電網(wǎng)企業(yè)廣域網(wǎng)與局域網(wǎng)間冗余鏈路的分析

貴州電網(wǎng)公司畢節(jié)供電局信息中心 貴州畢節(jié) 551700

摘要：本文主要闡述現(xiàn)在電網(wǎng)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)中，在廣域網(wǎng)與局域網(wǎng)的鏈接處，大多數(shù)存在著單鏈路的缺陷，這一缺陷對目前高度依賴信息化的電網(wǎng)企業(yè)來說，無異于是一顆巨型定時炸彈，隨時威脅著企業(yè)的安全經(jīng)營活動。對于如何解決該問題，控制企業(yè)風(fēng)險，正文通過技術(shù)分析，列舉出兩種方案，并對兩種技術(shù)方案進(jìn)行優(yōu)劣的比對，最終提出最優(yōu)的解決方案。

關(guān)鍵詞：電網(wǎng)企業(yè)；網(wǎng)絡(luò)；單鏈路；冗余

引言

由于企業(yè)運(yùn)營的特性以及建設(shè)的方便性，目前電網(wǎng)企業(yè)一般都有一套獨(dú)立網(wǎng)絡(luò)體系，網(wǎng)絡(luò)體系主要由廣域網(wǎng)和局域網(wǎng)構(gòu)成：由于用途的不同，廣域網(wǎng)的稱呼比較多，有的稱之為綜合數(shù)據(jù)網(wǎng)，有的稱之為調(diào)度數(shù)據(jù)網(wǎng)等等，總體來說通屬廣域網(wǎng)；局域網(wǎng)則是在各個重要單位或者重要部門的內(nèi)部局域網(wǎng)。但是就目前多數(shù)電網(wǎng)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)而言，存在著一個致命缺陷就是廣域網(wǎng)和局域網(wǎng)之間只有單線連接，存在單點(diǎn)故障的風(fēng)險，而網(wǎng)絡(luò)的重要性不言而喻，因此廣域網(wǎng)與局域網(wǎng)的單線聯(lián)系就成為了我們信息安全的高風(fēng)險點(diǎn)，本文主要就此問題，闡述兩種解決方案，并提出最優(yōu)解決方案。

正文

一、電網(wǎng)企業(yè)內(nèi)部網(wǎng)絡(luò)現(xiàn)狀

電網(wǎng)企業(yè)系統(tǒng)內(nèi)部網(wǎng)絡(luò)上面已經(jīng)簡單闡述，是由廣域網(wǎng)和局域網(wǎng)構(gòu)成，廣域網(wǎng)中運(yùn)行著復(fù)雜的網(wǎng)絡(luò)協(xié)議，包括MPLS VPN，BGP，OSPF等等，主要起著連接各個重要節(jié)點(diǎn)的作用，局域網(wǎng)則是在各個重要節(jié)點(diǎn)內(nèi)部搭建的網(wǎng)絡(luò)，主要服務(wù)于各個節(jié)點(diǎn)的內(nèi)部用戶。

首先闡述電網(wǎng)企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)成的緣由：電網(wǎng)行業(yè)的各個信息服務(wù)（包括信息系統(tǒng)服務(wù)，安全軟件服務(wù)，數(shù)據(jù)服務(wù)等）分布在省級數(shù)據(jù)中心及各地市級數(shù)據(jù)中心，要使全網(wǎng)每一個終端用戶都能夠享受到所有信息服務(wù)，就必須建立一張能夠到任何節(jié)點(diǎn)，并且任何節(jié)點(diǎn)間都可互聯(lián)互通的網(wǎng)絡(luò)，由此可體現(xiàn)建立廣域網(wǎng)的必要性，而各地市級局域網(wǎng)乃至縣級局域網(wǎng)都有提供地市級數(shù)據(jù)網(wǎng)絡(luò)服務(wù)或普通網(wǎng)絡(luò)服務(wù)的需求，因此搭建內(nèi)部局域網(wǎng)也就成為了必然。

以某地市級電網(wǎng)企業(yè)為例，該企業(yè)辦公局域網(wǎng)核心交換機(jī)為2臺華為8505三層交換機(jī)，與其他多數(shù)電網(wǎng)企業(yè)一樣，由于網(wǎng)絡(luò)建設(shè)不同步，規(guī)劃不全面等等諸多歷史原因，局域網(wǎng)核心交換機(jī)與廣域網(wǎng)之間為單鏈路鏈接，僅由核心交換機(jī)A通過一臺H3CSecpath500f防火墻與廣域網(wǎng)交換機(jī)實(shí)現(xiàn)互聯(lián)，核心交換機(jī)B與廣域網(wǎng)之間無物理鏈路實(shí)現(xiàn)冗余。一旦防火墻或鏈路出現(xiàn)故障，將導(dǎo)致該企業(yè)本部辦公網(wǎng)絡(luò)完全中斷，造成其他網(wǎng)絡(luò)用戶無法訪問地市級數(shù)據(jù)中心資源，嚴(yán)重影響到正常的辦公。

