黃驊港網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

馬磊

（國(guó)能黃驊港務(wù)有限責(zé)任公司，河北 滄州 061113）

0 引言

將從黃驊港的實(shí)際需求和技術(shù)支持兩方面入手，對(duì)影響架構(gòu)規(guī)劃的幾大因素進(jìn)行評(píng)估和分析，進(jìn)而把需求和技術(shù)因素作為架構(gòu)設(shè)計(jì)的重要輸入，推導(dǎo)出架構(gòu)規(guī)劃的指導(dǎo)原則和設(shè)計(jì)要點(diǎn)，把網(wǎng)絡(luò)的各種最佳實(shí)踐靈活地應(yīng)用到生產(chǎn)運(yùn)營(yíng)中去，從而有效保證了網(wǎng)絡(luò)的高可靠、高性能、高安全和靈活的擴(kuò)展性[1]。

1 立項(xiàng)背景

黃驊港經(jīng)過(guò)多年的發(fā)展，形成了以控制網(wǎng)、辦公網(wǎng)和視頻網(wǎng)為主體的基本網(wǎng)絡(luò)架構(gòu)，其生產(chǎn)作業(yè)模式由傳統(tǒng)方式向智能化生產(chǎn)方式轉(zhuǎn)變，生產(chǎn)作業(yè)對(duì)網(wǎng)絡(luò)通信的依賴性越來(lái)越大，網(wǎng)絡(luò)架構(gòu)是否合理對(duì)于保障通信穩(wěn)定性顯得尤為重要。與此同時(shí)，網(wǎng)絡(luò)通信業(yè)務(wù)飛速發(fā)展和日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，現(xiàn)有網(wǎng)絡(luò)架構(gòu)的安全性面臨著巨大挑戰(zhàn)，因此，黃驊港決定開(kāi)展網(wǎng)絡(luò)架構(gòu)規(guī)劃調(diào)整，規(guī)范網(wǎng)絡(luò)架構(gòu)、梳理園區(qū)網(wǎng)絡(luò)業(yè)務(wù)交叉，保障園區(qū)網(wǎng)絡(luò)系統(tǒng)平穩(wěn)運(yùn)行和網(wǎng)絡(luò)空間安全[2]。

2 園區(qū)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

此網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)將充分考慮當(dāng)前及未來(lái)5年網(wǎng)絡(luò)通信需求，建設(shè)一個(gè)規(guī)范化、多業(yè)務(wù)支撐、安全可靠的專用信息通信平臺(tái)，以生產(chǎn)數(shù)據(jù)傳輸為主，同時(shí)支持視頻、辦公業(yè)務(wù)的數(shù)據(jù)傳輸，并具備一定的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全手段，并滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。

2.1 總體設(shè)計(jì)架構(gòu)

黃驊港網(wǎng)絡(luò)的建設(shè)支持新業(yè)務(wù)快速部署，網(wǎng)絡(luò)設(shè)計(jì)要求具備高可靠性、高可擴(kuò)展性以及較高的安全保護(hù)能力，便于網(wǎng)絡(luò)集中運(yùn)行維護(hù)管理。

網(wǎng)絡(luò)總體架構(gòu)按黃驊港的業(yè)務(wù)特點(diǎn)和業(yè)務(wù)重要級(jí)別，分別對(duì)各業(yè)務(wù)進(jìn)行區(qū)域隔離，各區(qū)域采用三層通信互聯(lián)方式。各功能區(qū)域根據(jù)具體業(yè)務(wù)部署情況建設(shè)相應(yīng)的網(wǎng)絡(luò)區(qū)域，主要包括園區(qū)核心區(qū)域、辦公網(wǎng)區(qū)域、控制網(wǎng)區(qū)域及視頻網(wǎng)區(qū)域。各區(qū)域統(tǒng)一規(guī)劃IP地址，保障IP地址連續(xù)性，另外，統(tǒng)一網(wǎng)絡(luò)設(shè)備的命名規(guī)則，網(wǎng)絡(luò)設(shè)備的命名應(yīng)能使該網(wǎng)絡(luò)設(shè)備在全網(wǎng)中被唯一標(biāo)識(shí)，命名規(guī)則還應(yīng)體現(xiàn)出容易辨識(shí)，便于記憶的特點(diǎn)。

2.2 各網(wǎng)絡(luò)區(qū)域說(shuō)明

（1）園區(qū)核心區(qū)域負(fù)責(zé)園區(qū)各功能區(qū)域的互聯(lián)和功能區(qū)域之間數(shù)據(jù)的快速轉(zhuǎn)發(fā)，通過(guò)園區(qū)核心區(qū)可以實(shí)現(xiàn)各網(wǎng)絡(luò)區(qū)域的松耦合互聯(lián)，同時(shí)有效支持后續(xù)區(qū)域的擴(kuò)展。

