情况下，可以从16个不同线路板上的物理接口（一般是SDH接口）提取外部定时源，用户可以任意指定NE40锁定其中的某一路时钟，并为其他线路接口和BITS输出接口提供时钟（时钟精度3级），进而为下游设备和其他同步网提供时钟。

推荐的NE40支持从STM-1线路获得线路定时，整机支持16个线路定时源，支持不同线路定时的自动倒换。

NE40支持STM-1接口同步状态信息字节SSMB（S1）功能。用户可以设置时钟参考源ssm级别，并可以强制ssm，强制ssm参与控制或不参与控制。用户还可以设备时钟参考源优先级、sa时隙。

4.10 网络的自愈与恢复

网络的自愈时间是衡量网络的一个重要指标。一般网络的自愈可以从三方面说：

一、物理链路层，即网络物理链路层能提供故障保护功能，诸如DWDM、FDDI环，还有现在比较热门的技术RPR环网技术，另外，还有一些对于网络重要节点备份保护措施的技术，诸如APS、IPS以及VRRP等技术；

32

二、网络协议，对于网络，可以规划多条到某目的地址的路由，如果某条链路出现故障，动态路由协议（诸如OSPF路由协议）自动发现另外一条路径；还有MPLS TE的快速重路由技术等。

三、MPLS流量工程，在电力调度数据网工程络中，MPLS流量工程的主要应用是提供快速收敛和流量负载均衡。对于快速收敛的应用，主要是提供二层的冗余链路，用于实施快速保护切换实现。

Quidway NE系列路由器 等已经实现了APS、IPS，以及VRRP等倒换及备份等协议，可以提高网络的可靠性。另外，Quidway NE系列采用华为专利技术的IP快速重路由技术，以及MPLS TE快速重路由技术。

华为技术有限公司的IP快速重路由专利技术可以有效的保证网络的业务，不会因为路由重新计算（收敛）导致转发业务暂时中断。对于电力调度数据网工程，通过设置Hello时间，甚至可以使OSPF路由收敛时间在4-5秒之内。

四、不中断转发技术，推荐的核心路由器为NE40，提供电信级可靠性，设备各关键部件：路由引擎〔主处理器〕、交换模块、接口卡、电源、总线仲裁器、管理接口和风扇等系统主要部件完全热备份冗余，单一部件的故障不影响网络的运行。

NE40主控板路由引擎冗余备份，进行主备倒换时，为保持路由的稳定性，支持不间断路由(No Stop Routing)技术，主要有两种实现方法：NSF〔不间断转发〕和SCSR〔自约束路由保持〕。各自工作原理如下：

NSF：路由引擎实现配置的同步备份，各路由协议〔BGP\\OSPF\\ISIS等〕均需要扩展支持Graceful Restart标准，实现不间断转发〔NSF〕的效果。下面以BGP 为例进行详细说明。BGP支持最新的graceful restart标准草案（draft-ietf-idr-restart-08），其基本原理为，在bgp会话建立时，相互之间通告一种支持Non-Stop Forwarding（NSF）的能力，当重启路由器的邻居发现重启路由器重启的事件（比如BGP 会话超市/TCP RESET 等等）后，并不立即删除收自重启路由器的路由，而是作上Stable的标志，等待和重启路由器重新建立会话，并重新交换路由，那些重新学到的Stale路由将恢复为正常路由，而不能重新收到的stale路由将会被真正的删除。在路由被删除前，路由一直可以指导转发，达到了NSF的效果。

33

SCSR：这种技术对系统运行时的动态数据或进程状态进行备份，从而保证主用板在故障发生时，系统可以平滑的切换到备用板，切换过程对网络邻居透明，路由和转发都不会中断。在绝大多数情况下，邻居设备不会感知这台设备的故障。整个过程包含4个步骤：批量备份、实时（定时）备份、主备倒换和数据数据平滑过程。

SCSR同NSF比较表： 备份信息 倒换机制 扩展性 NSF 不完善 不完善，需要邻居配合 扩展性差，每一种网络目前很多协议都没有正式标准 主备板同时失效情况 因为GR机制使邻居路由器不对故障进行及时处理，导致网络故障时间增加 实施难度 难度大。必须邻居支持无法支持该动能 在NSF和SCSR两种技术下，路由引擎主备切换时间均小于50ms，切换过程是纯控制平面操作，不影响网络运行，实现不中断转发。但从上述比较看，SCSR技术具备更好的可扩展性和完备性，并且不违背快速收敛的要求，推荐采用。

