陸旭　劉文龍　吳雪梅

摘要：電力數(shù)據(jù)通信網(wǎng)絡(luò)安全是電力系統(tǒng)安全管理的重要內(nèi)容，是關(guān)系到電力系統(tǒng)能否有效的、安全的保證電力供應(yīng)、保障社會(huì)發(fā)展的重要工作。本文從網(wǎng)路拓?fù)?、技術(shù)策略、協(xié)議分析方面，分析了我國(guó)電力系統(tǒng)數(shù)據(jù)通信網(wǎng)絡(luò)安全存在的問(wèn)題和進(jìn)行網(wǎng)絡(luò)安全防護(hù)優(yōu)化的必要性及可行性，并結(jié)合實(shí)例給出了網(wǎng)絡(luò)優(yōu)化的思路和建議。

關(guān)鍵詞：數(shù)據(jù)通信網(wǎng)；接入網(wǎng)；變電站；MPLS VPN+VLAN

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）09-0190-04

隨著計(jì)算機(jī)技術(shù)的發(fā)展，數(shù)據(jù)通信網(wǎng)由OSPF+VLAN方式向MPLS VPN協(xié)議轉(zhuǎn)換。目前，國(guó)網(wǎng)公司已完成省級(jí)及以下數(shù)據(jù)通信網(wǎng)優(yōu)化整合改造主體工作，實(shí)現(xiàn)了數(shù)據(jù)通信骨干網(wǎng)向地市的延伸，但是關(guān)于接入網(wǎng)方面的建設(shè)幾近空白。接入網(wǎng)側(cè)無(wú)防火墻，若將MPLS VPN協(xié)議直接應(yīng)用到接入網(wǎng)側(cè)，將會(huì)導(dǎo)致業(yè)務(wù)被攻擊。因此，有必要對(duì)接入網(wǎng)的數(shù)據(jù)通信網(wǎng)建設(shè)進(jìn)行探索和研究。為了保護(hù)原有網(wǎng)絡(luò)資源和業(yè)務(wù)安全，在沒(méi)有將MPLS VPN協(xié)議延伸至變電站側(cè)以前，經(jīng)過(guò)現(xiàn)狀分析，接入網(wǎng)側(cè)需要采用MPLS VPN+VLAN混合組網(wǎng)方式。這樣，可以使得變電站側(cè)的信息通信業(yè)務(wù)隔離，不被外界攻擊。

1 數(shù)據(jù)通信網(wǎng)現(xiàn)狀

目前，地市公司和縣公司變電站側(cè)信息網(wǎng)絡(luò)邊界無(wú)安全防護(hù)設(shè)施，網(wǎng)絡(luò)拓?fù)淙鐖D1所示，存在設(shè)備保護(hù)的安全性問(wèn)題。信息網(wǎng)絡(luò)邊界無(wú)安全防護(hù)設(shè)施會(huì)使網(wǎng)絡(luò)中的大量設(shè)備和終端直接暴露在廣域網(wǎng)下，容易造成數(shù)據(jù)（網(wǎng)頁(yè)）遭篡改、假冒、泄露或竊取，引發(fā)安全事件，對(duì)公司安全生產(chǎn)、經(jīng)營(yíng)活動(dòng)或社會(huì)形象產(chǎn)生一定影響，同時(shí)也給網(wǎng)絡(luò)安全運(yùn)維帶來(lái)巨大壓力。

2 數(shù)據(jù)通信網(wǎng)改造方案探索

若直接在接入網(wǎng)側(cè)采用MPLS VPN協(xié)議，信息網(wǎng)絡(luò)存在安全隱患問(wèn)題，因此，需要對(duì)接入網(wǎng)側(cè)的數(shù)據(jù)通信網(wǎng)接入方式進(jìn)行研究與探討，保證信息網(wǎng)絡(luò)安全可靠。按照“通道透明傳輸、業(yè)務(wù)獨(dú)立保護(hù)”的原則，為了達(dá)到加強(qiáng)網(wǎng)絡(luò)邊界安全防護(hù)的目的，進(jìn)一步提高網(wǎng)絡(luò)安全防護(hù)能力，促使網(wǎng)架結(jié)構(gòu)更加合理，網(wǎng)絡(luò)運(yùn)行更加安全穩(wěn)定，為各項(xiàng)業(yè)務(wù)的安全穩(wěn)定運(yùn)行提供可靠地網(wǎng)絡(luò)支撐和保障。公司結(jié)合現(xiàn)網(wǎng)實(shí)際情況，積極探索新的成熟的解決方案，具體方案如下[1-2]。

