《茂名供电局电力二次系统安全防护项目实施方案.doc》由会员分享,可在线阅读,更多相关《茂名供电局电力二次系统安全防护项目实施方案.doc(120页珍藏版)》请在三一办公上搜索。
1、茂名供电局电力二次系统安全防护项目实施方案广东电网公司茂名供电局二九年七月茂名供电局电力二次系统安全防护项目实施方案审批表内容摘要为贯彻落实国家电监会电力二次系统安全防护规定,保障电力二次系统安全,茂名供电局按照省公司有关电力二次系统安全防护工作的整体部署和项目的具体要求,制定了茂名供电局电力二次系统安全防护项目实施方案。本期项目内容主要包括调度自动化主站、220kV及以上变电站二次系统接入调度数据网的安全防护。本方案已通过茂名局内部审核。根据“各有关单位制定的电力二次系统安全防护实施方案,必须经过上级调度机构审核”的要求,现将我局实施方案报请广东省电力调度通信中心审核。实施部门意见签名盖章:
2、 日期: 分管局领导意见签名盖章: 日期: 广东电网公司电力调度通信中心意见签名盖章: 日期: 目 录1.概述72.方案编写依据83.现状分析93.1.调度数据网现状93.2.茂名供电局二次系统现状94.设计目标115.设计方案125.1.全网设备命名125.2.地调135.2.1.网络拓扑135.2.2.设备端口分配145.2.3.设备物理部署155.2.4.控制区纵向互联交换机175.2.4.1.静态路由配置175.2.5.纵向认证加密装置175.2.5.1.系统配置175.2.5.2.静态路由配置175.2.5.3.隧道配置185.2.6.非控制区纵向互联交换机195.2.6.1.静态路
3、由配置195.2.7.防火墙配置195.2.7.1.高可靠性(HA)195.2.7.2.静态路由配置195.2.8.I区及II区横向隔离方案205.2.8.1.设计方案205.2.8.2.高可靠性(HA)205.2.8.3.静态路由配置215.2.8.4.地址转换(NAT)215.3.县调225.3.1.网络拓扑225.3.2.设备端口分配235.3.3.设备物理部署235.3.4.控制区纵向互联交换机255.3.4.1.静态路由配置255.3.5.纵向认证加密装置265.3.5.1.系统配置265.3.5.2.静态路由配置265.3.5.3.隧道配置275.4.220KV变电站295.4.1
4、.网络拓扑295.4.2.设备端口分配305.4.3.设备物理部署305.4.4.控制区纵向互联交换机325.4.4.1.静态路由配置325.4.5.纵向认证加密装置335.4.5.1.系统配置335.4.5.2.静态路由配置345.4.5.3.隧道配置355.4.6.非控制区纵向互联交换机375.4.6.1.静态路由配置375.4.7.纵向硬件防火墙385.4.7.1.高可靠性(HA)385.4.7.2.静态路由配置385.4.8.I区及II区横向隔离方案395.4.8.1.静态路由配置395.4.8.2.地址转换(NAT)416.业务地址段安排436.1.地调436.1.1.实时业务地址4
5、36.1.2.非实时业务地址456.2.高州县调476.2.1.实时业务地址476.3.化州县调496.3.1.实时业务地址496.4.电白县调506.4.1.实时业务地址506.5.信宜县调516.5.1.实时业务地址516.6.220KV河东变电站526.6.1.实时业务地址526.6.2.非实时业务地址546.7.220KV泥桥变电站566.7.1.实时业务地址566.7.2.非实时业务地址576.8.220KV谢平岭变电站596.8.1.实时业务地址596.8.2.非实时业务地址606.9.220KV天泰变电站626.9.1.实时业务地址626.9.2.非实时业务地址646.10.22
6、0KV金山变电站656.10.1.实时业务地址656.10.2.非实时业务地址676.11.220KV六运变电站686.11.1.实时业务地址686.11.2.非实时业务地址707.安全策略配置727.1.地调727.1.1.纵向认证加密装置安全策略727.1.2.纵向硬件防火墙安全策略727.1.3.横向隔离防火墙安全策略配置727.2.高州县调737.2.1.纵向认证加密装置安全策略737.3.化州县调737.3.1.纵向认证加密装置安全策略737.4.电白县调747.4.1.纵向认证加密装置安全策略747.5.信宜县调747.5.1.纵向认证加密装置安全策略747.6.220KV河东站7