电力调度数据网工程络目标是建设一个安全、快速收敛的网络。华为公司NetEngine路由器路由器在网络发生故障的情况下可以有已下几种方式自动重选路由、恢复通信：

1） 为了实现网络稳定、可靠，重点要关注以下几点：运用动态路由协议、合理划分区域、合理规划IP地址、聚合路由、建设冗余网络等，可以在网络故障的时自愈，减低网络收敛时间，到达网络快速自愈地目的。但是在实际运行过程中，路由收敛的速度依赖于很多方面（路由器地性能、网络拓扑结构、网络规模），这种方式网络自愈时间也会持续至少几秒。这是一般路由器都支持地基本方式。

34

SCSR 完善 完善，自主备份倒换 扩展性好，“自扫门前协议都需要相应标准，而且雪”，不需要相关标准。 不增加故障时间 难度很小。对现网设备同类协议。而很多现网设备没有特殊要求

2） NE系列路由器支持IP域的快速重路由，这是华为的自主技术，它是将一般的路由负荷分担进行扩展后实现的功能。这种扩展方式与一般的路由分担方式相比，具有更加快速的网络收敛能力，大大减少了因为链路故障而导致的丢包率很大的问题。根据广州邮科院的测试结果表明，NE系列的IP快速重路由可以将路由中断控制在几ms内，极大地降低了网络收敛时间。这种技术区别于MPLS快速重路由，一般在IP区域使用。

3）本次推荐的路由器支持FRR的链路和节点保护，保护时间小于50ms，支持备份路径功能。提供MPLS OAM机制，可实现路径保护，保护时间小于200ms。

MPLS FRR采用BYPASS隧道的方式实现，即堆栈方式。实施方案为：将BYPASS隧道与需要保护的链路接口绑定，所有经过被绑定接口具有的快速重路由特性的CR-LSP会与该BYPASS隧道自动绑定，绑定信息包括下游节点为该CR-LSP分配的标签和BYPASS隧道的信息，当链路出现故障时，被保护的CR-LSP将下游节点为该CR-LSP分配的标签压入报文，然后根据BYPASS隧道的信息压入BYPASS隧道标签，从而形成标签栈。这样报文可以经过BYPASS隧道绕开故障链路到达下游节点， RSVP协议可以将故障链路的信息通知上游节点，华为路由器会将该故障节点从各上游节点的TEDB中剪除，直到入口节点，这种方式比采用路由协议扩散链路信息要快得多，入口节点会为被保护的CR-LSP重新计算路径，采用make-before-break的方式新建CR-LSP，取代原来经过BYPASS隧道的旧CR-LSP。

本次推荐的NE系列路由器单条链路/单个节点的快速重路由保护时延小于50ms，这个指标和具体网络规模没有关系，仅接口〔链路〕故障检测时间相关，而该时间因为链路协议不同而有所差异，POS接口基于SDH故障检测机制，检测时间为微妙级，能确保此快速重路由指标小于50ms。

华为公司NetEngine路由器路由更新的速度为每秒至少3000条，目前最高路由更新速率为5000条/秒。NE40曾在广州邮科院的稳定性测试中，保持4个BGP对等体、10万条路由、2万条路由跌宕、8G的双向流量的情况下，持续无故障测试168小时，累计增加323440000次路由，删除323440000次路

35

由（测试仪器为安捷伦的Routertester）。

另外，设备级的可靠性、链路层的可靠性也是影响网络可靠性的重要因素。 华为公司NetEngine系列路由器具有良好的设备级可靠性，支持关键部件冗余热备份、热拔插，实现真正的热备份功能，比如NE路由器在主用主控板拔出，备用主控板立即升为主用，这一过程不影响转发业务，大大降低了网络故障维护方面的损失

在链路层可靠性方面：整个网络设计将采用；NE40、20系列路由器支持APS、VRRP等技术，这些技术应用到网络中，可以极大地缩短网络中断时间，一般在50ms以内。

网络自愈中OSPF收敛时间计算

OSPF收敛时间是由四方面的因素决定的：

1、邻居DOWN时的察觉时间：可以通过设置hello-interval来调整，设成5秒，甚至1秒都是可以的，但设置得太小容易造成邻居状态的不稳定和hello报文占用较多的网络带宽；

