摘要:介绍大亚湾电站在已建成的atm网络系统基础卜,为与岭澳核电站实现资源共享,并充分获取互联网上的信息资源,在对一系列相关技术分析、论证的基础上,分析比较若干技术方案,圆满地解决了网络互联的网络安全这相互矛盾的2大难题,成功地将*方案付诸实施。
1.1局域网基础
大亚湾核电站(简称“一核”)网络系统经过近10a的建设,由当初相互独立的微机和单一的ibm大型机系统,发展为现在的集主机、小型机、pc服务器、pc机等多平台为一体的,以网络计算为中心、40多个应用系统在不同平台上运行的网络系统。该系统覆盖5km范围内的01楼、bx楼、ba楼等18座楼宇,连接内部采用结构化布线,使用能支持155mbit/s的5类双绞线。各楼宇内由ibm8271作为atm主干网的端点设备,上接155m主干网,下联8个或16个独享10mbit/s的端口,可连接部门级以太网段、局域网服务器或ibm8224hub,1台hub下有16个共享10mbit/s的端口,可连接16台工作站。2台ibm8260多协议智能交换器分别放在01楼和bx楼,1台rs/6000-41t配以ibmnetviewforaⅸ软件作为网管设备。
与大亚湾核电站相距2km的岭澳核电站(简称“二核”)也采用atm技术作为主干网,构建了管理计算机网络。该网络以2台baydobh和1台baycl00为主交换设备,在各配线间安装bay28115和bayc50,通过lbx/lba楼的综合布线系统,直接连接用户工作站或通过bay28113hub连接用户工作站。该网络主要覆盖lbx/lba楼,此外也覆盖现场和01楼的部分办公区域。
1.2联网问题的提出
随着一核各项计算机应用系统不断发展,计算机系统在生产、维修、行政、财务、人事等方面所发挥的作用越来越大,cba(计算机辅助隔离系统)、wpms(工作过程控制系统)、ams(行政管理系统)等40多个应用逐渐成为巨大的生产力资源。随着二核工程建设推进和生产准备的开始,一批应用系统如移交投产控制系统(tcs)、程序数据库系统,已成为一核、二核必须共用的资源。一、二核间需要在不同的服务器上运行相同软件或直接共用同一服务器和同一软件,一、二核信息交流量已非常大。因此,“一址多堆,群堆管理”、“一、二核共享资源”的指导思想要求一核、二核必须尽快实现计算机网络互联。另外,互联网的飞速发展为大亚湾核电站生产运行管理和岭澳核电站工程建设管理提供了庞大、丰富的信息资源,能否充分而有效地利用这些资源已成为急待解决的课题。一、二核独立的局域网系统迫切需要与互联网相联。
在网络互联带来巨大经济利益的同时,网络安全的重要性尤显突出。一、二核网络互联要求一核的生产运行和二核的工程建设互不干扰,核电网与互联网的联通要求核电网自身安全得到保证。因此,一、二核网络互联及一、二核与网的互联必须解决安全性问题。
2联网方案
2.1一、二核网络互联方案分析
2.1.1联网原则
(1)一核现有的ibm设备与二核新购的bay设备相连。早在二核确定其网络方案前,一、二核网络互联问题就已提出。很显然,如果二核的网络选用ibm产品,联网工作在技术上就十分简单,但综合考虑,二核网络仍采用bay产品。因此,网络互联工作就必须以客观现实为基础,需要把ibm设备和bay设备相联。(2)网络互联带宽要达到100mbit/s。根据应用系统所涉及的信息流量预测,网络互联带宽zui终要达到100mbit/s,但联网初期的带宽要求可适当降低。(3)网络互联后,一、二核网络分工管理。考虑到一核网络主要用于生产运行,二核网络现阶段主要用于工程建设,2个网络在安全性、稳定性、实时性方面的要求不*相同,而且一、二核网络属于不同的成本中心,财务分开,从设备采购和资产管理方面考虑,分开管理较为合适。(4)网络互联过程中不能对一核网络造成破坏性中断。由于一核网络处于实时的生产运行状态,网络中断对生产运行会造成较大影响,因此一核网络在一般情况下不可中断。但在网络互联过程中,有些试验要求必须停下网络系统。在这种情况下,只有尽量完善计划、减少停机次数、缩短停机时间,特别是在对网络改动时,要周密考虑,避免因联网试验而对网络造成破坏。(5)以尽可能低的投资实现网络互联。在保证网络互联各项功能有效实现的基础上,尽可能选用简单方案、采用便宜的设备,减少投资费用。
