伊河集控数据网纵向加密装置应用分析

伊河集控数据网纵向加密装置应用分析

孟昌良

新疆伊犁河流域开发建设管理局 新疆 伊犁 835400

摘要：纵向加密装置在监控系统的内部局域网与外部数据网络的路由器之间，用来保障电力网络系统纵向数据传输过程中的数据机密性、完整性和真实性。在实际应用中由于参数配置、安装方式、应用环境等差异性，将会直接导致安全性降低。本文阐述了一次由于纵向加密装置参数配置差异，进行提高其安全性的实施过程。

关键词：纵向加密； 透传协议；路由器；交换机

伊河集控中心数据网主站与各现场子站之间，采用纵向分层结构。为提高租用电信运营商光纤部分的安分性，布署纵向加密装置形成专用数据加密传输通道。集控中心设置主站加密装置，各现场子站分别相应安装加密装置。通过主站加密装置管理系统，实现对各子站数据通信的安全监测。

1 背景

新疆伊河集控中心与下属6个水电站（QH、SK、YMD、JLTEJ、KEWZK、HLJ）及2个变电站(YHB、HCB)目前采用A、B双通道方式实现通讯，网络拓扑如图1所示。

图 1 伊河集控网络拓扑图

在实际运行过程中，I区前置交换机、路由器以及电站侧路由器、前置交换机采用了子网掩码为255.255.255.252的方式，每个网段可使用地址只有2个，导致前置交换机与路由器之间的加密装置没有可用地址。

针对上述问题，采用借地址的方式进行处理，在实际运行过程中发现，加密装置虽然可以收发收据，但无加密解密包，所有报文都依赖于装置里面配置的透传协议在传输。

借地址方式与透传协议相互冲突，且加密装置已经不再支持借地址方式，需要进行整改。

2改造方法分析

（1）纵向加密装置采用常规路由模式

将前置交换机及路由器里面的子网掩码增加到8位的方式进行处理，即子网掩码变为255.255.255.248，这样每个网段可用地址为6个，加密装置配置独立的地址。

（2）集控中心网络地址规划

早期的网络规划A、B网网段相连，因此将A网地址扩大，覆盖B网网段，B网由于被占用，因此更改为新的网段地址，并与A网地址保持一致，改造前地址为：A网前置交换机、集控纵向加密装置、核心路由器地址依次为193.1.0.2/30、193.1.0.2/30或193.1.0.1/30、193.1.0.2/30; B网前置交换机、集控纵向加密装置、核心路由器地址依次为193.1.0.6/30、193.1.0.6/30或193.1.0.5/30、193.1.0.5/30。改造后地址为：A网前置交换机、集控纵向加密装置、核心路由器地址依次为193.1.0.2/29、193.1.0.4/29、193.1.0.1/29; B网前置交换机、集控纵向加密装置、核心路由器地址依次为194.1.0.2/29、194.1.0.4/29、194.1.0.1/29。

（3）下属现地厂站网络地址规划

现地厂站网络地址规划与集控中心采用同一规划模式，所有也相应的进行修改。如QH水电站改造前的A网交换机、纵向加密装置、路由器地址依次为193.2.0.2/30、193.2.0.2/30或193.2.0.1/30、193.2.0.1/30; B网交换机、纵向加密装置、路由器地址依次为193.2.0.6/30、193.2.0.6/30或193.2.0.5/30、193.2.0.5/30。改造后地址为：A网交换机、纵向加密装置、路由器地址依次为193.2.0.2/29、193.2.0.4/29、193.2.0.1/29; B网交换机、纵向加密装置、路由器地址依次为194.2.0.2/29、194.2.0.4/29、194.2.0.1/29。

（4）集控中心与下属现地厂站间路由网络地址规划

集控中心核心路由采用虚拟子接口VLAN，通过协议和技术将一个物理接口（interface）虚拟出来的多个逻辑接口，现地厂站路由需对应集控中心核心路由VLAN即可实现多厂站汇聚至集控中心核心路由同一网口的效果。由于子网掩码的改变，现地厂站路由外网接口地址也同时发生改变，如QH路由外网接口改造前A网地址为193.0.0.2/30, B网地址为193.0.0.6/30; 改造后A网地址为193.0.0.2/29, B网地址为194.0.0.2/29。

3现场实施过程

避免实施过程对集控业务的影响，将改造分为集控模拟测试、B平面调试以及A平面调试三步进行。实施前应向集控中心申请，待条件满足后开展。实施过程会造成B平面通讯异常，因此修改前应确保A平面通讯正常。现地电站设备修改期间会造成与集控通讯的中断，应提前做好安全措施。

(1)模拟实验。将YHB交换机、路由器、加密装置等拆回集控，在集控中心搭建模拟测试平台，测试新的地址配置方式及加密装置配置策略的正确性。

1)修改YHB前置交换机B地址配置及路由表配置信息，保存重启。

2)修改YHB路由器B网地址配置及路由表配置信息，保存重启。

3)修改集控路由器B网地址配置及路由表配置信息，保存重启。

4)修改集控前置交换机B地址配置及路由表配置信息，保存重启。

5)在关闭集控及YHB B网加密装置的情况下测试YHB到集控的通道是否正常。

6)配置YHB侧加密装置，修改地址、路由等的配置信息。

7)配置集控侧B网加密装置，修改地址、路由等的配置信息。

8)测试YHB到集控带加密装置的通道是否正常。

由于下属现地侧加密装置、路由器等AB网共用，为减少重启过程，将现地侧前置交换机A、加密装置A网、路由器A网配置也对应修改完成，等所有电站B平面测试完成后只要直接修改集控A网配置即可恢复正常，而无需再次重启各个电站装置，导致网络中断。

(2) B平面测试。参考模拟测试结果，依次修改各个变电站、水电站前置交换机、加密装置、路由器A、B网配置，并测试B网与集控通讯是否正常。

由于JLTEJ、HLJ目前没有B网通道，测试过程中需要将A平面网线改接至B平面通道运行，在此期间两站通讯受影响。

(3) A平面测试。所有水电站、变电站B平面通讯正常以后，将集控路由器A网对外网线拔出，使通讯转至B平面运行，并观察各系统数据采集等功能是否正常，确定正常以后进行A平面测试工作。如发生异常，应先恢复A网通讯后，排查问题后再继续。

参考模拟测试及B平面结果修改集控前置交换机A、加密装置A、路由器A的地址、路由表及配置策略等信息，重启装置后检查A平面与各个水电站、变电站通讯是否正常，如异常应及时排查问题。

4 改造后的运行分析

A、B网络各纵向加密改造完成后，通信正常。通过集控侧纵向加密装置进行通信隧道管理，发现集控与各场站间加密次数、解密次数显示无异常，均采用加密策略模式。

5 结束语

网络通信的安全性，需要在项目设计初期时就应科学、合理规划，建设中要按设计要求进行实施。项目运行后，由于各业务已经上线，此时再进行安全性的改造，势必会造成不必要的麻烦。

作者简介：孟昌良，男，（1986-），工程师，从事水电站集控运行管理工作。