電網(wǎng)企業(yè)廣域網(wǎng)與局域網(wǎng)間冗余鏈路的分析

貴州電網(wǎng)公司畢節(jié)供電局信息中心 貴州畢節(jié) 551700

摘要：本文主要闡述現(xiàn)在電網(wǎng)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)中，在廣域網(wǎng)與局域網(wǎng)的鏈接處，大多數(shù)存在著單鏈路的缺陷，這一缺陷對(duì)目前高度依賴信息化的電網(wǎng)企業(yè)來(lái)說(shuō)，無(wú)異于是一顆巨型定時(shí)炸彈，隨時(shí)威脅著企業(yè)的安全經(jīng)營(yíng)活動(dòng)。對(duì)于如何解決該問(wèn)題，控制企業(yè)風(fēng)險(xiǎn)，正文通過(guò)技術(shù)分析，列舉出兩種方案，并對(duì)兩種技術(shù)方案進(jìn)行優(yōu)劣的比對(duì)，最終提出最優(yōu)的解決方案。

關(guān)鍵詞：電網(wǎng)企業(yè)；網(wǎng)絡(luò)；單鏈路；冗余

引言

由于企業(yè)運(yùn)營(yíng)的特性以及建設(shè)的方便性，目前電網(wǎng)企業(yè)一般都有一套獨(dú)立網(wǎng)絡(luò)體系，網(wǎng)絡(luò)體系主要由廣域網(wǎng)和局域網(wǎng)構(gòu)成：由于用途的不同，廣域網(wǎng)的稱呼比較多，有的稱之為綜合數(shù)據(jù)網(wǎng)，有的稱之為調(diào)度數(shù)據(jù)網(wǎng)等等，總體來(lái)說(shuō)通屬?gòu)V域網(wǎng)；局域網(wǎng)則是在各個(gè)重要單位或者重要部門的內(nèi)部局域網(wǎng)。但是就目前多數(shù)電網(wǎng)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)而言，存在著一個(gè)致命缺陷就是廣域網(wǎng)和局域網(wǎng)之間只有單線連接，存在單點(diǎn)故障的風(fēng)險(xiǎn)，而網(wǎng)絡(luò)的重要性不言而喻，因此廣域網(wǎng)與局域網(wǎng)的單線聯(lián)系就成為了我們信息安全的高風(fēng)險(xiǎn)點(diǎn)，本文主要就此問(wèn)題，闡述兩種解決方案，并提出最優(yōu)解決方案。

正文

一、電網(wǎng)企業(yè)內(nèi)部網(wǎng)絡(luò)現(xiàn)狀

電網(wǎng)企業(yè)系統(tǒng)內(nèi)部網(wǎng)絡(luò)上面已經(jīng)簡(jiǎn)單闡述，是由廣域網(wǎng)和局域網(wǎng)構(gòu)成，廣域網(wǎng)中運(yùn)行著復(fù)雜的網(wǎng)絡(luò)協(xié)議，包括MPLS VPN，BGP，OSPF等等，主要起著連接各個(gè)重要節(jié)點(diǎn)的作用，局域網(wǎng)則是在各個(gè)重要節(jié)點(diǎn)內(nèi)部搭建的網(wǎng)絡(luò)，主要服務(wù)于各個(gè)節(jié)點(diǎn)的內(nèi)部用戶。

首先闡述電網(wǎng)企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)成的緣由：電網(wǎng)行業(yè)的各個(gè)信息服務(wù)（包括信息系統(tǒng)服務(wù)，安全軟件服務(wù)，數(shù)據(jù)服務(wù)等）分布在省級(jí)數(shù)據(jù)中心及各地市級(jí)數(shù)據(jù)中心，要使全網(wǎng)每一個(gè)終端用戶都能夠享受到所有信息服務(wù)，就必須建立一張能夠到任何節(jié)點(diǎn)，并且任何節(jié)點(diǎn)間都可互聯(lián)互通的網(wǎng)絡(luò)，由此可體現(xiàn)建立廣域網(wǎng)的必要性，而各地市級(jí)局域網(wǎng)乃至縣級(jí)局域網(wǎng)都有提供地市級(jí)數(shù)據(jù)網(wǎng)絡(luò)服務(wù)或普通網(wǎng)絡(luò)服務(wù)的需求，因此搭建內(nèi)部局域網(wǎng)也就成為了必然。

以某地市級(jí)電網(wǎng)企業(yè)為例，該企業(yè)辦公局域網(wǎng)核心交換機(jī)為2臺(tái)華為8505三層交換機(jī)，與其他多數(shù)電網(wǎng)企業(yè)一樣，由于網(wǎng)絡(luò)建設(shè)不同步，規(guī)劃不全面等等諸多歷史原因，局域網(wǎng)核心交換機(jī)與廣域網(wǎng)之間為單鏈路鏈接，僅由核心交換機(jī)A通過(guò)一臺(tái)H3CSecpath500f防火墻與廣域網(wǎng)交換機(jī)實(shí)現(xiàn)互聯(lián)，核心交換機(jī)B與廣域網(wǎng)之間無(wú)物理鏈路實(shí)現(xiàn)冗余。一旦防火墻或鏈路出現(xiàn)故障，將導(dǎo)致該企業(yè)本部辦公網(wǎng)絡(luò)完全中斷，造成其他網(wǎng)絡(luò)用戶無(wú)法訪問(wèn)地市級(jí)數(shù)據(jù)中心資源，嚴(yán)重影響到正常的辦公。