2.1.2主要试验分析
(1)二核网络。服务器:现有服务器lanpc-s7,共享出资源proj98,配置好相应的ip、网关、wins等参数;工作站:用1台手提电脑,配置好相应的ip、网关、wins等参数;网关:采用1台sunnltra1机器,安装solaris操作系统和firewall—1forsolaris防火墙软件,设置多网卡,配置好相应参数。
(2)模拟一核网络。安装1台nt服务器llc,安装wins服务,共享出资源test,配置好相应的网关等参数。工作站:用1台手提电脑,配置好相应的ip、网关、wins等参数。网络联结由图1所示。
在二核工作站上,先用二核网络id登录到二核网络,net到防火墙,进行用户身份验证,通过后再退出windows,以一核网络id登录到一核网终,这时就可映射和使用一核的服务器资源。
在一核工作站上,先用一核网络id登录到一核网络,net到防火墙,进行用户身份验证,验证通过后再退出windows,以二核网络id登录到二核网络,这时就可映射和使用二核的服务器资源。
2.1.3基本方案
类似上述方案,通过对多平台、多防火墙软件的试验和分析,为充分利用一、二核各自己有资源,节省投资,并考虑到以后的功能扩充与发展,在一核网络端设置路由器和防火墙,而二核网络端则利用原有路由设备和防火墙作对等的路由器和防火墙,如图2所示。
2.2一、二核网络互联方案实施
2.2.1服务器硬件配置
sunu1tra2机器:100m网口,2x200mhzcpu,21英寸显示器,256mb内存,4gb硬盘、键盘,10/100m自适应以太网卡;suncd12forultra2/e2;3寸软盘驱动器;磁带机。
2.2.2服务器软件配置
sunsolarisserver2.6中文企业版;sunsolsticefirewall-13.ob防火墙软件,无限用户。
2.2.3服务器调试过程
sunsolarisserver2.6系统软件的安装配置;sunsolarisfirewall-13.0b软件的安装配置;sunsolarisfirewall-13.0b应用中参数的设置;sunsolarisfirewall-13.ob应用中参数的设置分3部分:(1)定义workstation和networkobjects。(2)建立用户和组。(3)建立规则(rule),规则的主要目的如下:对于二核网络中的任何用户,允许从二核网络的任何机器上,经一核防火墙验证后,访问一核网络资源(即jvc—lan网段);对于一核网络中的任何用户,允许从一核网络的任何机器(即jvc-lan网段的任何机器),不用经一核防火墙的验证(但需经二核防火墙的验证),可访问二核网络资源;此外,拒绝一、二核的任何用户和任何机器间的互访。
2.2.4client端的配置
一核client端的配置;二核client端的配置。
2.2.5网络静态路由的设置
现有一核atm网络交换机上mss中配置有5个elan,各个elan之间采用动态路由,设有defaultgateway10.1.3.1,并通过dhcp服务器将defaultgateway一起分配给client端,使得整个网络上各机器间能自动路由、互相访问。但一、二核网段不同,联网时存在路由问题。解决这一问题,有2种方法:(1)在每台服务器和client端手动设置静态路由。这种方法工作量大,并且每台新增的服务器或共享资源都要设置静态路由,不方便,也不实用。(2)在atm网络交换机上mss中设置静态路由。这种方法client端不需改动,对用户透明,但要更改mss配置,必须停运atm网络交换机进行设置;优点是对用户透明,且一劳永逸。本着一切为用户、不增加用户工作量、让用户使用简单、对用户透明,也考虑到对mss配置的更改是一次性的行为、以后不需再更改,因此采用第2种方法。
