基于MPLS,VPN+VLAN模式的数据通信网安全防护优化实施方案的研究与实现

摘要：电力数据通信网络安全是电力系统安全管理的重要内容，是关系到电力系统能否有效的、安全的保证电力供应、保障社会发展的重要工作。本文从网路拓扑、技术策略、协议分析方面，分析了我国电力系统数据通信网络安全存在的问题和进行网络安全防护优化的必要性及可行性，并结合实例给出了网络优化的思路和建议。

关键词：数据通信网；接入网；变电站；MPLS VPN+VLAN

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2018）09-0190-04

随着计算机技术的发展，数据通信网由OSPF+VLAN方式向MPLS VPN协议转换。目前，国网公司已完成省级及以下数据通信网优化整合改造主体工作，实现了数据通信骨干网向地市的延伸，但是关于接入网方面的建设几近空白。接入网侧无防火墙，若将MPLS VPN协议直接应用到接入网侧，将会导致业务被攻击。因此，有必要对接入网的数据通信网建设进行探索和研究。为了保护原有网络资源和业务安全，在没有将MPLS VPN协议延伸至变电站侧以前，经过现状分析，接入网侧需要采用MPLS VPN+VLAN混合组网方式。这样，可以使得变电站侧的信息通信业务隔离，不被外界攻击。

1 数据通信网现状

目前，地市公司和县公司变电站侧信息网络边界无安全防护设施，网络拓扑如图1所示，存在设备保护的安全性问题。信息网络边界无安全防护设施会使网络中的大量设备和终端直接暴露在广域网下，容易造成数据（网页）遭篡改、假冒、泄露或窃取，引发安全事件，对公司安全生产、经营活动或社会形象产生一定影响，同时也给网络安全运维带来巨大压力。

2 数据通信网改造方案探索

若直接在接入网侧采用MPLS VPN协议，信息网络存在安全隐患问题，因此，需要对接入网侧的数据通信网接入方式进行研究与探讨，保证信息网络安全可靠。按照“通道透明传输、业务独立保护”的原则，为了达到加强网络边界安全防护的目的，进一步提高网络安全防护能力，促使网架结构更加合理，网络运行更加安全稳定，为各项业务的安全稳定运行提供可靠地网络支撑和保障。公司结合现网实际情况，積极探索新的成熟的解决方案，具体方案如下[1-2]。

2.1 方案一

在现有网络拓扑基础上，将核心交换机上移，通过配置使信息VPN从MCE中剥离。再将变电站所带各项信息业务全部从MCE交换机剥离，割接至信息CE。在信息CE与地市骨干PE之间，加入安全防护设备，对信息CE内存在的所有设备进行保护。这样，变电站其他VPN业务，需要通信新增加通道，通过VLAN技术，对不同业务进行区分，通过不同设备上行至骨干PE交换机。网络拓扑如图2所示。

2.2 方案二

将变电站信息VPN业务从MCE下移至信息核心交换机，同时开通变电站至信息核心交换机链路，将变电站信息业务经由信息内网核心交换机上行至MCE交换机，其他VPN业务经由MCE交换机直接上行。网络拓扑如图3所示。

2.3 方案三

按照目前现有拓扑结构，可以在MCE以下，增加两台汇聚设备，作为所有VLAN的汇聚交换机，各VPN业务网关全部部署在MCE上，整个汇聚交换机及以下全部运行二层业务。将防火墙和IPS等安全防护设备部署在汇聚交换机和MCE交换机之间，实现安全防护。网络拓扑如图4所示。

2.4 方案四

在不改变网络拓扑的前提下（通常认为改变网络拓扑重要节点会对网络稳定产生威胁），在MCE上或接入层交换机上针对具体业务部署访问控制列表（Access Control List）来替代防火墙。

2.5 方案优缺点比较

方案一优点：信息CE和MCE平行，层级分明，拓扑结构清晰。缺点：拓扑变动较大。方案二优点：拓扑变更较小，易于修改。缺点：拓扑结构不够清晰。方案三优点：不需要新增链路。缺点：拓扑变更较大，整网运行二层协议，容易出现广播风暴，环路控制较为困难。方案四优点：网络拓扑不必变更。缺点：由于网络规模不断扩大，站点内业务量不断增加，且不能智能化变更，访问控制列表的运维量将成倍增加。