另外很多接口链路层和物理层会察觉对端DOWN，这种情况hello-interval设成多少关系就不大了。

缺省配置下： 广播和ptp网络最坏情况下40秒检测出邻居DOWN NBMA 2分钟检测出邻居DOWN 2、LSA 更新时间：一般设计实现基本上是实时更新；

3、OSPF SPF算法时间间隔：缺省是5秒，也可以最短设置成1秒。如果要求系统在40s内收敛，这一参数应该一般不会有什么影响。

4、网络规模和链路情况：如果LSA更新的传递时间过长，或者链路不够稳定需要重传（重传周期一般为5秒，可以设置调整) 。

5、可以设置的时间参数：

spf-schedule-interval：计算路由时的间隔时间，可设置为（1～10秒）； hello-interval：hello 报文的传输间隔时间，可设置为（1～255秒）； dead-interval：宣告邻居down的间隔时间，可设置为（1～65535秒）；

poll-interval：NBMA网络查询down掉的邻居的时间间隔，可设置为（1～65535秒）； retransmit-interval：报文重传时间间隔，可设置为（1～65535秒）； transmint-delay：报文传输时延，可设置为（1～65535秒）。

36

在具体使用中，与网络相关，方案不同，则收敛时间不同。单独说收敛时间是没有意义的，应该根据网络的拓扑情况来确定，规模大收敛时间就长些，路由条数多收敛时间也也相应长一些。

在一些单机测试中，2000条路由 收敛时间3S，（定时器间隔设为1S）；而组网测试则在6台设备的组网下，收敛时间4S。

OSPF 的路由计算过程：

OSPF是一类Interior Gateway Protocol(内部网关协议IGP)，它处理在一个自治系统中，路由器的网络的路由表信息。

OSPF把整个网络(Internet上的子网或其他类型的网)看成一个自治系统(AS)，每一个AS内若干个路由器(Router)，网络(Network)组成Area，这些Area一般是不相交的，它们划分了整个Area。

Area内部的信息可以逐步达到同步。通过向接口发送Hello包，可以确定邻节点（neighbor node）的存在，通过邻节点的交换信息，每个节点的连接状态数据库(LSDB)包含了整个区域的信息,而且这些LSDB包含的信息是描述相同的网络拓扑结构的。Hello包和信息包的定期传送,确保了整个网络结构是动态同步的.所以OSPF协议是可以处理动态路由变化的.

LSDB由LSA（连接状态传送）得到，由于LSA的种类不同，可以把LSDB分成五类：

• 由区域内路由传送来的LSA. • 由区域内子网络传送的LSA. • 区域间传送描述网络的LSA. • 区域间传送描述AS边节点的LSA. • AS外部的LSA

LSA所描述的信息一般包括：接口信息、网络节点信息、路由信息（下一跳、权、类型等）、其他信息（时控等）。

Area的边节点(abr)把本area的信息组合成summary_LSA(连接信息摘要传送)。把它传送(flood)到AS内其他area的边节点，这些收到summary_LSA的区域边节点把它收到的summary_LSA传送到本区域内除stub net的所有节点。而所有的Area的边节点

37

及它们间的链路组成所谓的骨干(backbone)区域，它是一种特殊的Area。在骨干区域上人为定义虚连接为非骨干区域area的两个边节点的一条链路,它经过非骨干区域area内部,这样的非骨干区域区域我们称之为转换区域。

summary_LSA分两种,NETSUM及ASBRSUM, NETSUM描述的是作为一个整体的子网络的摘要信息,ASBRSUM描述的是有关AS边界的节点的一些有关信息，是为了计算ASE用的.

AS边节点(asbr)发送(flood)自己接收到的其他AS传送来的 AS_external_LSA (ASE_LSA)给本AS内部的所有节点，也将本AS内部的信息组合成ASE_LSA发送到其它AS的边界节点。这样一来，AS内部的节点就知道了相当详尽的网络系统的信息。

其实，对于AS内部的路由器来说，根节点只需要知道到它的所连接的网络的路由即可(网络到路由器是没有花费的)，但在同一区域内部，计算路由需要知道区域内路由器与网络的连接，所以它需要知道路由器的信息。在区域外部，我们只需要知道网络信息，而路由(是该网络所在区域的边节点已计算出来的该网络所在区域的内部路由)是包括在网络信息的NETSUM内的。ASBRSUM是为了计算ASE路由时寻径方便，这就是为什么OSPF协议要求五种LSA。

这样任何一个顶点可以通过area内节点,同区域的abr得到的SUM_LSA,及同AS的asbr得到的ASE_LSA来知道整个网络的连接状态数据库(LSDB)。

通过LSDB，每个节点可以用Dijkstra算法，求出最小树(Shortest Path Tree)通过最小树它可以建立或修改路由表(routing table)，路由表包含目的地(destination)，下一跳(next hop)，花费(metric)，发送LSA的顶点(adv_rtr)等.