2.2.6登录对方网络步骤
一核登录到二核网络步骤;二核登录到一核网络步骤。
2.3核电网与网互联方案分析
2.3.1入网方式选择
企业如何根据自己的实际情况正确选择合适的入网方式和合适的isp是企业接人互联网所面临的首要问题。上网方式一般可使用单机拨号、isdn、adsl、ddn等方式,其中ddn方式适合于具备了路由器、集线器、服务器、工作站等一定规模的网络系统,且可用于发布web站点,适合大型企业或信息服务商。大亚湾核电站原有13个单机拨号上网帐号,但公司有数百个网络用户需要访问internet。数以百计的单机用户上网,在管理上将十分复杂,因此从传输速率和费用平衡上分析,在管理上将十分复杂,因此从传输速率和费用平衡上分析,从网页发布和管理上考虑,大亚湾核电站决定采用ddn专线方式接人internet。
2.3.2入网出口点选择
由于大亚湾核电站位于深圳远郊的大鹏镇,距市区70km,故人网出口点有2个选择:*,以深圳市中区的长城大厦为出口点,利用长城大厦到大亚湾的通信线路及线路两端的g.703接口,在市区和大亚湾分别建立路由器,网络设备和服务器设在大亚湾,长城大厦以外利用深圳市数据通信局的专线接人chinanet。第二,以大鹏镇邮局为出口点,从大亚湾利用大鹏镇邮局的线路联人chinanet。前一方案入网层次高,受路由影响少,线路稳定,不需施工,可预留接口与位于深圳市区的广东核电集团公司联网,但需增加1个路由器的投资,工作量相对较大;后一方案工作量相对较少,技术简单,但入网层次低,受路由影响大,大鹏分局人员技术和服务水平相对较低,线路不稳,可能存在施工问题。通过上述优劣比较,大亚湾核电站选择了长城大厦作为internet专线出口点。
2.3.3防火墙选择
有效地保护公司内部网络安全,又可使内部用户地访问intemet资源,这是防火墙的标准要求。在选择时,考虑的因素有3个方面:安全性、稳定性、高性能。
就cisco的pixfirewall而言,它是基于硬件的防火墙,可有效地隐藏内部网络地址,对外只是1个或若干个虚拟地址,而真正的主机及用户则在进行nat(网络地址转换)或pat(口地址转换)后,*隐藏起来,具有很高的安全性。此外,pix使用的控制微码不同于软件防火墙的源代码,黑客不易获得,从而进一步提高了安全性。pixfirewall的安全算法也较特殊,基于unix或其它操作系统的cpu集中式的防火墙,是在应用层对每个数据包进行大量处理,而pixfirewall采用安全实时的嵌入式系统,在网络层及以下层次对数据进行处理。
pix的高性能还得益于它的直通代理特性,即外部访问一旦被证实符合控制系统要求,就转换对话流,使通信直接在双方间迅速流动,从而加快运行速度,可大幅度降低普通防火墙在用户验证上所耗费的大量资源。由于是基于硬件体系,执行速度极快,吞吐量也很高,在满负荷时,其运行速率超过45mbit/s,支持t3速度,并可同时支持多达16000tcp对话,该性能是基于unix防火墙的几倍。配置管理简易也是pix突出优点,且一经配置,基本无需经常性维护。在本系统中,采用3网卡配置,加强安全性、灵活性。将传统上置于外部网的webserver、mailserver也放在firewall保护之下(即dmz区),为将来高安全等级应用如电子商务应用留下充裕的安全空间。因此,大亚湾核电站选用了硬件防火墙pixfirewall作为internet防火墙。
2.3.4服务器选择
