馬俊林+李朋

[摘 要]本文簡(jiǎn)要介紹了MPLS VPN和IPSec VPN的基本原理及技術(shù)特點(diǎn)，描述了新疆油田生產(chǎn)自動(dòng)化專網(wǎng)建設(shè)的背景，重點(diǎn)分析了新疆油田作業(yè)區(qū)網(wǎng)絡(luò)現(xiàn)狀及MPLS VPN和IPSec VPN在構(gòu)建新疆油田生產(chǎn)自動(dòng)化專網(wǎng)過(guò)程中的應(yīng)用。

[關(guān)鍵詞]VPN技術(shù)；自動(dòng)化專網(wǎng)；網(wǎng)絡(luò)安全

doi：10.3969/j.issn.1673 - 0194.2017.06.036

[中圖分類號(hào)]TP29 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）06-00-02

新疆油田是我國(guó)西部最大的油田，也是我國(guó)石油信息化程度比較高的油田。近些年，隨著油氣生產(chǎn)物聯(lián)網(wǎng)建設(shè)的快速推進(jìn)，自動(dòng)化系統(tǒng)在油氣生產(chǎn)中的應(yīng)用越來(lái)越廣，也逐漸成為油氣生產(chǎn)的控制中樞。油氣生產(chǎn)與信息技術(shù)、自動(dòng)化工藝的結(jié)合在促進(jìn)油氣生產(chǎn)模式變革的同時(shí)，也面臨著日益增多的網(wǎng)絡(luò)安全威脅，為了順應(yīng)物聯(lián)網(wǎng)建設(shè)需求，滿足國(guó)家和中國(guó)石油天然氣集團(tuán)公司對(duì)工業(yè)生產(chǎn)信息系統(tǒng)新的安全標(biāo)準(zhǔn)，新疆油田正在建設(shè)一個(gè)安全可靠、服務(wù)油氣生產(chǎn)的自動(dòng)化專網(wǎng)。

新疆油田生產(chǎn)作業(yè)區(qū)分布廣泛，多位于戈壁沙漠中，光纖鏈路資源有限，完全新建一個(gè)物理獨(dú)立的生產(chǎn)自動(dòng)化專網(wǎng)需要巨大的投資，難以滿足中國(guó)石油集團(tuán)公司關(guān)于降本增效的相關(guān)要求。通過(guò)整合生產(chǎn)作業(yè)區(qū)網(wǎng)絡(luò)資源，利用VPN技術(shù)構(gòu)建生產(chǎn)自動(dòng)化網(wǎng)絡(luò)是一個(gè)行之有效的措施。

1 VPN技術(shù)簡(jiǎn)介

VPN（Virtual Private Network）即虛擬專用網(wǎng)，是利用公共網(wǎng)絡(luò)來(lái)構(gòu)建私人專用網(wǎng)絡(luò)。利用VPN技術(shù)構(gòu)建生產(chǎn)自動(dòng)化專網(wǎng)就是在現(xiàn)有的網(wǎng)絡(luò)資源基礎(chǔ)上，通過(guò)建立VPN安全隧道來(lái)傳輸自動(dòng)化生產(chǎn)數(shù)據(jù)，所用的VPN技術(shù)主要有MPLS、IPSec和GRE。

1.1 MPLS VPN技術(shù)

MPLS VPN是一種基于MPLS技術(shù)的VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上運(yùn)用MPLS（多協(xié)議標(biāo)簽交換）技術(shù)，通過(guò)結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)簽交換構(gòu)建VPN。在MPLS VPN模型中，網(wǎng)絡(luò)由骨干網(wǎng)與用戶各Site組成，一個(gè)VPN對(duì)應(yīng)一組Site的集合，MP-BGP用來(lái)在骨干網(wǎng)絡(luò)中傳遞VPN路由信息，MPLS用來(lái)將VPN業(yè)務(wù)從一個(gè)VPN站點(diǎn)轉(zhuǎn)發(fā)至另一個(gè)站點(diǎn)。

基于MP-BGP實(shí)現(xiàn)的L3 MPLS VPN包含4個(gè)基本組件（P、PE、CE、site），網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。