7、57.6.1.纵向认证加密装置安全策略757.6.2.纵向硬件防火墙安全策略757.6.3.横向隔离防火墙安全策略配置767.7.220KV泥桥站767.7.1.纵向认证加密装置安全策略767.7.2.纵向硬件防火墙安全策略767.7.3.横向隔离防火墙安全策略配置777.8.220KV谢平岭站777.8.1.纵向认证加密装置安全策略777.8.2.纵向硬件防火墙安全策略787.8.3.横向隔离防火墙安全策略配置787.9.220KV天泰站797.9.1.纵向认证加密装置安全策略797.9.2.纵向硬件防火墙安全策略797.9.3.横向隔离防火墙安全策略配置797.10.220KV金山站807
8、.10.1.纵向认证加密装置安全策略807.10.2.纵向硬件防火墙安全策略807.10.3.横向隔离防火墙安全策略配置817.11.220KV六运站817.11.1.纵向认证加密装置安全策略817.11.2.纵向硬件防火墙安全策略817.11.3.横向隔离防火墙安全策略配置827.12.站点业务系统安全827.12.1.PVLAN827.12.2.ACL868.安全设备选型878.1.三层交换机878.2.硬件防火墙878.3.电力专用纵向加密认证装置879.网络测试899.1.纯路由环境测试899.2.实时子网测试909.2.1.关键链路切换测试909.2.2.关键链路切换测试2929.2
9、.3.纵向加密装置双机切换测试939.2.4.纵向加密装置Bypass测试949.3.非实时子网测试969.3.1.关键链路切换测试1969.3.2.关键链路切换测试979.3.3.纵向防火墙双机切换测试989.4.横向转换转换测试1009.4.1.横向防火墙NAT地址转换测试1009.4.2.关键链路切换测试11019.4.3.关键链路切换测试21039.4.4.横向防火墙双机测试1049.5.二次系统安全防护测试10610.工程实施步骤10811.施工过程危险点控制11311.1.风险点分析11311.2.风险避免方案设计11311.3.应急预案11611.3.1.应急组织11611.3.
10、2.应急器材11711.3.3.系统迁移应急处理措施11711.3.4.业务系统功能测试1181. 概述为落实国家电监会关于34号文提出的“2010年建成比较完善的电力二次系统安全防护体系的要求,茂名供电局按照省公司有关电力二次系统安全防护工作的整体部署和具体的项目要求,制定了茂名供电局电力二次系统安全防护项目实施方案。本期项目内容主要包括:供电局、县调、220kV及以上变电站调度业务接入新建的调度数据网和调度数据业务与调度数据网边界的安全防护设备设置。本实施方案主要内容包括:项目实施的详细内容、技术方案、项目实施具体步骤及实施过程的安全风险控制等。2. 方案编写依据 国家电监会5号令电力二次
11、系统安全防护规定 国家电监会【2006】34号“关于印发电力二次系统安全防护总体方案等安全防护方案的通知” 南方电网电力二次系统安全防护技术实施规范 广东电网电力二次系统安全防护实施规范 广东电力调度数据网及调度生产业务系统 IP 地址规划(茂名供电局分册) 广东电力调度数据网业务段IP地址使用说明-地区供电局部分 广东电力调度数据网业务段IP地址使用说明-500kV变电站部分 广东电力调度数据网业务段IP地址使用说明-220kV变电站部分3. 现状分析3.1. 调度数据网现状广东电网公司调度数据网于2007年全面启动建设,目前已初步建成包括省骨干调度数据网,21个地区局调度数据网在内的整体调
12、度数据网络,并已投入运行,各级调度数据网之间通过MPLS 跨域VPN技术进行网络互联,为实现业务的逻辑隔离和调度管理关系的特殊性,采用了非对称的RT技术、QOS技术、路由加密技术、路由标记(community)技术等。网络整体逻辑结构如下:茂名供电局调度数据网全网采用阿尔卡特公司的路由交换设备构建。3.2. 茂名供电局二次系统现状本期茂名供电局二次系统安全防护项目涉及的站点有:茂名局地调、高州县调、化州县调、电白县调、信宜县调、220kV河东站、220kV泥桥站、220kV谢平岭站、220kV天泰站、220kV金山站、220kV六运站。总共是1个地调、4个县调、1个500KV变电站、以及6个2
