反向隔离装置

反向隔离装置百兆型

 反向隔离装置百兆型

反向隔离装置百兆型参数:

产品名称
百兆型反向隔离装置
网络接口
3路10M/100M自适应以太网(共6个标准RJ45接口)
外设接口
2个Console口
指示器
双色电源指示灯和报警蜂鸣器
尺寸
(长×宽×高)
430×44×400毫米
重量
千克
输入电压
AC 110V—220V 双电源
输入频率
50HZ
平均无故障时间
(MTBF)
>60000小时(100%负荷)
工作温度
-5°~ +45°
存储温度
-20°~ +55°
工作湿度
10%~80%,非冷凝
存储湿度
10%~80%,非冷凝
100M网络环境下,数据包吞吐率大于100Mbps(100条安全策略,1024字节报文)
数据包转发延迟;小于10ms(100%负荷)
满负荷丢包率为0

 

相关阅读:

本文分析该工程实施过程中,在厂站侧的实施内容及具体要求、实际可能遇到的多种设备情况及不同情况下的主要技术措施。明确实施要求后,以在实际工程中具有代表性的某500kV变电站;ば畔⒁滴裎,满足该项业务接入的要求,分别讨论了需要在厂站侧调度数据网路由交换设备(路由器和交换机)、电力专用网络安全设备(纵向加密装置及横向网络地址转换防火墙)和业务系统主机上进行的设备配置的若干技术要点。
1双平面改造工程厂站侧实施要点分析
1.1厂站侧实施内容及要求
双平面改造实施过程中应尽可能不影响各业务系统正常运行,尤其保证重要的实时控制类业务不中断,具体实施内容及要求包括以下3点。1)改造后厂站电力调度数据网设备部署方案如图2所示,将原有系统(图1)分割为2套完全独立的系统,分别称为调度数据网A、B平面;在交换机上以旁挂方式安装横向NAT防火墙实现安全Ⅰ区、Ⅱ区的逻辑隔离。2)厂站侧原有的仅接入单个交换机的各业务系统主机改为分别接入交换机A、B,即双平面接入方式。各业务系统主机配置SPDC统一分配的新IP地址,实现业务数据流双路径全冗余传输。3)部分厂站原有的安全Ⅱ区纵向互联防火墙更换为安全Ⅱ区电力专用加密装置,与安全Ⅰ区加密装置共同控制网络暴露面,确保网络边界安全。
1.2厂站侧实施需考虑的主要问题及技术要点
在现场勘察及方案编制阶段,应充分掌握本厂站针对相关调控机构、邻近厂站的各项电力生产业务实际情况和基础参数,尤其是各侧网段地址、网络安全设备部署情况、本侧业务系统网络结构、主机接入方式等,以制定准确的现场工作方案。
1.2.1厂站侧实施需考虑的问题
改造后厂站业务理想传输方式是厂站侧和调度侧均为双机双平面接入,但实际上存在以下可能性及其组合(尤其在过渡时期内):1)业务主机为双机冗余配置或仅为单机配置;2)单台业务主机配有冗余网卡或仅配单个网卡;3)业务系统在厂站侧与调控机构间存在或不存在独立于调度数据网的数据流专用传输路径(一般为专线);4)调控机构侧已完成或未完成双平面改造;5)调控机构侧网络安全设备已部署加密装置或仍部署防火墙。
1.2.2厂站侧实施技术要点
应根据业务实际情况、数据流中断影响程度等因素制定并实施有针对性的安全技术措施和作业步骤,可参照以下4个要点。1)业务机为单机且无冗余网卡,暂不能更换设备,实施过程业务中断时间较长,应与相应调控机构商定数据封锁、换用功能相近的其他业务系统等多种有效临时措施。2)业务机为单机且有冗余网卡,以该业务机已接入交换机A为例,可先利用冗余网卡将其接入B平面并调试待业务可在B平面正常运行,然后再实施A平面改造。此过程可能需短时重启业务机,会造成相应业务短时中断。3)业务机为双机冗余配置,宜先将双机依次分别按双平面方式接入并调试待业务在2个平面均可正常运行,再进行实施改造。4)若业务机与调度侧间有专线,实施前应先将业务数据切换至相应专线运行并封锁调度数据网通道(同时尽量避免其全部不可用),做好应对专线通道中断的抢修准备。
