智慧港口網絡規劃與應用研究

馮 毅

（國能珠海港務有限公司，廣東 珠海 519090）

0 引 言

隨著信息技術和物聯網技術的快速發展，智慧港口成為現代港口建設的重要方向。港口經濟的高質量發展需要高水平的智慧港口建設作為支撐，利用先進的信息技術和物聯網技術來提升港口運作效率與管理水平，從而提高核心競爭力，促進產業轉型升級，實現數字化、智能化以及可持續發展的智慧港口。

1 智慧港口規劃總體目標

1.1 高度集成化

智慧港口的各個子系統應該能高度集成，實現數據的共享和交互，避免數據孤島，提高整體的運行效率和決策能力。

1.2 實時性和準確性

智慧港口需要實時采集和處理海量的數據，包括船舶位置、貨物狀態以及設備運行情況等。因此，信息系統需要具備高度的實時性和準確性，能及時反映港口的實際情況，以支持運營決策與應急處理。

1.3 可擴展性和靈活性

智慧港口的信息系統與網絡設備能夠與現有設備進行兼容，適應未來的技術和業務發展需求，后續具備網絡升級改造與系統性能擴展的能力。

1.4 安全性和可靠性

網絡安全風險日益劇增，網絡安全防護設施應能有效甄別可疑對象，抵御外部攻擊，保護港口的生產系統、運營數據以及敏感信息不受到惡意攻擊和泄露。同時，信息系統應具備完善的容錯性和可恢復性，以確保港口運營的連續性與穩定性[1]。

2 網絡規劃與設計

2.1 網絡拓撲設計與結構劃分

公司網絡架構總體呈扁平化設計，采用樹形的2層拓撲結構，接入交換機直接上聯核心交換機；滿足等保二級標準，劃分安全區域，區域邊界根據重要性部署防火墻；IP 電話與非辦公區單獨組網，與辦公網物理隔離；辦公網與工業控制網采用雙向網閘進行物理隔離；按照功能劃分為服務器虛擬化區、5G 調度集群區、辦公區以及生產控制區等[2]。

2.2 核心層

為保障網絡運行的可靠性和穩定性，避免單點故障的風險，核心層網絡設備均采用雙設備、雙電源、雙引擎的冗余配置。

核心交換機采用層疊樣式表（Cascading Style Sheet，CSS）堆疊技術，將多臺交換機通過堆疊線連接在一起，從邏輯上變成一臺交換設備進行管理和配置，作為一個整體參與數據轉發，提高可靠性、擴展帶寬、擴展端口數量。

防火墻采用虛擬路由冗余協議（Virtual Router Redundancy Protocol，VRRP）及華為冗余協議（Huawei Redundancy Protocol，HRP）實現主備備份模式的雙機熱備，其中一臺設備作為主設備，另外一臺作為備份設備。主設備處理所有業務，并將產生的會話信息傳送到備份設備進行備份；備份設備不處理業務，只做備份。當主設備故障時，備份設備接替主設備處理業務，從而保證新發起的會話能正常建立，當前正在進行的會話也不會中斷。

路由器運用中間系統到中間系統（Intermediate System to Intermediate System，IS-IS）協議、開放式最短路徑優先（Open Shortest Path First，OSPF）協議、邊界網關協議（Border Gateway Protocol，BGP）及VRRP協議，實現2 臺路由器雙機冷備，出現單點故障時可立即將備用路由器接入到集團廣域網恢復網絡。公司主路由器與集團邊界路由器做IS-IS 配置建立鄰接關系后，將廣域網的路由表引入到公司局域網的OSPF網絡中，同時主路由器與公司核心交換機做OSPF 配置建立鄰接關系，實現公司局域網與集團廣域網路由雙向可達。