13、20KV变电站。其中,500KV茂名变电站属于总调直调厂站,本方案暂不考虑。本期工程需要接入调度数据网的业务系统有:地调实时业务能量管理系统(EMS)、集控系统、配网自动化、保护信息系统非实时业务电能量计量系统(TMR)、调度电子发令系统高州县调实时业务SCADA系统化州县调实时业务SCADA系统电白县调实时业务SCADA系统信宜县调实时业务SCADA系统220kV河东站实时业务调度自动化系统、保信系统非实时业务电量采集装置220kV泥桥站实时业务调度自动化系统、保信系统非实时业务电量采集装置220kV谢平岭站实时业务调度自动化系统、保信系统非实时业务电量采集装置220kV天泰站实时业务调度自
14、动化系统、保信系统非实时业务电量采集装置220kV金山站实时业务调度自动化系统、保信系统非实时业务电量采集装置220kV六运站实时业务调度自动化系统、保信系统非实时业务电量采集装置目前茂名供电局调度业务系统还没有进行新旧调度数据网割接,所有业务系统全部运行在旧调度数据网上,新建设的调度数据网处于脱机状态运行。4. 设计目标改造后的茂名供电局调度系统网络需要根据业务特性的不同,分为控制区与非控制区,两区合并起来称为生产控制大区,与茂名供电局日常办公业务说运行的管理信息大区从物理层上严格隔离。严格遵守以及实现广东电网电力二次系统安全防护实施规范所要求的“安全分区、网络专用、横向隔离、纵向认证”基本
15、原则和电力二次系统安全防护要求。广东电网电力二次系统安全防护工作的重点是通过有效的技术手段和管理措施保护电力实时闭环监控系统及调度数据网络的安全,总体目标是建立健全的广东电网电力二次系统安全防护体系,在统一的安全策略下使重点保护的系统免受黑客、病毒、恶意代码等侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的资源损害,在系统遭到损害后,能够迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障广东电网安全稳定运行。 广东电网电力二次系统安全防护工作的具体目标如下: 防范病毒、木马等恶意代码的侵害;
16、防范入侵者的恶意攻击与破坏; 保护电力监控系统和电力调度数据网络的可用性; 保护电力调度数据网络和系统服务的连续性; 保护电力调度数据网络重要信息在存储和传输过程中的机密性、完整性; 实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问; 防止对调度数据网络和应用系统上重要系统操作的抵赖行为; 实现电力监控系统和调度数据网安全事件可发现、可跟踪及可审计; 实现电力监控系统和调度数据网络的安全管理。 5. 设计方案5.1. 全网设备命名站点纵向加密认证装置纵向硬件防火墙横向隔离防火墙控制区纵向互联交换机非控制区纵向互联交换机地调MMDD-1-XXX地调纵向硬件防火墙-A地调横向
17、隔离防火墙-AMMDD-KZQ-AMMDD-FKZQ-AMMDD-2-XXX地调纵向硬件防火墙-B地调横向隔离防火墙-BMMDD-KZQ-BMMDD-FKZQ-B高州县调GZXD-1-XXXGZXD-KZQ化州县调HZXD-1-xxxHZXD-KZQ电白县调DBXD-1-xxxDBXD-KZQ信宜县调XYXD-1-xxxXYXD-KZQ220KV河东变电站220HDZ-1-xxx河东站纵向硬件防火墙河东站横向隔离防火墙220HDZ-KZQ220HDZ-FKZQ220KV泥桥变电站220NQZ-1-xxx泥桥站纵向硬件防火墙泥桥站横向隔离防火墙220NQZ-KZQ220NQZ-FKZQ220KV
