纵向加密装置现场配置详细说明.docx
《纵向加密装置现场配置详细说明.docx》由会员分享,可在线阅读,更多相关《纵向加密装置现场配置详细说明.docx(8页珍藏版)》请在冰点文库上搜索。
纵向加密装置现场配置详细说明
纵向加密装置现场配置详细说明
纵向加密配置说明
纵向加密的配置说明主要阐述设备管理配置、IP地址的规范、业务配置的配置原则、相关IP地址。
一、纵向加密规划
纵向加密设备是对调度数据网的业务流进行加密,现调度数据网220kV厂站侧接入省调接入网、地调接入网,省、地调度控制中心接入网骨干网I、II平面。
纵向加密业务流的规划如下图所示:
由220kV厂站省调接入网侧厂站业务系统上传数据与调度控制中心骨干网第II平面主站业务系统通信;
由220kV厂站地调接入网侧厂站业务系统上传数据与调度控制中心骨干网第I平面主站业务系统通信。
1.1220kV变电站省调接入网
省调接入网厂站标准为两台纵向加密设备,每台加密设备分别与同一路由器的实时、非实时接口相连,并与不通交换机连接。
每台加密设备分别对实时业务、非实时业务进行加密处理。
1.2220kV变电站的地调接入网
地调接入网厂站标准跟省调接入网相同。
1.3厂站加密设备IP地址规范
纵向加密设备的IP地址选用实时、非实时业务IP地址,每台纵向加密设备分别配置实时IP地址或非实时IP地址,IP地址请按照自动化分配的地址使用。
纵向加密设备的网关为对应业务的路由器物理接口地址。
纵向加密IP的分配如附表1:
附表1:
纵向加密IP地址规划(举例说明)
实时业务
非实时业务
省调接入网
业务网段
64.100.46.64/27
64.100.146.64/27
纵向加密IP
64.100.46.66
64.100.146.66
地调接入网
业务网段
64.108.9.176/28
64.108.19.176/28
纵向加密IP
64.108.9.178
64.108.19.178
二、纵向加密管理中心及内网安全监视平台的接入
加密的管理中心及内网安全监视平台的接入方式需和业务流的相关规划对应,即骨干网II平面和厂站省调接入设备需由二平面的管理中心进行管理,并由内网安全监视平台所在II平面采集服务器进行告警日志采集;骨干网I平面和厂站地调接入设备需由一平面的管理中心进行管理,并由内网安全监视平台I平面采集服务器进行告警日志采集。
2.1加密设备的集中管理:
需在加密设备进行远程管理配置,内网安全监视平台能对设备进行远程管理。
省调内网安全监视平台需要管理场站级别有220kv及以上变电站、新能源场站包括风电场及光伏电站。
省调管理中心地址见表2。
表2:
省调管理中心地址
所属区域
类型
省调管理地址
省调主站一片面
实时
10.64.3.19
非实时
10.64.9.19
省调主站二平面
实时
64.10.10.19
非实时
64.10.20.19
2.2告警日志的集中监视:
省调内网安全监视平台需要场站上报告警日志级别有220kv及以上变电站、风电场。
具体日志告警服务器IP地址如下:
表3:
地区
骨干网第I平面
骨干网第II平面
实时
非实时
实时
非实时
省调
10.64.3.19
10.64.9.19
64.10.10.19
64.10.20.19
三纵向加密隧道策略的配置
在装置基本配置中,缺省策略处理模式要选择丢弃(不要选择放行)。
所有厂站与主站业务需经过纵向加密设备的加密与解密,按照第一章中所述纵向加密业务流规划建立相应加密隧道及策略。
具体IP地址见附表4。
附表4:
省调加密协商地址
节点
协商IP
业务IP
省调I平面
实时
10.64.3.13
10.64.3.13
10.64.3.14
10.64.3.14
10.64.3.17
10.64.3.17
10.64.3.18
10.64.3.18
10.64.3.200
10.64.3.1
省调I平面非实时
10.64.9.200
10.64.9.100-10.64.9.101
10.64.19.9
10.64.19.9
10.64.19.10
10.64.19.10
10.64.19.200
10.64.19.5-10.64.19.6
10.64.11.2
10.64.11.2
省备调I平面
10.64.6.200
10.64.6.5-10.64.6.6
省调II平面实时
64.10.10.250
64.10.10.1-64.10.10.20
省调II平面非实时
64.10.20.250
64.10.20.1-64.10.20.20
省调主站共13个协商ip,说明场站侧纵向加密共需要配置13条隧道和13条策略到省调主站。
四配置举例
隧道的配置,需对厂站所有需要访问的业务报文进行加密处理,省调接入网设备应和主站端I平面进行通讯,建立加密隧道、配置加密策略。
见附表5、6。
附表5:
厂站加密隧道的配置
隧道序号
场站纵向(每个站共4台设备)
本地加密设备地址
对端加密设备地址
隧道状态
1
省调接入网实时
64.100.46.66
64.10.10.250
加密
2
省调接入网非实时
64.100.146.66
64.10.20.250
加密
3
64.100.146.66
10.64.11.2
加密
4
地调接入网实时
64.108.9.178
10.64.3.13
加密
5
64.108.9.178
10.64.3.14
加密
6
64.108.9.178
10.64.3.17
加密
7
64.108.9.178
10.64.3.18
加密
8
64.108.9.178
10.64.3.200
加密
9
64.108.9.178
10.64.6.200
加密
10
地调接入网非实时
64.108.19.178
10.64.9.200
加密
11
64.108.19.178
10.64.19.9
加密
12
64.108.19.178
10.64.19.10
加密
13
64.108.19.178
10.64.19.200
加密
附表6:
省调接入网厂站加密策略的配置
序号
源起始IP
源终止IP
目的起始IP
目的终止IP
处理方式
协议
端口
1
64.100.46.66
64.100.46.94
64.10.10.1
64.10.10.20
加密
All
0-65535
2
64.100.146.66
64.100.146.94
64.10.20.1
64.10.20.20
加密
All
0-65535
3
64.100.146.66
64.100.146.94
10.64.11.2
10.64.11.2
加密
All
0-65535
4
64.108.9.178
64.108.9.190
10.64.3.13
10.64.3.13
加密
All
0-65535
5
64.108.9.178
64.108.9.190
10.64.3.14
10.64.3.14
加密
All
0-65535
6
64.108.9.178
64.108.9.190
10.64.3.17
10.64.3.17
加密
All
0-65535
7
64.108.9.178
64.108.9.190
10.64.3.18
10.64.3.18
加密
All
0-65535
8
64.108.9.178
64.108.9.190
10.64.3.101
10.64.3.101
加密
All
0-65535
9
64.108.9.178
64.108.9.190
10.64.6.5
10.64.6.6
加密
All
0-65535
10
64.108.19.178
64.108.19.190
10.64.9.100
10.64.9.101
加密
All
0-65535
11
64.108.19.178
64.108.19.190
10.64.19.9
10.64.19.9
加密
All
0-65535
12
64.108.19.178
64.108.19.190
10.64.19.10
10.64.19.10
加密
All
0-65535
13
64.108.19.178
64.108.19.190
10.64.19.5
10.64.19.6
加密
All
0-65535