如圖一所示：

圖二 為圖一標(biāo)紅部分

二、廣域網(wǎng)與局域網(wǎng)單鏈路鏈接的解決方案

以上不難看出，在現(xiàn)在高度依靠信息系統(tǒng)的時(shí)代，這種網(wǎng)絡(luò)鏈接方式與網(wǎng)絡(luò)高可靠性的要求有著巨大的差距，存在很高的運(yùn)維風(fēng)險(xiǎn)，一旦鏈路或設(shè)備發(fā)生單點(diǎn)故障，企業(yè)的工作將受到嚴(yán)重影響，甚至給企業(yè)帶來(lái)不可估量的損失，因此我們必須找到解決辦法，提高網(wǎng)絡(luò)可靠性，降低企業(yè)安全生產(chǎn)風(fēng)險(xiǎn)。

結(jié)合以上網(wǎng)絡(luò)現(xiàn)狀，解決思路就是增加冗余鏈路，并且實(shí)現(xiàn)兩組鏈路的自動(dòng)判斷和自動(dòng)切換。

根據(jù)增加冗余鏈路的思路，目前有兩種常用的網(wǎng)絡(luò)技術(shù)可以用于解決此項(xiàng)問(wèn)題。

方案一，VRRP和HA模式，如圖所示

為實(shí)現(xiàn)鏈路的冗余性，如上圖所示使用兩臺(tái)同型號(hào)的防火墻配置雙機(jī)冗余并行運(yùn)行模式（HA），同時(shí)接上聯(lián)和下聯(lián)線路，并用線路將兩臺(tái)防火墻的HA口連接起來(lái)，達(dá)到協(xié)同工作，并行運(yùn)行的功能。在防火墻上配置VRRP，用于防火墻的路由冗余。在S8505A和S8505B之間、S9512A和S9512B之間也各配置一組VRRP并設(shè)置優(yōu)先級(jí)，作為上行和下行的路由冗余。實(shí)現(xiàn)內(nèi)外流量經(jīng)過(guò)FWA防火墻訪問(wèn)外網(wǎng)，F(xiàn)WB防火墻為備用鏈路。防火墻的心跳線用于兩臺(tái)防火墻之間的配置和狀態(tài)同步，實(shí)現(xiàn)并行運(yùn)行。此時(shí)，兩臺(tái)防火墻形如一臺(tái)防火墻工作。通過(guò)相應(yīng)的命令，主備防火墻會(huì)進(jìn)行配置交互，使兩臺(tái)防火墻配置一致。

方案二，路由模式，如圖所示

為實(shí)現(xiàn)鏈路冗余，如上圖所示，增加兩臺(tái)防火墻設(shè)備（可以不需要同樣型號(hào)），將防火墻配置為透明模式（或路由模式），開啟訪問(wèn)控制，在S8505A、S8505B、S9512A、S9512B（路由模式需要將兩臺(tái)防火墻同樣開啟OSPF）上分別運(yùn)行同一個(gè)區(qū)域的ospf路由協(xié)議，并配置優(yōu)先級(jí)，實(shí)現(xiàn)內(nèi)外流量經(jīng)過(guò)FWA防火墻訪問(wèn)外網(wǎng)，F(xiàn)WB防火墻為備用鏈路。此時(shí)兩臺(tái)防火墻獨(dú)立運(yùn)行，若防火墻發(fā)生配置變更時(shí)，兩臺(tái)防火墻需要進(jìn)行兩次配置。

三、最優(yōu)方案的選擇

上節(jié)所述兩種方案都能實(shí)現(xiàn)鏈路冗余，但結(jié)合地市級(jí)電網(wǎng)企業(yè)局域網(wǎng)實(shí)際情況，相比之下，第一種方案更為優(yōu)越，主要體現(xiàn)在兩個(gè)方面：

1、網(wǎng)絡(luò)維護(hù)量小，易于維護(hù)。由于兩臺(tái)防火墻采用了雙機(jī)冗余并行運(yùn)行模式（HA），兩臺(tái)防火墻中只要主防火墻的配置發(fā)生改變，備防火墻就會(huì)將發(fā)生的配置變更同步至自身，不需要再次手工配置備防火墻，隨時(shí)保持著兩臺(tái)防火墻配置一致，從而減輕維護(hù)工作量。

2、故障切換時(shí)間快。在電網(wǎng)企業(yè)局域網(wǎng)中本身就運(yùn)行著大量動(dòng)態(tài)路由協(xié)議，而在這種環(huán)境下，運(yùn)用方案一，故障排除速度將會(huì)更快，因?yàn)閯?dòng)態(tài)路由協(xié)議的收斂時(shí)間，根據(jù)網(wǎng)絡(luò)大小不同以及協(xié)議的不同，都會(huì)有1秒或者幾秒甚至更長(zhǎng)。而采用vrrp和HA模式的故障判斷和切換時(shí)間則是1秒，因此，對(duì)于存在著地區(qū)級(jí)數(shù)據(jù)中心的地區(qū)局域網(wǎng)，采用方案一的網(wǎng)絡(luò)可靠性更高，故障切換時(shí)，用戶體驗(yàn)更為良好。

結(jié)論

由此可見(jiàn)，在一般地市級(jí)電網(wǎng)企業(yè)，方案一是比較合適的方案，不僅解決了增加冗余鏈路的問(wèn)題，同時(shí)也兼顧了減少維護(hù)量，故障排除快等需求。因此，在考慮解決地市級(jí)電網(wǎng)企業(yè)廣域網(wǎng)與局域網(wǎng)單鏈路的問(wèn)題時(shí)，方案一是最佳選擇，當(dāng)然各個(gè)地市局的情況不盡相同，在選擇方案時(shí)，還需結(jié)合實(shí)地情況，因地制宜。