18、谢平岭变电站220XPLZ-1-xxx谢平岭站纵向硬件防火墙谢平岭站横向隔离防火墙220XPLZ-KZQ220XPLZ-FKZQ220KV天泰变电站220TTZ-1-xxx天泰站纵向硬件防火墙天泰站横向隔离防火墙220TTZ-KZQ220TTZ-FKZQ220KV金山变电站220JSZ-1-xxx金山站纵向硬件防火墙金山站横向隔离防火墙220JSZ-KZQ220JSZ-FKZQ220KV六运变电站220LYZ-1-xxx六运站纵向硬件防火墙六运站横向隔离防火墙220LYZ-KZQ220LYZ-FKZQ5.2. 地调5.2.1. 网络拓扑地调二次系统安全防护拓扑图实时子网方案说明:1) 配置2台
19、控制区纵向互联交换机,用于汇接控制区业务系统,配置HSRP协议实施网关冗余;配置2台纵向加密认证网关(采用透明模式),布置在控制区纵向互联交换机与调度数据网实时VPN之间。2) 要求业务系统的通信服务器每台均提供两块独立的网卡(虚拟出一个IP地址)与控制区纵向互联交换机相连,接入调度数据网实时子网。3) 纵向加密认证装置采用透明工作方式。对配置有纵向加密认证装置的县区调、500kV变电站和220kV变电站,在与地调或者省中调进行能量管理系统业务信息传输时,通过两侧纵向加密认证装置的加解密功能,在调度数据网实时VPN上传输相应信息。对未配置有纵向加密认证装置的,在与地调进行相关业务信息传输时,纵
20、向加密认证装置采用明通模式进行工作,但应配置相应安全策略以确保身份认证、访问控制和传输数据的机密性及完整性。4) 纵向加密装置与控制区纵向互联交换机之间相连使用交叉线,以便加密装置Bypass功能的实现。非实时子网方案说明:1) 配置2台非控制区纵向互联交换机,用于汇接非控制区业务系统,配置HSRP协议实施网关冗余;配置2台硬件防火墙,布置在非控制区纵向互联交换机与调度数据网非实时VPN之间。2) 要求各业务系统的通信服务器每台均提供两块独立的网卡(虚拟出一个IP地址)与非控制区纵向互联交换机相连,接入调度数据网非实时子网。3) 纵向硬件防火墙采用透明工作模式,对配置有防火墙的县区调、500k
21、V变电站和220kV变电站,在与地调或者省中调进行调度员培训模拟系统(JSS)、电能量计量遥测系统等系统业务信息传输时,严格控制源地址、源端口、目的地址、目的端口相应安全策略以确保访问控制和传输数据的安全性。5.2.2. 设备端口分配本端设备本端端口对端设备对端端口互联VLAN用途地调核心路由器-1以太网口1纵向加密认证网关-1以太网口1100纵向实时互联以太网口2纵向硬件防火墙-1以太网口1200纵向非实时互联地调核心路由器-2以太网口1纵向加密认证网关-2以太网口1100纵向实时互联以太网口2纵向硬件防火墙-2以太网口1200纵向非实时互联纵向加密认证网关-1以太网口1地调核心路由器-1以
22、太网口1100纵向实时互联以太网口2控制区互联交换机-1以太网口24100纵向实时互联HA接口纵向加密认证网关-2HA接口HA专用纵向加密认证网关-2以太网口1地调核心路由器-2以太网口1100纵向实时互联以太网口2控制区互联交换机-2以太网口24100纵向实时互联HA接口纵向加密认证网关-2HA接口HA专用控制区互联交换机-1以太网口23横向硬件防火墙-1以太网口1199横向实时互联以太网口24纵向加密认证网关-1以太网口2100纵向实时互联以太网口22控制区互联交换机-2以太网口22TRUNK控制区互联交换机-2以太网口23横向硬件防火墙-2以太网口1199横向实时互联以太网口24纵向加密
23、认证网关-2以太网口2100纵向实时互联以太网口22控制区互联交换机-1以太网口22TRUNK纵向硬件防火墙-1以太网口1地调核心路由器-1以太网口2200纵向非实时互联以太网口2非控制区互联交换机-1以太网口24200纵向非实时互联以太网口3纵向硬件防火墙-2以太网口3HA专用纵向硬件防火墙-2以太网口1地调核心路由器-2以太网口2200纵向非实时互联以太网口2非控制区互联交换机-2以太网口24200纵向非实时互联以太网口3纵向硬件防火墙-1以太网口3HA专用非控制区互联交换机-1以太网口23横向硬件防火墙-1以太网口2299横向非实时互联以太网口24纵向硬件防火墙-1以太网口2200纵向非
