鄂北地區(qū)水資源配置工程通信專網(wǎng)建設實踐

夏玉龍 何永煜 陶鋒

摘要：鄂北地區(qū)水資源配置工程沿干線鋪設了通信光纖，穿越超長隧洞、倒虹吸等建筑物。面臨惡劣復雜的外部環(huán)境，通信線路需具備抗壓、抗干擾、防水防潮的能力，以及及時發(fā)現(xiàn)故障并對單點故障甚至多點故障進行處置和修復的能力。通過優(yōu)化通信網(wǎng)絡設計，建設了光纖在線監(jiān)測系統(tǒng);采用單節(jié)點環(huán)多業(yè)務傳送平臺（PTN）傳輸網(wǎng)絡，增設了多路復用的通信線路。以上措施有效提高了鄂北工程通信網(wǎng)絡的可用性、穩(wěn)定性、保密性，保障了工程信息系統(tǒng)的高效運行。

關鍵詞：通信專網(wǎng);單點環(huán)網(wǎng);PTN;在線監(jiān)測;鄂北地區(qū)水資源配置工程

中圖法分類號：TN929.5

文獻標志碼：A

DOI：10.15974/j .cnki.slsdkb.2020. 10.015

鄂北地區(qū)水資源配置工程（以下簡稱“鄂北工程”）位于湖北省北部地區(qū)，以丹江口水庫清泉溝輸水隧洞為起點，途經(jīng)3市7縣（襄陽市的老河口市、襄州區(qū)、棗陽市，隨州市的隨縣、曾都區(qū)及廣水市，孝感市的大悟縣），終點為大悟縣王家沖水庫。工程線路全長269.67 km，年均引水量7.7億m3，設計供水人口482萬人，灌溉面積約24.23萬hm2（363.5萬畝）。鄂北工程的建成將有效解決鄂北地區(qū)水資源短缺問題，滿足鄂北受水區(qū)生活、生產(chǎn)以及生態(tài)用水需求，促進鄂北地區(qū)經(jīng)濟社會可持續(xù)發(fā)展。

鄂北工程信息化系統(tǒng)是利用信息采集技術、信息處理技術、自動化控制技術、計算機網(wǎng)絡技術、通信技術等建設的一套完善、先進的信息系統(tǒng)，協(xié)助工程高效運行維護管理，實現(xiàn)全線水量統(tǒng)一調度、全線輸水自動控制，為保障工程安全、高效運行提供信息化支撐。

通信系統(tǒng)是鄂北工程信息化建設的信息傳輸基礎性項目。通信傳輸系統(tǒng)是通過建設覆蓋工程各級管理機構的傳輸骨干網(wǎng)，可為工程各類信息（包括沿渠信息點的數(shù)據(jù)、圖像、語音等）傳送提供基礎傳輸平臺。

1 通信專網(wǎng)建設模式、任務與需求

1.1 通信專網(wǎng)建設模式

鄂北工程是湖北省水利建設史上投資最大的水利工程，通信系統(tǒng)的安全穩(wěn)定關系到工程的正常調度，事關鄂北地區(qū)幾百萬人的生產(chǎn)生活用水，一旦通信網(wǎng)絡系統(tǒng)出現(xiàn)安全事故，將造成重大影響。通信網(wǎng)絡是數(shù)據(jù)傳輸?shù)妮d體，是保障信息安全的關鍵一環(huán)。建設通信網(wǎng)絡過程中，通過優(yōu)選通信網(wǎng)絡建設模式，增加通信安全防護手段，可有效保障通信數(shù)據(jù)傳輸?shù)姆€(wěn)定安全。

