咨询电话:13675182723

行业知识

电力专用纵向加密认证装置

工作模式

电力专用纵向加密装置有网关模式、透明模式、借用模式、借用1-N模式4种工作模式。其中网关模式利用纵向加密装置作为设备网关,需要修改主站设备和厂站设备的网关地址,对网络结构有较大更改。在地市级调度数据网中应用很少,不在本文讨论范围之内。透明模式指该装置接入后不需要更改主站设备和厂站设备网关地址,只需要纵向加密装置之间做好配置即可。优点是不影响网络结构,发生单机故障时影响节点小;缺点是需要设备数量多,每个业务主机均需要加装1台。借用模式和借用1-N模式相似,纵向加密装置需要借用调度数据网中业务地址或交换机接口地址,再通过Trunk封装方式接入属于不同VLAN的设备。2种模式的差别在于借用模式1个接口只接入1个VLAN标签下的设备;借用1-N模式的1个接口可以接入多个不同VLAN标签设备。2种模式由于组网灵活,所需设备数量较透明模式少,在地市级调度数据网广泛引用。

部署方案

根据国家电网有限公司相关文件要求,纵向加密装置部署在路由器与业务主机之间,由于路由器一般通过交换机作为中介的方式与业务主机实现连接,故纵向加密装置部署方案有2种。a.部署在业务主机与交换机之间。优点是调度中心或者厂站局域网内部地址容易获得,不影响全网已经分配的地址。如果发生纵向设备故障,仅影响单个业务,便于设备管理;缺点是依据业务不同,需要的纵向装置数量很大,每个业务接口都需要配置1台设备,现场业务目前一般有4个实时业务接口和4个非实时业务接口。b.部署在交换机与路由器之间。优点是部署在网络关键路径,不同的业务都可以通过1个或者主、备2个纵向装置对应用的业务进行保护,需要的纵向装置数目比上一种情况少;缺点是如果发生纵向设备故障,影响面积较大。

主站侧部署方案

主站侧有多个系统,包括调度技术支持系统、监控支持系统、配电网信息系统、电量采集系统等,需要采集数据的业务主机较多,不适合将纵向加密装置部署在业务主机和交换机之间。主站侧采用纵向加密装置部署在交换机与路由器之间的方式,实际应用时纵向加密装置放置在Ⅰ/Ⅱ区交换机和骨干网交换机之间,采用借用1-N工作模式,部署2台纵向加密装置,每台装置均配置VLAN10、VLAN20、VLAN30、VLAN40等4个VLAN业务地址,实现双机热备用,提高系统冗余程度。主站侧纵向加密装置网络结构如图2所示,配置明细如表1所示。图2主站侧纵向加密装置网络结构表1主站侧纵向加密装置配置明细部署位置主站主站设备名称纵密A纵密BETH0--ETH1地址A1地址B1工作模式借用1-N借用1-NVLAN标识802.1q802.1qVLAN号10、2010、20ETH2--ETH3地址A2地址B2工作模式借用1-N借用1-NVLAN标识802.1q802.1qVLAN号30、4030、402.2.2厂站侧部署方案厂站侧通常在Ⅰ区有2台通信网关机设备,1台安全监测装置,即VLAN101有3个业务地址;Ⅱ区通常有2台电量装置和1台安全监测装置。但是由于Ⅱ区主要采集传输电量相关数据,实时性不高,故有部分厂站只有1台电量装置,所以厂站侧VLAN201中的业务地址数量为2~3个。a.部署在交换机和业务主机之间。每个业务地址需要接入1台纵向加密装置,由于纵向加密装置单台可以接入2个业务地址,所以为满足要求,需要使用C、D、E共3台纵向加密装置。在业务通信接通的前提下,建立加密隧道,需要纵向加密装置3台,建立隧道3~4条,配置策略12~16项。b.部署在路由器和交换机之间,如图3所示,厂站侧纵向加密装置的数量不需要与实际业务主机一一对应,只需要根据与路由器的链路数量进行配置,在调度数据网结构不发生变化的情况下,使用纵向加密装置数量固定为2台。主站侧与厂站侧纵向加密装置建立隧道时,可以有更多的隧道方式,隧道的指向方式更为灵活,系统的冗余程度更高。参照这个策略,为主站侧和厂站侧配置安全策略后,就完成了数据的纵向加密。共需要纵向加密装置2台,建立隧道2条,配置策略8项,此隧道数量不随厂站侧业务主机数量变化。图3厂站侧路由器和交换机之间部署纵向加密装置

