基于ip安全协议陕西地方电力调度数据网设计与实现

基于ip安全协议陕西地方电力调度数据网设计与实现

ID:5941044

大小:27.00 KB

页数:5页

时间:2017-12-29

基于ip安全协议陕西地方电力调度数据网设计与实现_第1页
基于ip安全协议陕西地方电力调度数据网设计与实现_第2页
基于ip安全协议陕西地方电力调度数据网设计与实现_第3页
基于ip安全协议陕西地方电力调度数据网设计与实现_第4页
基于ip安全协议陕西地方电力调度数据网设计与实现_第5页
资源描述:

《基于ip安全协议陕西地方电力调度数据网设计与实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于IP安全协议陕西地方电力调度数据网设计与实现  摘要:虚拟专用网技术(VirtualPrivateNetwork,VPN)是利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全地访问单位的私有数据。它可以替代专线,把单位的移动员工、远程分支机构、供应商和合作伙伴连接到单位的内部网,从而为单位和个人节省了昂贵的长途通信费用。关键词:基于IP安全协议陕西地方电力调度数据网设计和实现中图分类号:TM734文献标识码:A文章编号:1672-3791(2012)11(a)

2、-0097-01IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。它适应向IPv6迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。它是完全意义上的VPN,能直接与PKI、CA设备密切协同完成认证功能。缺点是需要固定范围的IP地址,因此在动态分配IP地址时不太适合。它只支持TCP/IP协议外,最适合可信的网关到网关之间的虚拟专用网,即企业广域网的构建。1IPSec的相关概念和介绍51.1IPSec的组成IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ES

3、P)、Internet安全关联和密钥管理协议ISAKMP的InternetIP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)等。图1显示了IPSec的体系结构。ESP:ESP是插入IP数据报内的一个协议头,为IP数据包提供完整性检查、认证和加密,它提供的机密性可防止篡改。ESP头可位于IP头与上层协议之间,或者用它封装整个IP数据报。AH:用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务,AH不提供对通信数据的加密服务。IKE:IKE利用ISAKMP语言来定义密钥交换,是对安全服务

4、进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务。SA:一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性,同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。1.2IPSec的两种模式5IPSec有两种模式:传输模式和隧道模式。传输模式:传输模式是IPSec的默认模式,用于进行端对端的通信,IPSec只对IP负载进行加密。传输模式通过AH或ES

5、P报头对IP负载提供保护。隧道模式:隧道模式为整个IP包提供保护。要保护的整个IP包都需封装到另一个IP数据报中,同时在外部与内部IP头之间插入一个IPSec头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端,沿途的路由器只检查最外面的IP报头,不检查内部原来的IP报头。2基于IPSec的陕西地方电力调度数据网的设计与实现2.1方案描述陕西地方电力调度数据网项目是陕西地方电力的全省性工程,此项目涉及全省7个地市局(咸阳市、宝鸡市、延安市、渭南市、商洛市、汉中市、安康市)及其所属县局、变电站、厂站。本项目包括各个供电局

6、、县局和站点的网络接入设备及VPN安全设备。根据陕西地电集团所辖7个分公司的电网实际情况,基础的通信设施基本上都需要向电信服务商租用,鉴于租赁的费用,为了最大限度的实现性价比,因此网络拓扑原则上采用“星形和树形”网络,即从地电集团运行管理中心租用7个2M的E1通道实现与7个市调的互联,各个市调租用2M的E1通道互联各个县调和直调厂站,各个县调还可租用2M通道实现下级厂站的互联,从而实现一个以“地电集团运管中心”为金字塔的树形网络。2.2具体实施方案5(1)将7个局NE20-8作为PE设备构成MPLS核心,先实现本自治系统的规划

7、和VPN配置。(2)将NE20-8做为PE设备,各局现有由于缺少三层交换或防火墙,所以将后台作为CE端,完成PE、CE之间互通,实现下属分局至地区局各业务VPN的互通。(3)在供电局NE20-8下联NE20-4作为分局PE设备,NE20-4下联设备由于缺少防火墙或交换机作为分局CE设备,所以将综自后台作为CE设备。(4)110kV厂站PE为AR28-31.部署方案同上。(5)35kV厂站设备为USG2130防火墙,通过电信公网建立IPSecVPN将数据传至地调USG2210防火墙。(6)USG2210防火墙将其与35kV变电站

8、的IPSecVPN业务收集到的数据通过NE20-8路由器转发至调度后台。2.3设计方案特点一是系统的可靠性和安全性。IPSec在IP层上实现了加密、认证、访问控制等多种安全技术,极大地提高了TCP/IP协议的安全性。由于整个协议在IP层上实现,上层应用可不必进行任何修改。考虑

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。