《基于MPLS,VPN+VLAN模式的数据通信网安全防护优化实施方案的研究与实现.docx》由会员分享,可在线阅读,更多相关《基于MPLS,VPN+VLAN模式的数据通信网安全防护优化实施方案的研究与实现.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、基于MPLS,VPN+VLAN模式的数据通信网安全防护优化实施方案的研究与实现 摘要:电力数据通信网络平安是电力系统平安管理的重要内容,是关系到电力系统能否有效的、平安的保证电力供应、保障社会发展的重要工作。本文从网路拓扑、技术策略、协议分析方面,分析了我国电力系统数据通信网络平安存在的问题和进行网络平安防护优化的必要性及可行性,并结合实例给出了网络优化的思路和建议。 关键词:数据通信网;接入网;变电站;MPLS VPN+VLAN 中图分类号:TP393.08 文献标识码:A 文章编号:1017-941609-0190-04 随着计算机技术的发展,数据通信网由OSPF+VLAN方式向MPLS
2、VPN协议转换。目前,国网公司已完成省级及以下数据通信网优化整合改造主体工作,实现了数据通信骨干网向地市的延长,但是关于接入网方面的建设几近空白。接入网侧无防火墙,若将MPLS VPN协议干脆应用到接入网侧,将会导致业务被攻击。因此,有必要对接入网的数据通信网建设进行探究和探讨。为了爱护原有网络资源和业务平安,在没有将MPLS VPN协议延长至变电站侧以前,经过现状分析,接入网侧须要采纳MPLS VPN+VLAN混合组网方式。这样,可以使得变电站侧的信息通信业务隔离,不被外界攻击。 1 数据通信网现状 目前,地市公司和县公司变电站侧信息网络边界无平安防护设施,网络拓扑如图1所示,存在设备爱护的
3、平安性问题。信息网络边界无平安防护设施会使网络中的大量设备和终端干脆暴露在广域网下,简单造成数据遭篡改、假冒、泄露或窃取,引发平安事务,对公司平安生产、经营活动或社会形象产生肯定影响,同时也给网络平安运维带来巨大压力。 2 数据通信网改造方案探究 若干脆在接入网侧采纳MPLS VPN协议,信息网络存在平安隐患问题,因此,须要对接入网侧的数据通信网接入方式进行探讨与探讨,保证信息网络平安牢靠。根据“通道透亮传输、业务独立爱护”的原则,为了达到加强网络边界平安防护的目的,进一步提高网络平安防护实力,促使网架结构更加合理,网络运行更加平安稳定,为各项业务的平安稳定运行供应牢靠地网络支撑和保障。公司结
4、合现网实际状况,積极探究新的成熟的解决方案,详细方案如下1-2。 2.1 方案一 在现有网络拓扑基础上,将核心交换机上移,通过配置使信息VPN从MCE中剥离。再将变电站所带各项信息业务全部从MCE交换机剥离,割接至信息CE。在信息CE与地市骨干PE之间,加入平安防护设备,对信息CE内存在的全部设备进行爱护。这样,变电站其他VPN业务,须要通信新增加通道,通过VLAN技术,对不同业务进行区分,通过不同设备上行至骨干PE交换机。网络拓扑如图2所示。 2.2 方案二 将变电站信息VPN业务从MCE下移至信息核心交换机,同时开通变电站至信息核心交换机链路,将变电站信息业务经由信息内网核心交换机上行至M
5、CE交换机,其他VPN业务经由MCE交换机干脆上行。网络拓扑如图3所示。 2.3 方案三 根据目前现有拓扑结构,可以在MCE以下,增加两台汇聚设备,作为全部VLAN的汇聚交换机,各VPN业务网关全部部署在MCE上,整个汇聚交换机及以下全部运行二层业务。将防火墙和IPS等平安防护设备部署在汇聚交换机和MCE交换机之间,实现平安防护。网络拓扑如图4所示。 2.4 方案四 在不变更网络拓扑的前提下,在MCE上或接入层交换机上针对详细业务部署访问限制列表来替代防火墙。 2.5 方案优缺点比较 方案一优点:信息CE和MCE平行,层级分明,拓扑结构清楚。缺点:拓扑变动较大。方案二优点:拓扑变更较小,易于修
6、改。缺点:拓扑结构不够清楚。方案三优点:不须要新增链路。缺点:拓扑变更较大,整网运行二层协议,简单出现广播风暴,环路限制较为困难。方案四优点:网络拓扑不必变更。缺点:由于网络规模不断扩大,站点内业务量不断增加,且不能智能化变更,访问限制列表的运维量将成倍增加。 经过对比分析,公司采纳了方案一,主要缘由:变更后的网络拓扑变得层级分明、更加清楚完整;防火墙能检测TCP状态,可以管理更多TCP/IP应用层协议,路由器、交换机不行以;公司防火墙地址对象数量达30多条,且每个地址对象包含多个段地址,若在路由器、交换机上部署ACL策略,会使得规则条目数量过大而简单出错,且路由器无法创建地址对象;路由器主要
