圖4 用電信息采集系統(tǒng)

4.3 分布式部署方式中二三層技術應用比較

現有電力行業(yè)的傳輸資源和網絡基本覆蓋到110 kv變電站，各個基本的OLT需要與變電站中的傳輸設備或已有的數據網設備連接，從而實現各種信息數據的長傳。在應用EPON技術建設用電信息采集系統(tǒng)過程中，為避免三層設備全部集中于主站系統(tǒng)造成安全風險，大規(guī)模組網情況下需要EPON網絡承擔分3層功能，分析如下。

1)純2層網絡存在安全隱患。純2層網絡為1個大的廣播域系統(tǒng)抄表總站的網絡設備與每一個采集器都直接互通，存在廣播風暴、ARP攻擊等各種安全隱患，對整個網絡產生巨大影響，如消耗設備的CPU資源、搶占上行的鏈路帶寬導致正常業(yè)務異常。另外，ARP攻擊會造成CPU利用率直線上升，甚至造成CPU滿負荷工作，短時間內無法響應外界正常請求。EPON系統(tǒng)包含3層路由設備，3層設備可以天然隔離廣播風暴和ARP攻擊，即使網絡中發(fā)生這些異常時，可以把異常產生的負面影響控制在其相應的VLAN區(qū)域內，避免對整網產生影響。

2)純2層網絡對系統(tǒng)抄表總站的設備壓力巨大，并且存在VLAN資源不夠的問題。純2層網絡為1個大的廣播域系統(tǒng)抄表總站的網絡設備與每個采集器都直接互通，因此每個采集器的數據報文都需要直接透傳到系統(tǒng)抄表總站的網絡設備上。據了解全國有260多萬個采集器，平均每省有近10萬個，這樣系統(tǒng)抄表總站的網絡設備需要終結10萬個采集器的VLAN數據報文，對總站網絡設備的要求很高。另外，VLAN ID的資源只有1～4 096，與10萬個采集器的需求相比遠遠無法滿足。雖然采用QinQ等多層封裝的技術可以解決問題，但這樣會造成巨大的整網配置工作量和管理復雜度，增加后期定位解決問題以及擴容成本。

3)純2層網絡的QOS能力很差。采用純2層組網時從采集器、集中器、ONU、OLT直到抄表總站的網絡設備QOS保障能力很弱，在這種情況下無法對來自同一個采集器的多種業(yè)務進行區(qū)分，無法實現端到端的QOS保證。雖然2層網絡中VLAN TAG中帶有802.1p優(yōu)先級的字段，但是多個采集器上的報文，經過集中器、ONU、OLT的層層匯聚之后802.1p的幾個優(yōu)先級，根本無法再區(qū)分出各自的業(yè)務，實現端到端的精細化QOS管理。

4)純2層網絡實現廣域網接口部分技術復雜，不便維護。一般網絡構架均通過3層路由設備上接SDH傳輸網絡，如果用電信息采集系統(tǒng)規(guī)模建設時，應參考此模式，只有網絡規(guī)模較小時候可以考慮純2層設備上聯(lián)SDH網絡。當純2層組網時，OLT以及總站設備E1/STM-1等廣域網鏈路必須使用“橋接”等陳舊且復雜的2層技術，一一配置VLAN和SDH通道的對應關系，增加網絡配置工作量和維護的難度，增加設備的處理壓力。

從上分析，同時結合后續(xù)實際運行維護角度考慮，在用戶用電信息采集系統(tǒng)考慮分布式3層架構比較合適。

4.4 EPON系統(tǒng)的安全可靠性

用電信息采集系統(tǒng)是營銷管理業(yè)務應用系統(tǒng)的基礎數據源的提供者，為了確保系統(tǒng)的安全性和可靠性，首先應做到統(tǒng)一規(guī)劃，全面考慮;應采用多種先進技術，如環(huán)網保護技術、VPN業(yè)務隔離技術、虛擬交換網與EPON融合技術、防火墻技術、加密技術、網絡存儲與備份技術、網絡管理與用電采集器/集中器統(tǒng)一管理技術等，在系統(tǒng)的各個層面(操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)、網絡系統(tǒng)等)加以防范;另外，在系統(tǒng)的日常運行管理中，加強規(guī)范管理、嚴格安全管理制度。

用電信息采集系統(tǒng)劃分為網絡、邊界、主機、應用4個層次進行安全防護設計，以實現層層遞進，縱深防御，EPON設備在滿足系統(tǒng)可靠性的基礎上應滿足用電信息采集系統(tǒng)的網絡、邊界安全防護要求。用電信息采集系統(tǒng)應首先考慮架構安全性，采用IP千兆環(huán)網+EPON無源光網絡技術。EPON系統(tǒng)除基本的EPON協(xié)議外，還必須考慮骨干網絡的可靠性和健壯性，應具有豐富的3層特性、2層特性、多種端口種類、高可靠性、高性能的特點。110 kV/35 kV配變核心主站和及10 kV配變子站組建千兆IP主干環(huán)網，通過快速環(huán)網保護協(xié)議實現主干環(huán)網高帶寬以及小于50 ms快速無縫切換的功能，全面提高主干環(huán)網效率及可靠性。整個網絡向上接入電力數據通信骨干網，向下接入本地集抄網，實現全省數據網與集抄網的無縫接入。如圖5所示。

圖5 OLT環(huán)網架構

放置用電信息采集終端的公變開閉所、環(huán)網柜至配變子站的分支網采用無源光網絡EPON接入技術高效利用光纖資源，就近接入，OLT單設備通過雙主控備份、電源備份解決硬件單點故障隱患點。OLT通過快速環(huán)網保護技術組環(huán)實現鏈路和設備備份。安全可靠性得到極大提升。用電采集系統(tǒng)與其他外系統(tǒng)間的邊界網絡接口必須考慮安全防護。因此EPON系統(tǒng)架構時候必須考慮以下幾點。

1)域間訪問控制：在不同的安全域之間對所交換的數據流進行訪問控制，包括連接請求、通信流量、入侵檢測等。

2)遠程接入安全防護：對于遠程訪問，應當在信息邊界采用認證加密等手段進行相應的安全防護。

3)對外服務安全：對通過邊界提供給外系統(tǒng)的數據，要有相應的數據校驗和審核機制，對數據的流出做好記錄。

EPON系統(tǒng)應通過ACL訪問控制列表進行數據訪問控制、內置或通過其他防火墻設備進行外部鏈接檢測、防病毒、對外部流量進行入侵檢測;對于遠程接入和網管防護，EPON系統(tǒng)應考慮SSH安全登錄技術、遠程網管協(xié)議SNMP V3。實現不同用戶不同訪問、控制權限，并且保證遠程登錄不會被竊聽、盜竊帳號、密碼。EPON系統(tǒng)應考慮安全日志功能記錄異常信息，還應考慮流量統(tǒng)計對網絡流入流出數據進行實時監(jiān)控分析、及時對異常流量采取防護措施，建設一套網絡7×24 h安全保護機制。

5 結束語

用電信息采集系統(tǒng)的建設作為一個長遠的綜合系統(tǒng)工程，必須在網絡架構、網絡安全、后期維護、系統(tǒng)管理等多方面進行考慮，因此EPON系統(tǒng)也必須滿足上述要求， EPON作為點對多點的光纖接入技術無疑是用電信息采集系統(tǒng)數據通信網絡的最佳方案。