馬磊

（國能黃驊港務(wù)有限責(zé)任公司，河北 滄州 061113）

0 引言

將從黃驊港的實際需求和技術(shù)支持兩方面入手，對影響架構(gòu)規(guī)劃的幾大因素進行評估和分析，進而把需求和技術(shù)因素作為架構(gòu)設(shè)計的重要輸入，推導(dǎo)出架構(gòu)規(guī)劃的指導(dǎo)原則和設(shè)計要點，把網(wǎng)絡(luò)的各種最佳實踐靈活地應(yīng)用到生產(chǎn)運營中去，從而有效保證了網(wǎng)絡(luò)的高可靠、高性能、高安全和靈活的擴展性[1]。

1 立項背景

黃驊港經(jīng)過多年的發(fā)展，形成了以控制網(wǎng)、辦公網(wǎng)和視頻網(wǎng)為主體的基本網(wǎng)絡(luò)架構(gòu)，其生產(chǎn)作業(yè)模式由傳統(tǒng)方式向智能化生產(chǎn)方式轉(zhuǎn)變，生產(chǎn)作業(yè)對網(wǎng)絡(luò)通信的依賴性越來越大，網(wǎng)絡(luò)架構(gòu)是否合理對于保障通信穩(wěn)定性顯得尤為重要。與此同時，網(wǎng)絡(luò)通信業(yè)務(wù)飛速發(fā)展和日益嚴峻的網(wǎng)絡(luò)安全形勢，現(xiàn)有網(wǎng)絡(luò)架構(gòu)的安全性面臨著巨大挑戰(zhàn)，因此，黃驊港決定開展網(wǎng)絡(luò)架構(gòu)規(guī)劃調(diào)整，規(guī)范網(wǎng)絡(luò)架構(gòu)、梳理園區(qū)網(wǎng)絡(luò)業(yè)務(wù)交叉，保障園區(qū)網(wǎng)絡(luò)系統(tǒng)平穩(wěn)運行和網(wǎng)絡(luò)空間安全[2]。

2 園區(qū)網(wǎng)絡(luò)架構(gòu)設(shè)計

此網(wǎng)絡(luò)架構(gòu)設(shè)計將充分考慮當(dāng)前及未來5年網(wǎng)絡(luò)通信需求，建設(shè)一個規(guī)范化、多業(yè)務(wù)支撐、安全可靠的專用信息通信平臺，以生產(chǎn)數(shù)據(jù)傳輸為主，同時支持視頻、辦公業(yè)務(wù)的數(shù)據(jù)傳輸，并具備一定的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全手段，并滿足網(wǎng)絡(luò)安全等級保護要求。

2.1 總體設(shè)計架構(gòu)

黃驊港網(wǎng)絡(luò)的建設(shè)支持新業(yè)務(wù)快速部署，網(wǎng)絡(luò)設(shè)計要求具備高可靠性、高可擴展性以及較高的安全保護能力，便于網(wǎng)絡(luò)集中運行維護管理。

網(wǎng)絡(luò)總體架構(gòu)按黃驊港的業(yè)務(wù)特點和業(yè)務(wù)重要級別，分別對各業(yè)務(wù)進行區(qū)域隔離，各區(qū)域采用三層通信互聯(lián)方式。各功能區(qū)域根據(jù)具體業(yè)務(wù)部署情況建設(shè)相應(yīng)的網(wǎng)絡(luò)區(qū)域，主要包括園區(qū)核心區(qū)域、辦公網(wǎng)區(qū)域、控制網(wǎng)區(qū)域及視頻網(wǎng)區(qū)域。各區(qū)域統(tǒng)一規(guī)劃IP地址，保障IP地址連續(xù)性，另外，統(tǒng)一網(wǎng)絡(luò)設(shè)備的命名規(guī)則，網(wǎng)絡(luò)設(shè)備的命名應(yīng)能使該網(wǎng)絡(luò)設(shè)備在全網(wǎng)中被唯一標(biāo)識，命名規(guī)則還應(yīng)體現(xiàn)出容易辨識，便于記憶的特點。