如圖一所示：

圖二 為圖一標(biāo)紅部分

二、廣域網(wǎng)與局域網(wǎng)單鏈路鏈接的解決方案

以上不難看出，在現(xiàn)在高度依靠信息系統(tǒng)的時代，這種網(wǎng)絡(luò)鏈接方式與網(wǎng)絡(luò)高可靠性的要求有著巨大的差距，存在很高的運(yùn)維風(fēng)險，一旦鏈路或設(shè)備發(fā)生單點(diǎn)故障，企業(yè)的工作將受到嚴(yán)重影響，甚至給企業(yè)帶來不可估量的損失，因此我們必須找到解決辦法，提高網(wǎng)絡(luò)可靠性，降低企業(yè)安全生產(chǎn)風(fēng)險。

結(jié)合以上網(wǎng)絡(luò)現(xiàn)狀，解決思路就是增加冗余鏈路，并且實(shí)現(xiàn)兩組鏈路的自動判斷和自動切換。

根據(jù)增加冗余鏈路的思路，目前有兩種常用的網(wǎng)絡(luò)技術(shù)可以用于解決此項(xiàng)問題。

方案一，VRRP和HA模式，如圖所示

為實(shí)現(xiàn)鏈路的冗余性，如上圖所示使用兩臺同型號的防火墻配置雙機(jī)冗余并行運(yùn)行模式（HA），同時接上聯(lián)和下聯(lián)線路，并用線路將兩臺防火墻的HA口連接起來，達(dá)到協(xié)同工作，并行運(yùn)行的功能。在防火墻上配置VRRP，用于防火墻的路由冗余。在S8505A和S8505B之間、S9512A和S9512B之間也各配置一組VRRP并設(shè)置優(yōu)先級，作為上行和下行的路由冗余。實(shí)現(xiàn)內(nèi)外流量經(jīng)過FWA防火墻訪問外網(wǎng)，F(xiàn)WB防火墻為備用鏈路。防火墻的心跳線用于兩臺防火墻之間的配置和狀態(tài)同步，實(shí)現(xiàn)并行運(yùn)行。此時，兩臺防火墻形如一臺防火墻工作。通過相應(yīng)的命令，主備防火墻會進(jìn)行配置交互，使兩臺防火墻配置一致。

方案二，路由模式，如圖所示

為實(shí)現(xiàn)鏈路冗余，如上圖所示，增加兩臺防火墻設(shè)備（可以不需要同樣型號），將防火墻配置為透明模式（或路由模式），開啟訪問控制，在S8505A、S8505B、S9512A、S9512B（路由模式需要將兩臺防火墻同樣開啟OSPF）上分別運(yùn)行同一個區(qū)域的ospf路由協(xié)議，并配置優(yōu)先級，實(shí)現(xiàn)內(nèi)外流量經(jīng)過FWA防火墻訪問外網(wǎng)，F(xiàn)WB防火墻為備用鏈路。此時兩臺防火墻獨(dú)立運(yùn)行，若防火墻發(fā)生配置變更時，兩臺防火墻需要進(jìn)行兩次配置。

三、最優(yōu)方案的選擇

上節(jié)所述兩種方案都能實(shí)現(xiàn)鏈路冗余，但結(jié)合地市級電網(wǎng)企業(yè)局域網(wǎng)實(shí)際情況，相比之下，第一種方案更為優(yōu)越，主要體現(xiàn)在兩個方面：

1、網(wǎng)絡(luò)維護(hù)量小，易于維護(hù)。由于兩臺防火墻采用了雙機(jī)冗余并行運(yùn)行模式（HA），兩臺防火墻中只要主防火墻的配置發(fā)生改變，備防火墻就會將發(fā)生的配置變更同步至自身，不需要再次手工配置備防火墻，隨時保持著兩臺防火墻配置一致，從而減輕維護(hù)工作量。

2、故障切換時間快。在電網(wǎng)企業(yè)局域網(wǎng)中本身就運(yùn)行著大量動態(tài)路由協(xié)議，而在這種環(huán)境下，運(yùn)用方案一，故障排除速度將會更快，因?yàn)閯討B(tài)路由協(xié)議的收斂時間，根據(jù)網(wǎng)絡(luò)大小不同以及協(xié)議的不同，都會有1秒或者幾秒甚至更長。而采用vrrp和HA模式的故障判斷和切換時間則是1秒，因此，對于存在著地區(qū)級數(shù)據(jù)中心的地區(qū)局域網(wǎng)，采用方案一的網(wǎng)絡(luò)可靠性更高，故障切換時，用戶體驗(yàn)更為良好。

結(jié)論

由此可見，在一般地市級電網(wǎng)企業(yè)，方案一是比較合適的方案，不僅解決了增加冗余鏈路的問題，同時也兼顧了減少維護(hù)量，故障排除快等需求。因此，在考慮解決地市級電網(wǎng)企業(yè)廣域網(wǎng)與局域網(wǎng)單鏈路的問題時，方案一是最佳選擇，當(dāng)然各個地市局的情況不盡相同，在選擇方案時，還需結(jié)合實(shí)地情況，因地制宜。