基于SD-WAN的工厂网络互联及安全解决方案

1、工业互联网基于 SD-WAN 的工厂网络互联及安全解决方案目录 HYPERLINK l _TOC_250029 概述1 HYPERLINK l _TOC_250028 需求分析3 HYPERLINK l _TOC_250028 解决方案10 HYPERLINK l _TOC_250028 成功案例16基于 SD-WAN 的工厂外部网络互联及安全解决方案概述背景工业网络正在向扁平化、IP 化演进，越来越多的工厂内设备接入工业专网，并通过互联网进行跨区域传输。同时企业上云已经成为共识，通过结合公有云与私有云，打造企业混合云成为未来一段时间内的大趋势。工业企业各机构、厂区以及云数据中心间面临不同于以

2、往的网络互联和网络安全挑战。传统的网络设备和网管系统使用复杂、技术要求高，不能满足工业企业对网络的便捷有效管理需求。同时为保证网络安全，需要在网关处堆叠多种不同类型的安全设备，不但组网复杂，管理维护难度大，也自然造成设备采购和运维成本高。为了解决这些问题，我们提出了基于 SD-WAN 的工厂外部网络互联及安全解决方案。实施目标传统工厂外部网络的控制逻辑与硬件密切耦合，网络内如果引入异厂家设备，用户就不得不维护多个管理系统，形成烟囱式的管理模式。这种模式操作复杂，企业运营成本高。在此背景下，本文提出基于 SD-WAN 的工厂外部网络互联及安全解决方案，满足工业用户对网络的 IP 化、无线化、扁平

3、化、灵活化要求。该解决方案基于SDN 和NFV 技术，采用软硬件分离架构， 将控制逻辑由传统的硬件侧上移到云平台侧，而硬件部分只需 要完成基本的流量转发功能。云端管理平台提供图形化用户界 面，展示丰富的网络信息，包括硬件部分的在/离线状态、流量 告警、硬件使用率、业务流量分类等。除网络监控外，云端管 理平台还允许用户自主配置工厂外部网络，例如定义带宽大小、实时性要求、安全防护、数据加密，甚至指定数据转发路径， 从而选择最优的网络资源进行数据传输。基于 SD-WAN 的工厂外部网络互联及安全解决方案致力于为用户提供便捷管理工厂外 部网络的途径，符合工业互联网网络的发展趋势。适用范围该解决方案适用

4、于所有工业领域的多个应用场景，包括：跨区域厂区互联保护工业内网数据免受外部网络恶意入侵集中监控和配置工厂外部网络相关参数，如带宽、路由信息、网络拓扑、访问策略等，减少网管人员投入在不便于布线的厂区，将重要数据通过 4G 传输给厂内服务器处理打通公有云和私有云资源，形成工业混合云通过数据压缩、缓存等优化手段，提高数据传输速率选择相对轻载的线路传输数据，避免流量分布不均引起的资源浪费在工业互联网网络体系架构中的位置图 1 方案在工业互联网网络中的位置基于 SD-WAN 的工厂外部网络互联及安全解决方案涉及到图1 中的智能工厂内网边缘、工厂外部网络和工业云平台（如红色框线所示）。网关将工厂内部数据收

5、集并通过外部网络传送到位于云端的集中管理平台，用户即可登录浏览器远程查看并管理网络。需求分析传统工业网络在实现工业信息化方面捉襟见肘，主要体现在：企业上云已成未来发展趋势，如何将公有云的便捷性和私有云的安全性相结合，建立混合云组网结构，成为企业必须解决的问题。工业互联网使网络从人与人互联，转变为人、物、料全面互联。这就意味着原本封闭的工厂生产环境大量曝露在互联网上，受到来自外部的恶意攻击概率大大增加。 101 与此同时，生产网络互联后，数据存储、传输均存在安全隐患。由于网络设备型号多、种类复杂，企业对网络的管理维护工作量大，出现故障时难以迅速排查。传统工业网络不能满足工业互联网对低时延的要求，