MPLS VPN的主要技術(shù)優(yōu)勢(shì)是配置簡(jiǎn)單、靈活，可擴(kuò)展性強(qiáng)；具有路由信息隔離、地址空間隔離、核心網(wǎng)絡(luò)隱藏及防標(biāo)簽欺騙等安全特性；支持QoS和流量工程，便于實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音及視頻的統(tǒng)一承載；能夠和路由反射器、GRE、IPSec等技術(shù)聯(lián)合使用，適應(yīng)多種多樣的應(yīng)用場(chǎng)景。其主要技術(shù)缺陷是MPLS技術(shù)本身無(wú)法提供數(shù)據(jù)加密服務(wù)。

1.2 IPSec VPN技術(shù)

IPSec是IETF制定的一個(gè)開(kāi)放的網(wǎng)絡(luò)安全協(xié)議組，主要依賴密碼技術(shù)在IP層提供認(rèn)證和加密機(jī)制，確保通信雙方傳輸數(shù)據(jù)的安全性。

IPSec包括認(rèn)證頭協(xié)議AH、封裝安全載荷協(xié)議ESP及因特網(wǎng)密鑰交換協(xié)議IKE。其中，AH和ESP這兩個(gè)安全協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。IPSec通過(guò)在IPSec對(duì)等體之間建立雙向安全聯(lián)盟（SA），形成一個(gè)安全互通的IPSec隧道來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。

IPSec VPN的主要技術(shù)優(yōu)勢(shì)是實(shí)現(xiàn)數(shù)據(jù)來(lái)源認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)和抗重放，在數(shù)據(jù)傳輸過(guò)程中減少了泄漏和被竊聽(tīng)的風(fēng)險(xiǎn)。其主要技術(shù)缺陷是網(wǎng)絡(luò)的靈活性和可擴(kuò)展性不足。

2 新疆油田網(wǎng)絡(luò)現(xiàn)狀

新疆油田建設(shè)有完整覆蓋各個(gè)油田生產(chǎn)作業(yè)區(qū)的辦公網(wǎng)絡(luò)，以支持?jǐn)?shù)字油田信息系統(tǒng)的運(yùn)行，但是各生產(chǎn)作業(yè)區(qū)由于建設(shè)投產(chǎn)年代不同，作業(yè)區(qū)生產(chǎn)自動(dòng)化網(wǎng)絡(luò)情況各異。大部分油田生產(chǎn)作業(yè)區(qū)都建設(shè)有一些生產(chǎn)自動(dòng)化網(wǎng)絡(luò)，以滿足自動(dòng)化系統(tǒng)運(yùn)行需求，極少部分作業(yè)區(qū)沒(méi)有建設(shè)獨(dú)立的生產(chǎn)自動(dòng)化網(wǎng)絡(luò)，而是與作業(yè)區(qū)辦公網(wǎng)共用網(wǎng)絡(luò)設(shè)備，通過(guò)單獨(dú)劃分網(wǎng)段運(yùn)行生產(chǎn)自動(dòng)化系統(tǒng)。由于這些作業(yè)區(qū)生產(chǎn)網(wǎng)絡(luò)建設(shè)沒(méi)有進(jìn)行宏觀統(tǒng)一的規(guī)劃，因此多是分散、獨(dú)立的網(wǎng)絡(luò)，IP地址也多使用各自規(guī)劃的私網(wǎng)IP地址。多數(shù)作業(yè)區(qū)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

3 VPN技術(shù)的應(yīng)用

隨著油氣生產(chǎn)物聯(lián)網(wǎng)建設(shè)的推進(jìn)，作業(yè)區(qū)分散、獨(dú)立的生產(chǎn)自動(dòng)化網(wǎng)絡(luò)不能滿足生產(chǎn)數(shù)據(jù)自動(dòng)采集、實(shí)時(shí)回傳，異地遠(yuǎn)程監(jiān)控的要求。因此，需要構(gòu)建一個(gè)生產(chǎn)自動(dòng)化骨干網(wǎng)絡(luò)，將作業(yè)區(qū)分散的生產(chǎn)自動(dòng)化網(wǎng)絡(luò)整合并連接成一張完整的生產(chǎn)自動(dòng)化專網(wǎng)，而VPN技術(shù)在構(gòu)建生產(chǎn)自動(dòng)化專網(wǎng)過(guò)程中發(fā)揮著重要的作用。