鄂北工程通信專網(wǎng)專門為鄂北地區(qū)水資源配置工程建設與管理局（以下簡稱“鄂北局”）總調中心和3個建設管理部（以下簡稱“建管部”）對77個閘站點（38個一級閘控點和39個二級閘控點）實施遠程控制，并與互聯(lián)網(wǎng)邏輯隔離。經(jīng)多方考察調研，綜合統(tǒng)籌通信網(wǎng)絡建設的安全性、經(jīng)濟性、可行性，鄂北工程通信系統(tǒng)采用自建專網(wǎng)、共建專網(wǎng)、租用公網(wǎng)相結合的建設方式。沿輸水渠道自建專網(wǎng)，負責沿渠信息點的數(shù)據(jù)、圖像、語音等信息的傳輸;鄂北局現(xiàn)場建管部至渠系建筑物采用與運營商共建專網(wǎng)，負責現(xiàn)地與建管部之間的通信;鄂北局現(xiàn)場建管部至鄂北局機關總調中心采用租用公網(wǎng)的方案，負責現(xiàn)場管理部門與全局總調中心之間的通信。

1.2 通信專網(wǎng)建設任務

通過科學合理的建設模式，構建實用、先進、安全、經(jīng)濟的通信與信息網(wǎng)絡，覆蓋各級管理機構、相關協(xié)作部門、工程現(xiàn)場監(jiān)測點，保障工程各系統(tǒng)數(shù)據(jù)、信息、視頻、控制等業(yè)務互相傳輸?shù)耐ǖ?，實現(xiàn)各類數(shù)據(jù)信息的交互傳輸…。通信系統(tǒng)包括通信傳輸設備（含設備機柜）、通信光纜、光纖在線檢測設備、儀器儀表、通信語音設備、電路租用等。通信專網(wǎng)的建設任務包括：

（1）建設通信傳輸系統(tǒng)。保障鄂北局、各建管部、各閘站間數(shù)據(jù)、視頻等業(yè)務傳輸。

（2）鋪設通信干線光纜。沿工程線路敷設干線光纜至每個閘站，將各閘站與建設管立部的傳輸設備相連并組成環(huán)路，保障各種數(shù)據(jù)、視頻會議等傳輸通道的安全性，并能保障水文管理人員隨時調用和控制閘站設備。

（3）鋪設通信支線光纜。沿工程線路敷設支線光纜至每個監(jiān)控監(jiān)測點，以保障監(jiān)控監(jiān)測點的水資源監(jiān)控數(shù)據(jù)能實時傳輸至建設管理部。

（4）建設通信語音系統(tǒng)。保障鄂北局、各建管部、各閘站間的語音通話需求。

（5）部署光纖在線檢測系統(tǒng)。自動檢測光纖狀態(tài)，及時告警通信線路故障。

1.3 通信專網(wǎng)帶寬需求

通信系統(tǒng)主要承載水資源配置系統(tǒng)、工程安全監(jiān)測系統(tǒng)、視頻監(jiān)控系統(tǒng)、綜合信息服務系統(tǒng)等應用系統(tǒng)信息，數(shù)據(jù)類型分為兩大類：視頻類業(yè)務，包括視頻監(jiān)控、視頻會議、視頻電話;普通數(shù)據(jù)類業(yè)務，包括來自控制專網(wǎng)采集的閘站數(shù)據(jù)、綜合信息服務及辦公系統(tǒng)的業(yè)務。據(jù)初步測算，鄂北局總調中心到各建管部的帶寬需求見表1，各建管部到工程沿線的帶寬需求見表2。

2 PTN在鄂北工程中的應用優(yōu)勢

鄂北工程調度系統(tǒng)對傳輸帶寬需求較大、對線路的安全性和可靠性要求較高，傳輸線路采用基于MPLS-TP技術的PTN[2]，完全兼容MSTP功能，在提供分組業(yè)務的同時還能實現(xiàn)TDM和ATM業(yè)務的接人、處理和傳送。傳送平臺通過整合接人功能層所需的不同設備的類型和數(shù)量，來簡化邊緣網(wǎng)絡結構，從而減少所需網(wǎng)絡管理系統(tǒng)的數(shù)量以及安裝、配置和維護網(wǎng)絡所需的資源。該平臺既具備技術的先進性，又節(jié)約了建設成本和維護成本，滿足鄂北工程沿線業(yè)務數(shù)據(jù)傳輸需求[3]，其優(yōu)勢體現(xiàn)在：

（1）基于MPLS-TP的PTN技術為承載數(shù)據(jù)業(yè)務的主流技術，與傳統(tǒng)的SDH網(wǎng)絡兼容性較好;

