沈雅斐

摘 要：本文從氣田網(wǎng)絡化管理過程中可能存在的安全、可靠性問題，從便于日常管理，方便數(shù)據(jù)高效傳輸，實現(xiàn)低成本要求為出發(fā)點，通過進行需求分析，詳細闡述了基于IPSecVPN網(wǎng)絡的設計與實現(xiàn)具體內(nèi)容，提高了氣田生產(chǎn)、辦公效率，創(chuàng)造了較好的生產(chǎn)效益和經(jīng)濟效益。

關鍵詞：數(shù)字化管理；VPN；網(wǎng)絡

一、設計背景及思路

安全性：網(wǎng)絡的安全性沒有保障，各類服務器及客戶端的運行均暴露在公網(wǎng)狀態(tài)下。

可靠性：氣田生產(chǎn)建設需部署核心交換機、硬件防火墻等核心網(wǎng)絡設備，在網(wǎng)絡可靠性、穩(wěn)定性方面需得到保證。

互通隔離：大量數(shù)字化系統(tǒng)的建成、投運，僅靠通信站分配的IP地址遠遠不能滿足需求，辦公網(wǎng)與生產(chǎn)網(wǎng)不能互聯(lián)互通與有效隔離。

低成本：為實現(xiàn)低成本開發(fā)戰(zhàn)略，結(jié)合辦公實際，若采取租用多條高帶寬專用通信網(wǎng)絡線路成本壓力較大。

VPN指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需端到端的物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如Internet、ATM（異步傳輸模式〉、FrameRelay（幀中繼）等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。該技術能夠充分利用現(xiàn)有網(wǎng)路資源，提供經(jīng)濟、靈活的連網(wǎng)方式，為項目部節(jié)省設備、人員和管理所需的投資，降低項目部的通信費用。

二、需求分析

從網(wǎng)絡基礎考慮，面臨著把集氣站重要生產(chǎn)、監(jiān)控數(shù)據(jù)安全、簡單、可靠的接入到原有網(wǎng)絡，既不阻塞原有產(chǎn)能建設、生產(chǎn)、開發(fā)、經(jīng)營業(yè)務，同時又要達到延伸和擴展的目的。

（一）網(wǎng)絡平滑升級的需求：在現(xiàn)有網(wǎng)絡上實現(xiàn)平滑過渡，對原網(wǎng)絡的信息統(tǒng)計；規(guī)劃、設計網(wǎng)絡改造方案；網(wǎng)絡改造的實施。

（二）網(wǎng)絡可擴展性的需求：保持網(wǎng)絡的先進性；考慮未來網(wǎng)絡接入容量及處理能力；考慮骨干網(wǎng)絡的帶寬需求。

（三）網(wǎng)絡管理智能化的需求：配置管理；性能管理；故障管理；安全管理；網(wǎng)絡規(guī)劃及操作管理。

（四）非功能性需求：性能；靈活性和可擴展性（支持網(wǎng)絡結(jié)構、網(wǎng)絡應用、網(wǎng)管系統(tǒng)三方面）；安全性需求；可靠性。

三、基于IPSecVPN網(wǎng)絡的設計與實現(xiàn)

IPSecVPN網(wǎng)絡方案描述：鑒于辦公點是通信網(wǎng)絡核心節(jié)點，因此到Internet建立虛擬專用網(wǎng)（VPN）通過設備雙機熱備的冗余配置實現(xiàn)高可用性、可靠性建立專有虛擬通信隧道。下端同時建立兩條隧道分別到上端，當一條隧道出現(xiàn)問題時另外一條可以啟動切換到激活狀態(tài)，隨時勘測隧道是否可用，如果一旦發(fā)現(xiàn)隧道失效，將自動切換到備份隧道，保證業(yè)務不中斷。

其它地點辦公點利用高性能的VPN設備，實現(xiàn)附近站點的VPN安全接入，同時通過專網(wǎng)可以調(diào)閱到其它站點的數(shù)據(jù)資料，解決中心與分支的數(shù)據(jù)孤島問題，同時VPN設備的防火墻功能還可實現(xiàn)不同安全區(qū)域的邏輯隔離，實現(xiàn)攻擊的檢測和防御以及業(yè)務的分離，既保護原有網(wǎng)絡的投資又最大限度的解決了目前業(yè)務發(fā)展對網(wǎng)絡的新需求。

為實現(xiàn)IPSecVPN技術選用VPN安全網(wǎng)關設備，配置雙機熱備兩臺，辦公點各配置一臺。

（一）利用VPN設備自身的防火墻功能構建適合項目部的安全防護策略。

（二）以機房作為核心，將VPN做雙機熱備的配置，其它地點使用VPN單機。

（三）開通生產(chǎn)網(wǎng)網(wǎng)段，主要用于集氣站站控系統(tǒng)及視頻監(jiān)控系統(tǒng)數(shù)據(jù)傳輸。將網(wǎng)段與現(xiàn)有辦公網(wǎng)IP地址相結(jié)合，利用劃分VLAN或地址映射等技術實現(xiàn)生產(chǎn)網(wǎng)與辦公網(wǎng)的互聯(lián)互通與有效隔離的效果。

（四）接入辦公網(wǎng)及生產(chǎn)網(wǎng)使兩網(wǎng)相結(jié)合，其它地點只從當?shù)赝ㄐ耪窘尤牖镜霓k公網(wǎng)即可，通過VPN向其它三地輻射達到同時共享網(wǎng)絡資源的目的。在使用過程中，做到辦公數(shù)據(jù)和生產(chǎn)網(wǎng)數(shù)據(jù)自動選擇網(wǎng)絡出口。

（五）利用VPN一體化網(wǎng)關加密隧道技術不同辦公地點的網(wǎng)絡互聯(lián)，充分利用各地已有IP地址資源，盡可能保持不變，對各單位部門、各生產(chǎn)系統(tǒng)作出VLAN劃分規(guī)劃。

（六）實現(xiàn)網(wǎng)絡權限的劃分：生產(chǎn)網(wǎng)、辦公網(wǎng)、無限制的辦公網(wǎng)。

（七）制定網(wǎng)絡訪問策略，實現(xiàn)在網(wǎng)用戶的有效管理：用戶網(wǎng)絡開通、網(wǎng)絡訪問權限變更、IP地址分配、設備管理等。

四、應用效果與前景展望

IPSecVPN技術的實施，創(chuàng)造了較好的生產(chǎn)效益和經(jīng)濟效益，其安全性、穩(wěn)定性、經(jīng)濟型得到充分體現(xiàn)，符合目前響應公司低成本運作的要求。VPN的實現(xiàn)解決了各站點監(jiān)控數(shù)據(jù)不能及時、準確上報的問題，也解決了氣田各地數(shù)據(jù)互聯(lián)互通、共享的問題，額外還節(jié)約了線路租用費，真正實現(xiàn)了既有效地降低了辦公成本，提高了氣田生產(chǎn)、辦公效率，為下一步開展各項網(wǎng)上業(yè)務提供了網(wǎng)絡保障。