2.3 接入層

港口企業的業務特點是戶外面積較大，作業場所及辦公地點分散，在園區內各個樓宇及戶外場所要合理配置網絡接入點。每棟樓宇建筑的第一層可以放置一條光纜直連中心機房，樓宇的每層樓設計一個弱電間放置樓層交換機及網線配線架，方便布線接入樓層辦公室，同時樓層交換機匯聚至一樓交換機。另外，根據戶外場地的大小可以每隔500 m 左右合理設置戶外光纖箱，箱內放置光纜直連中心機房。同時需要注意戶外設備的接電問題，就近接電容易出現跳閘等供電不穩定情況，在規劃設計階段應考慮在園區內合理配置若干信息化專用的供電配電箱，配電箱電纜直連變電所[3]。

3 智慧港口信息化系統建設

3.1 服務器虛擬化

在傳統的服務器架構中，每個服務器通常只運行一個操作系統和應用程序，導致服務器群體龐大、資源利用率低以及物理設備的浪費。因此可以采購若干臺高性能服務器，通過服務器虛擬化技術實現服務器資源整合，讓中央處理器（Central Processing Unit，CPU）、內存、磁盤等硬件變成可以動態管理的資源池。用戶在Web 端就可以根據系統需求靈活設置服務器配置，快速生成服務器虛擬機，從而減少物理服務器的安裝空間，最大化利用服務器資源，簡化服務器的維護管理。

3.2 5G 混合專網及Wi-Fi6 無線網絡覆蓋

解決戶外場景的無線網絡是港口碼頭信息化建設的難點，Z 公司采用的是5G 專網及Wi-Fi 6 相結合的解決方案。一方面，在室內部署Wi-Fi 6 無線局域網，Wi-Fi 的覆蓋范圍容易受港機設備、鋼結構轉接塔等環境因素的影響，難以實現戶外園區全覆蓋，同時Wi-Fi6 具有速度快、延時低、容量大的特點，用戶體驗速率最高可達到1 Gb/s。另一方面，在室外搭建5G 混合專網，以5G 切片技術為基礎，通過無線和核心網網元的靈活定制，構建一張增強帶寬、低時延、數據不出園區的室外基礎連接網絡。

3.3 5G 調度集群

5G 調度集群是在5G 混合專網基礎上的5G 信息化應用，也是原有800 MHz 數字集群系統與5G 專網的應用融合。通過eSIP 中繼網關，5G 寬帶多媒體集群終端與800 MHz 窄帶數字集群終端實現對講組呼和語音單呼互聯互通，可以實現窄帶語音系統向寬帶融合系統的業務平滑過渡，設備充分利舊。同時，通過5G 切片技術和虛擬專用網絡（Virtual Private Network，VPN）專線，可將離開港區專網環境的5G 專用對講終端通過公網安全接入部署在內網的5G 融合調度系統，實現公網和專網的融合應用。

3.4 智慧網管平臺

華為的eSight 平臺是面向企業的一體化融合運維管理解決方案，可實現交換機、路由器、網絡無線局域網（Wireless Local Area Network，WLAN）、防火墻、視頻監控、服務器、存儲設備以及服務器操作系統和虛擬資源的統一管理，為企業在線測試（In-Circuit Test，ICT）設備提供集中化管理、可視化監控、智能化分析等功能，有效幫助企業提高運維效率、降低運維成本、提升資源使用率，實現網絡通信可視、可管、可控，有效保障企業ICT 系統穩定運行[4]。

3.5 IPv6 網絡部署

網際協議版本4（Internet Protocol version 4，IPv4最大的缺點在于網絡地址池不足，未來將無法滿足大型廣域網的網絡資源需求。Z 公司目前已完成動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）、域名系統（Domain Name System，DNS）應用的IPv4/IPv6 雙棧改造，實現終端可訪問IPv6 資源。雙棧改造首先需要完成DNS 改造，在DNS 服務器上設置集團或運營商指定的IPv6 DNS 轉發地址，實現IPv6 域名的解析；其次需要完成DHCP 改造，在DHCP 服務器的IPv6 目錄內新增作用域，按照集團分配的IPv6 地址池設置IP 段；最后需要在交換機網關地址上配置DHCPv6 中繼，實現終端用戶IPv6 地址的自動獲取。

