云南电网的用户需求
云南电网公司是中国南方电网有限责任公司的全资子公司,负责云南电网的统 一规划、统一建设、统一管理和统一调度。作为云南省域电网运营和交易的主体,云 南电网公司承担云南省内供电、西电东送和对越南送电等任务。面临发展,云南电网 公司启动了营销系统建设项目,目的是将全省的电力营销数据及应用进行统一协调 与管理。这就要求将相关应用服务器和数据库服务器均集中到专用机房,省属各地 的电力公司均通过网络进行远程登录系统。云南电网电力销售系统网络采用专线方 式连接,各个地州的供电局和昆明总部机房都采用云电信通的专线连接。然而,专线 连接并非100%的可靠。时常发生专线不稳定造成业务访问中断。 为了解决专线中断,造成业务中断问题,云南电网决定采用VPN备份专线的方式,实现业务的连续性,而又******程度地降低投资成本。
网络拓扑图
SonicWALL公司根据客户的需求,提出如下的解决方案
方案说明
> 确保网络的可靠性,昆明总部实现主备方式的高可靠性部署,确保单台防火墙因 硬件故障宕机的情况下,网络访问不能中断。
> 昆明总部防火墙采用双WAN 口,一个接云电信通的专线和各个地州的供电局 互联。一个采用中国电信的专线接入互联网,与自各个地州供电局防火墙建立 IPSec VPN隧道。
各个地州供电局的防火墙也采用双 WAN 口。一个 WAN 口连接云电信通的专线,
> 和昆明总部的防火墙的云电信通的专线端口互联。另外一个WAN 口采用专线或 ADSL拨号线路,和昆明总部防火墙的中国电信的Internet专线建立VPN隧道。
> 正常的业务流量走各个地州供电局防火墙的主WAN 口电力专线到达昆明总部防 火墙主WAN口的电力专线,所有业务数据通过电力专线传输。
> 当专线发生故障,地州供电局分支的防火墙通过第二个WAN 口向昆明总部防火 墙的第二个WAN 口电信的Internet线路发起IPSec VPN的协商,动态触发VPN 隧道,接管业务流量。
当专线恢复,业务数据自动恢复到专线,VPN 隧道进入备用状态,不传输数据。
> VPN隧道备份专线的应用完全自动实现,不需要人工干预。
从安全角度,本方案不仅实现了 备份专线的功能,确保业务的连续性,还可
VPN
以对专线和IPSec VPN隧道的数据进行病毒和入侵的扫描,确保应用的安全。
设备选型
昆明总部选用SonicWALL NSA E5500高性能的UTM综合安全网关设备,实
现干净的VPN功能,分支机构选用NSA2400, PRO2040, TZ170等多种型号。
实施周期(UTM防火墙部分)
昆明总部防火墙部署时间大约 天,各个地州供电局分期部署,一个供电局防火
2
墙的部署时间在半天左右可以完成。