GONGZUOMOSHI
电力专用纵向加密装置有网关模式、透明模式、借用模式、借用1-N模式4种工作模式。其中网关模式利用纵向加密装置作为设备网关,需要修改主站设备和厂站设备的网关地址,对网络结构有较大更改。在地市级调度数据网中应用很少,不在本文讨论范围之内。透明模式指该装置接入后不需要更改主站设备和厂站设备网关地址,只需要纵向加密装置之间做好配置即可。优点是不影响网络结构,发生单机故障时影响节点小;缺点是需要设备数量多,每个业务主机均需要加装1台。借用模式和借用1-N模式相似,纵向加密装置需要借用调度数据网中业务地址或交换机接口地址,再通过Trunk封装方式接入属于不同VLAN的设备。2种模式的差别在于借用模式1个接口只接入1个VLAN标签下的设备;借用1-N模式的1个接口可以接入多个不同VLAN标签设备。2种模式由于组网灵活,所需设备数量较透明模式少,在地市级调度数据网广泛引用。
BUSHUFANGAN
根据国家电网有限公司相关文件要求,纵向加密装置部署在路由器与业务主机之间,由于路由器一般通过交换机作为中介的方式与业务主机实现连接,故纵向加密装置部署方案有2种。a.部署在业务主机与交换机之间。优点是调度中心或者厂站局域网内部地址容易获得,不影响全网已经分配的地址。如果发生纵向设备故障,仅影响单个业务,便于设备管理;缺点是依据业务不同,需要的纵向装置数量很大,每个业务接口都需要配置1台设备,现场业务目前一般有4个实时业务接口和4个非实时业务接口。b.部署在交换机与路由器之间。优点是部署在网络关键路径,不同的业务都可以通过1个或者主、备2个纵向装置对应用的业务进行保护,需要的纵向装置数目比上一种情况少;缺点是如果发生纵向设备故障,影响面积较大。
ZHUZHANCEBUSHUFANGAN
主站侧有多个系统,包括调度技术支持系统、监控支持系统、配电网信息系统、电量采集系统等,需要采集数据的业务主机较多,不适合将纵向加密装置部署在业务主机和交换机之间。主站侧采用纵向加密装置部署在交换机与路由器之间的方式,实际应用时纵向加密装置放置在Ⅰ/Ⅱ区交换机和骨干网交换机之间,采用借用1-N工作模式,部署2台纵向加密装置,每台装置均配置VLAN10、VLAN20、VLAN30、VLAN40等4个VLAN业务地址,实现双机热备用,提高系统冗余程度。主站侧纵向加密装置网络结构如图2所示,配置明细如表1所示。图2主站侧纵向加密装置网络结构表1主站侧纵向加密装置配置明细部署位置主站主站设备名称纵密A纵密BETH0--ETH1地址A1地址B1工作模式借用1-N借用1-NVLAN标识802.1q802.1qVLAN号10、2010、20ETH2--ETH3地址A2地址B2工作模式借用1-N借用1-NVLAN标识802.1q802.1qVLAN号30、4030、402.2.2厂站侧部署方案厂站侧通常在Ⅰ区有2台通信网关机设备,1台安全监测装置,即VLAN101有3个业务地址;Ⅱ区通常有2台电量装置和1台安全监测装置。但是由于Ⅱ区主要采集传输电量相关数据,实时性不高,故有部分厂站只有1台电量装置,所以厂站侧VLAN201中的业务地址数量为2~3个。a.部署在交换机和业务主机之间。每个业务地址需要接入1台纵向加密装置,由于纵向加密装置单台可以接入2个业务地址,所以为满足要求,需要使用C、D、E共3台纵向加密装置。在业务通信接通的前提下,建立加密隧道,需要纵向加密装置3台,建立隧道3~4条,配置策略12~16项。b.部署在路由器和交换机之间,如图3所示,厂站侧纵向加密装置的数量不需要与实际业务主机一一对应,只需要根据与路由器的链路数量进行配置,在调度数据网结构不发生变化的情况下,使用纵向加密装置数量固定为2台。主站侧与厂站侧纵向加密装置建立隧道时,可以有更多的隧道方式,隧道的指向方式更为灵活,系统的冗余程度更高。参照这个策略,为主站侧和厂站侧配置安全策略后,就完成了数据的纵向加密。共需要纵向加密装置2台,建立隧道2条,配置策略8项,此隧道数量不随厂站侧业务主机数量变化。图3厂站侧路由器和交换机之间部署纵向加密装置