（2）辦公網(wǎng)區(qū)域負(fù)責(zé)各辦公場(chǎng)地內(nèi)終端的網(wǎng)絡(luò)接入服務(wù)，如辦公終端、IP電話、無(wú)線AP、打印機(jī)、會(huì)議系統(tǒng)等。

（3）控制網(wǎng)區(qū)域負(fù)責(zé)黃驊港工控系統(tǒng)、工控設(shè)備和工控管理系統(tǒng)的網(wǎng)絡(luò)接入服務(wù)，包括IDC服務(wù)器、控制網(wǎng)準(zhǔn)入，生產(chǎn)管控系統(tǒng)等業(yè)務(wù)，

（4）視頻網(wǎng)區(qū)域負(fù)責(zé)黃驊港視頻數(shù)據(jù)傳輸，公司視頻業(yè)務(wù)獨(dú)立成網(wǎng)，包含視頻接入、存儲(chǔ)及管理業(yè)務(wù)。

3 網(wǎng)絡(luò)區(qū)域架構(gòu)

3.1 園區(qū)核心區(qū)域

配置兩臺(tái)高性能、高可靠性的交換機(jī)組建交換園區(qū)核心，采用CSS集群技術(shù)，防止任意一臺(tái)交換核心出現(xiàn)問(wèn)題后影響園區(qū)網(wǎng)絡(luò)通信。園區(qū)和其他區(qū)域核心交換機(jī)通過(guò)光纖互聯(lián)。園區(qū)核心與各區(qū)域之間通過(guò)動(dòng)態(tài)路由協(xié)議交互路由信息，并有效支持未來(lái)多業(yè)務(wù)網(wǎng)絡(luò)擴(kuò)展。

園區(qū)核心交換機(jī)物理旁掛一組防火墻，防火墻通過(guò)萬(wàn)兆光纖連接園區(qū)核心交換機(jī)，采用三層接口方式與園區(qū)核心交換機(jī)互聯(lián)。在園區(qū)交換機(jī)中配置策略路由，實(shí)現(xiàn)數(shù)據(jù)流量引流至防火墻，防火墻以此進(jìn)行訪問(wèn)控制[3]。

3.2 辦公網(wǎng)區(qū)域

（1）與園區(qū)核心交換機(jī)物理互聯(lián)。配置兩臺(tái)高性能、高可靠性的交換機(jī)組建辦公網(wǎng)核心，采用CSS集群技術(shù)，防止任意一臺(tái)交換核心出現(xiàn)問(wèn)題后影響辦公網(wǎng)絡(luò)通信。每座樓宇匯聚點(diǎn)分別部署兩臺(tái)交換機(jī)，利用堆疊技術(shù)將兩臺(tái)物理設(shè)備虛擬成為一個(gè)邏輯的交換機(jī)，通過(guò)兩條萬(wàn)兆光口與辦公網(wǎng)核心交換機(jī)互聯(lián)。

（2）區(qū)域結(jié)構(gòu)說(shuō)明。在區(qū)域內(nèi)部，樓宇匯聚交換機(jī)為二層、三層網(wǎng)絡(luò)的邊界。區(qū)域內(nèi)終端設(shè)備的網(wǎng)關(guān)設(shè)置在樓宇匯聚交換機(jī)上，樓宇匯聚交換機(jī)與辦公網(wǎng)核心交換機(jī)之間，辦公網(wǎng)核心交換機(jī)與園區(qū)核心交換機(jī)之間均通過(guò)動(dòng)態(tài)路由協(xié)議OSPF交互路由信息，實(shí)現(xiàn)各辦公區(qū)域與辦公網(wǎng)核心交換機(jī)，辦公網(wǎng)核心交換機(jī)與園區(qū)核心交換機(jī)三層互聯(lián)，每個(gè)樓宇內(nèi)運(yùn)行獨(dú)立的生成樹(shù)協(xié)議（MSTP），實(shí)現(xiàn)二層通信環(huán)路保護(hù)。

3.3 控制網(wǎng)區(qū)域

（1）與園區(qū)核心交換機(jī)物理互聯(lián)。控制網(wǎng)區(qū)域利用兩臺(tái)交換機(jī)虛擬成為一個(gè)邏輯的交換機(jī)，作為控制網(wǎng)核心交換機(jī)。兩臺(tái)防火墻旁掛于控制網(wǎng)核心，兩臺(tái)防火墻由心跳線連接進(jìn)行熱備冗余進(jìn)行訪問(wèn)控制。