此外,以下3种情况均需在有关设备上进行专门配置,应在工作方案中专门列出以便现场执行。1)调度侧未实施双平面改造但厂站侧业务数据能够从A、B平面送至调度,单平面异常时数据流应平滑切换至另一平面。2)部分调度机构安全Ⅱ区仍为防火墙,尚未部署电力专用加密装置,但仍需保证业务数据流畅通。3)业务数据流需进行跨区传输,从厂站侧安全Ⅰ区上送调度侧安全Ⅱ区。
以某500kV变电站;ば畔⒁滴裎,改造前其为单机单网接入交换机A,改造后按双机双平面方式接入交换机A、B,该变电站;ば畔⒁滴窀脑烨昂笄榭鋈绫1所列(本文各IP地址均已完成去密处理),下文以此为例介绍有关设备的配置技术要点。2厂站侧调度数据网路由交换设备配置要点厂站侧电力调度数据网设备包括图2所示交换机和路由器,应根据实际业务需求进行配置。某区域电网公司在此类设备应用边界网关协议(BorderGatewayProtocol,BGP)、多协议标签交换(MultiprotocolLabelSwitching,MPLS)的IP虚拟专用网络(VirtualPrivateNetwork,VPN)技术[13-14]将单台物理设备划分为彼此逻辑隔离的2个逻辑设备实时虚拟专网(RealTimeVPN,RT-VPN)和非实时虚拟专网(NotRealTimeVPN,NRT-VPN),分别对应安全Ⅰ区和Ⅱ区。单个厂站或调度机构A平面Ⅰ区和Ⅱ区、B平面Ⅰ区和Ⅱ区均由SPDC统一分配24位子网。某500kV变电站A平面Ⅰ区为10.10.60.0/24,A平面Ⅱ区为10.20.60.0/24、B平面Ⅰ区为20.10.60.0/24、B平面Ⅱ区为20.20.60.0/24。实施过程中对厂站侧路由器和交换机进行配置修改前,由现场人员征得相应调度机构许可,并在各项安全技术措施已完备前提下,由SPDC统一部署开展,严格禁止现场人员擅自改动此类设备配置。
2.1厂站侧调度数据网交换机配置要点
厂站各业务按实时性及重要性分属不同的安全区并分配不同细粒度网段(如500kV某变电站;ば畔⒁滴馎平面Ⅰ区网段为10.10.60.1/28),不同业务系统主机间逻辑隔离。交换机在不同VPN区域内按业务需要划分虚拟局域网接口(VirtualLocalAreaNetworkInterface,VLANIF)指定类型为Access的物理端口用于连接业务机。交换机与Ⅰ区、Ⅱ区加密装置间分别仅通过1个硬件接口连接,并保留虚拟局域网(VirtualLocalAreaNetwork,VLAN)标签传输本VPN区域内所有VLANIF数据流,该硬件接口配置为Trunk属性且仅开放相应VLAN。大部分厂站的部分业务在安全Ⅰ区和Ⅱ区间存在跨区数据流,需在交换机上配置相应接口供横向NAT防火墙实现跨区转发。因业务分属不同VLANIF,需在交换机配置静态路由将跨区数据流转发至防火墙。以某变电站为例,交换机A的VPN和部分VLANIF配置情况如图3所示。无跨区数据流的业务如能量计费等划分专用VLANIF并属于不同VPN。存在跨区数据流的业务在RT-VPN和NRTVPN划分独立VLAN并将业务机接入RT-VPN相应端口。