黄骅港网络架构设计
2021-04-10马磊
马磊
(国能黄骅港务有限责任公司,河北 沧州 061113)
0 引言
将从黄骅港的实际需求和技术支持两方面入手,对影响架构规划的几大因素进行评估和分析,进而把需求和技术因素作为架构设计的重要输入,推导出架构规划的指导原则和设计要点,把网络的各种最佳实践灵活地应用到生产运营中去,从而有效保证了网络的高可靠、高性能、高安全和灵活的扩展性[1]。
1 立项背景
黄骅港经过多年的发展,形成了以控制网、办公网和视频网为主体的基本网络架构,其生产作业模式由传统方式向智能化生产方式转变,生产作业对网络通信的依赖性越来越大,网络架构是否合理对于保障通信稳定性显得尤为重要。与此同时,网络通信业务飞速发展和日益严峻的网络安全形势,现有网络架构的安全性面临着巨大挑战,因此,黄骅港决定开展网络架构规划调整,规范网络架构、梳理园区网络业务交叉,保障园区网络系统平稳运行和网络空间安全[2]。
2 园区网络架构设计
此网络架构设计将充分考虑当前及未来5年网络通信需求,建设一个规范化、多业务支撑、安全可靠的专用信息通信平台,以生产数据传输为主,同时支持视频、办公业务的数据传输,并具备一定的网络管理和网络安全手段,并满足网络安全等级保护要求。
2.1 总体设计架构
黄骅港网络的建设支持新业务快速部署,网络设计要求具备高可靠性、高可扩展性以及较高的安全保护能力,便于网络集中运行维护管理。
网络总体架构按黄骅港的业务特点和业务重要级别,分别对各业务进行区域隔离,各区域采用三层通信互联方式。各功能区域根据具体业务部署情况建设相应的网络区域,主要包括园区核心区域、办公网区域、控制网区域及视频网区域。各区域统一规划IP地址,保障IP地址连续性,另外,统一网络设备的命名规则,网络设备的命名应能使该网络设备在全网中被唯一标识,命名规则还应体现出容易辨识,便于记忆的特点。
2.2 各网络区域说明
(1)园区核心区域负责园区各功能区域的互联和功能区域之间数据的快速转发,通过园区核心区可以实现各网络区域的松耦合互联,同时有效支持后续区域的扩展。
(2)办公网区域负责各办公场地内终端的网络接入服务,如办公终端、IP电话、无线AP、打印机、会议系统等。
(3)控制网区域负责黄骅港工控系统、工控设备和工控管理系统的网络接入服务,包括IDC服务器、控制网准入,生产管控系统等业务,
(4)视频网区域负责黄骅港视频数据传输,公司视频业务独立成网,包含视频接入、存储及管理业务。
3 网络区域架构
3.1 园区核心区域
配置两台高性能、高可靠性的交换机组建交换园区核心,采用CSS集群技术,防止任意一台交换核心出现问题后影响园区网络通信。园区和其他区域核心交换机通过光纤互联。园区核心与各区域之间通过动态路由协议交互路由信息,并有效支持未来多业务网络扩展。
园区核心交换机物理旁挂一组防火墙,防火墙通过万兆光纤连接园区核心交换机,采用三层接口方式与园区核心交换机互联。在园区交换机中配置策略路由,实现数据流量引流至防火墙,防火墙以此进行访问控制[3]。
3.2 办公网区域
(1)与园区核心交换机物理互联。配置两台高性能、高可靠性的交换机组建办公网核心,采用CSS集群技术,防止任意一台交换核心出现问题后影响办公网络通信。每座楼宇汇聚点分别部署两台交换机,利用堆叠技术将两台物理设备虚拟成为一个逻辑的交换机,通过两条万兆光口与办公网核心交换机互联。
(2)区域结构说明。在区域内部,楼宇汇聚交换机为二层、三层网络的边界。区域内终端设备的网关设置在楼宇汇聚交换机上,楼宇汇聚交换机与办公网核心交换机之间,办公网核心交换机与园区核心交换机之间均通过动态路由协议OSPF交互路由信息,实现各办公区域与办公网核心交换机,办公网核心交换机与园区核心交换机三层互联,每个楼宇内运行独立的生成树协议(MSTP),实现二层通信环路保护。
3.3 控制网区域
(1)与园区核心交换机物理互联。控制网区域利用两台交换机虚拟成为一个逻辑的交换机,作为控制网核心交换机。两台防火墙旁挂于控制网核心,两台防火墙由心跳线连接进行热备冗余进行访问控制。
