再次中标国家电网项目,星融元为山东电力建立“第三张网”
近日,星融元在电力行业再次取得突破,成功中标国网山东电力信息通信公司的开放网络建设项目。
作为继业务网、管理网之后的 “第三张网”,本次星融元交换机将在山东电力的互联网大区内构建出完整的可视化矩阵网络——通过这种架构级别的优化,全面提升电力网安监控体系的流量采集传输和数据处理能力,促进电网运维的智能化转型。
传统模式亟待变革
图1:“分散部署、单点采集”模式
伴随电力体制改革和新能源建设的深入,电力行业逐步引入了各种基于互联网和云计算的新兴业务,例如移动作业、物联管理平台、外协作业风险管理系统等等,逐渐建设起了一张信息对等、互联共享的“能源互联网”。
为遵循行业信息系统安全等级保护的要求,电力网络中除了防火墙等串接的安全设备外,还需部署大量的旁路安全监测设备,例如攻击检测、态势感知、流量分析以及各类审计系统等等。这些设备往往分散在各处,各自从前端网络的不同点位采集所需数据。
数字化转型驱动下,为更好管理电力网和其他能源互联网业务相关主体之间频繁的信息交互,现有电力网安分区架构又新增了互联网大区,即信息外网区。然而,传统网络监测工具“分散部署、单点采集”的模式却给运维人员带来了极大挑战。
- 随着监测系统/工具的增多,交换机镜像端口的数量不够用,采集点不足
- 交换机性能有限,进行线速复制会影响正常业务的运行
- 采集点众多且分散,无法灵活调度流量,难以应对诸如护网行动的流量敏捷调度需求,每一次新增监测设备都要重新规划网络
- 采集到的流量未经处理直接交由后端分析系统,增加后端监测系统的负担,形成性能瓶颈
- 网络中存在一些SSL加密流量和外部云厂商经私有协议封装后的流量,不经解密或者解封装,这些流量根本无法被后端工具处理和分析;外网云中的“东-西向”虚拟流量游离在监管范围之外,形成了安全盲区。
电力行业的“第三张网”
图2:电力行业的“第三张网”
随着网络规模的扩增,网络架构的升级势必趋于系统化和模块化。我们都知道,通过建设一张独立于业务网络的“管理网”,可以将原本混乱的管理线和分散的管理系统收归到一起,在不改变现网的前提下实现统一集中的管理。
与之类似,我们也可以继“管理网”之后再部署一张专门的网,作为电力行业的 “第三张网” 用于统一的数据采集和预处理,从而轻松实现全网流量监测与分析。
星融元的可视化矩阵网络定位于网络可视化前端,采用弹性扩展的CLOS网络架构,用户可根据前端流量的大小和后端系统的需求灵活地调整网络规模,实现系统的平滑收缩/扩容。
当网络中需要新增采集点或后端监测工具时,只需拉一根网线将其接入到星融元的可视化矩阵网络中,并在这“第三张网”内设定好相应的流量调配策略,无需再去变更现有业务网——如果搭配了支持集群管理的SDN云网控制器(AFC-NPB),整个配置过程还将更加轻松简便。
图3:星融元可视化矩阵网络
- 全网统一采集,智能分发:一个点位的流量只需统一采集一次,之后可按需智能分发给网络中现有的以及未来可能新增的监测工具,节约网络设备的镜像端口
- 输出定制化数据源:具备基本汇聚分流、流量过滤与裁剪、流量预处理等功能,可为后端监测工具提供定制化数据源,有效提升后端监测工具处理效能
- 数据面可编程,灵活应对新需求:该可视化矩阵网络由高性能、可编程的全开放硬件搭建,支持新网络协议识别,多层隧道封装解封装、支持快速开发和验证新协议以及自定义转发逻辑;此外还可选配高性能的业务处理单元,实现SSL流量加解密等高级业务处理功能
- 支持虚拟流量采集,流量监控无死角:配合部署Tapplet虚拟流量采集系统,可消除云环境下的监控盲区
- 简化运维工作,支持灵活调度流量:设备提供了简明的图形化管理界面,并且支持被SDN控制器统一纳管,可实现多台设备的集群管理、拓扑呈现、业务策略配置等功能,从而为客户提供简单易用的操作维护平台,方便业务策略部署和故障快速定位
图4:星融元提供的图形化管理界面(示例)