电力行业网络建设的加快，信息技术应用的推广。开发建设企业管理信息系统，信息技术的应用由操作层向管理层延伸，从单机、单项目向网络化、整体性、综合性应用发展。各级供电企业纷纷建立信息系统和基于Internet的管理应用，以提高劳动生产率，提高管理水平，加强信息反馈，提高决策的科学性和准确性，提高企业的综合竞争力。以MIS、OA系统的综合开发和应用为目标。乡所与主站网络互联已经提升到了日程，自架设光缆专线，或租用电信的DDN、ISDN、帧中继等数据专线，拨号上网等方式，组网投资费用高，维护成本高等原因^{[ 1 ]}，目前不能满足现有的需要。而VPN技术在电力技术的应用，为网络提供了完善的建设方案，以及相关网络设备，并提供了优质的服务支撑。为电力系统提供性能优异、扩展性好的语音、视频、数据三网合一新一代网络。

　　VPN（Virtual Private Network）：虚拟专用网是一门网络新技术，指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接，并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成。

通过建立虚拟数据传输通道（也称为隧道），将远程的分支办公室、商业伙伴、移动办公人员等连接起来，提供端到端的服务质量（QoS）保证以及安全服务。提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。一个网络连接通常由三部分组成：客户机、传输介质和服务器。VPN也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，该隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。

　　在农网改造过程中，大部分的供电企业在抄表、收费、业扩报装、设备管理、物资管理、生产安排、电工管理、办公自动化等方面，实现了计算机管理。即生产MIS和营销MIS。但由于大多的供电所、变电站、局直属单位（如物资部门、安装、维修部门等）地理位置分散，没有高速、安全的信息网络，无法保证局端与终端（供电所、局直属单位）的信息资源共享，也无法保证局端在生产、经营管理过程中的实时监控。两者数据的传输，直接影响到了整个信息化的初期建设。

　　2.1 自己建立专线。虽然光纤通信是最可靠、最快捷的信息传输方式。随着光缆的价格不断下降，再趁电业系统自己的杆路，费用有所降低，但光纤网络建设还是资金投入大、建设周期长，难以满足现阶段网络应用需求^{[ 2 ]}。

　　2.2租用电信部门的数据专线。租用DDN、ISDN、帧中继等数据专线，虽一次投资比较小，但后续租金比较　贵，仍不可取。

　　2.3拨号上网。在局端放置一个拨号服务器（即MODEM池），通过电话线路拨号连接。缺点是速度极慢，不能在线，电话费用较高。不能满足MIS系统的带宽要求。

　　2.4物理上不连接，数据（主要指抄表、收费信息）通过移动介质（如磁盘、移动硬盘等）。实时性差，反复修改难。

　　基于以上传输方式的缺点，以及传输的信息比较单一，图像、数据、语音等业务不能同时得到很好的解决。同时，电力企业网络不仅面临着将多样性的远程办公模式作为企业内部办公网络环境的扩展和延伸，而且还需要满足为合作伙伴提供通过外部互联网络接入的需求。更重要的是电力流动服务车无法与95598网络进行联网。严重影响了电力信息化的推广应用。

　　虚拟专用网(VPN)代表了当今网络发展的最新趋势，它综合了传统数据网络的性能优点(安全和 QoS)和共享数据网络结构的优点(简单和低成本)，能够提供远程访问，外部网和内部网的连接，价格比专线或者帧中继网络要低得多。而且，VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。因此，VPN以其自身网络的灵活性、安全性、经济性、扩展性等诸多优势，在光纤网络没有建成之前，必将成为电力企业传输业务的主要工具。

　　可以在局端通过光缆与电信部门连接，带宽采用100M；固定终端采用ADSL，带宽采用8M；移动用户通过联通的CDMA无线网卡，带宽采用2M，来组建供电企业的信息网络，采用虚拟专用网络技术实现偏远乡镇供电所网络接入，能够较好地解决其信息化建设初期信息传输的通道问题。

　　3.1供电所、直属单位（如物资、安装、维修等部门）与供电公司总部之间不通过专线互联，通过Internet提供远程接入。

　　3.2公司内部员工在家或外出时能够通过互联网既方便又安全地访问公司的信息网络。

　　3.3电力巡徊服务车在进行移动值班时，可以进行移动办公，与局端的95598呼叫中心时刻保持联系，时事进行数据交换。

　　3.4提供了安全的访问和控制机制。

　　3.4.1强有力的用户身份认证和安全机制，确保企业内部信息网络免受非法用户的恶意访问和攻击。

　　3.4.2强有力的访问控制机制，确保用户通过认证后只能访问到被授权允许的内容。

　　3.4.3数据加密功能，避免敏感信息被窃取和篡改。

　　3.4.4抵御针对安全、设备与系统软件集成方面的攻击，并对客户端提供安全脆弱性检查的功能。

　　3．5远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；如果再使用IP电话，网内通话费用可以为零。

　　3．6降低了信息网络的建设和维护成本。

　　3．7为满足以后电力行业网络需求，提供了一整套先进、完整、实用、可扩展的系统应用，如视频会议、IP电话等业务。

　　大多数供电企业建设了MIS系统、OA系统，并建立了自己的企业网站，实现各个所（站）、企业直属单位与局端进行数据、语音、视频的联网及互联网络的安全，为MIS以及各种办公自动化软件提供安全、经济、稳定、高带宽的数据通道；以便于统一管理，提高工作效率和工作质量，同时节省各终端与局端的通话费用。

