申请免费试用、咨询电话:400-8352-114
文章来源:泛普软件
1、前言
随着供电企业的信息化建设,企业的计算机网络也基本上覆盖到了办公楼的角角落落。各种应用系统也在方方面面得到了全面的应用。但是唯有变电站由于地理位置的关系,网络连接成为应用系统的瓶颈。
2、现状及问题的提出
现状宝鸡供电局现有变电站50座,光缆连通且具备多余缆芯的变电站确不多,只有10座左右。这几座变电站,可以通过光缆和局里的局域网连接。
但是随着供电
企业信息化建设的发展,边远地区的变电站也需要接入信息网络,电子工作票、操作票的传输,各种报表,通知等的应用,迫切要求所有变电站接入企业局域网中。
在过去,对于这种问题有一个现成的解决方案,通过电话拨号上网,在企业内部建立一个MODEM池,可以使边远变电站接入企业局域网,完成自己的应用。但是这种应用技术有明显的缺点。
第一、费用难以控制。电力企业内部的载波电话在大部分情况下是难以用来拨号上的。在实践过程中,载波传递输数据型号总是有很多问题。在实际工作不能使用。微波基本可以使用,但是大部分情况下,效果不好。所以只好选择利用电信的公网电话进行拨号上网。通过拨号上网工作,时间长短不一,越长费用越高,难以衡量标准。
第二、拨号上网属于窄带上网,网速慢,对于工作效率影响较大。基层使用者意见极大。
第三、拨号上网难以控制员工浏览互联网。在上班时间浏览互联网或者玩网络游戏,按照单位规定都是不允许的。
3.利用VPN技术实现变电站联网
3.1VPN技术简介
随着企业网应用的不断发展,企业网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。与此同时随着互联网络的迅猛发展,Internet已经遍布世界各地,从物理上讲Internet把世界各地的资源相互连通。正因为internet是对全世界开放的,如果企业的信息要通过Internet进行传输,在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网,往往需要租用昂贵的跨地区数据专线。如何能够利用现有的Internet来建立企业的安全的专有网络呢?虚拟专用网(VPN:Virtual Private Network)技术就成为一个很好的解决方案。虚拟专用网(VPN)是指利用公共网络来建立专用网络,数据通过安全的"加密通道"在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的Internet,各地的机构就可以互相传递信息。
虚拟专用网络是创建基于IP的VPN,一个为员工远程访问公司网络的途径。该解决方案包括站点间加密隧道传输;从交换机到桌面的IP Sec加密;集成配置和管理软件;支持交换机管理和IP Sec客户机的简化接口;集成的授权、鉴权和记帐(AAA)服务器,以及灵活可扩展的VPN部署组件。高性能VPN平台使用户能够通过安全虚拟专用网络随时随地访问企业内部网络。VPN网关产品在一个平台上集成了所有必要的VPN技术,提供路由、防火墙、带宽管理、加密、鉴权和数据完整性,从而确保了通过互联网进行安全隧道传输。
使用VPN技术具有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点,将会成为今后企业网络发展的趋势。
3.2设计原则
在方案刚刚提出的时候,我们经过研讨,确定了如下的基本原则:
(1)、客户端设备必须支持动态IP;因为,电信如果提供静态IP,则要收取租赁费,而且,不是所有变电站所在地电信都可以提供静态IP。
(2)、客户端最好为硬件,而且在PC机上不要安装客户端软件。这样可以保证网络传递的高效性;其次可以减少微机的维护工作量。
(3)、客户端的VPN路由应支持内部PPP拨号。支持内部PPP拨号,可以隐藏ADSL上网密码,达到控制变电站值班员上互联网的目的。如果不具有这一项功能,变电站值班员完全可以绕过VPN设备,直接接入到ADSL适配器上,在工作时间接入互联网。
(4)、VPN设备的SERVER端,应同时支持第二层隧道协议和第三层隧道协议,支持ADLS/LAN/Modem/WLAN/GPRS /CDMA 1X等任何Internet接入方式均可支持,可以穿透NAT和防火墙。支持最流行的协议L2TP和IPSec。支持动态IP、宽带内部IP地址。对于任一种操作系统Windows 98 ,Windows 2000,Windows XP都可以方便设置,快速接入局域网。
3.3设备选型
依据我们的基本要求,VPN设备客户端应至少具有两个以太口,对于小型变电站,电脑比较少的情况下,不需要添加别的设备就可以满足连接两台电脑的需求。其次,VPN设备的SERVER端,应具有超过100路并发处理能力。支持软件路由和硬件路由的接入。在一个平台上应集成了所有必要的VPN技术,提供路由、防火墙、带宽管理、加密、鉴权和数据完整性。支持动态VPN的接入。集成的授权、鉴权和记帐(AAA)服务器,以及灵活可扩展的VPN部署组件。高性能VPN平台使用户能够安全通过虚拟专用网络随时随地访问企业内部网络。从而确保了企业数据通过互联网进行安全的传输。
