欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
纵向加密配置说明
时间:2021.01.01 创作:欧阳美 纵向加密的配置说明主要阐述设备管理配置、IP地址的规范、业务配置的配置原则、相关IP地址。 一、纵向加密规划
纵向加密设备是对调度数据网的业务流进行加密,现调度数据网220kV厂站侧接入省调接入网、地调接入网,省、地调度控制中心接入网骨干网I、II平面。
纵向加密业务流的规划如下图所示:
由220kV厂站省调接入网侧厂站业务系统上传数据与调度控制中心骨干网第II平面主站业务系统通信;
由220kV厂站地调接入网侧厂站业务系统上传数据与调度控制中心骨干网第I平面主站业务系统通信。 1.1 220kV变电站省调接入网
省调接入网厂站标准为两台纵向加密设备,每台加密设备分别与同一路由器的实时、非实时接口相连,并与不通交换机连接。每台加密设备分别对实时业务、非实时业务进行加密处理。
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
1.2 220kV变电站的地调接入网
地调接入网厂站标准跟省调接入网相同。 1.3厂站加密设备IP地址规范
纵向加密设备的IP地址选用实时、非实时业务IP地址,每台纵向加密设备分别配置实时IP地址或非实时IP地址,IP地址请按照自动化分配的地址使用。纵向加密设备的网关为对应业务的路由器物理接口地址。
纵向加密IP的分配如附表1:
附表1:纵向加密IP地址规划(举例说明)
省调接入网 业务网段 纵向加密IP 地调接入网 业务网段 纵向加密IP 实时业务 .100.46./27 .100.46.66 .108.9.176/28 .108.9.178 非实时业务 .100.146./27 .100.146.66 .108.19.176/28 .108.19.178 二、纵向加密管理中心及内网安全监视平台的接入
加密的管理中心及内网安全监视平台的接入方式需和业务流的相关规划对应,即骨干网II平面和厂站省调接入设备需由二平面的管理中心进行管理,并由内网安全监视平台所在II平面采集服务器进行告警日志采集;骨干网I平面和厂站地调接入设备需由一平面的管理中心进行管理,并由内网安全监视平台I平面采集服务器进行告警日志采集。
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
2.1加密设备的集中管理:
需在加密设备进行远程管理配置,内网安全监视平台能对设备进行远程管理。省调内网安全监视平台需要管理场站级别有220kv及以上变电站、新能源场站包括风电场及光伏电站。
省调管理中心地址见表2。 表2:省调管理中心地址
所属区域 省调主站一片面 类型 实时 非实时 省调主站二平面 实时 非实时 省调管理地址 10..3.19 10..9.19 .10.10.19 .10.20.19 2.2告警日志的集中监视:
省调内网安全监视平台需要场站上报告警日志级别有220kv及以上变电站、风电场。
具体日志告警服务器IP地址如下: 表3:
地区 骨干网第I平面 实时 省调 10..3.19 非实时 10..9.19 骨干网第II平面 实时 .10.10.19 非实时 .10.20.19 三纵向加密隧道策略的配置
在装置基本配置中,缺省策略处理模式要选择丢弃(不要选择放行)。所有厂站与主站业务需经过纵向加密设备的加密
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
与解密,按照第一章中所述纵向加密业务流规划建立相应加密隧道及策略。具体IP地址见附表4。 附表4:省调加密协商地址
节点 协商IP 10..3.13 省调I平面 实时 10..3.14 10..3.17 10..3.18 10..3.200 10..9.200 省调I平面非实时 10..19.9 10..19.10 10..19.200 10..11.2 省备调I平面 10..6.200 省调II平面.10.10.250 实时 省调II平面.10.20.250 非实时 业务IP 10..3.13 10..3.14 10..3.17 10..3.18 10..3.1 10..9.100-10..9.101 10..19.9 10..19.10 10..19.5-10..19.6 10..11.2 10..6.5-10..6.6 .10.10.1-.10.10.20 .10.20.1-.10.20.20 省调主站共13个协商ip,说明场站侧纵向加密共需要配置13条隧道和13条策略到省调主站。 四配置举例
隧道的配置,需对厂站所有需要访问的业务报文进行加密处理,省调接入网设备应和主站端I平面进行通讯,建立加密隧道、配置加密策略。见附表5、6。 附表5:厂站加密隧道的配置
隧道序号 场站纵向(每个站共4台设备) 1 2 3 省调接入网实时 省调接入网非实时 本地加密设备地址 .100.46.66 .100.146.66 .100.146.66 对端加密设备地址 .10.10.250 .10.20.250 10..11.2 隧道状态 加密 加密 加密 欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
4 5 6 7 8 9 10 11 12 13 地调接入网非实时 地调接入网实时 .108.9.178 .108.9.178 .108.9.178 .108.9.178 .108.9.178 .108.9.178 .108.19.178 .108.19.178 .108.19.178 .108.19.178 10..3.13 10..3.14 10..3.17 10..3.18 10..3.200 10..6.200 10..9.200 10..19.9 10..19.10 10..19.200 加密 加密 加密 加密 加密 加密 加密 加密 加密 加密 附表6:省调接入网厂站加密策略的配置
序号 1 .100.46.66 .100.46.94 .10.10.1 .10.10.20 源起始IP 源终止IP 目的起始IP 目的终止IP 处理协端口 0-65535 2 .100.146.66 .100.146.94 .10.20.1 .10.20.20 加密 All 0-65535 3 .100.146.66 .100.146.94 10..11.2 10..11.2 加密 All 0-65535 4 .108.9.178 .108.9.190 10..3.13 5 .108.9.178 .108.9.190 10..3.14 6 .108.9.178 .108.9.190 10..3.17 7 .108.9.178 .108.9.190 10..3.18 10..3.18 10..3.17 加密 All 10..3.14 加密 All 10..3.13 加密 All 加密 All 0-65535 0-65535 0-65535 0-65535 方式 议 加密 All 欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
8 .108.9.178 .108.9.190 10..3.101 9 .108.9.178 .108.9.190 10..6.5 10 .108.19.178 .108.19.190 10..9.100 .108.19.178 .108.19.190 10..19.9 .108.19.178 .108.19.190 10..19.10 .108.19.178 .108.19.190 10..19.5 10..19.6 10..19.10 加密 All 10..19.9 加密 All 10..9.101 加密 All 10..6.6 加密 All 10..3.101 加密 All 加密 All 0-65535 0-65535 0-65535 11 0-65535 12 0-65535 13 0-65535 时间:2021.01.01 创作:欧阳美 欧阳美创编 2021.01.01 欧阳美创编 2021.01.01