2.1 方案一

在現(xiàn)有網(wǎng)絡(luò)拓?fù)浠A(chǔ)上，將核心交換機(jī)上移，通過(guò)配置使信息VPN從MCE中剝離。再將變電站所帶各項(xiàng)信息業(yè)務(wù)全部從MCE交換機(jī)剝離，割接至信息CE。在信息CE與地市骨干PE之間，加入安全防護(hù)設(shè)備，對(duì)信息CE內(nèi)存在的所有設(shè)備進(jìn)行保護(hù)。這樣，變電站其他VPN業(yè)務(wù)，需要通信新增加通道，通過(guò)VLAN技術(shù)，對(duì)不同業(yè)務(wù)進(jìn)行區(qū)分，通過(guò)不同設(shè)備上行至骨干PE交換機(jī)。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

2.2 方案二

將變電站信息VPN業(yè)務(wù)從MCE下移至信息核心交換機(jī)，同時(shí)開(kāi)通變電站至信息核心交換機(jī)鏈路，將變電站信息業(yè)務(wù)經(jīng)由信息內(nèi)網(wǎng)核心交換機(jī)上行至MCE交換機(jī)，其他VPN業(yè)務(wù)經(jīng)由MCE交換機(jī)直接上行。網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

2.3 方案三

按照目前現(xiàn)有拓?fù)浣Y(jié)構(gòu)，可以在MCE以下，增加兩臺(tái)匯聚設(shè)備，作為所有VLAN的匯聚交換機(jī)，各VPN業(yè)務(wù)網(wǎng)關(guān)全部部署在MCE上，整個(gè)匯聚交換機(jī)及以下全部運(yùn)行二層業(yè)務(wù)。將防火墻和IPS等安全防護(hù)設(shè)備部署在匯聚交換機(jī)和MCE交換機(jī)之間，實(shí)現(xiàn)安全防護(hù)。網(wǎng)絡(luò)拓?fù)淙鐖D4所示。

2.4 方案四

在不改變網(wǎng)絡(luò)拓?fù)涞那疤嵯拢ㄍǔＵJ(rèn)為改變網(wǎng)絡(luò)拓?fù)渲匾?jié)點(diǎn)會(huì)對(duì)網(wǎng)絡(luò)穩(wěn)定產(chǎn)生威脅），在MCE上或接入層交換機(jī)上針對(duì)具體業(yè)務(wù)部署訪問(wèn)控制列表（Access Control List）來(lái)替代防火墻。

2.5 方案優(yōu)缺點(diǎn)比較

方案一優(yōu)點(diǎn)：信息CE和MCE平行，層級(jí)分明，拓?fù)浣Y(jié)構(gòu)清晰。缺點(diǎn)：拓?fù)渥儎?dòng)較大。方案二優(yōu)點(diǎn)：拓?fù)渥兏^小，易于修改。缺點(diǎn)：拓?fù)浣Y(jié)構(gòu)不夠清晰。方案三優(yōu)點(diǎn)：不需要新增鏈路。缺點(diǎn)：拓?fù)渥兏^大，整網(wǎng)運(yùn)行二層協(xié)議，容易出現(xiàn)廣播風(fēng)暴，環(huán)路控制較為困難。方案四優(yōu)點(diǎn)：網(wǎng)絡(luò)拓?fù)洳槐刈兏?。缺點(diǎn)：由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，站點(diǎn)內(nèi)業(yè)務(wù)量不斷增加，且不能智能化變更，訪問(wèn)控制列表的運(yùn)維量將成倍增加。

