作者：谢乐天刘利成单位：巢湖供电公司

由于EPON系统包含三层路由设备，可以天然隔离广播风暴和ARP攻击，即使发生异常，也可以把负面影响控制在其相应的VLAN区域内，避免对整网产生影响。所以，从后续实际运行维护的角度考虑，用户用电信息采集系统采用分布式三层架构比较合适。

网络物理规划。巢湖供电公司电力用户用电信息采集系统的通信方式，对公用配变用户信息的采集，采集主站到集中器使用光纤通信，集中器到采集器采用电力线载波通信的方式。对专用配变用户信息的采集，采集主站到专变采集终端采用的光纤通信的方式。根据巢湖市配网的结构和城市道路的走向，电力用户用电信息采集系统现期的光纤网络分为三个主环，然后采用分支到集中器和专变采集终端的方式。由于采集系统主站到采集终端是点到多点结构，故采用无源光纤以太网，简称EPON，网络的拓扑图如图一。EPON网络的主要优点是点到多点结构，且光纤的分支点使用的光分配器ODN是无源的，不需要电源，施工方便，运行安全可靠。由于只在集中器和专变采集终端设置IP地址，采集器不设置IP地址。巢湖电网集中器和专变采集终端数量按1万台考虑，网络按中规模网络进行规划。三个环网的局端设备OLT设备通过光纤网络汇聚到一台H3CS-7502的光交换机上之后，再通过综合数据网NE40的VPN通道，接入省电力公司的电力用户用电信息采集系统主站。

网络物理保护。由于EPON网络不支持环网结构，为对采集系统网络进行保护，我们采用双局端设备OLT，光纤用“手拉手”方式进入用户端设备ONU。ONU配备一主一备双光口，当光纤故障造成主光口无信号时，设备自动启用备用光口，ONU与采集设备采用双绞线连接。由于只在采集终端配置IP地址，ONU不需配置IP地址，故ONU在主、备光口切换时不需要重新配置IP地址，从而实现了信道的自动切换。“手拉手”的两根芯可以使用同一根光纤以节省投资，网络保护结构如图二。二、电力用户用电信息采集系统网络逻辑安全措施用电信息采集系统的逻辑安全采取四项措施。措施一为终端认证，ONU通过对集中器进行MAC认证以及IP对MAC绑定，实现对终端的安全识别，同时限制用户接入的速率，避免对上层网络和系统的流量冲击。

此外OLT还可以对ONU进行接入的安全认证，避免非法ONU的接入。措施二为ONU与采集终端的隔离。网络的IP地址只设置在采集终端上，ONU统一不设置IP地址，ONU采用厂家提供的网管系统管理，使用非IP协议，避免遭受IP类网络攻击。措施三为安全检测与防御。在OLT设备处部署业务识别系统，对终端业务的合法性进行实时检查，一旦发现非法操作或入侵操作立刻告警甚至切断该业务。为了方便管理和维护，应及时对业务特征库进行集中更新。措施四为业务隔离，通过ONUUNI的端口隔离、OLT的PON端口隔离和网关的网段隔离，实现各终端间的业务隔离，避免相互干扰和控制；同时ONU与OLT之间采用加密方式进行通信，确保信息传输的安全性。通过以上四项措施的实施，确保了合法终端和合法业务的接入，有效避免黑客对用电信息采集系统和周边系统的入侵，确保用电信息采集系统网络安全。

目前，巢湖电网电力用户用电信息采集系统光纤网络建设已经按上述规划完成，投入运行后的网络数据通信稳定，安全性能符合要求。根据采集系统运行情况统计，系统的一次采集成功率达到99.2%，周期采集成功率达到100%，未发现系统被入侵的现象。故网络规划是安全的，可供其它单位在系统网络建设时作为参考。