　　迈普系列的VPN安全网关，带有标配4个百兆以太口，VoIP插槽可插入VoIP语音模块，实现VoIP与VPN的融合，为视频会议、IP电话、数据等业务提供了很好的扩展性。在本文中，我们以迈普系列的VPN产品为例，作一下具体组网、设置等技术方面的介绍。

5.1 解决方案网络拓扑（见图1）

 

图1  供电企业的VPN网络拓扑图

 

                          

5.2 方案说明

　　5.2.1线路选择

　　局端：通过一条100M的光纤连接电信部门的Internet，100M的带宽可以保证高速的Internet上网，与办公MIS、各供电所、局直属单位的高带宽通道连接。按高清晰视频计算带宽，一路视频需要256K，32路高清晰视频，只需要8M带宽就能满足需求。换句话说，8M的带宽可以完全满足32个终端的视频会议业务。按照G.729语音编码标准，一路语音只需要12K带宽，所以语音几乎不会占用超过100K的带宽^{[ 3]}。

 终端：租用电信部门的ADSL线路，下行2 — 8M带宽，上行512K带宽，完全可以满足MIS、OA办公、视频、语音通信。

　　5.2.2 VPN安全网关选择

　　在局端、终端放置VPN安全网关，建立IPsec VPN隧道，为供电企业内部数据创建一条安全的通道，VPN网关通过IPsec的加密算法为数据进行加密，防窜改、地址欺骗；同时在局端统一放置一台CMS电子证书管理系统，为整个的VPN安全网关颁发电子证书，保证网关之间隧道建立的高安全性认证手段。在局端通过网管软件，对整个VPN网关进行全面的网管。

局端：配置迈普VPN3020安全网关（见图2），MPSec VPN3020标配4个百兆以太口，明文吞吐能力达到100Mbps，3DES加密吞吐量达到56Mbps，处理速率800MHZ，隧道数支持6000个，支持双电源冗余。

 

图2  MPSec VPN3020安全网关外观图

 

 

　　终端：配置迈普VPN3005安全网关（见图3），MPSec VPN3005C标配2个百兆以太口，最多支持3个以太接口，密文吞吐量达到10Mbps，支持隧道数为200个，并提供VoIP插槽可插入VoIP语音模块实现VoIP与VPN的融合。

 

图3  MPSec VPN3005C安全网关外观图

 

 

5.2.3 安全防火墙

　　采用3Com防火墙，该设备的IPsec隧道方式提供网关到网关以及客户端到网关的VPN连接，用于分支机构，远程工作人员，客户以及合作伙伴对企业网络的访问。

同时，3Com 防火墙支持GroupVPN配置功能，一个Group VPN允许100个使用IKE方式的VPN客户端接入。3Com防火墙还提供客户端VPN软件SafeNet/IRE VPN。

5.2.4 IP语音网关选择

　　整个网络通过迈普IP语音网关设备，进行语音的互连互通，保护电力企业现有的网络投资，不改变其原有的拨号习惯、无需进行大的网络布线改造，即可轻松实现系统内部的“零”话费。

多数的供电企业在局端安装了PBX程控交换机，只需放置MyPower VG2000，即可通过E1、VOP、VOS、E&M中继模块实现PBX和IP语音网络的互连互通^{[ 3 ]}；在终端MPSec VPN3005集成了IP语音功能，可以实现1路或者是2路的语音电话接入。

5.3 迈普VPN隧道方案优势

5.3.1全面网管

　　迈普安全管理平台，以VPN业务网络的拓扑为管理核心；监控和管理隧道异常方便，用户访问控制策略的制定非常简单, 使用集成的网络拓扑管理、性能管理和故障管理来保证供电企业信息管理人员对网络结构和运行情况一览无遗；使用多种性能故障告警方式来保证网络运行故障实时通知管理人员；管理人员能够在一个平台内就可以管理VPN网络内的所有设备，为维护工作带来极大的方便（见图4）。

 

图4  网络管理界面

                         

5.3.2高安全性

　　迈普安全网关完全支持标准的X.509证书体系，可以通过迈普数字证书系统CMS和多种第三方的CA软件进行统一证书管理，提供最高安全性的认证方式，迈普VPN网关还支持DES、3DES、AES等多种国际标准加密算法，并支持高强度专用国密办SSP02加密算法，密钥长度最高可达256bits，安全强度高，计算速度快。

5.3.3．高稳定性

　　迈普VPN3020B/VPN3005网关支持双电源备份、链路备份、负载均衡、配置文件备份等多种备份方式。保证系统运行的稳定性和连续性，且迈普VPN设备具有DPD功能，可以探测到由于网络故障等原因造成的隧道断开，可以避免VPN设备在网络出现故障时，两端VPN设备的状态不同步，从而进行备份的切换和隧道的从联，更有效地保证了隧道的畅通。