4 網絡安全建設

4.1 信息安全威脅現狀

隨著數字化和信息化程度的不斷提高，網絡安全面臨的威脅也越來越復雜、隱蔽，黑客、病毒、木馬等攻擊手段不斷升級和變異，給網絡安全帶來巨大的挑戰。總體而言，港口碼頭面臨的網絡安全威脅主要包括數據泄露類（個人信息、生產數據）、黑客攻擊類以及惡意軟件類（勒索軟件、病毒木馬、僵尸網絡）。

4.2 網絡安全設計要求

4.2.1 預防性

網絡系統的設計規劃應從預防性的角度全過程、全方位、多層次考慮網絡安全建設，從人防、物防、技防等方面提前部署預防性策略，最大限度地將信息安全威脅拒之門外，充分保障內網數據信息的安全，為企業的穩定生產運營提供基礎保障。

4.2.2 及時性

網絡安全風險無處不在，需要有技術措施第一時間識別危險，有針對性地處置問題，最大限度地減少網絡安全風險對辦公網絡、生產運營的影響。

4.2.3 可追溯性

網絡規劃設計中部署的安全防護設備應具備審計功能，詳細記錄網絡流量活動及操作過程，可以快速定位攻擊來源，有效阻斷攻擊行為，在事件處置完畢后有條件對事件進行回顧梳理，查找問題根源，為進一步加固網絡安全提供依據。

4.3 網絡安全防護措施

4.3.1 防火墻

防火墻的功能主要在于及時發現并處理網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對網絡安全中的各項操作實施記錄與檢測，以確保網絡運行的安全性。在實際運用中，防火墻充當著門衛安保的角色，應優先在內網邊界部署邊界防火墻，如廣域網邊界、互聯網邊界以及工業控制網邊界，同時還可以考慮在服務器虛擬化集群等重點保護區域邊界部署防火墻，這樣可以有效管控進出流量，及時阻隔危險因素。

4.3.2 入侵防御系統

入侵防御系統（Intrusion Prevention System，IPS）是為保障計算機系統安全而設計的，通過收集和分析網絡行為、安全日志等其他網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略和被攻擊的跡象。一旦發現可疑活動，IPS 會采取預先定義的響應措施，如阻斷特定IP 地址、關閉漏洞或發出警報通知安全管理員。此外，IPS 是防火墻的合理補充，充當著內網巡邏警衛的角色，能夠預防內網的橫向攻擊，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力。

4.3.3 網 閘

工業控制網絡中系統漏洞多、網絡安全防護水平低的現象普遍存在，系統癱瘓對生產運營的危害最大，因此成為黑客攻擊的主要目標。部署網閘可以使工業控制網絡與外界不存在通信的物理連接、邏輯連接及信息傳輸協議，不存在依據協議進行的信息交換，而只有以數據文件形式進行的無協議擺渡。網閘從物理上隔離、阻斷對內網具有潛在攻擊的一切網絡連接，使外部攻擊者無法直接入侵、攻擊或破壞內網，保障內部主機的安全[5]。

4.3.4 終端安全準入系統

終端安全準入系統是一種基于網絡安全技術的系統，其主要作用是制定終端準入規則，對接入網絡的終端設備進行實時監察和管理，阻斷不明身份的終端接入，以保證網絡安全和信息安全。該系統能夠通過網絡安全性評測和驗證，對設備的身份、合法性、完整性等進行全方位的安全檢查，從而有效識別和防范網絡攻擊事件與信息泄露事件。

5 結 論

網絡規劃與信息化系統應用是智慧港口建設的基礎和關鍵。通過合理的規劃建設，可以實現港口內各系統、設備及服務的高效通信與協作，提高運作效率和管理水平。未來將會有更多基于5G 通信、大數據、自動化技術的信息化應用支持智能化、自動化的智慧港口發展。