为了满足宝鸡供电局变电站联网的工作实际要求。即满足3.2中的四点要求。我们对三种设备进行了对比。甲设备可以做到客户端支持动态地址的,但是客户端不仅需要VPN路由,而且需要安装客户端软件。这样就对网络部署,以后的维护工作量带来极大的更多的麻烦。从技术角度对它进行了否决。乙设备可以满足一、二条,但是对于第三条支持内部PPP拨号做不到。这一条对于技术人员无所谓,但是从管理制度上讲,不能杜绝值班员上互联网的可能性,因而从管理角度上,被管理者否决。丙设备,即我们最终选型的港湾NetHammerM582/242 VPN网关,它可以满足以上四项基本原则。尤其是第四条,既可以满足变电站联网的需求,也可以
移动办公的需要。VPN移动客户端运行在移动用户的计算机上(如出差人员的便携机、在家办公的计算机等),仅提供VPN连接功能。支持任何一种Internet接入方式(如MODEM拨号,ISDN,ADSL、宽带等),支持动态IP、宽带内部IP地址,安装VPN移动客户端的操作系统可以为Windows 98 ,Windows 2000,Windows XP中的任意一种。这是一种比较好的选择。
3.4网络选择说明
(1)公网采用电信最普及的adsl,它有比较明显的优点,网络覆盖范围广,最长距离可以达到5公里,宝鸡供电局大部分变电站都在它的覆盖范围之内。有着其他传输方式难以比拟的广泛适应性。
(2)价格的低廉。Adsl普遍采用包月方式,市场报价1M带宽每月50元。如果选择其他专线,费用都比较高,月租费至少是ADSL的20倍以上。
(3)、每座变电站基本上都已经安装了电信的有线电话,再安装adsl比较容易。
3.5路由设计
变电站VPN联网路由表 |
序号 |
站名 |
loopback |
eth0/0地址 |
核心tunnel地址 |
分支tunnel地址 |
pppoe用户名 |
pppoe密码 |
1 |
核心 |
10.0.1.1 |
61.149.124.132 |
|
|
|
|
2 |
太白变 |
10.0.0.1 |
11.0.0.1/24 |
172.16.0.254/30 |
172.16.0.253/30 |
bj4951202 |
*** |
3 |
眉县变 |
10.0.2.1 |
11.0.1.1 |
172.16.1.254/30 |
172.16.1.253/30 |
bj5558224 |
*** |
4 |
降帐变 |
10.0.3.1 |
11.0.2.1/24 |
172.16.2.254/30 |
172.16.2.253/30 |
bj5335039 |
*** |
5 |
石头坡 |
10.0.4.1 |
11.0.3.1/24 |
172.16.3.254/30 |
172.16.3.253/30 |
bj7515483 |
*** |
6 |
天合公司 |
10.0.5.1 |
11.0.4.1/24 |
172.16.4.254/30 |
172.16.4.253/30 |
bj6290368 |
*** |
7 |
县功变 |
10.0.6.1 |
11.0.5.1./24 |
172.16.5.254/30. |
172.16.5.253/30 |
bj3968633 |
*** |
8 |
贾村变 |
10.0.7.1 |
11.0.6.1/24 |
172.16.6.254/30 |
172.16.6.253/30 |
bj6556485 |
*** |
9 |
千阳变 |
10.0.8.1 |
11.0.7.1/24 |
172.16.7.254/30 |
172.16.7.253/30 |
bj560876 |
*** |
10 |
陇县变 |
10.0.9.1 |
11.0.8.1/24 |
172.16.8.254/30 |
172.16.8.253/30 |
bj4601041 |
*** |
11 |
赤沙变 |
10.0.10.1 |
11.0.9.1./24 |
172.16.9.254/30 |
172.16.9.253/30 |
bj3960527 |
*** |
12 |
耀兴公司 |
10.0.11.1 |
11.0.10.1/24 |
172.16.10.254/30 |
172.16.10.253/30 |
bj390687 |
*** |
13 |
黄牛变 |
10.0.12.1 |
11.0.11.1/24 |
172.16.11.254/30 |
172.16.11.253/30 |
bj4791059 |
*** |
14 |
横渠变 |
10.0.13.1 |
11.0.12.1/24 |
172.16.12.254/30 |
172.16.12.253/30 |
bj4657090 |
*** |
15 |
齐镇 |
10.0.14.1 |
11.0.13.1/24 |
172.16.13.254/30 |
172.16.13.253/30 |
bj5755398 |
*** |
16 |
营头变 |
10.0.15.1 |
11.0.14.1/24 |
172.16.14.254/30 |
172.16.14.253/30 |
bj5767335 |
*** |
17 |
凤翔变 |