6、网络时延成为影响实时性的瓶颈。多厂区互联采用传统的专线方式，容易造成网络成本升高，给工业企业带来沉重的经济负担。鉴于现有网络中存在的上述问题，工业用户在数据安全防护、低成本厂区互联、集中管理、混合云组网、低时延传输等方面存在迫切需求。基于 SDN/NFV 架构的工业互联网网络，能有效解决工业用户面临的难题，加速推动企业信息化转型。解决方案方案介绍本方案将目前最先进的 SDN/NFV 技术运用至企业广域网， 形成了基于 SD-WAN 的工厂外部网络互联及安全解决方案。面向工业客户提供符合工业能源行业标准、具有安全接入功能的自动化接入网关，同时配套提供集中管理平台，实现工业专网的统一管理和运营。支

7、持用户自服务，客户可通过平台门户对全网运行的工业专网网关终端进行统一配置与管理，自行配置网关、查询网关状态，实现网络拓扑管理、业务流量管理、异常状态处理、远程管理维护等功能。该方案不仅可以为工业制造企业提供方便、快捷、灵活的专网建设和管理办法，还可满足工业企业客户对数据安全传输和存储需求。图 2 是该解决方案 102 的网络示意图。系统架构图 2 方案网络示意图该解决方案主要包含位于云端的集中管理平台和用户数据出口侧的网关两部分。架构设计遵从 SDN 和 NFV 技术特点。集中管理平台集中管理平台由四部分组成：集群控制器、NFV 管理器、云网关和统一用户 Portal。平台的组成架构如图 3

8、所示：图 3 集中管理平台系统架构集群控制器为核心控制单元，负责整个网络业务的管理和编排：协调管理平台各个功能组件；对硬件网关设备进行统一的接入控制管理； 103 实时管理网络拓扑；集中控制全网路由。NFV 管理器用于对云网关和硬件网关的虚拟化网络功能进行管理，各种业务配置的下发需通过 NFV 管理器进行。云网关是部署在云端的网关节点，也是集中管理平台的数据出口，负责流量的牵引、加密推送和转发。采用 NFV 架构， 内部通过 Hypervisor 将硬件资源进行抽象，分配给不同虚拟化网络功能实例(VNF)。通过统一用户 Portal，可实现对用户的分权分域认证管理以及对全部业务功能的统一管理。

9、SD-WAN 网关SD-WAN 网关部署在厂区数据出口，依托 X86 通用架构，多种网络功能通过虚拟机或容器方式部署至网关，实现网络功能与硬件解耦。图 4 SD-WAN 网关终端架构网关终端架构如图 4 所示，Linux 操作系统负责管理 CPU、 104 内存和硬盘等硬件资源。在统一控制引擎与命令解析器两个模块共同作用下，云端平台下发的控制消息被解析成适配多个协议的指令，触发相应功能模块工作运行。网络拓扑设计只需要在企业网络出口处布放 SD-WAN 网关，基于互联网连接，就可以实现任意两点互联互通。利用集中管理平台可对所有接入网关设备进行组网部署，支持用户根据实际需要自主设计网络拓扑，例如

10、hub & spoke 和 full mesh 结构。hub & spoke 组网在工业企业总部和各厂区分别部署 SD-WAN 网关设备，实现从各厂区到总部的 “点到点”的连接，组成 hub & spoke 结构的工业网络。图 5 hub & spoke 网络拓扑full mesh 组网在工业企业总部和各厂区分别部署 SD-WAN 网关设备，使总部、各厂区间所有点之间互相连接，组成 full mesh 结构的工业网络。 105 功能设计图 6 full mesh 网络拓扑基于工业用户网络方面的严峻挑战，我们从集中管理平台和硬件两个维度出发，设计解决方案具备的功能特点。集中管理平台凭借云化部署的

11、特点，我们为用户提供了高可用、支持灵 活扩展的集中管理平台。该平台采用 portal 技术为用户呈现统一的登录方式，支持个人电脑和手持终端无缝访问，可极大提 高用户体验，节省网络管理人员投入，真正实现网络无忧运营。该平台支持如下功能：对接入设备进行鉴权认证按照角色对人员进行分权分域管理，分为超级管理员和普通管理员，不同用户只能操作管辖范围内的网络，防止不法登录图形化展示网络状态，包括网络拓扑、业务分类、流量大小、硬件使用、告警信息等向合法接入平台的网关下发功能配置信息，包括 VPN、FW、 106 DPI 等规划网络结构和路由信息工业网关为了满足工业用户在多厂区间快速组网，实现点对点网络实时通