24、实时互联以太网口22非控制区互联交换机-2以太网口22TRUNK非控制区互联交换机-2以太网口23横向硬件防火墙-2以太网口2299横向非实时互联以太网口24横向硬件防火墙-2以太网口2200纵向非实时互联以太网口22非控制区互联交换机-1以太网口22TRUNK横向硬件防火墙-1以太网口1控制区互联交换机-2以太网口23199横向实时互联以太网口2非控制区互联交换机-1以太网口23299横向非实时互联以太网口3横向硬件防火墙-2以太网口3HA专用横向硬件防火墙-2以太网口1控制区互联交换机-1以太网口23199横向实时互联以太网口2非控制区互联交换机-2以太网口23299横向非实时互联以太网口
25、3横向硬件防火墙-1以太网口3HA专用5.2.3. 设备物理部署设备安装位置:新增设备包括纵向互联交换机、纵向加密认证网关以及硬件防火墙等,所有设备均可布置在现有自动化机房。纵向互联交换机、认证装置和防火墙均按1U高度考虑,建议将本期配置的纵向互联交换机、纵向加密认证网关和硬件防火墙至少新组一面机柜,即“调度数据网业务接入机柜”,机柜内的设备总高度10U。根据上述要求,则机柜配屏图及UHZ供电示意图如下:电源要求:所有设备均由自动化机房现有UHZ电源系统统一提供220kV UHZ电源(独立馈电回路送出),防火墙额定负荷约300W,加密认证装置额定负荷约100W,纵向互联交换机额定负荷约100W
26、。由新增设备的总负荷约为1800W。新增机柜规格要求与自动化机房目前的机柜保持一致,机柜屏位号以机房现有规定为准。线缆敷设必须与机房目前综合布线的标准和要求一致,线缆要求沿机房现有强弱电线槽进行敷设;防火墙和纵向加密认证网关与调度数据网路由器及纵向互联交换机之间均采用六类非屏蔽双绞线互联。5.2.4. 控制区纵向互联交换机5.2.4.1. 静态路由配置控制区纵向互联交换机上需要配置到达省中调、省中调备调、本地调度数据网实时VPN、本地调度数据网非实时VPN以及省中调非实时VPN的业务地址路由:序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.192.2542.
27、省中调备调10.75.46.0/2410.76.192.25410.75.47.0/2410.76.192.2543.本地调度数据网实时路由10.76.192.0/1910.76.192.2544.省中调非实时路由10.78.0.0/2310.76.192.2225.本地调度数据网非实时路由10.79.192.0/195.2.5. 纵向认证加密装置5.2.5.1. 系统配置系统配置信息包括:装置标识、默认策略、审计点位置、审计地址、装置地址,该地址用途是:建立隧道与管理装置。序号装置位置装置标识默认策略装置地址备注1.茂名地调MMDD-1-xxx禁止10.76.192.251MMDD-2-xx
28、x装置标识的命名规则:如GDZD-1-xxxGDZD:广东中调,使用安装地点名称1:第一台装置,同节点但不同装置之间的区分符xxx:设备证书序列号,一般为3位5.2.5.2. 静态路由配置路由配置包括两部分:目的地址网段:需要访问的地址段,一般为对端的业务地址段。下一跳地址:路由器内网地址,数据到达路由器内网后,查找路由表再路由到对端设备上。序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.192.2542.省中调备调10.75.46.0/2410.76.192.25410.75.47.0/2410.76.192.2543.本地调度数据网实时路由10.76.1
29、92.0/1910.76.192.2544.地调实时业务路由10.76.192.0/2510.76.192.22510.76.192.128/2610.76.192.2255.2.5.3. 隧道配置配置隧道的内容有:隧道ID:两两节点之间隧道标识符,用于一个节点与多个节点建立隧道的区分。隧道模式:加密与文明,即对数据加密与不加密装置隧道地址:本装置的地址对端隧道地址:对端装置的地址对端隧道证书名:对端装置的证书名称对端隧道备地址:对端装置的备地址,对端是双机冗余模式隧道容量:隧道的个数隧道周期:隧道对数据加密的密码更换时间隧道配置中,隧道ID为:1,隧道模式为:加密,隧道容量为:50000,隧
