基于MPLS VPN+VLAN模式的數據通信網安全防護優化實施方案的研究與實現

陸旭　劉文龍　吳雪梅

摘要：電力數據通信網絡安全是電力系統安全管理的重要內容，是關系到電力系統能否有效的、安全的保證電力供應、保障社會發展的重要工作。本文從網路拓撲、技術策略、協議分析方面，分析了我國電力系統數據通信網絡安全存在的問題和進行網絡安全防護優化的必要性及可行性，并結合實例給出了網絡優化的思路和建議。

關鍵詞：數據通信網；接入網；變電站；MPLS VPN+VLAN

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2018）09-0190-04

隨著計算機技術的發展，數據通信網由OSPF+VLAN方式向MPLS VPN協議轉換。目前，國網公司已完成省級及以下數據通信網優化整合改造主體工作，實現了數據通信骨干網向地市的延伸，但是關于接入網方面的建設幾近空白。接入網側無防火墻，若將MPLS VPN協議直接應用到接入網側，將會導致業務被攻擊。因此，有必要對接入網的數據通信網建設進行探索和研究。為了保護原有網絡資源和業務安全，在沒有將MPLS VPN協議延伸至變電站側以前，經過現狀分析，接入網側需要采用MPLS VPN+VLAN混合組網方式。這樣，可以使得變電站側的信息通信業務隔離，不被外界攻擊。

1 數據通信網現狀

目前，地市公司和縣公司變電站側信息網絡邊界無安全防護設施，網絡拓撲如圖1所示，存在設備保護的安全性問題。信息網絡邊界無安全防護設施會使網絡中的大量設備和終端直接暴露在廣域網下，容易造成數據（網頁）遭篡改、假冒、泄露或竊取，引發安全事件，對公司安全生產、經營活動或社會形象產生一定影響，同時也給網絡安全運維帶來巨大壓力。

2 數據通信網改造方案探索

若直接在接入網側采用MPLS VPN協議，信息網絡存在安全隱患問題，因此，需要對接入網側的數據通信網接入方式進行研究與探討，保證信息網絡安全可靠。按照“通道透明傳輸、業務獨立保護”的原則，為了達到加強網絡邊界安全防護的目的，進一步提高網絡安全防護能力，促使網架結構更加合理，網絡運行更加安全穩定，為各項業務的安全穩定運行提供可靠地網絡支撐和保障。公司結合現網實際情況，積極探索新的成熟的解決方案，具體方案如下[1-2]。

2.1 方案一

在現有網絡拓撲基礎上，將核心交換機上移，通過配置使信息VPN從MCE中剝離。再將變電站所帶各項信息業務全部從MCE交換機剝離，割接至信息CE。在信息CE與地市骨干PE之間，加入安全防護設備，對信息CE內存在的所有設備進行保護。這樣，變電站其他VPN業務，需要通信新增加通道，通過VLAN技術，對不同業務進行區分，通過不同設備上行至骨干PE交換機。網絡拓撲如圖2所示。

2.2 方案二

將變電站信息VPN業務從MCE下移至信息核心交換機，同時開通變電站至信息核心交換機鏈路，將變電站信息業務經由信息內網核心交換機上行至MCE交換機，其他VPN業務經由MCE交換機直接上行。網絡拓撲如圖3所示。

2.3 方案三

按照目前現有拓撲結構，可以在MCE以下，增加兩臺匯聚設備，作為所有VLAN的匯聚交換機，各VPN業務網關全部部署在MCE上，整個匯聚交換機及以下全部運行二層業務。將防火墻和IPS等安全防護設備部署在匯聚交換機和MCE交換機之間，實現安全防護。網絡拓撲如圖4所示。

2.4 方案四

在不改變網絡拓撲的前提下（通常認為改變網絡拓撲重要節點會對網絡穩定產生威脅），在MCE上或接入層交換機上針對具體業務部署訪問控制列表（Access Control List）來替代防火墻。

2.5 方案優缺點比較

方案一優點：信息CE和MCE平行，層級分明，拓撲結構清晰。缺點：拓撲變動較大。方案二優點：拓撲變更較小，易于修改。缺點：拓撲結構不夠清晰。方案三優點：不需要新增鏈路。缺點：拓撲變更較大，整網運行二層協議，容易出現廣播風暴，環路控制較為困難。方案四優點：網絡拓撲不必變更。缺點：由于網絡規模不斷擴大，站點內業務量不斷增加，且不能智能化變更，訪問控制列表的運維量將成倍增加。

