馬磊

（國能黃驊港務(wù)有限責(zé)任公司，河北 滄州 061113）

0 引言

將從黃驊港的實(shí)際需求和技術(shù)支持兩方面入手，對影響架構(gòu)規(guī)劃的幾大因素進(jìn)行評估和分析，進(jìn)而把需求和技術(shù)因素作為架構(gòu)設(shè)計(jì)的重要輸入，推導(dǎo)出架構(gòu)規(guī)劃的指導(dǎo)原則和設(shè)計(jì)要點(diǎn)，把網(wǎng)絡(luò)的各種最佳實(shí)踐靈活地應(yīng)用到生產(chǎn)運(yùn)營中去，從而有效保證了網(wǎng)絡(luò)的高可靠、高性能、高安全和靈活的擴(kuò)展性[1]。

1 立項(xiàng)背景

黃驊港經(jīng)過多年的發(fā)展，形成了以控制網(wǎng)、辦公網(wǎng)和視頻網(wǎng)為主體的基本網(wǎng)絡(luò)架構(gòu)，其生產(chǎn)作業(yè)模式由傳統(tǒng)方式向智能化生產(chǎn)方式轉(zhuǎn)變，生產(chǎn)作業(yè)對網(wǎng)絡(luò)通信的依賴性越來越大，網(wǎng)絡(luò)架構(gòu)是否合理對于保障通信穩(wěn)定性顯得尤為重要。與此同時，網(wǎng)絡(luò)通信業(yè)務(wù)飛速發(fā)展和日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，現(xiàn)有網(wǎng)絡(luò)架構(gòu)的安全性面臨著巨大挑戰(zhàn)，因此，黃驊港決定開展網(wǎng)絡(luò)架構(gòu)規(guī)劃調(diào)整，規(guī)范網(wǎng)絡(luò)架構(gòu)、梳理園區(qū)網(wǎng)絡(luò)業(yè)務(wù)交叉，保障園區(qū)網(wǎng)絡(luò)系統(tǒng)平穩(wěn)運(yùn)行和網(wǎng)絡(luò)空間安全[2]。

2 園區(qū)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

此網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)將充分考慮當(dāng)前及未來5年網(wǎng)絡(luò)通信需求，建設(shè)一個規(guī)范化、多業(yè)務(wù)支撐、安全可靠的專用信息通信平臺，以生產(chǎn)數(shù)據(jù)傳輸為主，同時支持視頻、辦公業(yè)務(wù)的數(shù)據(jù)傳輸，并具備一定的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全手段，并滿足網(wǎng)絡(luò)安全等級保護(hù)要求。

2.1 總體設(shè)計(jì)架構(gòu)

黃驊港網(wǎng)絡(luò)的建設(shè)支持新業(yè)務(wù)快速部署，網(wǎng)絡(luò)設(shè)計(jì)要求具備高可靠性、高可擴(kuò)展性以及較高的安全保護(hù)能力，便于網(wǎng)絡(luò)集中運(yùn)行維護(hù)管理。

網(wǎng)絡(luò)總體架構(gòu)按黃驊港的業(yè)務(wù)特點(diǎn)和業(yè)務(wù)重要級別，分別對各業(yè)務(wù)進(jìn)行區(qū)域隔離，各區(qū)域采用三層通信互聯(lián)方式。各功能區(qū)域根據(jù)具體業(yè)務(wù)部署情況建設(shè)相應(yīng)的網(wǎng)絡(luò)區(qū)域，主要包括園區(qū)核心區(qū)域、辦公網(wǎng)區(qū)域、控制網(wǎng)區(qū)域及視頻網(wǎng)區(qū)域。各區(qū)域統(tǒng)一規(guī)劃IP地址，保障IP地址連續(xù)性，另外，統(tǒng)一網(wǎng)絡(luò)設(shè)備的命名規(guī)則，網(wǎng)絡(luò)設(shè)備的命名應(yīng)能使該網(wǎng)絡(luò)設(shè)備在全網(wǎng)中被唯一標(biāo)識，命名規(guī)則還應(yīng)體現(xiàn)出容易辨識，便于記憶的特點(diǎn)。