30、道周期:24。序号装置位置本端装置地址对端装置地址对端隧道证书名1.省中调10.76.192.25110.75.0.2512.省中调备调10.76.192.25110.75.46.2513.高州县调10.76.192.25110.76.196.1254.化州县调10.76.192.25110.76.204.1255.电白县调10.76.192.25110.76.200.1256.信宜县调10.76.192.25110.76.197.1257.220KV河东变电站10.76.192.25110.76.200.2218.220KV泥桥变电站10.76.192.25110.76.200.1899.2
31、20KV谢平岭变电站10.76.192.25110.76.204.22110.220KV天泰变电站10.76.192.25110.76.204.18911.220KV金山变电站10.76.192.25110.76.204.15712.220KV六运变电站10.76.192.25110.76.197.1575.2.6. 非控制区纵向互联交换机5.2.6.1. 静态路由配置非控制区纵向互联交换机上需要配置到达省中调、省中调备调的业务地址路由: 序号地址名称目的地址网段下一跳地址备注1.省中调10.78.0.0/2310.79.192.2542.省中调备调10.78.46.0/2410.79.192
32、.25410.78.47.0/2410.79.192.2543.本地调度数据网非实时路由10.79.192.0/1910.79.192.2545.2.7. 防火墙配置5.2.7.1. 高可靠性(HA)非实时子网防火墙采用透明方式接入,组成双机热备冗余。5.2.7.2. 静态路由配置序号地址名称目的地址网段下一跳地址备注1.省中调10.78.0.0/2310.79.192.2542.省中调备调10.78.46.0/2410.79.192.25410.78.47.0/2410.79.192.2543.本地调度数据网非实时路由10.79.192.0/1910.79.192.2545.2.8. I区及
33、II区横向隔离方案5.2.8.1. 设计方案对于同时具有实时数据和非实时数据纵向传输的业务系统:广域相量测量系统和继电保护及故障信息管理系统,采用下图所示接入方案:图4-3 I区及II区横向隔离方案方案说明:广域相量测量系统和继电保护及故障信息管理系统的非实时数据信息传输路径为:广域相量测量系统和继电保护及故障信息管理系统通信服务器控制区纵向互联交换机控制区与非控制区网络边界的硬件防火墙非控制区纵向互联交换机非控制区纵向互联硬件防火墙调度数据网PE路由器对端调度数据网PE路由器对端非控制区纵向互联硬件防火墙对端非控制区纵向互联交换机对端控制区与非控制区网络边界的硬件防火墙对端控制区纵向互联交换
34、机对端业务系统。5.2.8.2. 高可靠性(HA)非实时子网防火墙采用路由方式接入,组成双机热备冗余。5.2.8.3. 静态路由配置地调横向隔离防火墙需要配置需要访问地调保信系统实时数据的地址段,以及省中调、省中调备调、以及本地调度数据网的非实时数据的地址段:序号地址名称目的地址网段下一跳地址备注1.省中调(非实时)10.78.0.0/2310.79.192.1932.省中调备调(非实时)10.78.46.0/2410.79.192.19310.78.47.0/243.地调保信系统实时10.76.192.128/2710.76.192.1935.2.8.4. 地址转换(NAT)横向隔离防火墙上
35、配置控制区业务地址通过NAT转换到非控制区业务系统的配置表:序号业务系统控制区地址非控制区地址备注1.保信通信机1#10.76.192.13310.79.192.1972.保信通信机2#10.76.192.13410.79.192.1985.3. 县调5.3.1. 网络拓扑县调二次系统安全防护拓扑图实时子网方案说明:1) 配置1台控制区纵向互联交换机,用于汇接控制区业务系统;配置1台纵向加密认证网关(采用透明模式),布置在控制区纵向互联交换机与调度数据网实时VPN之间。2) 纵向加密认证装置采用透明工作方式。3) 纵向加密装置与控制区互联交换机之间相连使用交叉线,以便加密装置Bypass功能的