5.3.4. 可扩展性良好

　　迈普VPN3005集成安全、语音、路由等功能于一身，模块化设计，可提供专线或拨号的备份接口，同时可以根据用户需求，提供1路或2路的IP语音模块接入；

标配2个百兆以太口，都可以进行视频、数据连接。对视频业务的实现，预留了接口。

5.4 迈普IP语音方案优势

5.4.1易使用性

　　从建设的角度看，IP语音系统的“易使用”体现为“四不”原则，即不改变原有的网络结构、不改变原有的电话号码、不改变原有的拨号方式、不影响原有的业务数据。

从应用的角度看，IP语音系统的“易使用”落实在对多种增值功能的有效支持上。为提高办公效率的需求，可增值的功能包括：呼叫转移/等待/保持/转接、多方会议、热线拨号、IP传真、缩位拨号、一机多号、一号多机、黑白名单和智能语音提示。

5.4.2高适应性

　　IP语音系统具有覆盖广、应用环境复杂的特点，需要覆盖到各级机构接入方式各异，应用模式也不尽相同。首先，IP语音系统必须基于标准协议，以便支持多厂商设备的互联互通；其次，IP语音网关必须提供灵活的接入能力，不但提供E1（支持PRI信令）数字接口，还可以提供E&M、VOP和VOS等模拟接口，以满足不同的接入需要；最后，IP语音网关应该支持“忙音识别”技术，能够检测各类PBX的摘挂机信号，以便与原有的语音系统顺利对接 ^{[ 4]}。

5.4.3高质量

　　IP语音系统的基本功能是语音通信，如果没有良好的语音质量，IP语音技术所具有的一切优势难以得到体现和认可。因此需要采用一系列专门的机制来保证通话质量。语音质量保证机制包括：高质量的语音编码、时延及时延抖动抑制、快速转发、丢包补偿、舒适噪声、回波抵消以及智能切换。

　　科学证明，人耳对话音的时延和时延抖动非常敏感，为保证通话质量，有效抑制时延和时延抖动是非常必要的。时延包括网络传输时延、编码及打包时延、处理时延和抑制缓冲区时延。从技术角度，网络传输时延不可控，对时延的抑制主要考虑从其他几种时延因素入手。因此，IP语音网关最好是采用分布式的硬件架构，必须由单独的DSP媒体卡处理语音并打包发送，还应该支持高性能的快速转发机制。

　　由于网络拥塞等原因而引起的数据包丢失会造成语音、语义的断续，因此IP语音网关必须具备舒适噪声和分组丢失补偿机制来还原丢失的数据包，从而保证通话的连贯性。

　　在IP语音系统中，回波是一个常见现象，严重的回波反射将对通话质量产生显著的影响。回波路径是一个可变参数，通常在30ms-60ms左右，所以IP语音网关不仅要具备回波抵消器，回波抵消器还必须具有自适应能力，支持回波抵消长度在0-128ms的范围内可配置，满足现有各种场合的应用需求^{[ 5 ]}。

　　考虑到IP网的Qos机制尚不完善，为保证通话质量，IP 语音网关还必须具有智能切换功能，以便在网络带宽不够时，对当前呼叫实现由IP网到PSTN线路的平滑切换，从而保障通话的正常进行。

5.4.4高可靠性

由于IP语音将成为企业内部办公沟通的一种有效工具，保证IP语音系统的可靠性是首要的设计原则。为实现高可靠性，IP语音系统应具有以下特性：

5.4.4.1 断电保护

　　普通PBX或IP语音设备面临的最大挑战是网络不通或停电的时候没有办法使用。因此，IP语音系统是否支持断电保护功能，能够根据网络的实际情况在IP网与PSTN之间实现透明切换，是衡量其可靠性的一个重要指标。

5.4.4.2网守冗余

　　网守实现地址解析、接入控制、带宽管理等诸多关键功能，是整个IP语音系统的“大脑”所在。为保证IP语音系统的正常运行，网守冗余功能必不可少。针对电力企业稳定性的特殊需求，网守冗余机制应包括：分级网守、智能网守和网守热备。这三种机制既互相独立又彼此关联，从三个层次上充分保证了网守的可靠性。

5.4.5 高扩展性

　　IP语音系统是电力未来电子业务平台的重要组成部分，在容量和应用模式两个方面具有高度的扩展性。IP语音系统应采用模块化结构，以便电力企业根据未来业务结构的变化和业务量的增长情况，灵活地选配各种功能模块，从而实现IP语音系统从应用模式到系统容量的无缝升级^{[ 6 ]}。

　　VPN以其自身成熟的技术，低廉的投资和运行费用，以及组网的灵活性、安全性、经济性、扩展性等各方面的优势，将在电力系统内部得到广泛的应用。为电力MIS、办公自动化等应用系统提供了一个集成语音、视频、数据需求的VPN解决方案。通过对信息资源的有效开发和利用，服务于企业发展目标，提高企业竞争力。从而促进了企业的现代化管理，提高了企业整体管理水平和经济效益。