3.1 MPLS VPN在生產(chǎn)自動(dòng)化骨干網(wǎng)絡(luò)建設(shè)中的應(yīng)用

新疆油田覆蓋完整的油田辦公網(wǎng)絡(luò)給MPLS VPN技術(shù)的應(yīng)用創(chuàng)造了有利條件，辦公網(wǎng)可以作為MPLS域，為生產(chǎn)自動(dòng)化骨干網(wǎng)絡(luò)提供underlay承載，作業(yè)區(qū)生產(chǎn)自動(dòng)化網(wǎng)絡(luò)通過(guò)簡(jiǎn)單整改，統(tǒng)一接入?yún)R聚交換機(jī)，匯聚交換機(jī)作為CE設(shè)備，接入作業(yè)區(qū)辦公網(wǎng)PE設(shè)備，通過(guò)MPLS VPN將生產(chǎn)數(shù)據(jù)傳輸至異地市區(qū)中控室及數(shù)據(jù)中心。網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 生產(chǎn)自動(dòng)化專網(wǎng)MPLS VPN架構(gòu)圖

MPLS VPN配置靈活、擴(kuò)展性強(qiáng)的優(yōu)勢(shì)非常適合生產(chǎn)自動(dòng)化骨干網(wǎng)絡(luò)的構(gòu)建。有獨(dú)立生產(chǎn)網(wǎng)絡(luò)的作業(yè)區(qū)通過(guò)在CE和PE間部署靜態(tài)路由，將作業(yè)區(qū)生產(chǎn)網(wǎng)接入VPN（如作業(yè)區(qū)B）；生產(chǎn)與辦公共用網(wǎng)絡(luò)設(shè)備的作業(yè)區(qū)，通過(guò)VLAN將生產(chǎn)網(wǎng)與辦公網(wǎng)隔離，在CE與PE間部署二層trunk，在PE上起vlanif，將生產(chǎn)網(wǎng)VLAN接入VPN（如作業(yè)區(qū)B）；部分老作業(yè)區(qū)辦公網(wǎng)匯聚設(shè)備不支持MPLS，不能作為PE設(shè)備，可通過(guò)部署GRE隧道，將CE設(shè)備通過(guò)隧道接入VPN（如作業(yè)區(qū)C）。

為實(shí)現(xiàn)管控一體化，中控室及數(shù)據(jù)中心的工控信息系統(tǒng)都不是與外界隔離的孤立系統(tǒng)，需要實(shí)現(xiàn)與油田辦公網(wǎng)的安全互通，因此，可以將防火墻以CE設(shè)備的方式部署在辦公網(wǎng)與生產(chǎn)自動(dòng)化專網(wǎng)的邊界，這可以很好的實(shí)現(xiàn)生產(chǎn)網(wǎng)與辦公網(wǎng)安全的管控連接。

使用MPLS VPN技術(shù)構(gòu)建生產(chǎn)自動(dòng)化骨干網(wǎng)絡(luò)具有以下幾點(diǎn)明顯的優(yōu)勢(shì)。

（1）MPLS配置簡(jiǎn)單，只需要在PE設(shè)備及接口上啟用MPLS和LDP，創(chuàng)建VPN實(shí)例并綁定相應(yīng)接口，在PE設(shè)備間建立MP-BGP對(duì)等體關(guān)系。MPLS VPN路由隔離和IP地址隔離的特性使其對(duì)辦公網(wǎng)的平穩(wěn)運(yùn)行不會(huì)造成影響。

（2）作業(yè)區(qū)生產(chǎn)網(wǎng)絡(luò)部署工控信息系統(tǒng)，網(wǎng)絡(luò)調(diào)整會(huì)對(duì)油氣生產(chǎn)造成影響，PE與CE間多種多樣的連接方式，能夠滿足作業(yè)區(qū)在不進(jìn)行較大網(wǎng)絡(luò)調(diào)整的情況下，滿足基于MPLS VPN技術(shù)的生產(chǎn)自動(dòng)化骨干網(wǎng)的需求。