某区域电网公司采用NAT防火墙与;ば畔⒁滴窆灿猛籚LANIF的技术实现方式,防火墙内网口Eth1和外网口Eth2分别占用;ば畔⒁滴馰LAN100的Eth3和VLAN200的Eth12接口,现场实施时必须按此要求连接相应设备并根据该VLANIF配置防火墙各接口IP地址。某变电站NAT防火墙A的内网口IP地址配置为10.10.60.12,外网口IP地址配置为10.20.60.12。以表1所列为例,厂站侧主机位于安全Ⅰ区,SPDC非实时主站位于安全Ⅱ区。交换机A应将厂站发送至该主站的报文转发至NAT防火墙Eth1,并将该主站发给厂站的报文转发至NAT防火墙Eth2,由防火墙处理以高效传输跨区数据流,表2所列为交换机A实现跨VPN转发的静态路由。
2.2厂站侧调度数据网路由器配置要点
厂站侧路由器作为电力调度数据网的接入层或汇聚层,启用BGP/MPLS功能实现VPN路由及按VLAN标签转发。由于电力调度数据网拓扑结构复杂,应选定部分路由器作为路由反射点以避免出现较复杂的路由选择策略以降低网络性能[15]。各路由器间采用开放式最短路径优先(OpenShortestPathFirst,OSPF)协议,并分为全局OSPF和VPN路由OSPF两部分。根据网络结构在若干区域边界路由器处进行全局路由聚合以降低OSPF全局路由条目并提升网络性能。在接入层路由器和接入层交换机间启用VPN路由OSPF协议实现接入层设备的数据交互,并在接入层设备上实现VPN路由OSPF与BGP/MPLS路由互通。过渡时期内,可能会因某厂站接入层路由器与调度数据网双平面同时互联导致VPN路由协议异常引发业务中断,为此需采取针对性技术措施。
3厂站电力专用网络安全设备配置要点
厂站侧电力专用网络安全设备主要包括加密装置、正向和反向隔离装置及横向NAT防火墙3大类。多数厂站安全Ⅱ区与Ⅲ区间因无数据传输需求而直接采用物理隔离,不装设正向和反向隔离装置。图2所示的加密装置与横向防火墙设备直接承载厂站上送的大量业务数据,是厂站网络安全工作的重点。正确制定并执行此类设备的配置是有效保障业务功能、防范潜在网络攻击的技术基础。
3.1厂站侧电力专用纵向加密装置配置要点
加密装置采用电力专用硬件加密算法将各业务系统发来的IP数据包整体加密后,应用隧道技术将其封装为在加密装置间传输的IP数据包,经调度数据网到达对侧加密装置后解密为原数据包并转发给对侧业务系统主机,从而实现电力生产业务数据的可靠加密传输。对加密装置进行配置时除应满足基本的3层路由功能要求外,更应重点考虑加密隧道和报文过滤策略的配置。
厂站侧加密装置多工作在桥接模式以简化设备配置过程并降低设备接入及变更对其他网络设备的影响。在3层路由配置中应完全覆盖流经该装置的厂站各业务系统所有数据流,且不宜过窄以便后续扩建。具体配置要素包括目标网段、下一跳地址(一般为路由器或交换机相应接口的IP地址)和出接口。加密隧道应覆盖流经该装置的厂站各业务系统所有数据流对侧的相应加密装置,不得多余或遗漏。具体配置要素包括本侧加密装置IP地址、对侧加密装置IP地址及对侧加密装置数字证书。
实施前应将本侧地址及已由相应调控机构签发的本侧装置数字证书以加密且安全的方式提交给与本站存在业务联系的调度机构及邻近厂站的网络安全管理人员,并获取对侧加密装置的IP地址及已签发的数字证书供本侧加密隧道配置时使用。
若对侧无加密装置,则应显式指定明文隧道,去向不同的业务数据宜关联不同的明文隧道并在配置中明确标注以备后续改扩建。报文过滤策略应覆盖流经该装置的厂站各业务系统所有数据流的特征,不得多余或遗漏。
