纵向加密配置说明
纵向加密的配置说明主要阐述设备管理配置、IP地址的规范、业务配置的配置原则、相关IP地址。
一、纵向加密规划
纵向加密设备是对调度数据网的业务流进行加密,现调度数据网220kV厂站侧接入省调接入网、地调接入网,省、地调度控制中心接入网骨干网I、II平面。
纵向加密业务流的规划如下图所示:
由220kV厂站省调接入网侧厂站业务系统上传数据与调度控制中心骨干网第II平面主站业务系统通信; 由220kV厂站地调接入网侧厂站业务系统上传数据与调度控制中心骨干网第I平面主站业务系统通信。 1.1220kV变电站省调接入网 省调接入网厂站标准为两台纵向加密设备,每台加密设备分别与同一路由器的实时、非实时接口相连,并与不通交换机连接。每台加密设备分别对实时业务、非实时业务进行加密处理。 1.2220kV变电站的地调接入网 地调接入网厂站标准跟省调接入网相同。 1.3厂站加密设备IP地址规范 纵向加密设备的IP地址选用实时、非实时业务IP地址,每台纵向加密设备分别配置实时IP地址或非实时IP地址,IP地址请按照自动化分配的地址使用。纵向加密设备的网关为对应业务的路由器物理接口地址。 纵向加密IP的分配如附表1: 附表1:纵向加密IP地址规划(举例说明) 实时业务 非实时业务 省调接入网 业务网段 纵向加密IP 地调接入网 业务网段 纵向加密IP 二、纵向加密管理中心及内网安全监视平台的接入 加密的管理中心及内网安全监视平台的接入方式需和业务流的相关规划对应,即骨干网II平面和厂站省调接入设备需由二平面的管理中心进行管理,并由内网安全监视平台所在II平面采集
仅供个人学习参考
服务器进行告警日志采集;骨干网I平面和厂站地调接入设备需由一平面的管理中心进行管理,并由内网安全监视平台I平面采集服务器进行告警日志采集。 2.1加密设备的集中管理:
需在加密设备进行远程管理配置,内网安全监视平台能对设备进行远程管理。省调内网安全监视平台需要管理场站级别有220kv及以上变电站、新能源场站包括风电场及光伏电站。
省调管理中心地址见表2。 表2:省调管理中心地址 所属区域 省调主站一片面 省调主站二平面 类型 实时 非实时 实时 非实时 省调管理地址 2.2告警日志的集中监视: 省调内网安全监视平台需要场站上报告警日志级别有220kv及以上变电站、风电场。 具体日志告警服务器IP地址如下: 表3: 地区 骨干网第I平面 实时 省调 10. 三纵向加密隧道策略的配置 在装置基本配置中,缺省策略处理模式要选择丢弃(不要选择放行)。所有厂站与主站业务需经过纵向加密设备的加密与解密,按照第一章中所述纵向加密业务流规划建立相应加密隧道及策略。具体IP地址见附表4。 附表4:省调加密协商地址 节点 协商IP 业务IP 骨干网第II平面 实时 非实时 非实时 1 省调I平面 实时 省调I平面非 实时 仅供个人学习参考
省备调I平面 省调II平面实时 省调II平面非实时 10 .20 省调主站共13个协商ip,说明场站侧纵向加密共需要配置13条隧道和13条策略到省调主站。 四配置举例 隧道的配置,需对厂站所有需要访问的业务报文进行加密处理,省调接入网设备应和主站端I平面进行通讯,建立加密隧道、配置加密策略。见附表5、6。 附表5:厂站加密隧道的配置 隧道序号 场站纵向(每个站本地加密设共4台设备) 备地址 64.100.146.66 64.100.146.66 地调接入网实时 对端加密设备地址 64.10.10.250 64.10.20.250 隧道状态 加密 加密 加密 加密 加密 加密 加密 加密 加密 加密 加密 加密 加密 1 2 3 4 5 6 7 8 9 10 11 12 13 省调接入网实时 省调接入网非实时 地调接入网非实时 附表6:省调接入网厂站加密策略的配置
序号 1 源起始IP 源终止IP 目的起始IP 目的终止IP 处理方式 协议 All 0-65535 2 端口 64.10.10.1 64.10.10.20 加密 64.100.146.66 64.100.146.94 64.10.20.1 64.10.20.20 加密 All 0-65仅供个人学习参考
535 3 64.100.146.66 64.100.146.94 加密 All 0-65535 4 加密 All 0-65535 5 加密 All 0-65535 6 加密 All 0-65535 7 加密 All 0-65535 8 加密 All 0-65535 9 加密 All 0-65535 10 加密 All 0-65535 11 加密 All 0-65535 12 加密 All 0-65535 13 加密 All 0-65535
仅供个人学习参考
因篇幅问题不能全部显示,请点此查看更多更全内容