2种部署方式对比

2种部署方案对比见表2,其中部署在路由器与交换机之间的模式,占用的少量业务地址是厂站VLAN地址,地址存量很充裕,并不会对实际业务造成影响。考虑厂站侧业务存在扩展的可能,兼顾维护成本,建议在路由器与交换机之间部署纵向加密装置。表22种部署方案对比部署位置业务机-交换机路由器-交换机工作模式透明模式借用1-N模式装置数量32隧道数量3~42策略数量12~168优点不占用业务地址,配置隧道和策略数量少,网络模型简单,易于管理厂站侧设备网络模型稳定,新增加业务设备不需要增加装置,后期维护成本低缺点需要部署装置较多,新增加业务设备需要对应增加纵向加密装置,且需要增加相应策略,管理成本和部署成本较高占用少量业务地址,配置隧道和策略数量多,网络初设时业务量较重3设备接入管理除了纵向加密认证,厂站侧设备接入管理也是二次安全防护的重点。虽然纵向加密装置本身具备一定的接口限制能力,但是目前版本多数只支持1个端口限制,并不能通过复杂的策略进行端口管理。针对这项不足,应用ACL(访问控制列表)技术可以很好的解决单个端口的接入限制。目前,ACL在IP网络中的主要应用,就是在路由器和防火墙中的应用。通过ACL的识别和控制功能实现对业务的精确划分;通过配置相应的控制(动作),实现流量控制、报文监控、访问授权、地址转化等功能,从而保证服务质量和网络安全。ACL技术通过识别报文中封装的源MAC地址、目的MAC地址、VLAN标签、协议类型、源端口和目的端口等信息,针对设定的ACL规则,从上至下逐条检测是否匹配。报文通过ACL列表时流程如图4所示,当出现匹配并且该规则允许报文转发时,才会将该条报文转发;如果全部规则匹配后仍未通过,或出现匹配但规则禁止报文转发时,则将该报文丢弃。ACL针对符合规则的报文主要有2种功能:①转发:通过permit实现,用于允许符合规则的报文进行转发;②丢弃:通过deny实现,用于阻止符合规则的报文进行转发。结合工作实际,参考图1所示网络结构及IP地址,ACL规则需要实现如下功能。a.允许厂站侧I区业务主机通过2404端口与主站侧I区业务主机连通。b.允许主站侧I区业务主机通过22端口(SSH协议)远程登录到厂站侧I区业务主机。c.允许厂站侧II区主机通过10022、10021、8080端口与主站侧I区业务主机连通。d.阻止其他报文通过。为实现上述功能,在厂站侧配置如下ACL策略。a.Rule100permittcpdestination-porteq2404destination21.113.1.00.0.0.255source10.21.174.00.0.0.255vpn-instance101。b.Rule110permittcpsource-porteq22destination10.21.174.00.0.0.255destination21.113.1.00.0.0.255vpn-instance101。c.Rule200permittcpdestination-portrange图4访问控制列表流程1002110022destination21.114.1.00.0.0.255source10.21.124.00.0.0.255vpn-instance102。d.Rule210permittcpdestination-porteq8080destination21.114.1.00.0.0.255source10.21.124.00.0.0.255vpn-instance102。e.Rule999denyip。

产品中心
变电站
科东
卫士通
兴唐
珠海鸿瑞
东方京海
二次安防
纵向加密装置
变电站纵向加密装置
科东纵向加密装置
卫士通纵向加密装置
兴唐纵向加密装置
隔离装置
正向隔离装置
反向隔离装置
科东正向型隔离装置
科东反向隔离装置
珠海鸿瑞正向隔离
新闻资讯
公司新闻
行业资讯
市场动态
关于我们
联系我们
在线反馈
网站地图
百度地图

版权所有 2015 纵向加密装置:www.gdnari.com

客户服务热线

13675182723

在线客服