各区域各部署一组交换机作为区域汇聚交换机,区域汇聚交换机利用堆叠技术将两台物理设备虚拟成为一个逻辑的交换机,区域汇聚交换机采用双万兆光纤上联至控制网核心交换机。各区域的汇聚交换机上各旁挂一组工控防火墙,两台防火墙进行热备冗余。
(2)区域结构说明。遵循生产与办公有效安全隔离的原则,与生产相关的业务系统和业务终端部署在控制网内,控制网内各区域遵循汇聚层、接入层、末节层的设计标准,各区域内网络结构采用星形连接。区域内设备的网关设置在各自区域汇聚交换机。区域汇聚交换机通过OSPF动态路由协议与控制网核心交换机交互路由信息,实现各控制区域与控制网核心交换机三层互联,各区域汇聚设置网关保护功能,避免因误操作导致网关地址被侵占,造成网络震荡。
各区域汇聚交换机配置策略路由,实现数据流量引流至防火墙,防火墙以此进行访问控制。控制网各区域运行独立的生成树协议(MSTP),包含根保护、环保护、BPDU保护、TC保护等方式对网络进行加固。该区域还部署了多种网络安全设备,对工控网络资产进行有效管控。①工控网络准入管控:在控制网区域设计一套网络准入系统,结合接入交换机的准入配置,只允许合法的工业控制设备和终端接入网络。②工控网络主机防护:在控制网区域设计一套工业控制主机防护系统,结合在服务器、工作站上的主机防护客户端,实现主机操作系统管理、进程管理、外设管理、防病毒管理和访问策略管理等。③安全管理平台:在控制网区域设计一套安全管理平台,运行安全日志的采集与分析、资产安全脆弱性信息采集与管理,以及对安全事件与安全日志关联分析等功能,及时发现和处置安全事件。④资产安全基线核查:在控制网区域设计一套配置核查管理系统,依据等级保护检测规范和企业安全配置基线,对网络设备、主机、数据库以及安全产品进行在线集中式的脆弱项和配置核查,避免因软件缺陷和配置问题导致的安全事件。⑤堡垒机:完成运维操作的认证、授权、记录和审计,在控制网区域设计一套堡垒机安全运维平台,建立“自然人-角色-资源-资源账号-操作-审计日志”关系,实现事前统一运维入口和集中认证与授权、事中操作行为监控、事后违规和非法操作审计。⑥Esight网管系统:通过网管系统进行信息采集和事件呈现,通过Esight网管软件实现对控制网区域网络资源进行采集,实现全网资源统一管理,对系统管理人员提供可视化管理服务,并将网络故障进行等级分类记录,将系统告警与日志信息实时推送给相关业务人员,指导网络运维管理,
3.4 视频网区域
(1)与园区核心交换机物理互联。视频网区域采用两台交换机作为视频网区域核心交换机,核心交换机之间通过CSS集群技术逻辑上虚拟成一台交换机。两台视频区域核心交换机使用万兆端口以三层方式连接到园区核心交换机,两条链路做捆绑,视频网核心交换机应用OSPF动态路由协议进行路由宣告。两台视频防火墙旁挂于视频网核心交换机,两台防火墙由心跳线连接进行热备冗余。
(2)区域结构说明。视频网各区域通过双万兆链路上联至视频网核心交换机,各区域汇聚交换机为二层、三层网络的边界。区域内设备的网关设置在各区域汇聚交换机上,区域汇聚交换机进行OSPF宣告,应用动态路由协议实现网络通信;视频管理和视频存储区域汇聚交换机分别通过万兆光口连接到视频网核心交换机,两条链路做捆绑。视频网核心交换机下联视频AC服务器,实现对全网视频AP设备进行统一管理。
视频网各区域运行独立的生成树协议(MSTP),以各区域汇聚交换机作为根桥,采用根保护、环保护、BPDU保护、TC保护等方式对网络进行加固,同时应用生成树技术,视频网采用有线链路与无线链路进行热备冗余,调节环网路径开销,合理布局根端口、指定端口以及阻塞端口,充分保障视频网通信可靠性。
4 结语
在黄骅港网络设计中,采用业务功能模块化、网络拓扑层次化以及网络平滑扩展相结合的设计方法,使得网络架构在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速发展的业务对网络基础架构的要求。与此同时,黄骅港网络架构还具备成熟性、稳定性、安全性和先进性的特点,能够有效支撑黄骅港未来业务战略、应用部署和管理需求。