12、信，同时保证工厂内部数据安全传输等需求，工业网关支持如下功能：快速组建工业虚拟专网在整合国密、DES、AES128 等经典加密算法基础上，网关支持 IPSec、SSL、VxLAN 等常用 VPN 策略，助力企业快速建立虚拟专网。其中 VxLAN 可在数据中心间构建大二层网络，解决逻辑网段不足、虚拟机动态迁移等问题。网络安全网关具备防火墙、防DoS/DDoS 攻击、IDS/IPS、UTM 等多种安全功能。工业企业客户可根据自身业务需求来动态配置安全防护策略，防止外部应用对网关设备端口的恶意扫描、攻击， 主动辨别入侵行为，提高工业网络安全性。多种接入方式网关支持有线/无线接入模式，其中无线接入采用

13、 4G 技术， 适用于不方便布线的 4G 信号覆盖区域，包括地理位置偏远的厂区、仓库或者移动办公点等。QoS 策略网关设备支持定义QoS 流量策略：基于 IP 地址、端口、MAC 地址等进行数据流的识别和分类，并对不同数据流进行 QoS 适配。 107 安全及可靠性该方案改进了传统网络管理方式，让工业用户精准掌握网络运行情况，在线定制结构和功能，节省了高额的网络成本。同时，提供了如下方法保障方案的安全性及可靠性，以防患于未然。丰富的网络安全策略网关设备同时支持防火墙、DDoS、IDS/IPS、UTM、FW 等多种网络安全功能，所有功能均可通过集中管理平台统一配置。采用冗余链路两条接入线路采用主

14、从（Active-Standby）模式，一旦主用线路出现问题，则自动切换至备线，不影响正常网络通信。支持 4G 功能的网关设备自带 4G 天线作为无线WAN 口，结合互联网专线，即可实现无线/有线双链路备份。遇到有线链路异常，可无缝切换到无线链路，最大限度减少接入线路故障引起的网络中断时长。基于动态路由协议的设备冗余当企业出口主用网关发生异常时，通过 BGP、OSPF 等动态路由协议自动发现有效路径，数据包通过备用网关转发出去。图 7 采用动态路由协议的网关冗余 108 基于 VRRP 的设备冗余通过集中管理平台开启网关的 VRRP 功能。在重要节点布设两台网关，当主网关发生故障不能转发流量时

15、，备用路由根据 预先设定的规则代替主网关进行工作。VRRP 技术不改变网络结构，在某台设备出现故障的情况下仍然提供高可靠的缺省网关， 有效避免单一设备出现问题后的网络中断问题。软件可靠性图 8 采用 VRRP 协议的网关冗余硬件网关支持虚拟机高可用技术。一台 SD-WAN 网关里安装两套 VM，每套 VM 都具备完整的业务功能（VPN、UTM、NAT 等）。当主用VM 出现故障，网关自动切换到备用 VM，实现软件层面的可靠性保护。成功案例某发动机制造企业 SD-WAN 工业专网方案该发动机制造企业通过部署 SD-WAN 网关实现工业专网的组建，并保证专网安全。在该企业总部厂区与工程研究院之间各部署一台安全网关，通过安全网关在两点间部署主备两条数据链路进行数据传输，主用链路为一条点对点数据专线，该链路为企业专用，与Internet 物理隔离。备用链路为使用 SD-WAN 产 109 品建立的一条加密的 IPSec VPN 隧道，通过 TD-LTE 无线网络进行数据传输。基于 IPSec 的加密功能，可以保证数据的端到端 安全传输。SD-WAN 网关支持 TD-LTE 通信功能，在不额外增加物理链路的情况下，快速完成备用链路的部署。在主链路故障时， 业务会自动切换至 TD-LTE 链路。在该企业的欧洲研发中心中部署安全网关，并与总部厂区基于 Internet 建立加密的跨国IPSe