各區(qū)域各部署一組交換機(jī)作為區(qū)域匯聚交換機(jī)，區(qū)域匯聚交換機(jī)利用堆疊技術(shù)將兩臺(tái)物理設(shè)備虛擬成為一個(gè)邏輯的交換機(jī)，區(qū)域匯聚交換機(jī)采用雙萬(wàn)兆光纖上聯(lián)至控制網(wǎng)核心交換機(jī)。各區(qū)域的匯聚交換機(jī)上各旁掛一組工控防火墻，兩臺(tái)防火墻進(jìn)行熱備冗余。

（2）區(qū)域結(jié)構(gòu)說(shuō)明。遵循生產(chǎn)與辦公有效安全隔離的原則，與生產(chǎn)相關(guān)的業(yè)務(wù)系統(tǒng)和業(yè)務(wù)終端部署在控制網(wǎng)內(nèi)，控制網(wǎng)內(nèi)各區(qū)域遵循匯聚層、接入層、末節(jié)層的設(shè)計(jì)標(biāo)準(zhǔn)，各區(qū)域內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)采用星形連接。區(qū)域內(nèi)設(shè)備的網(wǎng)關(guān)設(shè)置在各自區(qū)域匯聚交換機(jī)。區(qū)域匯聚交換機(jī)通過(guò)OSPF動(dòng)態(tài)路由協(xié)議與控制網(wǎng)核心交換機(jī)交互路由信息，實(shí)現(xiàn)各控制區(qū)域與控制網(wǎng)核心交換機(jī)三層互聯(lián)，各區(qū)域匯聚設(shè)置網(wǎng)關(guān)保護(hù)功能，避免因誤操作導(dǎo)致網(wǎng)關(guān)地址被侵占，造成網(wǎng)絡(luò)震蕩。

各區(qū)域匯聚交換機(jī)配置策略路由，實(shí)現(xiàn)數(shù)據(jù)流量引流至防火墻，防火墻以此進(jìn)行訪問(wèn)控制。控制網(wǎng)各區(qū)域運(yùn)行獨(dú)立的生成樹(shù)協(xié)議（MSTP），包含根保護(hù)、環(huán)保護(hù)、BPDU保護(hù)、TC保護(hù)等方式對(duì)網(wǎng)絡(luò)進(jìn)行加固。該區(qū)域還部署了多種網(wǎng)絡(luò)安全設(shè)備，對(duì)工控網(wǎng)絡(luò)資產(chǎn)進(jìn)行有效管控。①工控網(wǎng)絡(luò)準(zhǔn)入管控：在控制網(wǎng)區(qū)域設(shè)計(jì)一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，結(jié)合接入交換機(jī)的準(zhǔn)入配置，只允許合法的工業(yè)控制設(shè)備和終端接入網(wǎng)絡(luò)。②工控網(wǎng)絡(luò)主機(jī)防護(hù)：在控制網(wǎng)區(qū)域設(shè)計(jì)一套工業(yè)控制主機(jī)防護(hù)系統(tǒng)，結(jié)合在服務(wù)器、工作站上的主機(jī)防護(hù)客戶端，實(shí)現(xiàn)主機(jī)操作系統(tǒng)管理、進(jìn)程管理、外設(shè)管理、防病毒管理和訪問(wèn)策略管理等。③安全管理平臺(tái)：在控制網(wǎng)區(qū)域設(shè)計(jì)一套安全管理平臺(tái)，運(yùn)行安全日志的采集與分析、資產(chǎn)安全脆弱性信息采集與管理，以及對(duì)安全事件與安全日志關(guān)聯(lián)分析等功能，及時(shí)發(fā)現(xiàn)和處置安全事件。④資產(chǎn)安全基線核查：在控制網(wǎng)區(qū)域設(shè)計(jì)一套配置核查管理系統(tǒng)，依據(jù)等級(jí)保護(hù)檢測(cè)規(guī)范和企業(yè)安全配置基線，對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)以及安全產(chǎn)品進(jìn)行在線集中式的脆弱項(xiàng)和配置核查，避免因軟件缺陷和配置問(wèn)題導(dǎo)致的安全事件。⑤堡壘機(jī)：完成運(yùn)維操作的認(rèn)證、授權(quán)、記錄和審計(jì)，在控制網(wǎng)區(qū)域設(shè)計(jì)一套堡壘機(jī)安全運(yùn)維平臺(tái)，建立“自然人-角色-資源-資源賬號(hào)-操作-審計(jì)日志”關(guān)系，實(shí)現(xiàn)事前統(tǒng)一運(yùn)維入口和集中認(rèn)證與授權(quán)、事中操作行為監(jiān)控、事后違規(guī)和非法操作審計(jì)。⑥Esight網(wǎng)管系統(tǒng)：通過(guò)網(wǎng)管系統(tǒng)進(jìn)行信息采集和事件呈現(xiàn)，通過(guò)Esight網(wǎng)管軟件實(shí)現(xiàn)對(duì)控制網(wǎng)區(qū)域網(wǎng)絡(luò)資源進(jìn)行采集，實(shí)現(xiàn)全網(wǎng)資源統(tǒng)一管理，對(duì)系統(tǒng)管理人員提供可視化管理服務(wù)，并將網(wǎng)絡(luò)故障進(jìn)行等級(jí)分類記錄，將系統(tǒng)告警與日志信息實(shí)時(shí)推送給相關(guān)業(yè)務(wù)人員，指導(dǎo)網(wǎng)絡(luò)運(yùn)維管理，