經(jīng)過(guò)對(duì)比分析，公司采用了方案一，主要原因：（1）改變后的網(wǎng)絡(luò)拓?fù)渥兊脤蛹?jí)分明、更加清晰完整；（2）防火墻能檢測(cè)TCP狀態(tài)，可以管理更多TCP/IP應(yīng)用層協(xié)議，路由器、交換機(jī)不可以；（3）公司防火墻地址對(duì)象數(shù)量達(dá)30多條，且每個(gè)地址對(duì)象包含多個(gè)段地址，若在路由器、交換機(jī)上部署ACL策略，會(huì)使得規(guī)則條目數(shù)量過(guò)大而容易出錯(cuò)，且路由器無(wú)法創(chuàng)建地址對(duì)象；（4）路由器主要用來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，硬件本身決定其進(jìn)行包過(guò)濾時(shí)的高性能要求，而目前赤峰MCE（H3C 7506E-S）內(nèi)存使用已超過(guò)38%，CPU使用率超10%，路由條目數(shù)量已接近飽和，若大量使用ACL策略，可能會(huì)影響設(shè)備穩(wěn)定性，從而影響網(wǎng)絡(luò)穩(wěn)定運(yùn)行；（5）路由器、交換機(jī)本身沒(méi)有日志、事件存儲(chǔ)介質(zhì)，也沒(méi)有審計(jì)分析工具，對(duì)ACL命中事件無(wú)法管控；（6）路由器、交換機(jī)無(wú)法檢測(cè)TCP連接狀態(tài)，不能識(shí)別攻擊、掃描行為；（7）ACL策略多與接口綁定，當(dāng)網(wǎng)絡(luò)業(yè)務(wù)發(fā)生變化，ACL應(yīng)用會(huì)隨之發(fā)生變化，導(dǎo)致業(yè)務(wù)分離不明確，工作量增加。

3 方案實(shí)施

3.1 方案實(shí)施步驟

（1）將信息內(nèi)網(wǎng)核心交換機(jī)提升為信息CE設(shè)備，接入骨干PE路由器中，使信息內(nèi)網(wǎng)核心交換機(jī)與MCE平行布置。網(wǎng)絡(luò)拓?fù)淙鐖D5所示。

地市CE1與CE2采用堆疊方式，避免了CE1與CE2橫向的路由問(wèn)題。骨干PE將明細(xì)路由發(fā)送至信息CE，所有數(shù)據(jù)流量通過(guò)CE后流至骨干PE1，骨干PE1在正常情況下為所有流量的出口。主備鏈路切換、主備設(shè)備倒換。正常情況下斷開(kāi)主側(cè)鏈路，數(shù)據(jù)收發(fā)短暫中斷后恢復(fù)正常，保障了數(shù)據(jù)通信網(wǎng)的健壯性[3]。

（2）將變電站所帶各項(xiàng)信息業(yè)務(wù)VPN全部從MCE交換機(jī)剝離，割接至完成上移的信息CE，網(wǎng)絡(luò)拓?fù)淙鐖D6所示。

（3）在信息CE與地市（縣）骨干PE之間，加入防火墻，至此實(shí)現(xiàn)包含變電站側(cè)在內(nèi)的全部信息業(yè)務(wù)VPN均在防火墻安全防護(hù)下，網(wǎng)絡(luò)拓?fù)淙鐖D7所示。

通過(guò)ping語(yǔ)句測(cè)試連接DNS服務(wù)器發(fā)現(xiàn)，加入防火墻后的信息業(yè)務(wù)VPN數(shù)據(jù)傳輸正常，如圖8所示。

加入防火墻后，利用在MCE模擬外部ping割接至信息CE上某一個(gè)變電站信息業(yè)務(wù)地址，顯示“無(wú)法連接”，證明防火墻對(duì)變電站地址段起到了保護(hù)作用，如圖9、圖10所示。

（4）變電站其他業(yè)務(wù)VPN，由通信專業(yè)配合新增通道，通過(guò)VLAN技術(shù)，對(duì)不同業(yè)務(wù)進(jìn)行區(qū)分，通過(guò)不同設(shè)備上行至骨干PE交換機(jī)，完成變電站數(shù)據(jù)通信網(wǎng)安全防護(hù)優(yōu)化改造。

3.2 方案實(shí)施注意事項(xiàng)