（2）PTN二層交換功能優(yōu)于傳統(tǒng)SDH，同等設備情況下，建設成本低于傳統(tǒng)SDH;

（3）支持多業(yè)務能力，帶寬利用率高，節(jié)省寬帶接入網(wǎng)的建設成本;

（4）組網(wǎng)靈活，具有很強的業(yè)務匯聚能力，通過L2交換實現(xiàn)業(yè)務的匯聚并可以利用Vlan保證匯聚業(yè)務的安全隔離。采用區(qū)分服務（ DiffServ）機制，完整實現(xiàn)8組標準定義PHB（BE、AF1、AF2、AF3、AF4、EF、CS6、CS7），用以區(qū)分對時延、帶寬等不同要求的業(yè)務，提供不同的服務策略;

（5）極高的安全性，能提供端到端的服務質量保證，數(shù)據(jù)在整個網(wǎng)絡的傳送過程中（從源端到目的端）可獲得QoS服務質量;

（6）提供長距離高質量傳輸服務，由于兼容MSTP功能，利用MSTP的VC虛級聯(lián)特性，數(shù)據(jù)業(yè)務通過原有的省網(wǎng)骨干和長途骨干網(wǎng)傳送，提供跨地域端到端、高質量保證的互連服務;

（7）網(wǎng)絡管理能力強大[4]，可以提供類似SDH豐富OAM開銷的能力;實現(xiàn)了分層的網(wǎng)絡故障自動檢測、保護倒換、性能監(jiān)控、故障定位、信號的完整性等OAM功能;實現(xiàn)了業(yè)務的端到端管理和級聯(lián)監(jiān)控，以滿足電信級網(wǎng)絡管理維護的要求;實現(xiàn)了傳輸網(wǎng)與業(yè)務網(wǎng)的統(tǒng)一。

3 通信專網(wǎng)建設方案

3.1 單節(jié)點組環(huán)方案

從鄂北局總調中心租用3條電路分別至3個建管部（棗隨部、丹襄部、廣悟部）。3個建管部均設置PTN匯聚點，分別將轄區(qū)內閘控點組成1個環(huán)網(wǎng)，采用隔點跳接組網(wǎng)方式連接。為了保證網(wǎng)絡的安全性，防止一條光纜意外斷掉后環(huán)網(wǎng)業(yè)務中斷的情況，PTN環(huán)網(wǎng)路分別敷設兩條光纜，每個PTN環(huán)分兩個方向采用不同光纜方式相連，連接方式見圖1。

3.2 雙節(jié)點組環(huán)方案

從鄂北局總調中心租用電路分別至3個建管部（棗隨部、廣悟部、丹襄部），其中丹襄部和棗隨部作為兩個匯聚節(jié)點組成2個環(huán)網(wǎng);棗隨部和廣悟部作為兩個匯聚節(jié)點組成2個環(huán)網(wǎng);丹襄部和廣悟部分別各自組成1個環(huán)網(wǎng)。3個建管部之間通過光纜跳接連接相鄰兩個節(jié)點，網(wǎng)絡結構見圖2。

3.3 傳輸組網(wǎng)方案比選

從經(jīng)濟性、業(yè)務調度、管理維護等多方面考慮，鄂北工程通信系統(tǒng)采用單節(jié)點組環(huán)方案，傳輸網(wǎng)絡覆蓋鄂北局、3個建管部和38處閘一級站點。

（1）雙節(jié)點組環(huán)方案的兩個匯聚節(jié)點之間直連的光纜傳輸距離過長，每個環(huán)都需要配置多個光放，導致環(huán)網(wǎng)建設成本大幅上升。而單節(jié)點組環(huán)方案由于采用間隔式選點組環(huán)，節(jié)點之間的鏈路距離不會過長，光放站數(shù)量大幅減少，總體投資較雙節(jié)點方案低。從投資效益比來看，單節(jié)點組環(huán)方案更優(yōu)。