經過對比分析，公司采用了方案一，主要原因：（1）改變后的網絡拓撲變得層級分明、更加清晰完整；（2）防火墻能檢測TCP狀態，可以管理更多TCP/IP應用層協議，路由器、交換機不可以；（3）公司防火墻地址對象數量達30多條，且每個地址對象包含多個段地址，若在路由器、交換機上部署ACL策略，會使得規則條目數量過大而容易出錯，且路由器無法創建地址對象；（4）路由器主要用來轉發數據包，硬件本身決定其進行包過濾時的高性能要求，而目前赤峰MCE（H3C 7506E-S）內存使用已超過38%，CPU使用率超10%，路由條目數量已接近飽和，若大量使用ACL策略，可能會影響設備穩定性，從而影響網絡穩定運行；（5）路由器、交換機本身沒有日志、事件存儲介質，也沒有審計分析工具，對ACL命中事件無法管控；（6）路由器、交換機無法檢測TCP連接狀態，不能識別攻擊、掃描行為；（7）ACL策略多與接口綁定，當網絡業務發生變化，ACL應用會隨之發生變化，導致業務分離不明確，工作量增加。

3 方案實施

3.1 方案實施步驟

（1）將信息內網核心交換機提升為信息CE設備，接入骨干PE路由器中，使信息內網核心交換機與MCE平行布置。網絡拓撲如圖5所示。

地市CE1與CE2采用堆疊方式，避免了CE1與CE2橫向的路由問題。骨干PE將明細路由發送至信息CE，所有數據流量通過CE后流至骨干PE1，骨干PE1在正常情況下為所有流量的出口。主備鏈路切換、主備設備倒換。正常情況下斷開主側鏈路，數據收發短暫中斷后恢復正常，保障了數據通信網的健壯性[3]。

（2）將變電站所帶各項信息業務VPN全部從MCE交換機剝離，割接至完成上移的信息CE，網絡拓撲如圖6所示。

（3）在信息CE與地市（縣）骨干PE之間，加入防火墻，至此實現包含變電站側在內的全部信息業務VPN均在防火墻安全防護下，網絡拓撲如圖7所示。

通過ping語句測試連接DNS服務器發現，加入防火墻后的信息業務VPN數據傳輸正常，如圖8所示。

加入防火墻后，利用在MCE模擬外部ping割接至信息CE上某一個變電站信息業務地址，顯示“無法連接”，證明防火墻對變電站地址段起到了保護作用，如圖9、圖10所示。

（4）變電站其他業務VPN，由通信專業配合新增通道，通過VLAN技術，對不同業務進行區分，通過不同設備上行至骨干PE交換機，完成變電站數據通信網安全防護優化改造。

3.2 方案實施注意事項

（1）在進行信息CE橫向間、信息CE與骨干PE間開銷規劃時，應合理設計，避免開銷規劃不合理出現流量來去路徑不一致的問題，該問題可能會引起華為、啟明星辰等防火墻對通信的阻攔，導致業務無法正常運行。（2）信息CE橫向建立鄰居時，CE1與CE2采用vrrp技術以保障下行鏈路可靠運行，而CE1與CE2又共同宣告了虛擬網關所在網段，如此會造成CE1與CE2建立除橫向互聯地址段外的多個ospf鄰居。為解決該情況，公司采用引入直連的方式將虛擬網關所在業務網段以“外部路由”的方式重定向至ospf中，避免了多個ospf鄰居建立問題。（3）由于變電站只有一臺交換機，信息VPN部署在CE上、其他VPN部署在MCE上，需要2條及以上通道傳輸VPN數據到變電站交換機，公司依據實際情況，在傳輸設備有空閑通道、板卡的單位采用開通通道的方式，在無此條件的單位采用匯聚交換機，將多個VPN數據以綁定vlan的方式下發至變電站交換機，保障了各VPN數據的正常轉發[4]。

4 結語

通過解決變電站側的信息內網網絡邊界無安全防護設備問題的同時：（1）優化了公司網絡拓撲結構，網絡架構更加穩定；（2）加強了網絡邊界安全防護，提高了現網的安全防護能力，網絡運行更加安全穩定，網絡速度明顯提升，為各項業務的安全穩定運行提供了可靠的網絡支撐和保障；（3）增強運維人員的技術水平，提高管理效率；（4）為其他正面臨同樣問題的電力企業起一定的示范作用；（5）促進了電力企業網絡信息安全建設更加完善，防止敏感機密信息泄露，保證電力企業經濟不受損失，防止電力企業網頁被修改甚至丑化，造成法律和政治上的嚴重后果以及企業的形象被黑客損害；（6）使電力企業網絡系統在瞬息萬變的網絡環境中更經得起考驗，也順應了國家維護網絡安全的大趨勢、大環境，緊跟網絡安全建設步伐，保證國家經濟繁榮，人民生活安定，電力安全建設更有保障。

參考文獻

[1]吳鵬，吳軍民，劉川，等.軟件定義網絡在電力數據通信網中的應用研究[J].信息技術，2014，（1）：52-55.

[2]尹微微.杭州電力數據通信網建設方案研究[J].電力信息與通信技術，2014，（10）：31-36.

[3]劉琦，崔兆陽.電力通信綜合數據網市縣互聯優化方案[J].現代傳輸，2011，（3）：57-59.

[4]何天玲.基于MPLSVPN的電力數據通信網與ASON的互聯互通[J].電力信息與通信技術，2014，（9）：40-44.