2.2 各網(wǎng)絡(luò)區(qū)域說明

（1）園區(qū)核心區(qū)域負(fù)責(zé)園區(qū)各功能區(qū)域的互聯(lián)和功能區(qū)域之間數(shù)據(jù)的快速轉(zhuǎn)發(fā)，通過園區(qū)核心區(qū)可以實(shí)現(xiàn)各網(wǎng)絡(luò)區(qū)域的松耦合互聯(lián)，同時有效支持后續(xù)區(qū)域的擴(kuò)展。

（2）辦公網(wǎng)區(qū)域負(fù)責(zé)各辦公場地內(nèi)終端的網(wǎng)絡(luò)接入服務(wù)，如辦公終端、IP電話、無線AP、打印機(jī)、會議系統(tǒng)等。

（3）控制網(wǎng)區(qū)域負(fù)責(zé)黃驊港工控系統(tǒng)、工控設(shè)備和工控管理系統(tǒng)的網(wǎng)絡(luò)接入服務(wù)，包括IDC服務(wù)器、控制網(wǎng)準(zhǔn)入，生產(chǎn)管控系統(tǒng)等業(yè)務(wù)，

（4）視頻網(wǎng)區(qū)域負(fù)責(zé)黃驊港視頻數(shù)據(jù)傳輸，公司視頻業(yè)務(wù)獨(dú)立成網(wǎng)，包含視頻接入、存儲及管理業(yè)務(wù)。

3 網(wǎng)絡(luò)區(qū)域架構(gòu)

3.1 園區(qū)核心區(qū)域

配置兩臺高性能、高可靠性的交換機(jī)組建交換園區(qū)核心，采用CSS集群技術(shù)，防止任意一臺交換核心出現(xiàn)問題后影響園區(qū)網(wǎng)絡(luò)通信。園區(qū)和其他區(qū)域核心交換機(jī)通過光纖互聯(lián)。園區(qū)核心與各區(qū)域之間通過動態(tài)路由協(xié)議交互路由信息，并有效支持未來多業(yè)務(wù)網(wǎng)絡(luò)擴(kuò)展。

園區(qū)核心交換機(jī)物理旁掛一組防火墻，防火墻通過萬兆光纖連接園區(qū)核心交換機(jī)，采用三層接口方式與園區(qū)核心交換機(jī)互聯(lián)。在園區(qū)交換機(jī)中配置策略路由，實(shí)現(xiàn)數(shù)據(jù)流量引流至防火墻，防火墻以此進(jìn)行訪問控制[3]。

3.2 辦公網(wǎng)區(qū)域

（1）與園區(qū)核心交換機(jī)物理互聯(lián)。配置兩臺高性能、高可靠性的交換機(jī)組建辦公網(wǎng)核心，采用CSS集群技術(shù)，防止任意一臺交換核心出現(xiàn)問題后影響辦公網(wǎng)絡(luò)通信。每座樓宇匯聚點(diǎn)分別部署兩臺交換機(jī)，利用堆疊技術(shù)將兩臺物理設(shè)備虛擬成為一個邏輯的交換機(jī)，通過兩條萬兆光口與辦公網(wǎng)核心交換機(jī)互聯(lián)。

（2）區(qū)域結(jié)構(gòu)說明。在區(qū)域內(nèi)部，樓宇匯聚交換機(jī)為二層、三層網(wǎng)絡(luò)的邊界。區(qū)域內(nèi)終端設(shè)備的網(wǎng)關(guān)設(shè)置在樓宇匯聚交換機(jī)上，樓宇匯聚交換機(jī)與辦公網(wǎng)核心交換機(jī)之間，辦公網(wǎng)核心交換機(jī)與園區(qū)核心交換機(jī)之間均通過動態(tài)路由協(xié)議OSPF交互路由信息，實(shí)現(xiàn)各辦公區(qū)域與辦公網(wǎng)核心交換機(jī)，辦公網(wǎng)核心交換機(jī)與園區(qū)核心交換機(jī)三層互聯(lián)，每個樓宇內(nèi)運(yùn)行獨(dú)立的生成樹協(xié)議（MSTP），實(shí)現(xiàn)二層通信環(huán)路保護(hù)。

3.3 控制網(wǎng)區(qū)域

（1）與園區(qū)核心交換機(jī)物理互聯(lián)?？刂凭W(wǎng)區(qū)域利用兩臺交換機(jī)虛擬成為一個邏輯的交換機(jī)，作為控制網(wǎng)核心交換機(jī)。兩臺防火墻旁掛于控制網(wǎng)核心，兩臺防火墻由心跳線連接進(jìn)行熱備冗余進(jìn)行訪問控制。