2ZHONGBUSHUFANGSHIDUIBI
2种部署方案对比见表2,其中部署在路由器与交换机之间的模式,占用的少量业务地址是厂站VLAN地址,地址存量很充裕,并不会对实际业务造成影响。考虑厂站侧业务存在扩展的可能,兼顾维护成本,建议在路由器与交换机之间部署纵向加密装置。表22种部署方案对比部署位置业务机-交换机路由器-交换机工作模式透明模式借用1-N模式装置数量32隧道数量3~42策略数量12~168优点不占用业务地址,配置隧道和策略数量少,网络模型简单,易于管理厂站侧设备网络模型稳定,新增加业务设备不需要增加装置,后期维护成本低缺点需要部署装置较多,新增加业务设备需要对应增加纵向加密装置,且需要增加相应策略,管理成本和部署成本较高占用少量业务地址,配置隧道和策略数量多,网络初设时业务量较重3设备接入管理除了纵向加密认证,厂站侧设备接入管理也是二次安全防护的重点。虽然纵向加密装置本身具备一定的接口限制能力,但是目前版本多数只支持1个端口限制,并不能通过复杂的策略进行端口管理。针对这项不足,应用ACL(访问控制列表)技术可以很好的解决单个端口的接入限制。目前,ACL在IP网络中的主要应用,就是在路由器和防火墙中的应用。通过ACL的识别和控制功能实现对业务的精确划分;通过配置相应的控制(动作),实现流量控制、报文监控、访问授权、地址转化等功能,从而保证服务质量和网络安全。ACL技术通过识别报文中封装的源MAC地址、目的MAC地址、VLAN标签、协议类型、源端口和目的端口等信息,针对设定的ACL规则,从上至下逐条检测是否匹配。报文通过ACL列表时流程如图4所示,当出现匹配并且该规则允许报文转发时,才会将该条报文转发;如果全部规则匹配后仍未通过,或出现匹配但规则禁止报文转发时,则将该报文丢弃。ACL针对符合规则的报文主要有2种功能:①转发:通过permit实现,用于允许符合规则的报文进行转发;②丢弃:通过deny实现,用于阻止符合规则的报文进行转发。结合工作实际,参考图1所示网络结构及IP地址,ACL规则需要实现如下功能。a.允许厂站侧I区业务主机通过2404端口与主站侧I区业务主机连通。b.允许主站侧I区业务主机通过22端口(SSH协议)远程登录到厂站侧I区业务主机。c.允许厂站侧II区主机通过10022、10021、8080端口与主站侧I区业务主机连通。d.阻止其他报文通过。为实现上述功能,在厂站侧配置如下ACL策略。a.Rule100permittcpdestination-porteq2404destination21.113.1.00.0.0.255source10.21.174.00.0.0.255vpn-instance101。b.Rule110permittcpsource-porteq22destination10.21.174.00.0.0.255destination21.113.1.00.0.0.255vpn-instance101。c.Rule200permittcpdestination-portrange图4访问控制列表流程1002110022destination21.114.1.00.0.0.255source10.21.124.00.0.0.255vpn-instance102。d.Rule210permittcpdestination-porteq8080destination21.114.1.00.0.0.255source10.21.124.00.0.0.255vpn-instance102。e.Rule999denyip。