服务器是系统核心,能否正确选择和成功安装服务器软硬件,是整个系统成功的根本;能否在成功安装了服务器软硬件之后有效利用它们,是系统运行效率的保证。对服务器的选择一般从可靠性、安全性和处理能力3方面考虑。关于服务器的具体选择,曾设计了4套解决方案,如下表1所列。在上述4套方案中,sun服务器加ciscopixfirewall的解决方案优点较多。sunultra硬件平台加netrainternet软件的组合是专为解决intemet联网问题的方案,此方案在硬件结构、可靠性、伸展性等方面有较强大的功能,适用于规模较大的企业。因此,在服务器选型上,大亚湾核电站intemet系统选用sunultra服务器。
2.3.5客户端软硬件选择
硬件直接利用大亚湾核电站网络上已有的各类型号pc机,客户端软件也是直接利用现有的中文windows95,这样做一方面节省投资;另一方面使各部门用户可在原有软硬件基础上使用intemet,减少了用户培训和软件安装方面的工作量,用户也会感到简单易用。
2.3.6路由器选择
在大亚湾核电站internet接人线路中,有2处需要设置路由器,即深圳长城大厦16号楼和大亚湾核电站01楼。结合大亚湾核电站现有网络情况,有2类路由器可供选择,一种是ibm2210路由器,一种是cisc04500路由器。其它品牌和型号的路由器无特别优势。相比较而言,ibm2210和cisco4500特性和选项较广泛,价格较便宜,在互联网节点连接中使用率较高,便于,特别是cisc04500系统软件映像被压缩存储在闪速存储器中,闪速存储器比磁盘更可靠,便于开发和维护。因此,在大亚湾核电站internet接人方案中选用cisc04500。
2.4核电网与网互联方案实施
2.4.1基本功能
建立128kddn专线,通过专线将核电站的internet系统接人chinanet骨干网,该ddn专线支持基于intemet的绝大部分协议。对内部用户开通标准的intemet服务,包括web浏览、ftp、net及基于pop3/smtp的服务。对外部用户开通本公司的web站点。系统还可提供bbs、目录服务等。随着internet应用的深入,新的服务还将加到系统中。
2.4.2系统配置功能
(1)sun服务器。配置:sunultra10server,cpu300mhzultrasvarc、硬盘4.3g、128m内存、24xcdrom、1.44m,软驱、10m/100methernet网卡,512kcache、基于solaris2.6中文操作系统,运行netral3.2群件;功能:webserver为netra13.2群件捆绑的netscapeenterpriseserver3.0;服务:sendmail提供,是操作系统的内置部件;dns服务:bind,是流行的基于unix的通用免费软件;bbs服务:共享软件,从intemet下载。
(2)备份dns服务器。配置:1台基于ntserver4.0的pcserver;功能:作为主dns的备份,在主dns失效(如down机等)时起作用解析本公司的域名。
(3)代理服务器。配置:pcserver,双scsi硬盘,基于ntserver4.0,运行msproxyserver2.0;功能:(0作为用户访问internet的代理,包括webproxy和winsockproxy,其中webproxy实现htyp、n7、gopher、ssl等浏览器协议,并配置了本地高速缓存cache。winsockproxy则开通其它协议,包括pop3/smtp邮件协议,作为邮局的代理,从而使winsock的客户端可透明地与邮件服务器通信。②用户管理:proxyserver担负用户身份验证,流量监控,用户记帐等管理任务。
(4)pixfirewall。配置:cisco公司的专业硬件防火墙,带3个10/100m自适应以太网卡,1024个同步会话licenses,配置信息均写入内置的flashmemory上;功能:pixfirewall防火墙提供网络层一级的安全保护,作为系统分隔内外网络及dmz(公共安全区域)网段的安全网关,通过地址映射将内部网络隐藏起来,阻止黑客对内部网的攻击。配置必要的协议管道(www,dns等)供外部用户访问。