各區(qū)域各部署一組交換機(jī)作為區(qū)域匯聚交換機(jī)，區(qū)域匯聚交換機(jī)利用堆疊技術(shù)將兩臺物理設(shè)備虛擬成為一個邏輯的交換機(jī)，區(qū)域匯聚交換機(jī)采用雙萬兆光纖上聯(lián)至控制網(wǎng)核心交換機(jī)。各區(qū)域的匯聚交換機(jī)上各旁掛一組工控防火墻，兩臺防火墻進(jìn)行熱備冗余。

（2）區(qū)域結(jié)構(gòu)說明。遵循生產(chǎn)與辦公有效安全隔離的原則，與生產(chǎn)相關(guān)的業(yè)務(wù)系統(tǒng)和業(yè)務(wù)終端部署在控制網(wǎng)內(nèi)，控制網(wǎng)內(nèi)各區(qū)域遵循匯聚層、接入層、末節(jié)層的設(shè)計(jì)標(biāo)準(zhǔn)，各區(qū)域內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)采用星形連接。區(qū)域內(nèi)設(shè)備的網(wǎng)關(guān)設(shè)置在各自區(qū)域匯聚交換機(jī)。區(qū)域匯聚交換機(jī)通過OSPF動態(tài)路由協(xié)議與控制網(wǎng)核心交換機(jī)交互路由信息，實(shí)現(xiàn)各控制區(qū)域與控制網(wǎng)核心交換機(jī)三層互聯(lián)，各區(qū)域匯聚設(shè)置網(wǎng)關(guān)保護(hù)功能，避免因誤操作導(dǎo)致網(wǎng)關(guān)地址被侵占，造成網(wǎng)絡(luò)震蕩。

各區(qū)域匯聚交換機(jī)配置策略路由，實(shí)現(xiàn)數(shù)據(jù)流量引流至防火墻，防火墻以此進(jìn)行訪問控制?？刂凭W(wǎng)各區(qū)域運(yùn)行獨(dú)立的生成樹協(xié)議（MSTP），包含根保護(hù)、環(huán)保護(hù)、BPDU保護(hù)、TC保護(hù)等方式對網(wǎng)絡(luò)進(jìn)行加固。該區(qū)域還部署了多種網(wǎng)絡(luò)安全設(shè)備，對工控網(wǎng)絡(luò)資產(chǎn)進(jìn)行有效管控。①工控網(wǎng)絡(luò)準(zhǔn)入管控：在控制網(wǎng)區(qū)域設(shè)計(jì)一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，結(jié)合接入交換機(jī)的準(zhǔn)入配置，只允許合法的工業(yè)控制設(shè)備和終端接入網(wǎng)絡(luò)。②工控網(wǎng)絡(luò)主機(jī)防護(hù)：在控制網(wǎng)區(qū)域設(shè)計(jì)一套工業(yè)控制主機(jī)防護(hù)系統(tǒng)，結(jié)合在服務(wù)器、工作站上的主機(jī)防護(hù)客戶端，實(shí)現(xiàn)主機(jī)操作系統(tǒng)管理、進(jìn)程管理、外設(shè)管理、防病毒管理和訪問策略管理等。③安全管理平臺：在控制網(wǎng)區(qū)域設(shè)計(jì)一套安全管理平臺，運(yùn)行安全日志的采集與分析、資產(chǎn)安全脆弱性信息采集與管理，以及對安全事件與安全日志關(guān)聯(lián)分析等功能，及時發(fā)現(xiàn)和處置安全事件。④資產(chǎn)安全基線核查：在控制網(wǎng)區(qū)域設(shè)計(jì)一套配置核查管理系統(tǒng)，依據(jù)等級保護(hù)檢測規(guī)范和企業(yè)安全配置基線，對網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫以及安全產(chǎn)品進(jìn)行在線集中式的脆弱項(xiàng)和配置核查，避免因軟件缺陷和配置問題導(dǎo)致的安全事件。⑤堡壘機(jī)：完成運(yùn)維操作的認(rèn)證、授權(quán)、記錄和審計(jì)，在控制網(wǎng)區(qū)域設(shè)計(jì)一套堡壘機(jī)安全運(yùn)維平臺，建立“自然人-角色-資源-資源賬號-操作-審計(jì)日志”關(guān)系，實(shí)現(xiàn)事前統(tǒng)一運(yùn)維入口和集中認(rèn)證與授權(quán)、事中操作行為監(jiān)控、事后違規(guī)和非法操作審計(jì)。⑥Esight網(wǎng)管系統(tǒng)：通過網(wǎng)管系統(tǒng)進(jìn)行信息采集和事件呈現(xiàn)，通過Esight網(wǎng)管軟件實(shí)現(xiàn)對控制網(wǎng)區(qū)域網(wǎng)絡(luò)資源進(jìn)行采集，實(shí)現(xiàn)全網(wǎng)資源統(tǒng)一管理，對系統(tǒng)管理人員提供可視化管理服務(wù)，并將網(wǎng)絡(luò)故障進(jìn)行等級分類記錄，將系統(tǒng)告警與日志信息實(shí)時推送給相關(guān)業(yè)務(wù)人員，指導(dǎo)網(wǎng)絡(luò)運(yùn)維管理，