具体配置要素包括本侧网段、对侧网段、本侧端口、对侧端口和关联隧道。报文过滤策略是切实根据业务实际需要,控制厂站与调度数据网的网络边界的核心技术手段,应严格按各业务实际情况配置,不应直接按SPDC统一分配的业务网段配置以免增大网络暴露面。以表1为例,改造后某变电站A平面安全Ⅰ区加密装置地址为10.10.60.250,SPDC实时主站加密装置地址为10.10.1.200,调度侧3安全Ⅰ区加密装置地址为10.80.0.250。在加密装置地址10.10.60.250上应分别配置地址为10.10.1.200和10.80.0.250的加密隧道a和b。另一方面,某变电站A平面安全Ⅱ区加密装置地址为10.20.60.250,SPDC非实时主站加密装置地址为10.20.1.240,调度侧3的安全Ⅱ区仍为防火墙。在加密装置10.20.60.250上应配置地址为10.20.60.250的加密隧道c和指向调度侧3安全Ⅱ区的明文隧道d。按SPDC统一部署,;ば畔⒁滴袷褂贸д静郥CP3100端口,对侧端口应配置为全通。某变电站该业务实际共接入2台主机,IP地址为10.10.60.1和10.10.60.2,在安全Ⅱ区经NAT转换后的IP地址为10.20.60.1和10.20.60.2。
某变电站A平面加密装置上的报文过滤策略如表3所列。度侧Ⅱ区主站不能与厂站Ⅰ区业务机之间直接3层互通,因此必须借助NAT技术[16]将实际存在的厂站Ⅰ区业务机映射为虚拟的Ⅱ区业务机,仅能通过防火墙的NAT功能进行配置实现。
已给出某变电站NAT防火墙的Eth1、Eth2接口IP地址,对防火墙完成3层路由功能配置后,安全策略应先指定为alldeny以确保隔离所有跨区数据流,再根据需在Ⅰ、Ⅱ区之间传输的所有数据流的特征配置相应的permit安全策略及NAT策略。安全策略的配置较为简单,此处着重论述NAT策略的配置。以表1为例,NAT防火墙应配置源NAT转换策略将由10.10.60.1/28发往10.20.1.1/28和10.85.0.1/28的报文的源IP地址段映射为10.20.60.1/28,且固定源端口;还应配置目的NAT转换策略,将由10.20.1.1/28和10.85.0.1/28发至10.20.60.1/28报文的目的IP地址段映射为10.10.60.1/28,且固定目的端口。配置端口固定的目的是确保此类数据流后续不会被相应加密装置拦截而导致业务中断。具体配置方法因不同厂商产品而略有不同,现场实施过程中应严格按产品技术资料执行。
完成纵向加密装置及NAT防火墙配置后,若实际业务系统可用则由厂站侧人员与调度侧人员进行业务联调联试,确保该业务系统数据通信及各有关功能正常。若实际业务系统尚不具备调试条件,则可由厂站侧人员采用专用调试电脑及传输层端口仿真器等工具与调度侧人员联合开展端口测试以验证相关配置的正确性。
若发现业务数据不通则可借助ping、traceroute等工具,或采取监视纵向加密装置会话表、防火墙会话表等技术手段进行逐段排查。
4电力生产业务系统主机设备配置要点
电力生产业务都涉及本厂站与邻近厂站或有关调控机构的信息交互。具有独立以太网的业务系统主机多是配备多个网卡的专用设备;其他业务系统主机则多采用仅具有1个以太网接口的通用计算机。实施过程应正确配置主机有关参数以满足双平面方式接入要求。只有1个网口的主机仅需指定IP地址等,配置过程简单,此处着重讨论具有多网卡的主机配置。鉴于Windows系统将逐步退出电力生产控制大区的趋势,仅简要介绍Linux系统的配置技术,实施时应根据不同的Linux发行版采取相应方法。此类主机须永久关闭或卸载跨网口路由功能以防OSPF混乱造成路由崩溃并破坏2个平面的逻辑隔离。该功能虽默认不启用但设备接入前仍须进行此项检查以确保安全。对于常用的RedHatLinux主机,可在内核文件sysctl.conf中设置net.ipv4.ip_forward=0并在iptables列表中删除可能的跨网转发条目关闭该功能。
