纵向加密装置现场配置详细说明

纵向加密的配置说明主要阐述设备管理配置、IP地址的规范、业务配置的配置原则、相关IP地址。

一、纵向加密规划

纵向加密设备是对调度数据网的业务流进行加密，现调度数据网220kV厂站侧接入省调接入网、地调接入网，省、地调度控制中心接入网骨干网I、II平面。

纵向加密业务流的规划如下图所示：

由220kV厂站省调接入网侧厂站业务系统上传数据与调度控制中心骨干网第II平面主站业务系统通信；

由220kV厂站地调接入网侧厂站业务系统上传数据与调度控制中心骨干网第I平面主站业务系统通信。

1.1 220kV变电站省调接入网

省调接入网厂站标准为两台纵向加密设备，每台加密设备分别与同一路由器的实时、非实时接口相连，并与不通交换机连接。每台加密设备分别对实时业务、非实时业务进行加密处理。

1.2 220kV变电站的地调接入网

地调接入网厂站标准跟省调接入网相同。

1.3厂站加密设备IP地址规范

纵向加密设备的IP地址选用实时、非实时业务IP地址，每台纵向加密设备分别配置实时IP地址或非实时IP地址，IP地址请按照自动化分配的地址使用。纵向加密设备的网关为对应业务的路由器物理接口地址。

纵向加密IP的分配如附表1：

附表1：纵向加密IP地址规划（举例说明）

加密的管理中心及内网安全监视平台的接入方式需和业务流的相关规划对应，即骨干网II平面和厂站省调接入设备需由二平面的管理中心进行管理，并由内网安全监视平台所在II平面采集服务器进行告警日志采集；骨干网I平面和厂站地调接入设备需由一平面的管理中心进行管理，并由内网安全监视平台I平面采集服务器进行告警日志采集。

2.1加密设备的集中管理：

需在加密设备进行远程管理配置，内网安全监视平台能对设备进行远程管理。省调内网安全监视平台需要管理场站级别有220kv及以上变电站、新能源场站包括风电场及光伏电站。

省调管理中心地址见表2。

表2：省调管理中心地址

省调内网安全监视平台需要场站上报告警日志级别有220kv及以上变电站、风电场。

具体日志告警服务器IP地址如下：

表3： 

在装置基本配置中，缺省策略处理模式要选择丢弃（不要选择放行）。所有厂站与主站业务需经过纵向加密设备的加密与解密，按照第一章中所述纵向加密业务流规划建立相应加密隧道及策略。具体IP地址见附表4。

附表4：省调加密协商地址

四 配置举例

隧道的配置，需对厂站所有需要访问的业务报文进行加密处理，省调接入网设备应和主站端I平面进行通讯，建立加密隧道、配置加密策略。见附表5、6。

附表5：厂站加密隧道的配置