3.4 視頻網(wǎng)區(qū)域

（1）與園區(qū)核心交換機(jī)物理互聯(lián)。視頻網(wǎng)區(qū)域采用兩臺交換機(jī)作為視頻網(wǎng)區(qū)域核心交換機(jī)，核心交換機(jī)之間通過CSS集群技術(shù)邏輯上虛擬成一臺交換機(jī)。兩臺視頻區(qū)域核心交換機(jī)使用萬兆端口以三層方式連接到園區(qū)核心交換機(jī)，兩條鏈路做捆綁，視頻網(wǎng)核心交換機(jī)應(yīng)用OSPF動態(tài)路由協(xié)議進(jìn)行路由宣告。兩臺視頻防火墻旁掛于視頻網(wǎng)核心交換機(jī)，兩臺防火墻由心跳線連接進(jìn)行熱備冗余。

（2）區(qū)域結(jié)構(gòu)說明。視頻網(wǎng)各區(qū)域通過雙萬兆鏈路上聯(lián)至視頻網(wǎng)核心交換機(jī)，各區(qū)域匯聚交換機(jī)為二層、三層網(wǎng)絡(luò)的邊界。區(qū)域內(nèi)設(shè)備的網(wǎng)關(guān)設(shè)置在各區(qū)域匯聚交換機(jī)上，區(qū)域匯聚交換機(jī)進(jìn)行OSPF宣告，應(yīng)用動態(tài)路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信；視頻管理和視頻存儲區(qū)域匯聚交換機(jī)分別通過萬兆光口連接到視頻網(wǎng)核心交換機(jī)，兩條鏈路做捆綁。視頻網(wǎng)核心交換機(jī)下聯(lián)視頻AC服務(wù)器，實(shí)現(xiàn)對全網(wǎng)視頻AP設(shè)備進(jìn)行統(tǒng)一管理。

視頻網(wǎng)各區(qū)域運(yùn)行獨(dú)立的生成樹協(xié)議（MSTP），以各區(qū)域匯聚交換機(jī)作為根橋，采用根保護(hù)、環(huán)保護(hù)、BPDU保護(hù)、TC保護(hù)等方式對網(wǎng)絡(luò)進(jìn)行加固，同時應(yīng)用生成樹技術(shù)，視頻網(wǎng)采用有線鏈路與無線鏈路進(jìn)行熱備冗余，調(diào)節(jié)環(huán)網(wǎng)路徑開銷，合理布局根端口、指定端口以及阻塞端口，充分保障視頻網(wǎng)通信可靠性。

4 結(jié)語

在黃驊港網(wǎng)絡(luò)設(shè)計(jì)中，采用業(yè)務(wù)功能模塊化、網(wǎng)絡(luò)拓?fù)鋵哟位约熬W(wǎng)絡(luò)平滑擴(kuò)展相結(jié)合的設(shè)計(jì)方法，使得網(wǎng)絡(luò)架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴(kuò)展能力，以適應(yīng)快速發(fā)展的業(yè)務(wù)對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求。與此同時，黃驊港網(wǎng)絡(luò)架構(gòu)還具備成熟性、穩(wěn)定性、安全性和先進(jìn)性的特點(diǎn)，能夠有效支撐黃驊港未來業(yè)務(wù)戰(zhàn)略、應(yīng)用部署和管理需求。