反向隔離裝置百兆型
反向隔離裝置百兆型參數:
|
產品名稱
|
百兆型反向隔離裝置
|
|
產
品
規
格
|
網絡接口
|
3路10M/100M自適應以太網(共6個標準RJ45接口)
|
|
外設接口
|
2個Console口
|
|
指示器
|
雙色電源指示燈和報警蜂鳴器
|
|
尺寸
(長×寬×高)
|
430×44×400毫米
|
|
重量
|
千克
|
|
電
源
|
輸入電壓
|
AC 110V—220V 雙電源
|
|
輸入頻率
|
50HZ
|
|
平均無故障時間
(MTBF)
|
>60000小時(100%負荷)
|
|
工
作
環
境
|
工作溫度
|
-5°~ +45°
|
|
存儲溫度
|
-20°~ +55°
|
|
工作濕度
|
10%~80%����,非冷凝
|
|
存儲濕度
|
10%~80%�����,非冷凝
|
|
性
能
指
標
|
100M網絡環境下���,數據包吞吐率大于100Mbps(100條安全策略�,1024字節報文)
|
|
數據包轉發延遲����;小于10ms(100%負荷)
|
|
滿負荷丟包率為0
|
相關閱讀:
本文分析該工程實施過程中��,在廠站側的實施內容及具體要求���、實際可能遇到的多種設備情況及不同情況下的主要技術措施���。明確實施要求后���,以在實際工程中具有代表性的某500kV變電站保護信息業務為例�����,滿足該項業務接入的要求�,分別討論了需要在廠站側調度數據網路由交換設備(路由器和交換機)����、電力專用網絡安全設備(縱向加密裝置及橫向網絡地址轉換防火墻)和業務系統主機上進行的設備配置的若干技術要點�。
1雙平面改造工程廠站側實施要點分析
1.1廠站側實施內容及要求
雙平面改造實施過程中應盡可能不影響各業務系統正常運行����,尤其保證重要的實時控制類業務不中斷��,具體實施內容及要求包括以下3點�。1)改造后廠站電力調度數據網設備部署方案如圖2所示����,將原有系統(圖1)分割為2套完全獨立的系統����,分別稱為調度數據網A��、B平面��;在交換機上以旁掛方式安裝橫向NAT防火墻實現安全Ⅰ區�����、Ⅱ區的邏輯隔離��。2)廠站側原有的僅接入單個交換機的各業務系統主機改為分別接入交換機A�、B����,即雙平面接入方式����。各業務系統主機配置SPDC統一分配的新IP地址�����,實現業務數據流雙路徑全冗余傳輸����。3)部分廠站原有的安全Ⅱ區縱向互聯防火墻更換為安全Ⅱ區電力專用加密裝置���,與安全Ⅰ區加密裝置共同控制網絡暴露面���,確保網絡邊界安全����。
1.2廠站側實施需考慮的主要問題及技術要點
在現場勘察及方案編制階段���,應充分掌握本廠站針對相關調控機構��、鄰近廠站的各項電力生產業務實際情況和基礎參數����,尤其是各側網段地址����、網絡安全設備部署情況�、本側業務系統網絡結構���、主機接入方式等�����,以制定準確的現場工作方案���。
1.2.1廠站側實施需考慮的問題
改造后廠站業務理想傳輸方式是廠站側和調度側均為雙機雙平面接入�,但實際上存在以下可能性及其組合(尤其在過渡時期內):1)業務主機為雙機冗余配置或僅為單機配置�����;2)單臺業務主機配有冗余網卡或僅配單個網卡�����;3)業務系統在廠站側與調控機構間存在或不存在獨立于調度數據網的數據流專用傳輸路徑(一般為專線)�;4)調控機構側已完成或未完成雙平面改造��;5)調控機構側網絡安全設備已部署加密裝置或仍部署防火墻�����。
1.2.2廠站側實施技術要點