经过对比分析，公司采用了方案一，主要原因：（1）改变后的网络拓扑变得层级分明、更加清晰完整；（2）防火墙能检测TCP状态，可以管理更多TCP/IP应用层协议，路由器、交换机不可以；（3）公司防火墙地址对象数量达30多条，且每个地址对象包含多个段地址，若在路由器、交换机上部署ACL策略，会使得规则条目数量过大而容易出错，且路由器无法创建地址对象；（4）路由器主要用来转发数据包，硬件本身决定其进行包过滤时的高性能要求，而目前赤峰MCE（H3C 7506E-S）内存使用已超过38%，CPU使用率超10%，路由条目数量已接近饱和，若大量使用ACL策略，可能会影响设备稳定性，从而影响网络稳定运行；（5）路由器、交换机本身没有日志、事件存储介质，也没有审计分析工具，对ACL命中事件无法管控；（6）路由器、交换机无法检测TCP连接状态，不能识别攻击、扫描行为；（7）ACL策略多与接口绑定，当网络业务发生变化，ACL应用会随之发生变化，导致业务分离不明确，工作量增加。

3 方案实施

3.1 方案实施步骤

（1）将信息内网核心交换机提升为信息CE设备，接入骨干PE路由器中，使信息内网核心交换机与MCE平行布置。网络拓扑如图5所示。

地市CE1与CE2采用堆叠方式，避免了CE1与CE2横向的路由问题。骨干PE将明细路由发送至信息CE，所有数据流量通过CE后流至骨干PE1，骨干PE1在正常情况下为所有流量的出口。主备链路切换、主备设备倒换。正常情况下断开主侧链路，数据收发短暂中断后恢复正常，保障了数据通信网的健壮性[3]。

（2）将变电站所带各项信息业务VPN全部从MCE交换机剥离，割接至完成上移的信息CE，网络拓扑如图6所示。

（3）在信息CE与地市（县）骨干PE之间，加入防火墙，至此实现包含变电站侧在内的全部信息业务VPN均在防火墙安全防护下，网络拓扑如图7所示。

通过ping语句测试连接DNS服务器发现，加入防火墙后的信息业务VPN数据传输正常，如图8所示。

加入防火墙后，利用在MCE模拟外部ping割接至信息CE上某一个变电站信息业务地址，显示“无法连接”，证明防火墙对变电站地址段起到了保护作用，如图9、图10所示。

（4）变电站其他业务VPN，由通信专业配合新增通道，通过VLAN技术，对不同业务进行区分，通过不同设备上行至骨干PE交换机，完成变电站数据通信网安全防护优化改造。

3.2 方案实施注意事项

（1）在进行信息CE横向间、信息CE与骨干PE间开销规划时，应合理设计，避免开销规划不合理出现流量来去路径不一致的问题，该问题可能会引起华为、启明星辰等防火墙对通信的阻拦，导致业务无法正常运行。（2）信息CE横向建立邻居时，CE1与CE2采用vrrp技术以保障下行链路可靠运行，而CE1与CE2又共同宣告了虚拟网关所在网段，如此会造成CE1与CE2建立除横向互聯地址段外的多个ospf邻居。为解决该情况，公司采用引入直连的方式将虚拟网关所在业务网段以“外部路由”的方式重定向至ospf中，避免了多个ospf邻居建立问题。（3）由于变电站只有一台交换机，信息VPN部署在CE上、其他VPN部署在MCE上，需要2条及以上通道传输VPN数据到变电站交换机，公司依据实际情况，在传输设备有空闲通道、板卡的单位采用开通通道的方式，在无此条件的单位采用汇聚交换机，将多个VPN数据以绑定vlan的方式下发至变电站交换机，保障了各VPN数据的正常转发[4]。

4 结语

通过解决变电站侧的信息内网网络边界无安全防护设备问题的同时：（1）优化了公司网络拓扑结构，网络架构更加稳定；（2）加强了网络边界安全防护，提高了现网的安全防护能力，网络运行更加安全稳定，网络速度明显提升，为各项业务的安全稳定运行提供了可靠的网络支撑和保障；（3）增强运维人员的技术水平，提高管理效率；（4）为其他正面临同样问题的电力企业起一定的示范作用；（5）促进了电力企业网络信息安全建设更加完善，防止敏感机密信息泄露，保证电力企业经济不受损失，防止电力企业网页被修改甚至丑化，造成法律和政治上的严重后果以及企业的形象被黑客损害；（6）使电力企业网络系统在瞬息万变的网络环境中更经得起考验，也顺应了国家维护网络安全的大趋势、大环境，紧跟网络安全建设步伐，保证国家经济繁荣，人民生活安定，电力安全建设更有保障。

参考文献

[1]吴鹏，吴军民，刘川，等.软件定义网络在电力数据通信网中的应用研究[J].信息技术，2014，（1）：52-55.

[2]尹微微.杭州电力数据通信网建设方案研究[J].电力信息与通信技术，2014，（10）：31-36.

[3]刘琦，崔兆阳.电力通信综合数据网市县互联优化方案[J].现代传输，2011，（3）：57-59.

[4]何天玲.基于MPLSVPN的电力数据通信网与ASON的互联互通[J].电力信息与通信技术，2014，（9）：40-44.

推荐访问： 通信网 实施方案 安全防护 优化 模式

---