黃驊港網絡架構設計

馬磊

（國能黃驊港務有限責任公司，河北 滄州 061113）

0 引言

將從黃驊港的實際需求和技術支持兩方面入手，對影響架構規劃的幾大因素進行評估和分析，進而把需求和技術因素作為架構設計的重要輸入，推導出架構規劃的指導原則和設計要點，把網絡的各種最佳實踐靈活地應用到生產運營中去，從而有效保證了網絡的高可靠、高性能、高安全和靈活的擴展性[1]。

1 立項背景

黃驊港經過多年的發展，形成了以控制網、辦公網和視頻網為主體的基本網絡架構，其生產作業模式由傳統方式向智能化生產方式轉變，生產作業對網絡通信的依賴性越來越大，網絡架構是否合理對于保障通信穩定性顯得尤為重要。與此同時，網絡通信業務飛速發展和日益嚴峻的網絡安全形勢，現有網絡架構的安全性面臨著巨大挑戰，因此，黃驊港決定開展網絡架構規劃調整，規范網絡架構、梳理園區網絡業務交叉，保障園區網絡系統平穩運行和網絡空間安全[2]。

2 園區網絡架構設計

此網絡架構設計將充分考慮當前及未來5年網絡通信需求，建設一個規范化、多業務支撐、安全可靠的專用信息通信平臺，以生產數據傳輸為主，同時支持視頻、辦公業務的數據傳輸，并具備一定的網絡管理和網絡安全手段，并滿足網絡安全等級保護要求。

2.1 總體設計架構

黃驊港網絡的建設支持新業務快速部署，網絡設計要求具備高可靠性、高可擴展性以及較高的安全保護能力，便于網絡集中運行維護管理。

網絡總體架構按黃驊港的業務特點和業務重要級別，分別對各業務進行區域隔離，各區域采用三層通信互聯方式。各功能區域根據具體業務部署情況建設相應的網絡區域，主要包括園區核心區域、辦公網區域、控制網區域及視頻網區域。各區域統一規劃IP地址，保障IP地址連續性，另外，統一網絡設備的命名規則，網絡設備的命名應能使該網絡設備在全網中被唯一標識，命名規則還應體現出容易辨識，便于記憶的特點。

2.2 各網絡區域說明

（1）園區核心區域負責園區各功能區域的互聯和功能區域之間數據的快速轉發，通過園區核心區可以實現各網絡區域的松耦合互聯，同時有效支持后續區域的擴展。

（2）辦公網區域負責各辦公場地內終端的網絡接入服務，如辦公終端、IP電話、無線AP、打印機、會議系統等。

（3）控制網區域負責黃驊港工控系統、工控設備和工控管理系統的網絡接入服務，包括IDC服務器、控制網準入，生產管控系統等業務，

（4）視頻網區域負責黃驊港視頻數據傳輸，公司視頻業務獨立成網，包含視頻接入、存儲及管理業務。

3 網絡區域架構

3.1 園區核心區域

配置兩臺高性能、高可靠性的交換機組建交換園區核心，采用CSS集群技術，防止任意一臺交換核心出現問題后影響園區網絡通信。園區和其他區域核心交換機通過光纖互聯。園區核心與各區域之間通過動態路由協議交互路由信息，并有效支持未來多業務網絡擴展。

園區核心交換機物理旁掛一組防火墻，防火墻通過萬兆光纖連接園區核心交換機，采用三層接口方式與園區核心交換機互聯。在園區交換機中配置策略路由，實現數據流量引流至防火墻，防火墻以此進行訪問控制[3]。

3.2 辦公網區域

（1）與園區核心交換機物理互聯。配置兩臺高性能、高可靠性的交換機組建辦公網核心，采用CSS集群技術，防止任意一臺交換核心出現問題后影響辦公網絡通信。每座樓宇匯聚點分別部署兩臺交換機，利用堆疊技術將兩臺物理設備虛擬成為一個邏輯的交換機，通過兩條萬兆光口與辦公網核心交換機互聯。

（2）區域結構說明。在區域內部，樓宇匯聚交換機為二層、三層網絡的邊界。區域內終端設備的網關設置在樓宇匯聚交換機上，樓宇匯聚交換機與辦公網核心交換機之間，辦公網核心交換機與園區核心交換機之間均通過動態路由協議OSPF交互路由信息，實現各辦公區域與辦公網核心交換機，辦公網核心交換機與園區核心交換機三層互聯，每個樓宇內運行獨立的生成樹協議（MSTP），實現二層通信環路保護。

3.3 控制網區域

（1）與園區核心交換機物理互聯。控制網區域利用兩臺交換機虛擬成為一個邏輯的交換機，作為控制網核心交換機。兩臺防火墻旁掛于控制網核心，兩臺防火墻由心跳線連接進行熱備冗余進行訪問控制。