4.1厂站侧业务系统主机静态路由配置此类主机应根据实际业务情况正确配置永久静态路由并删除默认路由以防按默认路由转发导致报文丢失引起业务中断,配置要素包括目的网段、下一跳地址和出接口。以某变电站;ば畔⒁滴裰骰1为例,其同时接入A、B平面并与相应调度机构存在数据交互,发至调度侧A平面的报文应从该主机A平面接口发出,发至B平面的报文应从B平面接口发出,某变电站;ば畔⒁滴裰骰1的静态路由配置如表4所列。
4.2厂站侧业务系统主机策略路由配置
不少厂站侧业务机按双平面方式接入但调度侧却为单一网段,业务数据正常时可仅通过某一平面上送,但要求该平面出现故障时数据能够立即转移到另一平面。无论报文由A平面还是B平面传输,厂站业务机向调度侧发送的报文的目的地址均为同一IP,因此基于IP的路由无法适应此类情形,应在业务机上配置基于报文入口的策略路由。以某变电站;ば畔⒁滴裰骰1为例,考虑其与调度侧3的路由配置。若报文在A平面传输则主机1从Eth1收到调度侧请求报文,也应从Eth1发送响应报文,报文在B平面传输可类推。因此策略路由可实现故障时报文传输路径的自动平滑切换。以该主机1为例,对于RedHatLinux操作系统应先在/etc/iproute2/rt_tables文件中显式指定2个具有不同优先级标签的路由表名称,例如:由此可实现上述基于接口的策略路由。在CentOS、Ubuntu等常用Linux系统中的配置方法与此类似。根据需要还可在业务机上配置单独的软件包过滤防火墙策略[17](如RedHat中的iptables或firewalld工具)以进一步限制外部设备与本机的数据交互,但不应影响正常业务数据流。
4.3应用实例
2019年3月至2020年3月,先后在某区域电网公司所辖的4个500kV变电站进行了调度数据网双平面改造工作,涉及SPSC等5个调度机构,涉及业务包括远动、同步相量测量、能量计费、故障录波、;ば畔⒌;诒疚母饕惚嘀葡殖∈凳┓桨,制定了有关设备的配置明细,与各调度机构密切配合顺利完成了改造工作。工作过程中对各业务的影响全部在预期可控范围内,所有设备配置完成后均一次调试成功,未造成业务异常中断或电力系统网络安全事件,充分证明了本文各要点的正确性。5结语本文分析了电力调度数据网双平面改造工程厂站侧实施过程中的内容及要求、可能遇到的多种情况及主要技术措施要点。以某500kV变电站具体业务为例,详细分析为实现双平面接入要求而需要在厂站侧调度数据网路由交换设备、电力专用网络安全设备、业务系统主机上执行设备配置的相关技术要点。本文提出的各项技术要点已在若干实际工程中得到充分应用,完成了电力调度数据网双平面改造工程厂站侧实施内容,实现了变电站至多个调度机构的多种电力生产业务数据的双机双平面方式接入的目的。工程实践证明了本文各要点能够为该工程的安全高效实施予以充分保障。

 

纵向加密装置
百兆型纵向加密
千兆型纵向加密
微型纵向加密
网络安全隔离装置
正向隔离装置
反向隔离装置
网络安全监测装置
II型网络安全监测装置
探针软件
新闻资讯
公司新闻
行业资讯
市场动态
关于我们
联系我们
网站地图
百度地图

版权所有 2015 纵向加密装置:www.disenadorwebsevilla.com