（1）在進(jìn)行信息CE橫向間、信息CE與骨干PE間開(kāi)銷規(guī)劃時(shí)，應(yīng)合理設(shè)計(jì)，避免開(kāi)銷規(guī)劃不合理出現(xiàn)流量來(lái)去路徑不一致的問(wèn)題，該問(wèn)題可能會(huì)引起華為、啟明星辰等防火墻對(duì)通信的阻攔，導(dǎo)致業(yè)務(wù)無(wú)法正常運(yùn)行。（2）信息CE橫向建立鄰居時(shí)，CE1與CE2采用vrrp技術(shù)以保障下行鏈路可靠運(yùn)行，而CE1與CE2又共同宣告了虛擬網(wǎng)關(guān)所在網(wǎng)段，如此會(huì)造成CE1與CE2建立除橫向互聯(lián)地址段外的多個(gè)ospf鄰居。為解決該情況，公司采用引入直連的方式將虛擬網(wǎng)關(guān)所在業(yè)務(wù)網(wǎng)段以“外部路由”的方式重定向至ospf中，避免了多個(gè)ospf鄰居建立問(wèn)題。（3）由于變電站只有一臺(tái)交換機(jī)，信息VPN部署在CE上、其他VPN部署在MCE上，需要2條及以上通道傳輸VPN數(shù)據(jù)到變電站交換機(jī)，公司依據(jù)實(shí)際情況，在傳輸設(shè)備有空閑通道、板卡的單位采用開(kāi)通通道的方式，在無(wú)此條件的單位采用匯聚交換機(jī)，將多個(gè)VPN數(shù)據(jù)以綁定vlan的方式下發(fā)至變電站交換機(jī)，保障了各VPN數(shù)據(jù)的正常轉(zhuǎn)發(fā)[4]。

4 結(jié)語(yǔ)

通過(guò)解決變電站側(cè)的信息內(nèi)網(wǎng)網(wǎng)絡(luò)邊界無(wú)安全防護(hù)設(shè)備問(wèn)題的同時(shí)：（1）優(yōu)化了公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)架構(gòu)更加穩(wěn)定；（2）加強(qiáng)了網(wǎng)絡(luò)邊界安全防護(hù)，提高了現(xiàn)網(wǎng)的安全防護(hù)能力，網(wǎng)絡(luò)運(yùn)行更加安全穩(wěn)定，網(wǎng)絡(luò)速度明顯提升，為各項(xiàng)業(yè)務(wù)的安全穩(wěn)定運(yùn)行提供了可靠的網(wǎng)絡(luò)支撐和保障；（3）增強(qiáng)運(yùn)維人員的技術(shù)水平，提高管理效率；（4）為其他正面臨同樣問(wèn)題的電力企業(yè)起一定的示范作用；（5）促進(jìn)了電力企業(yè)網(wǎng)絡(luò)信息安全建設(shè)更加完善，防止敏感機(jī)密信息泄露，保證電力企業(yè)經(jīng)濟(jì)不受損失，防止電力企業(yè)網(wǎng)頁(yè)被修改甚至丑化，造成法律和政治上的嚴(yán)重后果以及企業(yè)的形象被黑客損害；（6）使電力企業(yè)網(wǎng)絡(luò)系統(tǒng)在瞬息萬(wàn)變的網(wǎng)絡(luò)環(huán)境中更經(jīng)得起考驗(yàn)，也順應(yīng)了國(guó)家維護(hù)網(wǎng)絡(luò)安全的大趨勢(shì)、大環(huán)境，緊跟網(wǎng)絡(luò)安全建設(shè)步伐，保證國(guó)家經(jīng)濟(jì)繁榮，人民生活安定，電力安全建設(shè)更有保障。

參考文獻(xiàn)

[1]吳鵬，吳軍民，劉川，等.軟件定義網(wǎng)絡(luò)在電力數(shù)據(jù)通信網(wǎng)中的應(yīng)用研究[J].信息技術(shù)，2014，（1）：52-55.

[2]尹微微.杭州電力數(shù)據(jù)通信網(wǎng)建設(shè)方案研究[J].電力信息與通信技術(shù)，2014，（10）：31-36.

[3]劉琦，崔兆陽(yáng).電力通信綜合數(shù)據(jù)網(wǎng)市縣互聯(lián)優(yōu)化方案[J].現(xiàn)代傳輸，2011，（3）：57-59.

[4]何天玲.基于MPLSVPN的電力數(shù)據(jù)通信網(wǎng)與ASON的互聯(lián)互通[J].電力信息與通信技術(shù)，2014，（9）：40-44.