各區域各部署一組交換機作為區域匯聚交換機，區域匯聚交換機利用堆疊技術將兩臺物理設備虛擬成為一個邏輯的交換機，區域匯聚交換機采用雙萬兆光纖上聯至控制網核心交換機。各區域的匯聚交換機上各旁掛一組工控防火墻，兩臺防火墻進行熱備冗余。

（2）區域結構說明。遵循生產與辦公有效安全隔離的原則，與生產相關的業務系統和業務終端部署在控制網內，控制網內各區域遵循匯聚層、接入層、末節層的設計標準，各區域內網絡結構采用星形連接。區域內設備的網關設置在各自區域匯聚交換機。區域匯聚交換機通過OSPF動態路由協議與控制網核心交換機交互路由信息，實現各控制區域與控制網核心交換機三層互聯，各區域匯聚設置網關保護功能，避免因誤操作導致網關地址被侵占，造成網絡震蕩。

各區域匯聚交換機配置策略路由，實現數據流量引流至防火墻，防火墻以此進行訪問控制。控制網各區域運行獨立的生成樹協議（MSTP），包含根保護、環保護、BPDU保護、TC保護等方式對網絡進行加固。該區域還部署了多種網絡安全設備，對工控網絡資產進行有效管控。①工控網絡準入管控：在控制網區域設計一套網絡準入系統，結合接入交換機的準入配置，只允許合法的工業控制設備和終端接入網絡。②工控網絡主機防護：在控制網區域設計一套工業控制主機防護系統，結合在服務器、工作站上的主機防護客戶端，實現主機操作系統管理、進程管理、外設管理、防病毒管理和訪問策略管理等。③安全管理平臺：在控制網區域設計一套安全管理平臺，運行安全日志的采集與分析、資產安全脆弱性信息采集與管理，以及對安全事件與安全日志關聯分析等功能，及時發現和處置安全事件。④資產安全基線核查：在控制網區域設計一套配置核查管理系統，依據等級保護檢測規范和企業安全配置基線，對網絡設備、主機、數據庫以及安全產品進行在線集中式的脆弱項和配置核查，避免因軟件缺陷和配置問題導致的安全事件。⑤堡壘機：完成運維操作的認證、授權、記錄和審計，在控制網區域設計一套堡壘機安全運維平臺，建立“自然人-角色-資源-資源賬號-操作-審計日志”關系，實現事前統一運維入口和集中認證與授權、事中操作行為監控、事后違規和非法操作審計。⑥Esight網管系統：通過網管系統進行信息采集和事件呈現，通過Esight網管軟件實現對控制網區域網絡資源進行采集，實現全網資源統一管理，對系統管理人員提供可視化管理服務，并將網絡故障進行等級分類記錄，將系統告警與日志信息實時推送給相關業務人員，指導網絡運維管理，

3.4 視頻網區域

（1）與園區核心交換機物理互聯。視頻網區域采用兩臺交換機作為視頻網區域核心交換機，核心交換機之間通過CSS集群技術邏輯上虛擬成一臺交換機。兩臺視頻區域核心交換機使用萬兆端口以三層方式連接到園區核心交換機，兩條鏈路做捆綁，視頻網核心交換機應用OSPF動態路由協議進行路由宣告。兩臺視頻防火墻旁掛于視頻網核心交換機，兩臺防火墻由心跳線連接進行熱備冗余。

（2）區域結構說明。視頻網各區域通過雙萬兆鏈路上聯至視頻網核心交換機，各區域匯聚交換機為二層、三層網絡的邊界。區域內設備的網關設置在各區域匯聚交換機上，區域匯聚交換機進行OSPF宣告，應用動態路由協議實現網絡通信；視頻管理和視頻存儲區域匯聚交換機分別通過萬兆光口連接到視頻網核心交換機，兩條鏈路做捆綁。視頻網核心交換機下聯視頻AC服務器，實現對全網視頻AP設備進行統一管理。

視頻網各區域運行獨立的生成樹協議（MSTP），以各區域匯聚交換機作為根橋，采用根保護、環保護、BPDU保護、TC保護等方式對網絡進行加固，同時應用生成樹技術，視頻網采用有線鏈路與無線鏈路進行熱備冗余，調節環網路徑開銷，合理布局根端口、指定端口以及阻塞端口，充分保障視頻網通信可靠性。

4 結語

在黃驊港網絡設計中，采用業務功能模塊化、網絡拓撲層次化以及網絡平滑擴展相結合的設計方法，使得網絡架構在功能、容量、覆蓋能力等各方面具有易擴展能力，以適應快速發展的業務對網絡基礎架構的要求。與此同時，黃驊港網絡架構還具備成熟性、穩定性、安全性和先進性的特點，能夠有效支撐黃驊港未來業務戰略、應用部署和管理需求。