OSPF协议依靠连接状态数据库和spf树，动态生成路由表，对网络拓扑结构的每一个变化(也即连接状态的变化)，它都能对最小树进行必要的修改，进而修改路由表，它是个动态的连接状态路由协议，并支持多重等价路由。

Dijkstra算法描述：

Step1：把root加入最小树,设root可直达的顶点为候选人

Step2：若候选人列表空，则最小树生成完成，否则候选人列表中选取花费 最小的，加入到最小树中。

Step3：把新加入的顶点所能直达的顶点列为候选人。 Step4：在候选人名单里除去最小树中已出现的，回Step2

38

工作过程：通过LSDB可得各顶点的连接(link)状态(state)，利用Dijkstra算法，可由“内”向“外”，从区域内到区域间，从AS内到AS外，逐步生成最小树,进而生成路由表。

在计算过程中，根据协议的精神，以路由器附属的每一个区域为出发点，计算每一个区域的最小树(相当与一个阶段性的最小树)，区域的最小树包括该区域内部路由器和子网，该区域所知道的其它区域的子网节点，该区域所知道的ASBR路由器，ASE节点，系统根据所得的区域的最小树，逐区域改进最小树，最后生成全局的最小树，改进路由表，并根据路由表的变化，调用生成和发送LSA的函数，向外发送新的连接信息。

系统计算的依据是该节点所附属的每一个区域的时序(sched)和全局变量的时控(timer)。

在系统得到新的路由情况后,改变本区域的时序值.一般说来,什么类型的路由改变,OSPF系统的接口模块给区域的时序位赋相应的值.计算模块则根据时序位的值,计算相应的路由.在这种情况下，计算时还会考虑该路由的改变是否影响到其它的路由的改变,给出相应的处理。

路由表计算过程摘要如下：

初始化，保存旧的路由表

(1)计算intra_area的路由(包括abr)

计算router、transit network、stub network， 在第（3）步边节点计算transit area时，改进它们 (2)通过检查SUM_LSA，计算inter_area 的路由

若router是区域边界的abr，则只检查backbone的SUM_LSA

(3) root是abr且连着transit area，检查是否有更好的路由(指利用虚连接改进路由)

(4)通过ASE_LSA,计算AS外部路由

计算是按根节点所连的区域逐个区域来计算的，对于每一个区域，分别进行计算,且在计算过程中逐步改进路由表。

通过这个过程，更新了路由器表，保证路由在较短时间内能重新收敛。

39

关于网络恢复和自愈的计算方案

网络恢复和自愈与网络设备档次、设备CPU负担、网络规模、网络拓扑结构都有很大关系，所以很难给出一个合理的计算方案。但是大概有一个经验值，一般类型的网络可能恢复和自愈在秒级的水平。

可以采用一些技术加速网络恢复和自愈的时间，比如缩短协议的hello报文发送间隔、采用RPR技术等

4.11 网络安全方案

4.11.1 用户安全管理

网络安全包括用户安全、设备安全和数据安全等几个方面。

用户安全指用户业务流不被非法截获、破坏、假冒等。由于不同的用户有不同的安全要求，一般用户的上网业务和机关公文传递以及军事机密的传递都有着完全不同的安全要求。一般由用户设备实现端到端的加密来实现用户业务的安全。同时还可以利用NE路由器的高性能的内置包过滤防火墙功能，对网络上的流量做过滤或者重定向等处理，可用于网络安全。

设备安全指网络设备包括网管系统应当防止网络管理员之外的任何人或组织对网络设备和网管系统配置、资源、诊断系统的有意或无意的访问、破坏和假冒和攻击。要求网络设备和网管系统应提供有效的认证措施，拒绝并记录非法的入侵，采取有效的手段防止其他攻击。

数据安全指设备和网管系统的配置数据、统计信息、诊断信息、历史记录、文档以及软件版本、补丁等不会丢失、错漏。数据安全一般主要管理手段来实现，比如，对数据的定期备份等。

