基于IPSec的VPN網(wǎng)絡(luò)在氣田的設(shè)計(jì)與實(shí)現(xiàn)

沈雅斐

摘 要：本文從氣田網(wǎng)絡(luò)化管理過(guò)程中可能存在的安全、可靠性問(wèn)題，從便于日常管理，方便數(shù)據(jù)高效傳輸，實(shí)現(xiàn)低成本要求為出發(fā)點(diǎn)，通過(guò)進(jìn)行需求分析，詳細(xì)闡述了基于IPSecVPN網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)具體內(nèi)容，提高了氣田生產(chǎn)、辦公效率，創(chuàng)造了較好的生產(chǎn)效益和經(jīng)濟(jì)效益。

關(guān)鍵詞：數(shù)字化管理；VPN；網(wǎng)絡(luò)

一、設(shè)計(jì)背景及思路

安全性：網(wǎng)絡(luò)的安全性沒有保障，各類服務(wù)器及客戶端的運(yùn)行均暴露在公網(wǎng)狀態(tài)下。

可靠性：氣田生產(chǎn)建設(shè)需部署核心交換機(jī)、硬件防火墻等核心網(wǎng)絡(luò)設(shè)備，在網(wǎng)絡(luò)可靠性、穩(wěn)定性方面需得到保證。

互通隔離：大量數(shù)字化系統(tǒng)的建成、投運(yùn)，僅靠通信站分配的IP地址遠(yuǎn)遠(yuǎn)不能滿足需求，辦公網(wǎng)與生產(chǎn)網(wǎng)不能互聯(lián)互通與有效隔離。

低成本：為實(shí)現(xiàn)低成本開發(fā)戰(zhàn)略，結(jié)合辦公實(shí)際，若采取租用多條高帶寬專用通信網(wǎng)絡(luò)線路成本壓力較大。

VPN指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM（異步傳輸模式〉、FrameRelay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。該技術(shù)能夠充分利用現(xiàn)有網(wǎng)路資源，提供經(jīng)濟(jì)、靈活的連網(wǎng)方式，為項(xiàng)目部節(jié)省設(shè)備、人員和管理所需的投資，降低項(xiàng)目部的通信費(fèi)用。

二、需求分析

從網(wǎng)絡(luò)基礎(chǔ)考慮，面臨著把集氣站重要生產(chǎn)、監(jiān)控?cái)?shù)據(jù)安全、簡(jiǎn)單、可靠的接入到原有網(wǎng)絡(luò)，既不阻塞原有產(chǎn)能建設(shè)、生產(chǎn)、開發(fā)、經(jīng)營(yíng)業(yè)務(wù)，同時(shí)又要達(dá)到延伸和擴(kuò)展的目的。

（一）網(wǎng)絡(luò)平滑升級(jí)的需求：在現(xiàn)有網(wǎng)絡(luò)上實(shí)現(xiàn)平滑過(guò)渡，對(duì)原網(wǎng)絡(luò)的信息統(tǒng)計(jì)；規(guī)劃、設(shè)計(jì)網(wǎng)絡(luò)改造方案；網(wǎng)絡(luò)改造的實(shí)施。

（二）網(wǎng)絡(luò)可擴(kuò)展性的需求：保持網(wǎng)絡(luò)的先進(jìn)性；考慮未來(lái)網(wǎng)絡(luò)接入容量及處理能力；考慮骨干網(wǎng)絡(luò)的帶寬需求。

（三）網(wǎng)絡(luò)管理智能化的需求：配置管理；性能管理；故障管理；安全管理；網(wǎng)絡(luò)規(guī)劃及操作管理。

（四）非功能性需求：性能；靈活性和可擴(kuò)展性（支持網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用、網(wǎng)管系統(tǒng)三方面）；安全性需求；可靠性。

三、基于IPSecVPN網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)

IPSecVPN網(wǎng)絡(luò)方案描述：鑒于辦公點(diǎn)是通信網(wǎng)絡(luò)核心節(jié)點(diǎn)，因此到Internet建立虛擬專用網(wǎng)（VPN）通過(guò)設(shè)備雙機(jī)熱備的冗余配置實(shí)現(xiàn)高可用性、可靠性建立專有虛擬通信隧道。下端同時(shí)建立兩條隧道分別到上端，當(dāng)一條隧道出現(xiàn)問(wèn)題時(shí)另外一條可以啟動(dòng)切換到激活狀態(tài)，隨時(shí)勘測(cè)隧道是否可用，如果一旦發(fā)現(xiàn)隧道失效，將自動(dòng)切換到備份隧道，保證業(yè)務(wù)不中斷。