（2）單節(jié)點組環(huán)方案更便于業(yè)務調度及管理維護。鄂北工程輸水沿線有38個一級閘控點和39個二級閘控點，根據(jù)屬地特點分由3個建管部管轄，由于雙節(jié)點組環(huán)方案是跨區(qū)域組網(wǎng)，會導致閘控點之間組網(wǎng)結構和歸屬關系不清晰，給管理帶來混亂。同時跨區(qū)組網(wǎng)也會導致運行維護成本上升，業(yè)務調度變得復雜。

（3）在網(wǎng)絡穩(wěn)定性方面，雙節(jié)點組環(huán)方案較單節(jié)點組環(huán)方案更有優(yōu)勢，但單節(jié)點組環(huán)方案能有效避免單點故障，即在出現(xiàn)兩點或多點故障時，故障點間受影響的閘測點數(shù)據(jù)就會出現(xiàn)無法到達總調中心的情況，其他節(jié)點數(shù)據(jù)仍可以正常到達。鄂北工程采用雙冗余鏈路組網(wǎng)方式，通過在單環(huán)網(wǎng)結構中增加冗余線路，一主一備的線路隨時切換，提高單節(jié)點環(huán)網(wǎng)的抗風險能力。綜合分析，單節(jié)點組環(huán)方案的抗風險及保障數(shù)據(jù)穩(wěn)定性能力基本能夠滿足鄂北工程要求。

4 通信線路在線監(jiān)測

鄂北工程光纜監(jiān)測系統(tǒng)采用編碼調制的連續(xù)脈沖組對光纖進行實時探測，分析、計算調制信號在光纖中的衰減和反射來實現(xiàn)光纖的精確測量和故障定位;故障點在網(wǎng)管軟件上可直觀顯示，便于維護人員及時排除故障;結合光纖衰耗曲線，提前預警光纖故障;通過發(fā)送郵件和現(xiàn)場聲光等多種告警方式及時通知運維人員，系統(tǒng)可在極短的時間內反映故障信息。系統(tǒng)還提供資源管理及信息查詢、系統(tǒng)配置管理及日志管理、用戶管理、數(shù)據(jù)管理、接口管理功能，有效解決了光纜線路維護難的問題，實時監(jiān)控光纜線路的劣化狀況，提高故障發(fā)現(xiàn)和定位速度，提高線路維護效率。

4.1 光纜監(jiān)測系統(tǒng)結構

光纜監(jiān)測系統(tǒng)由監(jiān)測中心（PM）、區(qū)域監(jiān)測中心（IMC）和監(jiān)測站（RTU）組成[5]，如圖3所示。光纜監(jiān)測系統(tǒng)采用靈活的多級網(wǎng)絡結構，以適應光纜資源的維護管理體制。其中，各LMC可根據(jù)所選擇的監(jiān)測方式，選配與自動測試有關的組成部分[6]。光纜監(jiān)測系統(tǒng)作為管理域的一個子網(wǎng)，介入被監(jiān)測的光纜線路及后續(xù)系統(tǒng)升級，均不影響現(xiàn)有光傳輸系統(tǒng)的傳輸性能。

4.2 光纜監(jiān)測系統(tǒng)工作原理

監(jiān)測中心負責對各監(jiān)測站進行控制，是采集和處理數(shù)據(jù)的中心，由控制器（服務器、客戶機、工作站）、路由器、集線器/交換型集線器、網(wǎng)絡適配器、MODEM、打印機及相應的軟件等組成。PMC 一般采用主備用方式。

監(jiān)測站負責對光纜線路進行遠程自動監(jiān)測，跟蹤光纖傳輸損耗的變化，由告警監(jiān)測模塊、OTDR模塊、控制模塊、電源模塊、程控光開關、WDM（波分復用器）、濾光器、MODEM、路由器、網(wǎng)絡適配器及相應的軟件（含OTDR仿真軟件）等組成，通常安裝于傳輸機房用的標準機架內。光纜監(jiān)測系統(tǒng)采用模塊化、分布式多級體系結構，可有效預防和減少光纜線路障礙，實現(xiàn)多級監(jiān)測網(wǎng)絡互聯(lián)。