7、用来转发数据包,硬件本身确定其进行包过滤时的高性能要求,而目前赤峰MCE内存运用已超过38%,CPU运用率超10%,路由条目数量已接近饱和,若大量运用ACL策略,可能会影响设备稳定性,从而影响网络稳定运行;路由器、交换机本身没有日志、事务存储介质,也没有审计分析工具,对ACL命中事务无法管控;路由器、交换机无法检测TCP连接状态,不能识别攻击、扫描行为;ACL策略多与接口绑定,当网络业务发生改变,ACL应用会随之发生改变,导致业务分别不明确,工作量增加。 3 方案实施 3.1 方案实施步骤 将信息内网核心交换机提升为信息CE设备,接入骨干PE路由器中,使信息内网核心交换机与MCE平行布置。网络
8、拓扑如图5所示。 地市CE1与CE2采纳堆叠方式,避开了CE1与CE2横向的路由问题。骨干PE将明细路由发送至信息CE,全部数据流量通过CE后流至骨干PE1,骨干PE1在正常状况下为全部流量的出口。主备链路切换、主备设备倒换。正常状况下断开主侧链路,数据收发短暂中断后复原正常,保障了数据通信网的健壮性3。 将变电站所带各项信息业务VPN全部从MCE交换机剥离,割接至完成上移的信息CE,网络拓扑如图6所示。 在信息CE与地市骨干PE之间,加入防火墙,至此实现包含变电站侧在内的全部信息业务VPN均在防火墙平安防护下,网络拓扑如图7所示。 通过ping语句测试连接DNS服务器发觉,加入防火墙后的信息
9、业务VPN数据传输正常,如图8所示。 加入防火墙后,利用在MCE模拟外部ping割接至信息CE上某一个变电站信息业务地址,显示“无法连接”,证明防火墙对变电站地址段起到了爱护作用,如图9、图10所示。 变电站其他业务VPN,由通信专业协作新增通道,通过VLAN技术,对不同业务进行区分,通过不同设备上行至骨干PE交换机,完成变电站数据通信网平安防护优化改造。 3.2 方案实施留意事项 在进行信息CE横向间、信息CE与骨干PE间开销规划时,应合理设计,避开开销规划不合理出现流量来去路径不一样的问题,该问题可能会引起华为、启明星辰等防火墙对通信的阻拦,导致业务无法正常运行。信息CE横向建立邻居时,C
10、E1与CE2采纳vrrp技术以保障下行链路牢靠运行,而CE1与CE2又共同宣告了虚拟网关所在网段,如此会造成CE1与CE2建立除横向互聯地址段外的多个ospf邻居。为解决该状况,公司采纳引入直连的方式将虚拟网关所在业务网段以“外部路由”的方式重定向至ospf中,避开了多个ospf邻居建立问题。由于变电站只有一台交换机,信息VPN部署在CE上、其他VPN部署在MCE上,须要2条及以上通道传输VPN数据到变电站交换机,公司依据实际状况,在传输设备有空闲通道、板卡的单位采纳开通通道的方式,在无此条件的单位采纳汇聚交换机,将多个VPN数据以绑定vlan的方式下发至变电站交换机,保障了各VPN数据的正常
11、转发4。 4 结语 通过解决变电站侧的信息内网网络边界无平安防护设备问题的同时:优化了公司网络拓扑结构,网络架构更加稳定;加强了网络边界平安防护,提高了现网的平安防护实力,网络运行更加平安稳定,网络速度明显提升,为各项业务的平安稳定运行供应了牢靠的网络支撑和保障;增加运维人员的技术水平,提高管理效率;为其他正面临同样问题的电力企业起肯定的示范作用;促进了电力企业网络信息平安建设更加完善,防止敏感机密信息泄露,保证电力企业经济不受损失,防止电力企业网页被修改甚至丑化,造成法律和政治上的严峻后果以及企业的形象被黑客损害;使电力企业网络系统在瞬息万变的网络环境中更经得起考验,也顺应了国家维护网络平安
12、的大趋势、大环境,紧跟网络平安建设步伐,保证国家经济旺盛,人民生活安定,电力平安建设更有保障。 参考文献 1吴鹏,吴军民,刘川,等.软件定义网络在电力数据通信网中的应用探讨J.信息技术,2022,:52-55. 2尹微微.杭州电力数据通信网建设方案探讨J.电力信息与通信技术,2022,:31-36. 3刘琦,崔兆阳.电力通信综合数据网市县互联优化方案J.现代传输,2022,:57-59. 4何天玲.基于MPLSVPN的电力数据通信网与ASON的互联互通J.电力信息与通信技术,2022,:40-44. 第7页 共7页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页