2.2 各網(wǎng)絡(luò)區(qū)域說明

（1）園區(qū)核心區(qū)域負責(zé)園區(qū)各功能區(qū)域的互聯(lián)和功能區(qū)域之間數(shù)據(jù)的快速轉(zhuǎn)發(fā)，通過園區(qū)核心區(qū)可以實現(xiàn)各網(wǎng)絡(luò)區(qū)域的松耦合互聯(lián)，同時有效支持后續(xù)區(qū)域的擴展。

（2）辦公網(wǎng)區(qū)域負責(zé)各辦公場地內(nèi)終端的網(wǎng)絡(luò)接入服務(wù)，如辦公終端、IP電話、無線AP、打印機、會議系統(tǒng)等。

（3）控制網(wǎng)區(qū)域負責(zé)黃驊港工控系統(tǒng)、工控設(shè)備和工控管理系統(tǒng)的網(wǎng)絡(luò)接入服務(wù)，包括IDC服務(wù)器、控制網(wǎng)準(zhǔn)入，生產(chǎn)管控系統(tǒng)等業(yè)務(wù)，

（4）視頻網(wǎng)區(qū)域負責(zé)黃驊港視頻數(shù)據(jù)傳輸，公司視頻業(yè)務(wù)獨立成網(wǎng)，包含視頻接入、存儲及管理業(yè)務(wù)。

3 網(wǎng)絡(luò)區(qū)域架構(gòu)

3.1 園區(qū)核心區(qū)域

配置兩臺高性能、高可靠性的交換機組建交換園區(qū)核心，采用CSS集群技術(shù)，防止任意一臺交換核心出現(xiàn)問題后影響園區(qū)網(wǎng)絡(luò)通信。園區(qū)和其他區(qū)域核心交換機通過光纖互聯(lián)。園區(qū)核心與各區(qū)域之間通過動態(tài)路由協(xié)議交互路由信息，并有效支持未來多業(yè)務(wù)網(wǎng)絡(luò)擴展。

園區(qū)核心交換機物理旁掛一組防火墻，防火墻通過萬兆光纖連接園區(qū)核心交換機，采用三層接口方式與園區(qū)核心交換機互聯(lián)。在園區(qū)交換機中配置策略路由，實現(xiàn)數(shù)據(jù)流量引流至防火墻，防火墻以此進行訪問控制[3]。

3.2 辦公網(wǎng)區(qū)域

（1）與園區(qū)核心交換機物理互聯(lián)。配置兩臺高性能、高可靠性的交換機組建辦公網(wǎng)核心，采用CSS集群技術(shù)，防止任意一臺交換核心出現(xiàn)問題后影響辦公網(wǎng)絡(luò)通信。每座樓宇匯聚點分別部署兩臺交換機，利用堆疊技術(shù)將兩臺物理設(shè)備虛擬成為一個邏輯的交換機，通過兩條萬兆光口與辦公網(wǎng)核心交換機互聯(lián)。

（2）區(qū)域結(jié)構(gòu)說明。在區(qū)域內(nèi)部，樓宇匯聚交換機為二層、三層網(wǎng)絡(luò)的邊界。區(qū)域內(nèi)終端設(shè)備的網(wǎng)關(guān)設(shè)置在樓宇匯聚交換機上，樓宇匯聚交換機與辦公網(wǎng)核心交換機之間，辦公網(wǎng)核心交換機與園區(qū)核心交換機之間均通過動態(tài)路由協(xié)議OSPF交互路由信息，實現(xiàn)各辦公區(qū)域與辦公網(wǎng)核心交換機，辦公網(wǎng)核心交換機與園區(qū)核心交換機三層互聯(lián)，每個樓宇內(nèi)運行獨立的生成樹協(xié)議（MSTP），實現(xiàn)二層通信環(huán)路保護。