應根據業務實際情況�、數據流中斷影響程度等因素制定并實施有針對性的安全技術措施和作業步驟�����,可參照以下4個要點����。1)業務機為單機且無冗余網卡���,暫不能更換設備�����,實施過程業務中斷時間較長����,應與相應調控機構商定數據封鎖�、換用功能相近的其他業務系統等多種有效臨時措施��。2)業務機為單機且有冗余網卡�����,以該業務機已接入交換機A為例�,可先利用冗余網卡將其接入B平面并調試待業務可在B平面正常運行�����,然后再實施A平面改造�����。此過程可能需短時重啟業務機����,會造成相應業務短時中斷����。3)業務機為雙機冗余配置�����,宜先將雙機依次分別按雙平面方式接入并調試待業務在2個平面均可正常運行�,再進行實施改造��。4)若業務機與調度側間有專線�����,實施前應先將業務數據切換至相應專線運行并封鎖調度數據網通道(同時盡量避免其全部不可用)����,做好應對專線通道中斷的搶修準備��。
此外����,以下3種情況均需在有關設備上進行專門配置�,應在工作方案中專門列出以便現場執行�。1)調度側未實施雙平面改造但廠站側業務數據能夠從A����、B平面送至調度���,單平面異常時數據流應平滑切換至另一平面��。2)部分調度機構安全Ⅱ區仍為防火墻�����,尚未部署電力專用加密裝置�����,但仍需保證業務數據流暢通�����。3)業務數據流需進行跨區傳輸�����,從廠站側安全Ⅰ區上送調度側安全Ⅱ區���。
以某500kV變電站保護信息業務為例�����,改造前其為單機單網接入交換機A����,改造后按雙機雙平面方式接入交換機A����、B���,該變電站保護信息業務改造前后情況如表1所列(本文各IP地址均已完成去密處理)��,下文以此為例介紹有關設備的配置技術要點���。2廠站側調度數據網路由交換設備配置要點廠站側電力調度數據網設備包括圖2所示交換機和路由器����,應根據實際業務需求進行配置����。某區域電網公司在此類設備應用邊界網關協議(BorderGatewayProtocol�,BGP)��、多協議標簽交換(MultiprotocolLabelSwitching�,MPLS)的IP虛擬專用網絡(VirtualPrivateNetwork��,VPN)技術[13-14]將單臺物理設備劃分為彼此邏輯隔離的2個邏輯設備實時虛擬專網(RealTimeVPN��,RT-VPN)和非實時虛擬專網(NotRealTimeVPN���,NRT-VPN)����,分別對應安全Ⅰ區和Ⅱ區����。單個廠站或調度機構A平面Ⅰ區和Ⅱ區�����、B平面Ⅰ區和Ⅱ區均由SPDC統一分配24位子網���。某500kV變電站A平面Ⅰ區為10.10.60.0/24�����,A平面Ⅱ區為10.20.60.0/24����、B平面Ⅰ區為20.10.60.0/24����、B平面Ⅱ區為20.20.60.0/24����。實施過程中對廠站側路由器和交換機進行配置修改前�,由現場人員征得相應調度機構許可�,并在各項安全技術措施已完備前提下�����,由SPDC統一部署開展��,嚴格禁止現場人員擅自改動此類設備配置�。
2.1廠站側調度數據網交換機配置要點
廠站各業務按實時性及重要性分屬不同的安全區并分配不同細粒度網段(如500kV某變電站保護信息業務A平面Ⅰ區網段為10.10.60.1/28)�,不同業務系統主機間邏輯隔離����。交換機在不同VPN區域內按業務需要劃分虛擬局域網接口(VirtualLocalAreaNetworkInterface����,VLANIF)指定類型為Access的物理端口用于連接業務機�。交換機與Ⅰ區��、Ⅱ區加密裝置間分別僅通過1個硬件接口連接�����,并保留虛擬局域網(VirtualLocalAreaNetwork����,VLAN)標簽傳輸本VPN區域內所有VLANIF數據流��,該硬件接口配置為Trunk屬性且僅開放相應VLAN�。大部分廠站的部分業務在安全Ⅰ區和Ⅱ區間存在跨區數據流���,需在交換機上配置相應接口供橫向NAT防火墻實現跨區轉發����。因業務分屬不同VLANIF�,需在交換機配置靜態路由將跨區數據流轉發至防火墻���。以某變電站為例�,交換機A的VPN和部分VLANIF配置情況如圖3所示�。