3.4 視頻網(wǎng)區(qū)域

（1）與園區(qū)核心交換機(jī)物理互聯(lián)。視頻網(wǎng)區(qū)域采用兩臺(tái)交換機(jī)作為視頻網(wǎng)區(qū)域核心交換機(jī)，核心交換機(jī)之間通過(guò)CSS集群技術(shù)邏輯上虛擬成一臺(tái)交換機(jī)。兩臺(tái)視頻區(qū)域核心交換機(jī)使用萬(wàn)兆端口以三層方式連接到園區(qū)核心交換機(jī)，兩條鏈路做捆綁，視頻網(wǎng)核心交換機(jī)應(yīng)用OSPF動(dòng)態(tài)路由協(xié)議進(jìn)行路由宣告。兩臺(tái)視頻防火墻旁掛于視頻網(wǎng)核心交換機(jī)，兩臺(tái)防火墻由心跳線連接進(jìn)行熱備冗余。

（2）區(qū)域結(jié)構(gòu)說(shuō)明。視頻網(wǎng)各區(qū)域通過(guò)雙萬(wàn)兆鏈路上聯(lián)至視頻網(wǎng)核心交換機(jī)，各區(qū)域匯聚交換機(jī)為二層、三層網(wǎng)絡(luò)的邊界。區(qū)域內(nèi)設(shè)備的網(wǎng)關(guān)設(shè)置在各區(qū)域匯聚交換機(jī)上，區(qū)域匯聚交換機(jī)進(jìn)行OSPF宣告，應(yīng)用動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信；視頻管理和視頻存儲(chǔ)區(qū)域匯聚交換機(jī)分別通過(guò)萬(wàn)兆光口連接到視頻網(wǎng)核心交換機(jī)，兩條鏈路做捆綁。視頻網(wǎng)核心交換機(jī)下聯(lián)視頻AC服務(wù)器，實(shí)現(xiàn)對(duì)全網(wǎng)視頻AP設(shè)備進(jìn)行統(tǒng)一管理。

視頻網(wǎng)各區(qū)域運(yùn)行獨(dú)立的生成樹(shù)協(xié)議（MSTP），以各區(qū)域匯聚交換機(jī)作為根橋，采用根保護(hù)、環(huán)保護(hù)、BPDU保護(hù)、TC保護(hù)等方式對(duì)網(wǎng)絡(luò)進(jìn)行加固，同時(shí)應(yīng)用生成樹(shù)技術(shù)，視頻網(wǎng)采用有線鏈路與無(wú)線鏈路進(jìn)行熱備冗余，調(diào)節(jié)環(huán)網(wǎng)路徑開(kāi)銷，合理布局根端口、指定端口以及阻塞端口，充分保障視頻網(wǎng)通信可靠性。

4 結(jié)語(yǔ)

在黃驊港網(wǎng)絡(luò)設(shè)計(jì)中，采用業(yè)務(wù)功能模塊化、網(wǎng)絡(luò)拓?fù)鋵哟位约熬W(wǎng)絡(luò)平滑擴(kuò)展相結(jié)合的設(shè)計(jì)方法，使得網(wǎng)絡(luò)架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴(kuò)展能力，以適應(yīng)快速發(fā)展的業(yè)務(wù)對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求。與此同時(shí)，黃驊港網(wǎng)絡(luò)架構(gòu)還具備成熟性、穩(wěn)定性、安全性和先進(jìn)性的特點(diǎn)，能夠有效支撐黃驊港未來(lái)業(yè)務(wù)戰(zhàn)略、應(yīng)用部署和管理需求。