3.3 控制網(wǎng)區(qū)域

（1）與園區(qū)核心交換機物理互聯(lián)。控制網(wǎng)區(qū)域利用兩臺交換機虛擬成為一個邏輯的交換機，作為控制網(wǎng)核心交換機。兩臺防火墻旁掛于控制網(wǎng)核心，兩臺防火墻由心跳線連接進行熱備冗余進行訪問控制。

各區(qū)域各部署一組交換機作為區(qū)域匯聚交換機，區(qū)域匯聚交換機利用堆疊技術(shù)將兩臺物理設(shè)備虛擬成為一個邏輯的交換機，區(qū)域匯聚交換機采用雙萬兆光纖上聯(lián)至控制網(wǎng)核心交換機。各區(qū)域的匯聚交換機上各旁掛一組工控防火墻，兩臺防火墻進行熱備冗余。

（2）區(qū)域結(jié)構(gòu)說明。遵循生產(chǎn)與辦公有效安全隔離的原則，與生產(chǎn)相關(guān)的業(yè)務(wù)系統(tǒng)和業(yè)務(wù)終端部署在控制網(wǎng)內(nèi)，控制網(wǎng)內(nèi)各區(qū)域遵循匯聚層、接入層、末節(jié)層的設(shè)計標(biāo)準(zhǔn)，各區(qū)域內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)采用星形連接。區(qū)域內(nèi)設(shè)備的網(wǎng)關(guān)設(shè)置在各自區(qū)域匯聚交換機。區(qū)域匯聚交換機通過OSPF動態(tài)路由協(xié)議與控制網(wǎng)核心交換機交互路由信息，實現(xiàn)各控制區(qū)域與控制網(wǎng)核心交換機三層互聯(lián)，各區(qū)域匯聚設(shè)置網(wǎng)關(guān)保護功能，避免因誤操作導(dǎo)致網(wǎng)關(guān)地址被侵占，造成網(wǎng)絡(luò)震蕩。

各區(qū)域匯聚交換機配置策略路由，實現(xiàn)數(shù)據(jù)流量引流至防火墻，防火墻以此進行訪問控制?？刂凭W(wǎng)各區(qū)域運行獨立的生成樹協(xié)議（MSTP），包含根保護、環(huán)保護、BPDU保護、TC保護等方式對網(wǎng)絡(luò)進行加固。該區(qū)域還部署了多種網(wǎng)絡(luò)安全設(shè)備，對工控網(wǎng)絡(luò)資產(chǎn)進行有效管控。①工控網(wǎng)絡(luò)準(zhǔn)入管控：在控制網(wǎng)區(qū)域設(shè)計一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，結(jié)合接入交換機的準(zhǔn)入配置，只允許合法的工業(yè)控制設(shè)備和終端接入網(wǎng)絡(luò)。②工控網(wǎng)絡(luò)主機防護：在控制網(wǎng)區(qū)域設(shè)計一套工業(yè)控制主機防護系統(tǒng)，結(jié)合在服務(wù)器、工作站上的主機防護客戶端，實現(xiàn)主機操作系統(tǒng)管理、進程管理、外設(shè)管理、防病毒管理和訪問策略管理等。③安全管理平臺：在控制網(wǎng)區(qū)域設(shè)計一套安全管理平臺，運行安全日志的采集與分析、資產(chǎn)安全脆弱性信息采集與管理，以及對安全事件與安全日志關(guān)聯(lián)分析等功能，及時發(fā)現(xiàn)和處置安全事件。④資產(chǎn)安全基線核查：在控制網(wǎng)區(qū)域設(shè)計一套配置核查管理系統(tǒng)，依據(jù)等級保護檢測規(guī)范和企業(yè)安全配置基線，對網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫以及安全產(chǎn)品進行在線集中式的脆弱項和配置核查，避免因軟件缺陷和配置問題導(dǎo)致的安全事件。⑤堡壘機：完成運維操作的認證、授權(quán)、記錄和審計，在控制網(wǎng)區(qū)域設(shè)計一套堡壘機安全運維平臺，建立“自然人-角色-資源-資源賬號-操作-審計日志”關(guān)系，實現(xiàn)事前統(tǒng)一運維入口和集中認證與授權(quán)、事中操作行為監(jiān)控、事后違規(guī)和非法操作審計。⑥Esight網(wǎng)管系統(tǒng)：通過網(wǎng)管系統(tǒng)進行信息采集和事件呈現(xiàn)，通過Esight網(wǎng)管軟件實現(xiàn)對控制網(wǎng)區(qū)域網(wǎng)絡(luò)資源進行采集，實現(xiàn)全網(wǎng)資源統(tǒng)一管理，對系統(tǒng)管理人員提供可視化管理服務(wù)，并將網(wǎng)絡(luò)故障進行等級分類記錄，將系統(tǒng)告警與日志信息實時推送給相關(guān)業(yè)務(wù)人員，指導(dǎo)網(wǎng)絡(luò)運維管理，