無跨區數據流的業務如能量計費等劃分專用VLANIF并屬于不同VPN����。存在跨區數據流的業務在RT-VPN和NRTVPN劃分獨立VLAN并將業務機接入RT-VPN相應端口�。某區域電網公司采用NAT防火墻與保護信息業務共用同一VLANIF的技術實現方式��,防火墻內網口Eth1和外網口Eth2分別占用保護信息業務VLAN100的Eth3和VLAN200的Eth12接口��,現場實施時必須按此要求連接相應設備并根據該VLANIF配置防火墻各接口IP地址��。某變電站NAT防火墻A的內網口IP地址配置為10.10.60.12����,外網口IP地址配置為10.20.60.12����。以表1所列為例�,廠站側主機位于安全Ⅰ區��,SPDC非實時主站位于安全Ⅱ區��。交換機A應將廠站發送至該主站的報文轉發至NAT防火墻Eth1����,并將該主站發給廠站的報文轉發至NAT防火墻Eth2����,由防火墻處理以高效傳輸跨區數據流����,表2所列為交換機A實現跨VPN轉發的靜態路由��。
2.2廠站側調度數據網路由器配置要點
廠站側路由器作為電力調度數據網的接入層或匯聚層����,啟用BGP/MPLS功能實現VPN路由及按VLAN標簽轉發�����。由于電力調度數據網拓撲結構復雜����,應選定部分路由器作為路由反射點以避免出現較復雜的路由選擇策略以降低網絡性能[15]�。各路由器間采用開放式最短路徑優先(OpenShortestPathFirst�,OSPF)協議�,并分為全局OSPF和VPN路由OSPF兩部分�。根據網絡結構在若干區域邊界路由器處進行全局路由聚合以降低OSPF全局路由條目并提升網絡性能�。在接入層路由器和接入層交換機間啟用VPN路由OSPF協議實現接入層設備的數據交互�����,并在接入層設備上實現VPN路由OSPF與BGP/MPLS路由互通�����。過渡時期內����,可能會因某廠站接入層路由器與調度數據網雙平面同時互聯導致VPN路由協議異常引發業務中斷��,為此需采取針對性技術措施����。
3廠站電力專用網絡安全設備配置要點
廠站側電力專用網絡安全設備主要包括加密裝置�����、正向和反向隔離裝置及橫向NAT防火墻3大類��。多數廠站安全Ⅱ區與Ⅲ區間因無數據傳輸需求而直接采用物理隔離��,不裝設正向和反向隔離裝置��。圖2所示的加密裝置與橫向防火墻設備直接承載廠站上送的大量業務數據��,是廠站網絡安全工作的重點��。正確制定并執行此類設備的配置是有效保障業務功能�����、防范潛在網絡攻擊的技術基礎��。
3.1廠站側電力專用縱向加密裝置配置要點
加密裝置采用電力專用硬件加密算法將各業務系統發來的IP數據包整體加密后�����,應用隧道技術將其封裝為在加密裝置間傳輸的IP數據包��,經調度數據網到達對側加密裝置后解密為原數據包并轉發給對側業務系統主機���,從而實現電力生產業務數據的可靠加密傳輸�。對加密裝置進行配置時除應滿足基本的3層路由功能要求外���,更應重點考慮加密隧道和報文過濾策略的配置�。
廠站側加密裝置多工作在橋接模式以簡化設備配置過程并降低設備接入及變更對其他網絡設備的影響����。在3層路由配置中應完全覆蓋流經該裝置的廠站各業務系統所有數據流�,且不宜過窄以便后續擴建��。具體配置要素包括目標網段����、下一跳地址(一般為路由器或交換機相應接口的IP地址)和出接口����。加密隧道應覆蓋流經該裝置的廠站各業務系統所有數據流對側的相應加密裝置����,不得多余或遺漏�。具體配置要素包括本側加密裝置IP地址����、對側加密裝置IP地址及對側加密裝置數字證書���。
實施前應將本側地址及已由相應調控機構簽發的本側裝置數字證書以加密且安全的方式提交給與本站存在業務聯系的調度機構及鄰近廠站的網絡安全管理人員��,并獲取對側加密裝置的IP地址及已簽發的數字證書供本側加密隧道配置時使用�。
