纵向加密装置现场配置详细说明[特制材料].doc

纵向加密配置说明纵向加密的配置说明主要阐述设备管理配置、IP地址的规范、业务配置的配置原则、相关IP地址。一、纵向加密规划纵向加密设备是对调度数据网的业务流进行加密，现调度数据网220kV厂站侧接入省调接入网、地调接入网，省、地调度控制中心接入网骨干网I、II平面。纵向加密业务流的规划如下图所示：由220kV厂站省调接入网侧厂站业务系统上传数据与调度控制中心骨干网第II平面主站业务系统通信；由220kV厂站地调接入网侧厂站业务系统上传数据与调度控制中心骨干网第I平面主站业务系统通信。1.1 220kV变电站省调接入网省调接入网厂站标准为两台纵向加密设备，每台加密设备分别与同一路由器的实时、非实时接口相连，并与不通交换机连接。每台加密设备分别对实时业务、非实时业务进行加密处理。1.2 220kV变电站的地调接入网地调接入网厂站标准跟省调接入网相同。1.3厂站加密设备IP地址规范纵向加密设备的IP地址选用实时、非实时业务IP地址，每台纵向加密设备分别配置实时IP地址或非实时IP地址，IP地址请按照自动化分配的地址使用。纵向加密设备的网关为对应业务的路由器物理接口地址。纵向加密IP的分配如附表1：附表1：纵向加密IP地址规划（举例说明）实时业务非实时业务省调接入网业务网段64.100.46.64/2764.100.146.64/27纵向加密IP64.100.46.6664.100.146.66地调接入网业务网段64.108.9.176/2864.108.19.176/28纵向加密IP64.108.9.17864.108.19.178二、纵向加密管理中心及内网安全监视平台的接入加密的管理中心及内网安全监视平台的接入方式需和业务流的相关规划对应，即骨干网II平面和厂站省调接入设备需由二平面的管理中心进行管理，并由内网安全监视平台所在II平面采集服务器进行告警日志采集；骨干网I平面和厂站地调接入设备需由一平面的管理中心进行管理，并由内网安全监视平台I平面采集服务器进行告警日志采集。2.1加密设备的集中管理：需在加密设备进行远程管理配置，内网安全监视平台能对设备进行远程管理。省调内网安全监视平台需要管理场站级别有220kv及以上变电站、新能源场站包括风电场及光伏电站。省调管理中心地址见表2。表2：省调管理中心地址所属区域类型省调管理地址省调主站一片面实时10.64.3.19非实时10.64.9.19省调主站二平面实时64.10.10.19非实时64.10.20.192.2告警日志的集中监视：省调内网安全监视平台需要场站上报告警日志级别有220kv及以上变电站、风电场。具体日志告警服务器IP地址如下：表3： 地区骨干网第I平面骨干网第II平面实时非实时实时非实时省调10.64.3.1910.64.9.1964.10.10.1964.10.20.19三 纵向加密隧道策略的配置在装置基本配置中，缺省策略处理模式要选择丢弃（不要选择放行）。所有厂站与主站业务需经过纵向加密设备的加密与解密，按照第一章中所述纵向加密业务流规划建立相应加密隧道及策略。具体IP地址见附表4。附表4：省调加密协商地址节点协商IP业务IP省调I平面实时10.64.3.1310.64.3.1310.64.3.1410.64.3.1410.64.3.1710.64.3.1710.64.3.1810.64.3.1810.64.3.20010.64.3.1省调I平面非实时10.64.9.20010.64.9.100-10.64.9.10110.64.19.910.64.19.910.64.19.1010.64.19.1010.64.19.20010.64.19.5-10.64.19.610.64.11.210.64.11.2省备调I平面10.64.6.20010.64.6.5-10.64.6.6省调II平面实时64.10.10.25064.10.10.1-64.10.10.20省调II平面非实时64.10.20.25064.10.20.1-64.10.20.20省调主站共13个协商ip，说明场站侧纵向加密共需要配置13条隧道和13条策略到省调主站。四 配置举例隧道的配置，需对厂站所有需要访问的业务报文进行加密处理，省调接入网设备应和主站端I平面进行通讯，建立加密隧道、配置加密策略。见附表5、6。附表5：厂站加密隧道的配置隧道序号场站纵向（每个站共4台设备）本地加密设备地址对端加密设备地址隧道状态1省调接入网实时64.100.46.6664.10.10.250加密2省调接入网非实时64.100.146.6664.10.20.250加密364.100.146.6610.64.11.2加密4地调接入网实时64.108.9.17810.64.3.13加密564.108.9.17810.64.3.14加密664.108.9.17810.64.3.17加密764.108.9.17810.64.3.18加密864.108.9.17810.64.3.200加密964.108.917810.64.6.200加密10地调接入网非实时64.108.19.17810.64.9.200加密1164.108.19.17810.64.19.9加密1264.108.19.17810.64.19.10加密1364.108.19.17810.64.19.200加密附表6：省调接入网厂站加密策略的配置序号源起始IP源终止IP目的起始IP目的终止IP处理方式协议端口164.100.46.6664.100.46.9464.10.10.164.10.10.20加密All0-65535264.100.146.6664.100.146.9464.10.20.164.10.20.20加密All0-65535364.100.146.6664.100.146.9410.64.11.210.64.11.2加密All0-65535464.108.9.17864.108.9.19010.64.3.1310.64.3.13加密All0-65535564.108.9.17864.108.9.19010.64.3.1410.64.3.14加密All0-65535664.108.9.17864.108.9.19010.64.3.1710.64.3.17加密All0-65535764.108.9.17864.108.9.19010.64.3.1810.64.3.18加密All0-65535864.108.9.17864.108.9.19010.64.3.10110.64.3.101加密All0-65535964.108.917864.108.919010.64.6.510.64.6.6加密All0-655351064.108.19.17864.108.19.19010.64.9.10010.64.9.101加密All0-655351164.108.19.17864.108.19.19010.64.19.910.64.19.9加密All0-655351264.108.19.17864.108.19.19010.64.19.1010.64.19.10加密All0-655351364.108.19.17864.108.19.19010.64.19.510.64.19.6加密All0-655358clb借鉴