4.3 系統(tǒng)主要功能

監(jiān)測站（MS）光功率監(jiān)測模塊的采集單元（AIU）對被測光纖的光功率進行監(jiān)測采集，并將采集的數(shù)據(jù)傳報到光功率控制單元（ACU）。ACU對監(jiān)測的光功率數(shù)據(jù)進行分析比較，將超過告警門限的光功率數(shù)據(jù)及時傳報給LMC。LMC對各光功率控制單元傳報的數(shù)據(jù)進行分析、統(tǒng)計，對發(fā)生超出門限值的光功率變化進行告警，統(tǒng)計、判斷出發(fā)生故障的光纜段，自動快速地啟動監(jiān)測站的光時域反射測試儀（OTDR）和程控光開關（OSW）對故障光纜段進行測試。測試后所得的曲線數(shù)據(jù)上傳LMC，由其對測試曲線與參考曲線進行比較分析，確定故障點的位置、類型和告警級別;發(fā)生故障時，可采用聲光告警信息運行維護人員，并通過發(fā)送短信、傳真、郵件等多種方式遠程通知相關人員。

5 網(wǎng)間數(shù)據(jù)交換及數(shù)據(jù)保護

5.1 網(wǎng)間數(shù)據(jù)交換

鄂北工程自動化調度系統(tǒng)在計算機網(wǎng)絡上承載的業(yè)務包括視頻會議、視頻監(jiān)控、閘站遠程控制、數(shù)據(jù)采集與匯聚交換、語音通信、應用系統(tǒng)、互聯(lián)網(wǎng)訪問等。其中，閘站遠程控制對實時性和安全性要求最高，因此，將計算機網(wǎng)絡劃分為閘站遠程控制計算機專網(wǎng)（以下簡稱“控制專網(wǎng)”）和綜合業(yè)務計算機網(wǎng)（以下簡稱“業(yè)務網(wǎng)”）2個網(wǎng)絡建設。

控制專網(wǎng)專門為鄂北局和3個建管部提供76個閘站遠程控制的傳輸，與其他網(wǎng)絡實行物理隔離。業(yè)務網(wǎng)承載除閘站控制之外的所有業(yè)務，包括與全省水利信息網(wǎng)連接，與互聯(lián)網(wǎng)邏輯隔離?？刂茖＞W(wǎng)與業(yè)務網(wǎng)之間設置單向網(wǎng)閘，控制專網(wǎng)采集的閘站數(shù)據(jù)通過網(wǎng)閘傳遞到業(yè)務網(wǎng)，隔離從業(yè)務網(wǎng)到控制專網(wǎng)的數(shù)據(jù)，實現(xiàn)控制專網(wǎng)的物理隔離[7-8]，保護控制專網(wǎng)的安全性?？刂茖＞W(wǎng)與業(yè)務網(wǎng)數(shù)據(jù)交換見圖4。

5.2 數(shù)據(jù)保護

鄂北工程控制專網(wǎng)分別從網(wǎng)絡安全、主機安全、系統(tǒng)安全3個方面，提升安全防護能力。控制專網(wǎng)關鍵部位均部署可靠性高、性能良好的設備，采用模塊化設計，通過雙鏈路連接至調度中心，增強數(shù)據(jù)的可靠性、安全性。

（1）網(wǎng)絡安全防護。除將控制專網(wǎng)與業(yè)務網(wǎng)隔離外，使用單向網(wǎng)閘有效保護控制網(wǎng)數(shù)據(jù)安全，還在控制專網(wǎng)的核心交換區(qū)、服務器區(qū)和運維管理區(qū)部署了防火墻，清洗進出網(wǎng)絡邊界的流量，防范惡意攻擊。同時還建立了入侵防御機制，將IPS部署在控制網(wǎng)的服務器區(qū)邊界，通過IPS對入侵行為進行動態(tài)保護，對訪問狀態(tài)、通信協(xié)議、傳輸內容進行深度檢測，阻斷來自內部的數(shù)據(jù)攻擊及垃圾數(shù)據(jù)流的泛濫。控制專網(wǎng)拓撲圖見圖5。