10.0.16.1 |
11.0.15.1/24 |
172.16.15.254/30 |
172.16.15.253/30 |
bj5790032 |
*** |
18 |
柳林变 |
10.0.17.1 |
11.0.16.1/24 |
172.16.16.254/30 |
172.16.16.253/30 |
bj7281960 |
*** |
19 |
岐山变 |
10.0.18.1 |
11.0.17.1/24 |
172.16.17.254/30 |
172.16.17.253/30 |
bj7421306 |
*** |
20 |
祝家庄 |
10.0.19.1 |
11.0.18.1/24 |
172.16.18.254/30 |
172.16.18.253/30 |
bj477590 |
*** |
… |
… |
… |
… |
… |
… |
… |
… |
上表显示的只是部分变电站的路由设计数据。通过,逐个设备的设置,安装、调试。历时两个星期,基本上完成了宝鸡现有条件可以使用VPN技术联网的变电站的连接。
VPN连接示意图:
如图可以看到,用户电脑直接连接VP路由,在连接ADSL适配器,通过拨号连接到INTERNET上,我们单位通过防火墙连接到互联网上,然后内部再接入SERVER端VPN路由,通过交换机,可以访问内部服务器。达到了我们联网的目的。
4、系统实施后的效果
效果如何,需要数据来说明问题。我们选择了三座变电站,进行了网络速度的测试。采用是最基本的下载速度测试。单位内部架设了FTP服务器。通过三座变电站下载其上的300M大小的软件包,来测试速度。然后又通过发PING包,依据丢包率判断网络线路状况。具体情况如下:
变电站VPN网速测试表一 |
序号 |
站名 |
Loopback地址 |
eth0/0地址 |
eth0/1 |
下载速率 |
1 |
核心 |
10.0.1.1/32 |
61.149.124.132 |
192.1.1.161/24 |
|
2 |
太白变 |
10.0.0.1/32 |
11.0.0.1/24 |
Pppoe |
123k/s |
3 |
眉县变 |
10.0.2.1/32 |
11.0.1.1/24 |
Pppoe |
172k/s |
4 |
降帐变 |
10.0.3.1/32 |
11.0.2.1/24 |
Pppoe |
98k/s |
变电站VPN网速测试表二 |
|
序号 |
站名 |
包大小 |
发包个数 |
反馈时间 |
丢包率 |
|
1 |
核心 |
|
|
|
|
|
2 |
太白变 |
1024K |
100 |
24ms |
0.00% |
|
3 |
眉县变 |
1024K |
100 |
16ms |
0.00% |
|
4 |
降帐变 |
1024K |
100 |
29ms |
0.00% |
|
|
|
|
|
|
|
|
|
通过以上表格可以看出,三座变电站基本上类似局域网内部工作站的连接速度。可以达到应用的要求。从访问速度和其他指标上工作人员可以接受。因此,我们可以认为ADSL+VPN这种联网方式基本上解决了宝鸡供电局大部分变电站的网络互连互通问题。达到了我们项目实施的预期目的。
5、通过VPN技术联网变电站的优点
通过VPN技术,宝鸡供电局的所有变电站都接入局内MIS网的好处主要有如下几点:
(1)降低网络通讯成本。一般情况,电信提供的ADSL通道使用费用都是包月,每月固定费用,与电话比较,费用是固定的,而且可以长时间保持网络连接状态。
(2)网络速度可以满足要求。ADSL连接属于宽带连接。从512K到8M,带宽基本上可以满足变电站日常工作的需要。
(3)切切实实的降低工作成本费用。基本应用之一,变电一种工作票可以通过网上许可。大大节省了经费。以段家变电站为例,小车通过高速公路到达变电站,一个来回,过路费为60元,汽油花费大约30元,司机和工作负责人差费20元,耗时一天。全局一年变电一种工作票估算有400张。每次花费平均100元,则400张共花费4万元。如果通过网络传递工作票,就可以节省4万元。最主要的是时间的解决,也意味着人工的节约,这是最大的节约。对于工作票来说,这只是网络上的一种应用。其他的应用,都是基于网络的,只要网络畅通,则通知,报表都可以通过它传输。而且是多种形式和多种媒体的内容。
(4)、管理上的高效和创新。对于变电站的管理可以像对待局内的班组规范化管理一样,全面规范化管理。过去网络不同,局限于条件,做不到。现在,想到就能做到。网络的联通,拉近了边远班站和局内的距离,新闻、通知、公告都可以第一时间传递到最基层。基层的声音也可以最快的传递到局里。尽管,实际的距离依然没有变化,但是心理距离缩短了。
6.系统存在问题及改进措施
6.1项目实施完成以后,槐芽变电站丢包率比较高,已经影响了正常的使用。对于这种情况,我们与电信一起分析和测试,认为故障在电话线路上,经过检查,有一段线路为铁丝。电信承诺,在随后的线路改造中,优先更换这一段电缆。
6.2汤峪变电站由于距离电信机房超过5公里,满足不了adsl的距离要求,则这座变电站通过ADSL+VPN方式也不能联网。光纤也没有敷设到,只能考虑其他方式联网了。(CCW)