其它地點(diǎn)辦公點(diǎn)利用高性能的VPN設(shè)備，實(shí)現(xiàn)附近站點(diǎn)的VPN安全接入，同時(shí)通過(guò)專網(wǎng)可以調(diào)閱到其它站點(diǎn)的數(shù)據(jù)資料，解決中心與分支的數(shù)據(jù)孤島問(wèn)題，同時(shí)VPN設(shè)備的防火墻功能還可實(shí)現(xiàn)不同安全區(qū)域的邏輯隔離，實(shí)現(xiàn)攻擊的檢測(cè)和防御以及業(yè)務(wù)的分離，既保護(hù)原有網(wǎng)絡(luò)的投資又最大限度的解決了目前業(yè)務(wù)發(fā)展對(duì)網(wǎng)絡(luò)的新需求。

為實(shí)現(xiàn)IPSecVPN技術(shù)選用VPN安全網(wǎng)關(guān)設(shè)備，配置雙機(jī)熱備兩臺(tái)，辦公點(diǎn)各配置一臺(tái)。

（一）利用VPN設(shè)備自身的防火墻功能構(gòu)建適合項(xiàng)目部的安全防護(hù)策略。

（二）以機(jī)房作為核心，將VPN做雙機(jī)熱備的配置，其它地點(diǎn)使用VPN單機(jī)。

（三）開通生產(chǎn)網(wǎng)網(wǎng)段，主要用于集氣站站控系統(tǒng)及視頻監(jiān)控系統(tǒng)數(shù)據(jù)傳輸。將網(wǎng)段與現(xiàn)有辦公網(wǎng)IP地址相結(jié)合，利用劃分VLAN或地址映射等技術(shù)實(shí)現(xiàn)生產(chǎn)網(wǎng)與辦公網(wǎng)的互聯(lián)互通與有效隔離的效果。

（四）接入辦公網(wǎng)及生產(chǎn)網(wǎng)使兩網(wǎng)相結(jié)合，其它地點(diǎn)只從當(dāng)?shù)赝ㄐ耪窘尤牖镜霓k公網(wǎng)即可，通過(guò)VPN向其它三地輻射達(dá)到同時(shí)共享網(wǎng)絡(luò)資源的目的。在使用過(guò)程中，做到辦公數(shù)據(jù)和生產(chǎn)網(wǎng)數(shù)據(jù)自動(dòng)選擇網(wǎng)絡(luò)出口。

（五）利用VPN一體化網(wǎng)關(guān)加密隧道技術(shù)不同辦公地點(diǎn)的網(wǎng)絡(luò)互聯(lián)，充分利用各地已有IP地址資源，盡可能保持不變，對(duì)各單位部門、各生產(chǎn)系統(tǒng)作出VLAN劃分規(guī)劃。

（六）實(shí)現(xiàn)網(wǎng)絡(luò)權(quán)限的劃分：生產(chǎn)網(wǎng)、辦公網(wǎng)、無(wú)限制的辦公網(wǎng)。

（七）制定網(wǎng)絡(luò)訪問(wèn)策略，實(shí)現(xiàn)在網(wǎng)用戶的有效管理：用戶網(wǎng)絡(luò)開通、網(wǎng)絡(luò)訪問(wèn)權(quán)限變更、IP地址分配、設(shè)備管理等。

四、應(yīng)用效果與前景展望

IPSecVPN技術(shù)的實(shí)施，創(chuàng)造了較好的生產(chǎn)效益和經(jīng)濟(jì)效益，其安全性、穩(wěn)定性、經(jīng)濟(jì)型得到充分體現(xiàn)，符合目前響應(yīng)公司低成本運(yùn)作的要求。VPN的實(shí)現(xiàn)解決了各站點(diǎn)監(jiān)控?cái)?shù)據(jù)不能及時(shí)、準(zhǔn)確上報(bào)的問(wèn)題，也解決了氣田各地?cái)?shù)據(jù)互聯(lián)互通、共享的問(wèn)題，額外還節(jié)約了線路租用費(fèi)，真正實(shí)現(xiàn)了既有效地降低了辦公成本，提高了氣田生產(chǎn)、辦公效率，為下一步開展各項(xiàng)網(wǎng)上業(yè)務(wù)提供了網(wǎng)絡(luò)保障。