（3）MPLS VPN技術(shù)成熟，擴(kuò)展性強(qiáng)，便于各作業(yè)區(qū)逐個(gè)實(shí)施，穩(wěn)步推進(jìn)，路由隔離且控制靈活的特性能夠滿足多種網(wǎng)絡(luò)隔離與互通的需求。QoS特性能夠在有限的帶寬資源下充分保證生產(chǎn)控制數(shù)據(jù)的傳輸。

3.2 IPSec VPN技術(shù)在作業(yè)區(qū)生產(chǎn)網(wǎng)絡(luò)建設(shè)中的應(yīng)用

部分作業(yè)區(qū)或采油站地處偏遠(yuǎn)，油氣井?dāng)?shù)量有限，作業(yè)區(qū)生產(chǎn)數(shù)據(jù)通常通過(guò)租用運(yùn)營(yíng)商鏈路回傳至市區(qū)中控室，運(yùn)營(yíng)商網(wǎng)絡(luò)安全性薄弱，保證生產(chǎn)數(shù)據(jù)的安全性格外重要，這種場(chǎng)景非常適合IPSec VPN技術(shù)的應(yīng)用。網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示。

在跨運(yùn)營(yíng)商網(wǎng)絡(luò)的偏遠(yuǎn)作業(yè)區(qū)與中控室網(wǎng)關(guān)之間使用IPSec VPN技術(shù)主要有以下兩點(diǎn)優(yōu)勢(shì)。

（1）數(shù)據(jù)安全加密傳輸能夠得到可靠保證，網(wǎng)絡(luò)安全性高。

（2）通過(guò)GRE over IPSec方式在網(wǎng)關(guān)與網(wǎng)關(guān)之間部署IPSec VPN配置簡(jiǎn)單，運(yùn)維難度小。

4 結(jié) 語(yǔ)

受?chē)?guó)際油價(jià)持續(xù)低迷的影響，石油石化企業(yè)承受著巨大的生產(chǎn)經(jīng)營(yíng)壓力，新疆油田為推動(dòng)現(xiàn)代化智能油氣田的建設(shè)，在有限的資金投入下，持續(xù)推進(jìn)油氣生產(chǎn)物聯(lián)網(wǎng)建設(shè)，而生產(chǎn)自動(dòng)化專網(wǎng)作為構(gòu)成油氣生產(chǎn)物聯(lián)網(wǎng)及其他勘探生產(chǎn)信息系統(tǒng)的神經(jīng)和血管，擔(dān)負(fù)著油氣生產(chǎn)的數(shù)據(jù)采集、傳輸、處理以及監(jiān)控管理、指揮決策等功能。靈活的使用MPLS VPN和IPSec VPN等VPN技術(shù)，在最小的資金投入下，能夠最大限度整合現(xiàn)有網(wǎng)絡(luò)資源，形成一個(gè)完整的生產(chǎn)自動(dòng)化專網(wǎng)，滿足當(dāng)下物聯(lián)網(wǎng)建設(shè)對(duì)生產(chǎn)自動(dòng)化網(wǎng)絡(luò)的需求。運(yùn)用VPN技術(shù)構(gòu)建企業(yè)內(nèi)部專用網(wǎng)絡(luò)經(jīng)濟(jì)而且安全，非常適合在新疆油田中部署應(yīng)用，其價(jià)值仍可以進(jìn)一步挖掘。

主要參考文獻(xiàn)

[1][美]吉查德，佩佩恩雅克，愛(ài)普卡.MPLS和VPN體系結(jié)構(gòu)（第二卷）[M].盧澤新，朱培棟，齊寧，譯.北京：人民郵電出版社，2010.

[2]王占京，張麗諾，雷波.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M].北京：國(guó)防工業(yè)出版社，2012.

[3]楊鐸.基于MPLS VPN技術(shù)的組網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[D].長(zhǎng)春：吉林大學(xué)，2014.

[4]趙曦.MPLS-VPN組網(wǎng)的規(guī)劃與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2012.