4.11.2 网络设备安全

作为可运营的电信级骨干路由器和交换机，NE路由器和S系列交换机在设计中从多个方面虑了网络安全：

1、流过滤和分析。NE路由器/S系列交换机支持用户制定复杂的访问控制列

40

表（ACL）对系统或单个接口进行报文过滤。NE40路由器在保证线速的前提下，单板可支持高达5千条规则的访问控制（两个GE双向4G流量，详见《中国电信广东研究院测试报告》）。 NE路由器同时支持采样（Sampling）和端口镜像（Port mirroring）机制。 采样功能是NE路由器在不影响系统线速转发的前提下，对特定流中的数据包进行采样来获得所需信息的功能。采样数据可以保留到本地以供分析，分析结果可作为设置策略路由、制定过滤机制、分析网络流量特征乃至制定运营策略的参考。采样规则非常丰富，包括针对特定的接口、协议类型、源地址、目的地址等，采样周期可人为设定。端口镜像指把报文从一个端口映射到另一个其他的端口，以便于在不影响业务的前提下使用仪器来对某个端口的报文进行抓包分析，端口镜像功能不影响线速转发。NE40同时支持硬件NAT板，提供支持100万个并发Session的规格。

2、配置安全。 NE路由器/S系列交换机对登录用户支持本地或远程两种认证方式，并为不同级别的用户提供不同的配置权限。支持用户使用SSH登录路由器并进行配置，避免了远程配置的报文被第三方监控的可能。

3、协议认证。 支持RIP、OSPF 、IS-IS 及BGP v4报文的明文及MD5、HMAC-MD5密文认证，支持网管协议SNMPv3的加密和认证；

4、数据日志及热补丁技术。

NE路由器的文件系统具有由10G硬盘和16M FLASH组成的存储介质，可以记录系统及用户日志。系统日志指系统运行过程中记录的相关信息，用以对运行情况、故障进行分析和定位，NE路由器支持基于线程极的系统日志。日志文件可以通过XModem、FTP、TFTP协议，远程传送到网管中心。

除此之外，考虑到有些IP特性对局域网来说是有用的，但对广域网或调度网节点的设备是不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险。在网络设计时可考虑关闭以下这些IP功能的开关：

1、IP源路由选项开关

在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项，它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。并且，在分组到达目的地的过程中，把该路由记录下来。源路由选项通常用于指定网络路径的故障诊

41

断和某种特殊业务的临时传送。

因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构。

2、重定向开关

网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。

3、定向广播报文转发开关

在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。 因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。

4、ICMP协议的功能开关

很多常见的网络攻击利用了ICMP协议功能。

ICMP协议允许网络设备中间节点（路由器）向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。

对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息。因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。

4.11.3 MPLS VPN的安全管理

通过MPLS VPN确保不同类型业务及地域之间的有效隔离。

VPN技术具有天然的安全特性，不同的VPN用户之间由于无法获知对方的路由信息，从而可以理解为存在于不同的私有网络之中，而MPLS VPN由于在公网中使用LSP隧道进行标签交换，较之普通的IP转发具有更好的安全级别。

本次工程通过规划两大类VPN，确保两种不同业务之间的设备无法获知对方的路由信息。在同一种业务中通过对MPLS VPN中RT（Route-Target）属性的合理设置，可以保证即使是相同的业务，如果没有互访需求，也无法相互访问。

具体安全实现部分参见网络详细设计及实施方案中的网络安全章节。

42

4.12 网络管理方案

网络管理包括有两个部分：网管设备管理系统和VPN业务管理系统。 有关网管系统的详细实施方案，请参考《网管系统实施方案》。

4.13 设备命名设计

为清晰准确的分辩出不同地域的设备，便于网络的组织、管理、维护，我们建议对全网设备编制统一、有效的命名规则，命名以设备名、节点名、后缀组成。

各节点命令规则

各节点后缀命名规则建议为： 节点名称.spnet.net

如省调1节点的域名为:sd1.spnet.net。

路由器设备的命名方案建议为：节点名称－路由器域名命名.spnet.net； 其中路由器域名命名的规则为：[设备类型][N]， 其中设备类型包括： CR 核心路由器； BR 骨干路由器； AR 接入路由器；

N标识本节点设备的序列号，如第1台、第2台等。 例如，省调1的核心路由器标识为：sdl-cr.spnet.net

端口的域名命名规则为：[端口类型]－[接口板号]－[端口号]， 其中端口类型包括： FE 百兆以太网接口； GE 千兆以太网接口； PO1 P04 P16

155M SDH接口； 622M SDH接口； 2.5G SDH接口； 155M ATM接口；

43

ATM

E1 ···

2M E1接口；

其他服务器的命名也可以依此类推，如： 网管服务器：nms.节点名称.spnet.net；

。

44