（2）主機安全防護。在控制專網(wǎng)部署終端準人安全組件，專網(wǎng)主機終端需經(jīng)實名認證，并由準人控制系統(tǒng)核準資源訪問權限后才能進行遠程操作，保證操作可溯可查。網(wǎng)絡配備有安全管理系統(tǒng)，對主機終端系統(tǒng)補丁進行智能化管理，提供可靠的安全運維管控，增強終端安全防控能力?？刂茖＞W(wǎng)內還建設了“私有云”病毒庫，能夠對隔離主機進行病毒查殺，有效保障主機安全。

（3）系統(tǒng)安全防護?？刂茖＞W(wǎng)內部署有堡壘機，統(tǒng)一管理運維賬號，統(tǒng)一分配權限，統(tǒng)一身份認證，統(tǒng)一操作審計，提高運維管理效率。網(wǎng)絡配備有漏洞掃描系統(tǒng)，提高系統(tǒng)安全性;還部署有數(shù)據(jù)庫審計系統(tǒng)、安全日志分析系統(tǒng)，及時告警系統(tǒng)信息安全事件，提供數(shù)據(jù)安全審計，保護控制網(wǎng)的核心數(shù)據(jù)安全。在控制網(wǎng)邊緣部署入侵檢測設備，及時識別安全威脅和風險，提高系統(tǒng)安全性。

（4）數(shù)據(jù)傳輸防護。為防止數(shù)據(jù)傳輸過程被竊聽、篡改，保證數(shù)據(jù)傳輸安全，在控制專網(wǎng)上部署了基于國密算法的安全加密產(chǎn)品，包括標識密鑰管理平臺及閘站PLC前端的遠程通訊模塊，對調度控制中心與現(xiàn)地閘站之間傳輸?shù)臄?shù)據(jù)進行加密保護，確保數(shù)據(jù)在傳輸過程中的完整性、安全性。

6 結語

鄂北工程通信傳輸系統(tǒng)為工程各信息點的數(shù)據(jù)、圖像、語音等提供基礎傳輸平臺。采用基于MPLS-TP技術的PTN組建了鄂北工程專用傳輸光纖網(wǎng)絡，提高了沿線工程采集數(shù)據(jù)傳輸效率，增強了數(shù)據(jù)傳輸安全性;通過建設單節(jié)點PTN環(huán)路，有效避免了單點故障，增強了通信系統(tǒng)抵御風險能力，保障數(shù)據(jù)傳輸?shù)姆€(wěn)定;將控制專網(wǎng)和業(yè)務網(wǎng)進行物理隔離，使用單向網(wǎng)閘進行數(shù)據(jù)傳輸降低了控制專網(wǎng)來自業(yè)務網(wǎng)的攻擊風險，大幅提高其安全性，為鄂北工程信息化系統(tǒng)高效運行提供安全、穩(wěn)定、可靠的基礎設施保障。

參考文獻：

[1] 王靜.現(xiàn)代通信技術在急救指揮調度系統(tǒng)中的應用[J].企業(yè)技術開發(fā)，2015（8）：48-49。

[2]楊凱.水利信息化網(wǎng)絡通信系統(tǒng)設計方案研究[J].水利信息化，2016（2）：45-50.

[3] 陳紅艷，袁輝，張向東.OTN與PTN、SDH技術在電力通信網(wǎng)的應用[J]光通信研究，2013（4）：24-27.

[4] 張淼，宋元勝.水利通信網(wǎng)絡建設與水利信息化[J].內蒙古科技與經(jīng)濟，2004（6）：35-36.

[5]董玟君，林雪龍，陳豐，等.網(wǎng)絡通信系統(tǒng)的風險評估與分析[J].電腦迷，2018（11）：72，74.

[6]史濱媛，現(xiàn)代水利信息化環(huán)境下政府網(wǎng)站發(fā)展的思考[J].海河水利，2014（1）：68-70.

[7] 呂運鋒，通信調度系統(tǒng)在水利工程管理中的應用[J].信息系統(tǒng)工程，2018（7）：54.

[8] 龔科.探究現(xiàn)代通信系統(tǒng)在水利水電工程中的作用[J].現(xiàn)代工業(yè)經(jīng)濟和信息化，2018（ 14）：77-78.

（編輯：李曉瀠）

作者簡介：夏玉龍，男，工程師，主要從事水利信息化建設管理工作。E-mail： 583028652@qq.com