(5)路由器。配置:2台cisco4500模块式路由器,其中1台配有1个4口g.703模块和1个双串口模块,另1台配备1个4口g.703模块和1个双以太口模块;功能:cisc04500是cisco公司的产品,支持e1(t1)线路连接。在本系统中,路由器4500除作为标准的网络路由外,还有1个重要用途是:利用g.703模块实现深圳市长城大厦到大亚湾之间2m带宽的通信,并可实现光纤/微波通信热备份。
(6)dtu。newbridge2603同步数据传输单元,与数据邮局对端的ddn网络节点机相连,实现internet信息数据的同步通信。
(7)hub。3comofficeconneet智能型集线器,轻便简易,用于网段扩充及设备到终端信号中转之用。
2.5核电网络的安全策略
2.5.1一、二核网络之间
通过防火墙相互*控制,一方面限制了相互之间人为攻击;另一方面也控制了广播风暴等技术因素对网络的影响。
2.5.2从外部网到内部网无直接通道。有防火墙及代理网关(proxyserver)2道屏障,外部用户无法访问内部网任何资源。
2.5.3从外部网到dmz子网需通过防火墙(pix/firewall),是外部用户*可访问的网段,公司的internet主机——sunserver就在dmz子网上。防火墙进行严格的安全设置:dmz子网使用的是intemet的保留ip地址,其外部网和dmz之间建立地址映射管道,外部用户访问的只是dmz上主机的映射ip地址,并不知道真正的ip,不能直接访问,从而实现ip地址转换及屏蔽,有效地阻止ip欺诈等黑客常用的伎俩。
2.5.4从dmz到内部网
有防火墙及代理网关2道屏障,无直接管道。
2.5.6从内部网到外部网
通过pix/firewall/proxy,可透明访问internet资源(接已开通的服务)。对网关及pix进行适当配置后,可细致地调节对外的各项访问服务,可过滤所有ip包,监控所有访问信息。
2.5.7从内部网到dmz
开通http、net及pop等协议,*用户的可透明访问此网段。
2.5.8从dmz到外部网
透过防火墙,可透明访问外部网。
以上策略主要是针对外部黑客的直接入侵而设置的,但黑客也可通过间接手段进行攻击,主要是:邮件传递及内部用户下载染毒的文件,这已属于病毒的范畴。目前在内部网上,除unix主机外,均装有实时监测病毒的软件(ca的cheyenneantivirus)它可有效地监测文件的传递、执行等,理论上讲可防止染毒文件传播。随着网络技术发展,核电网络的安全策略也在不断完善。一、二核主干网不同atm的联接虽然atm技术经过这几年发展,其稳定性、安全性、可管理性已较强,但毕竟还存在体系结构复杂、各厂商协议不统一的问题,这为ibm的atm与bay的atm联接带来困难。
3.2一、二核2个网络不同的管理方式处理
一核网络主要用于生产运行,二核网络现阶段主要用于工程建设;一核网络覆盖面广,除生产系统外,财务、人事、劳资、行政等管理系统也在其上运行。2个网络在组网方式、网段划分、虚拟网设置等管理方式上很不一样,为网络互联带来困难。
3.3联网过程实验条件困难
一核网络处于运行状态,一般不能中断;二核网络不具备完整的实际环境,而且联网设备在实际方案没有确定之前又不可能购买,因此只能先以模拟方式进行联网试验,并作理论推测,然后研究、选择、确定联网方案,采购相关设备。这样的过程,对初期的实验来说,较为困难且存在风险。
3.4核电网与网远程通信
在本系统中,internet的接人点在深圳市区的长城大厦,而服务器及公司用户均在大亚湾,两地相距70km。如何可靠地跨越这段距离并有效地传输信息是一个很有挑战性的问题。本系统采用2台cisco4500路由器作为端设备,利用光纤及微波通路,成功解决这一问题。