36、实现。非实时子网方案说明:1) 县调没有非实时业务。5.3.2. 设备端口分配本端设备本端端口对端设备对端端口互联VLAN用途CE交换机-1以太网口24纵向加密认证网关以太网口1100纵向实时互联纵向加密认证网关以太网口1CE交换机-1以太网口24100纵向实时互联以太网口2控制区互联交换机以太网口24100纵向实时互联控制区互联交换机以太网口24纵向加密认证网关以太网口2100纵向实时互联5.3.3. 设备物理部署设备安装位置:新增设备包括纵向互联交换机、纵向加密认证网关以及硬件防火墙等,所有设备均布置在现有自动化。纵向互联交换机和认证装置均按1U高度考虑,建议将本期配置的纵向互联交换机和纵
37、向加密认证网关至少新组一面机柜,即“调度数据网业务接入机柜”,机柜内的设备总高度10U。根据上述要求,则机柜配屏图及UHZ供电示意图如下:电源要求:所有设备均由自动化机房现有UHZ电源系统统一提供220kV UHZ电源(独立馈电回路送出),加密认证装置额定负荷约100W,纵向互联交换机额定负荷约100W。由新增设备的总负荷约为200W。时AN200新增机柜规格要求与自动化机房目前的机柜保持一致,机柜屏位号以机房现有规定为准。线缆敷设必须与机房目前综合布线的标准和要求一致,线缆要求沿机房现有强弱电线槽进行敷设;纵向加密认证网关与调度数据网路由器及纵向互联交换机之间均采用六类非屏蔽双绞线互联。5.
38、3.4. 控制区纵向互联交换机5.3.4.1. 静态路由配置控制区纵向互联交换机上需要配置到达省中调、省中调备调的业务地址路由:高州县调序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.196.1262.省中调备调10.75.46.0/2410.76.196.1263.10.75.47.0/2410.76.196.1264.地调10.76.192.0/2410.76.196.126化州县调序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.204.1262.省中调备调10.75.46.0/2410.76.204.1263.10.
39、75.47.0/2410.76.204.1264.地调10.76.192.0/2410.76.204.126电白县调序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.200.1262.省中调备调10.75.46.0/2410.76.200.1263.10.75.47.0/2410.76.200.1264.地调10.76.192.0/2410.76.200.126信宜县调序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.197.1262.省中调备调10.75.46.0/2410.76.197.1263.10.75.47.0/24
40、10.76.197.1264.地调10.76.192.0/2410.76.197.1265.3.5. 纵向认证加密装置5.3.5.1. 系统配置系统配置信息包括:装置标识、默认策略、审计点位置、审计地址、装置地址,该地址用途是:建立隧道与管理装置。序号装置位置装置标识默认策略装置地址备注1.高州县调GZXD-1-xxx禁止10.76.196.1252.化州县调HZXD-1-xxx禁止10.76.204.1253.电白县调DBXD-1-xxx禁止10.76.200.1254.信宜县调XYXD-1-xxx禁止10.76.197.125装置标识的命名规则:如GDZD-1-xxxGDZD:广东中调,使用安装地点名称1:第一台装置,同节点但不同装置之间的区分符xxx:设备证书序列号,一般为3位5.3.5.2. 静态路由配置路由配置包括两部分:目的地址网段:需要访问的地址段,一般为对端的业务地址段。下一跳地址:路由器内网地址,数据到达路由器内网后,查找路由表再路由到对端设备上。高州县调序号地址名称目的地址网段下一跳地址备注1.省中调10.75.0.0/2310.76.196.1262.省中调备调10.75.46.0/2410.76.196.1263.10.75.47.0