若對側無加密裝置����,則應顯式指定明文隧道���,去向不同的業務數據宜關聯不同的明文隧道并在配置中明確標注以備后續改擴建�。報文過濾策略應覆蓋流經該裝置的廠站各業務系統所有數據流的特征��,不得多余或遺漏���。
具體配置要素包括本側網段�����、對側網段�����、本側端口�����、對側端口和關聯隧道����。報文過濾策略是切實根據業務實際需要��,控制廠站與調度數據網的網絡邊界的核心技術手段�����,應嚴格按各業務實際情況配置��,不應直接按SPDC統一分配的業務網段配置以免增大網絡暴露面���。以表1為例��,改造后某變電站A平面安全Ⅰ區加密裝置地址為10.10.60.250��,SPDC實時主站加密裝置地址為10.10.1.200����,調度側3安全Ⅰ區加密裝置地址為10.80.0.250�����。在加密裝置地址10.10.60.250上應分別配置地址為10.10.1.200和10.80.0.250的加密隧道a和b���。另一方面�,某變電站A平面安全Ⅱ區加密裝置地址為10.20.60.250��,SPDC非實時主站加密裝置地址為10.20.1.240�����,調度側3的安全Ⅱ區仍為防火墻��。在加密裝置10.20.60.250上應配置地址為10.20.60.250的加密隧道c和指向調度側3安全Ⅱ區的明文隧道d�。按SPDC統一部署���,保護信息業務使用廠站側TCP3100端口�,對側端口應配置為全通�。某變電站該業務實際共接入2臺主機�,IP地址為10.10.60.1和10.10.60.2����,在安全Ⅱ區經NAT轉換后的IP地址為10.20.60.1和10.20.60.2�。
某變電站A平面加密裝置上的報文過濾策略如表3所列��。度側Ⅱ區主站不能與廠站Ⅰ區業務機之間直接3層互通����,因此必須借助NAT技術[16]將實際存在的廠站Ⅰ區業務機映射為虛擬的Ⅱ區業務機��,僅能通過防火墻的NAT功能進行配置實現���。
已給出某變電站NAT防火墻的Eth1�、Eth2接口IP地址�,對防火墻完成3層路由功能配置后���,安全策略應先指定為alldeny以確保隔離所有跨區數據流����,再根據需在Ⅰ����、Ⅱ區之間傳輸的所有數據流的特征配置相應的permit安全策略及NAT策略�。安全策略的配置較為簡單��,此處著重論述NAT策略的配置���。以表1為例����,NAT防火墻應配置源NAT轉換策略將由10.10.60.1/28發往10.20.1.1/28和10.85.0.1/28的報文的源IP地址段映射為10.20.60.1/28����,且固定源端口����;還應配置目的NAT轉換策略���,將由10.20.1.1/28和10.85.0.1/28發至10.20.60.1/28報文的目的IP地址段映射為10.10.60.1/28���,且固定目的端口����。配置端口固定的目的是確保此類數據流后續不會被相應加密裝置攔截而導致業務中斷�。具體配置方法因不同廠商產品而略有不同�����,現場實施過程中應嚴格按產品技術資料執行����。
完成縱向加密裝置及NAT防火墻配置后��,若實際業務系統可用則由廠站側人員與調度側人員進行業務聯調聯試�����,確保該業務系統數據通信及各有關功能正常��。若實際業務系統尚不具備調試條件�����,則可由廠站側人員采用專用調試電腦及傳輸層端口仿真器等工具與調度側人員聯合開展端口測試以驗證相關配置的正確性���。
若發現業務數據不通則可借助ping����、traceroute等工具�,或采取監視縱向加密裝置會話表�、防火墻會話表等技術手段進行逐段排查��。
4電力生產業務系統主機設備配置要點