cisco4500是模块化路由器,其标准的g.703模块上集成了4个2m(e1)的端口,同时使用时可提供高达8m的带宽。接成2条e1线可设置成热备份,在一条通路故障时,可自动地换到另一条,而*时,2条e1线并发传输,利用这一特性实现光纤/微波的热备份。在通信调试中,初始发现误码率高达40%,后经多方查找原因,重新设置timeout值和相关的参数后,该码率降至几个ppm(百万分之几),传输质量优于intemet信号对传输信道的质量要求。
3.5核电网用户管理及webcache(高速缓存)
3.5.1稳定可靠的用户验证、日志、流量统计等是联网管理的重要内容
zui初采用基于pix的acs验证方式,但未能达到预期目标,后来采用代理服务器,并做了仔细的配置和性能调节,圆满解决了对联网管理所提出的复杂要求,实现了:(1)稳定的安全验证,用户*,并解决与公司内部网络主域统一协调的问题,即一次登录,一次验证,透明使用*的服务。(2)较详尽的监控功能,包括系统性能监视器和实时用户状态监控。(3)用户日志,日志内容包括:用户id、登录时间、信息流量、服务类型、访问的资源等,并可导人数据库,便于管理。
3.5.2建立本地超高速缓存,是改善用户响应性能的关键
在采用proxy实现用户管理后,也采用proxy的cache,主要为增大proxy的相应硬盘空间。它可主动、定期地高速缓存用户访问过的文件,保证数据的可用性。通过cache,极大改善了对网络资源的控制,减少出口internet的拥挤,也节约了昂贵的信息费。事实上,内部用户访问的internet响应速度很大程度上取决于高速cache的性能。
3.6客户端配置
3.6.1关于defaultgateway设置
公司内部网有多个子网:10.1.x.x,10.2.x.x,10.3.x.x等,要使不同网段的用户可顺利实现资源共享,必须设置正确的defaultgateway。在方案实施初期,pix内部以太口连人10.1.x.x网段,用户端要通过pix访问internet,必须将defaultgateway指向pix的内部以太口,但其它网段的用户将无法访问internet。为此,首先在ibm8260switch(主干上的智能交换机)上设置静态路由,将internet网关指向该pix端口。但对已稳定运行的公司主干网影响较大,而且公司网上的一些应用是24h不间断的,因此又采用代理服务方式,在用户端设置代理网关,在确保对现有内部网不作变更的前提下,较好地实现这一路由问题。
3.6.2内部用户访问公司外部主页
公司主页在dmz网段(1p:192.168.x.x),独立于外部internet和内部网,内部用户不能到外面访问此主页。公司internetserver上的dns对公司主页地址的解析是202.104.137.x(注册的ip地址),如果内部用户也用此解析,将不能正确访问本公司主页。解决该问题的方法是在公司内部的dns上增加该主页()的解析,并指向192.168.x.x,通过dhcp机制动态分发此配置,这样用户端在获得ip地址的同时也将获得的dns,避免域名解析的冲突。
3.6.3浏览器和邮件工具
原有的客户端软件主要是windows95+office97,包括internetmail,ie3.0和outlook97。由于ie3.0版本偏低,不支持很多网络互联的功能,且速度较慢,所以均升级到ie4.0。而1e4打包的outlookexpress是一个的工具,很适合用来收发邮件及阅读新闻组。还有一个选择是使用现成的outlook97,但涉及到outlook97是exchangeserver(内部邮件服务器)的客户端,功能过于复杂、庞大,起动缓慢。为不相互影响、混淆内外邮件,选择outlookexpress作为独立的工具,经一段时间试用,用户反映良好。
至此,大亚湾核电站成功完成了网络互联并有效实现了安全控制。此项技术不仅对现有一、二核的生产和建设具有积极的推动作用,而且对未来三核、四核的发展及其它企业的网络互联具有很大的推广价值。