3.4 視頻網(wǎng)區(qū)域

（1）與園區(qū)核心交換機物理互聯(lián)。視頻網(wǎng)區(qū)域采用兩臺交換機作為視頻網(wǎng)區(qū)域核心交換機，核心交換機之間通過CSS集群技術(shù)邏輯上虛擬成一臺交換機。兩臺視頻區(qū)域核心交換機使用萬兆端口以三層方式連接到園區(qū)核心交換機，兩條鏈路做捆綁，視頻網(wǎng)核心交換機應(yīng)用OSPF動態(tài)路由協(xié)議進行路由宣告。兩臺視頻防火墻旁掛于視頻網(wǎng)核心交換機，兩臺防火墻由心跳線連接進行熱備冗余。

（2）區(qū)域結(jié)構(gòu)說明。視頻網(wǎng)各區(qū)域通過雙萬兆鏈路上聯(lián)至視頻網(wǎng)核心交換機，各區(qū)域匯聚交換機為二層、三層網(wǎng)絡(luò)的邊界。區(qū)域內(nèi)設(shè)備的網(wǎng)關(guān)設(shè)置在各區(qū)域匯聚交換機上，區(qū)域匯聚交換機進行OSPF宣告，應(yīng)用動態(tài)路由協(xié)議實現(xiàn)網(wǎng)絡(luò)通信；視頻管理和視頻存儲區(qū)域匯聚交換機分別通過萬兆光口連接到視頻網(wǎng)核心交換機，兩條鏈路做捆綁。視頻網(wǎng)核心交換機下聯(lián)視頻AC服務(wù)器，實現(xiàn)對全網(wǎng)視頻AP設(shè)備進行統(tǒng)一管理。

視頻網(wǎng)各區(qū)域運行獨立的生成樹協(xié)議（MSTP），以各區(qū)域匯聚交換機作為根橋，采用根保護、環(huán)保護、BPDU保護、TC保護等方式對網(wǎng)絡(luò)進行加固，同時應(yīng)用生成樹技術(shù)，視頻網(wǎng)采用有線鏈路與無線鏈路進行熱備冗余，調(diào)節(jié)環(huán)網(wǎng)路徑開銷，合理布局根端口、指定端口以及阻塞端口，充分保障視頻網(wǎng)通信可靠性。

4 結(jié)語

在黃驊港網(wǎng)絡(luò)設(shè)計中，采用業(yè)務(wù)功能模塊化、網(wǎng)絡(luò)拓撲層次化以及網(wǎng)絡(luò)平滑擴展相結(jié)合的設(shè)計方法，使得網(wǎng)絡(luò)架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴展能力，以適應(yīng)快速發(fā)展的業(yè)務(wù)對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求。與此同時，黃驊港網(wǎng)絡(luò)架構(gòu)還具備成熟性、穩(wěn)定性、安全性和先進性的特點，能夠有效支撐黃驊港未來業(yè)務(wù)戰(zhàn)略、應(yīng)用部署和管理需求。