電力生產業務都涉及本廠站與鄰近廠站或有關調控機構的信息交互�。具有獨立以太網的業務系統主機多是配備多個網卡的專用設備���;其他業務系統主機則多采用僅具有1個以太網接口的通用計算機���。實施過程應正確配置主機有關參數以滿足雙平面方式接入要求�����。只有1個網口的主機僅需指定IP地址等����,配置過程簡單����,此處著重討論具有多網卡的主機配置�。鑒于Windows系統將逐步退出電力生產控制大區的趨勢�����,僅簡要介紹Linux系統的配置技術����,實施時應根據不同的Linux發行版采取相應方法��。此類主機須永久關閉或卸載跨網口路由功能以防OSPF混亂造成路由崩潰并破壞2個平面的邏輯隔離�。該功能雖默認不啟用但設備接入前仍須進行此項檢查以確保安全�����。對于常用的RedHatLinux主機�,可在內核文件sysctl.conf中設置net.ipv4.ip_forward=0并在iptables列表中刪除可能的跨網轉發條目關閉該功能����。
4.1廠站側業務系統主機靜態路由配置此類主機應根據實際業務情況正確配置永久靜態路由并刪除默認路由以防按默認路由轉發導致報文丟失引起業務中斷����,配置要素包括目的網段�、下一跳地址和出接口����。以某變電站保護信息業務主機1為例�����,其同時接入A�、B平面并與相應調度機構存在數據交互����,發至調度側A平面的報文應從該主機A平面接口發出����,發至B平面的報文應從B平面接口發出����,某變電站保護信息業務主機1的靜態路由配置如表4所列����。
4.2廠站側業務系統主機策略路由配置
不少廠站側業務機按雙平面方式接入但調度側卻為單一網段�,業務數據正常時可僅通過某一平面上送�,但要求該平面出現故障時數據能夠立即轉移到另一平面���。無論報文由A平面還是B平面傳輸��,廠站業務機向調度側發送的報文的目的地址均為同一IP����,因此基于IP的路由無法適應此類情形���,應在業務機上配置基于報文入口的策略路由���。以某變電站保護信息業務主機1為例�����,考慮其與調度側3的路由配置�。若報文在A平面傳輸則主機1從Eth1收到調度側請求報文���,也應從Eth1發送響應報文�����,報文在B平面傳輸可類推����。因此策略路由可實現故障時報文傳輸路徑的自動平滑切換�����。以該主機1為例����,對于RedHatLinux操作系統應先在/etc/iproute2/rt_tables文件中顯式指定2個具有不同優先級標簽的路由表名稱����,例如:由此可實現上述基于接口的策略路由���。在CentOS�、Ubuntu等常用Linux系統中的配置方法與此類似�����。根據需要還可在業務機上配置單獨的軟件包過濾防火墻策略[17](如RedHat中的iptables或firewalld工具)以進一步限制外部設備與本機的數據交互��,但不應影響正常業務數據流�����。
4.3應用實例
2019年3月至2020年3月��,先后在某區域電網公司所轄的4個500kV變電站進行了調度數據網雙平面改造工作�,涉及SPSC等5個調度機構���,涉及業務包括遠動�����、同步相量測量�����、能量計費��、故障錄波��、保護信息等�����;诒疚母饕c編制現場實施方案�,制定了有關設備的配置明細��,與各調度機構密切配合順利完成了改造工作���。工作過程中對各業務的影響全部在預期可控范圍內�,所有設備配置完成后均一次調試成功��,未造成業務異常中斷或電力系統網絡安全事件�,充分證明了本文各要點的正確性����。5結語本文分析了電力調度數據網雙平面改造工程廠站側實施過程中的內容及要求����、可能遇到的多種情況及主要技術措施要點�。以某500kV變電站具體業務為例�����,詳細分析為實現雙平面接入要求而需要在廠站側調度數據網路由交換設備���、電力專用網絡安全設備�����、業務系統主機上執行設備配置的相關技術要點���。本文提出的各項技術要點已在若干實際工程中得到充分應用���,完成了電力調度數據網雙平面改造工程廠站側實施內容��,實現了變電站至多個調度機構的多種電力生產業務數據的雙機雙平面方式接入的目的����。工程實踐證明了本文各要點能夠為該工程的安全高效實施予以充分保障����。
