西南科技大学 陈 县

苏州中材建设有限公司 夏 挺 郭正平 徐亚平

基于VPN技术的工业设备远程监控

西南科技大学 陈 县

苏州中材建设有限公司 夏 挺 郭正平 徐亚平

本文阐述了VPN技术的概念和原理，并结合工业控制应用场景，设计一套基于VPN技术的工业设备远程监控方法。首先探讨了VPN技术的应用背景，VPN技术通过在公网上建立起虚拟的专用网络，并利用隧道技术对通信数据进行加密和封装，从而实现点到点的安全连接。然后着重分析了基于VPN技术的工业设备远程监控方法，实现在公网环境下安全地访问企业内部网络并对工业设备进行实时远程监控，提高跨国企业对国外现场工业设备的管理质量和办公效率。

工业控制；远程监控；隧道；加密

1.引言

现代大型工业建设企业在国外承包了大量工程项目，工程现场存在许多需要监控的环境要素，如温湿度、电机状态、现场画面等。随着项目规模不断增大以及项目数量的不断增多，需要监控的工业设备也越来越多，导致了企业需要耗费大量的人力物力进行维护和管理。

传统工业设备控制方法对通信距离有较大限制，对工作人员的依赖性较强，工作效率低下。各个工程现场进行维护管理时，所有数据报表都需要工作人员到达现场进行录入、登记、修改，增加了企业管理成本。

工业设备远程监控技术作为当今社会的研究热点，已经有海内外的众多学者对此开展了研究。在1997年的第一届基于因特网的远程监控诊断工作会议上，众多专家学者就远程监控系统开放式系统、远程传输协议、以及用户权限设置等进行了讨论，同时对未来的远程监控技术发展做了相关展望。当前很多国际企业公司也通过网络方式对工业设备进行远程监控以及故障诊断咨询。美国National Instruments公司在开发的产品中加入了网络数据处理模块，从而通过HTTP、FTP等方式实现了在网络上进行监控数据的实时传输。另外，法国的ALARM公司在远程监控和智能化预警技术等领域投入了大量的研发精力，并将其研究成果成功地应用在多个项目上。

在数字通信时代，工业监控设备通过采集现场数字信号，经由局域网和互联网的传输，从而实现远程监控场景的多样化组合与调度。但是，在现实条件下，远程网络监控受到网络资源的限制以及网络运营商在某些网络边缘节点上设置的端口限制，大量的网络终端无法顺利地在互联网中被访问。而VPN技术能够实现在公网上搭建“虚拟局域网络”，从而在突破上述限制的前提下还能以相对安全的方式实现远程调试监控。

2.VPN技术

VPN即Virtual Private Network，是通过隧道加密等技术实现在公网上搭建虚拟专用网络的技术。VPN技术的核心思想是通过隧道加密等技术在互联网上建立专用通路，让客户端与服务器能够通过这条专用通路在公共互联网上实现类似局域网通信的功能。

要实现虚拟专用网络连接，首先要在企业内部网络中配置VPN内网接入设备，并且该设备至少要具有两个网卡，它能同时连接企业内部网络和Internet。远程客户端在使用VPN的过程中无需关心如何建立隧道、数据如何加密以及身份认证等问题。

VPN技术的实现并不依靠物理上的端到端的专用连接，它是利用Internet等公用网络设施，在两台直接与公网连接的网络设备之间建立一条专用通道，并利用隧道技术对数据进行加密封装，同时通过身份认证、权限控制等技术实现与专用网络类似的功能，从而实现对重要信息的安全传输。通过VPN技术建立的虚拟局域网络能够保持原有的网络拓扑结构和网络资源不变，从而实现低成本、快捷、安全的通信方式。

3.远程监控方法设计

3.1 方法内容

常见的连接远程监控设备的方式是通过路由器的端口映射功能，只要在交换机或路由器上对要监控的设备进行端口映射的设置即可，这样就可以实现在公网上通过IP地址来访问远程监控设备的即时数据。虽然这种方式在实现上非常方便，但是也存在着一些问题：

（1）大部分通过路由器获得的IP地址都属于内网地址，而远程客户端通过公网无法访问内网中的监控设备。

（2）即使路由器或交换机获得的IP地址属于公网地址，但由于运营商在某些网络节点上做了访问限制，从而导致了远程客户端在公网上依然无法访问该IP。

（3）有可能路由器得到的是动态分配的IP地址，即使分配到的是公网IP地址，同时也没有受到运营商的访问限制，但由于每次得到的IP不一致，很难让远程客户端正常访问。

为解决上述问题，本文提出一种基于VPN技术的工业设备远程调试监控方法。首先作为VPN网关，必须要具有公网IP，而VPN客户端可以自由地从Internet网络中接入该网关。VPN客户端与VPN服务器通过建立专用连接，使现场监控设备和远程服务器处在一个“虚拟局域网”内，两者之间可以实现安全的网络通信。监控设备可以通过3G/4G网络、WiFi网络等方式连接远程服务器，从而达到随时随地进行远程监控的目的。

采用基于VPN技术的工业设备远程监控实现了在国内对国外工程现场设备进行远程调试与监控，查询监控数据，了解工程现场的实时情况；充分利用现有网络资源，将工业设备的运营管理方式由被动维护转为主动维护，从而为企业管理和维护节约大量成本；对传输的IP数据包提供压缩算法，实现IP数据包压缩功能，实现全局流量压缩，从而在很大程度上减少带宽占用；同时，通过VPN的隧道协议及加密技术，保证在公网上传输的数据的安全性。该方法主要内容包括：

（1）工业设备数据采集层：输入端从工业设备中采集文本、语音、视频等多种类型数据，输出端由工控机对数据进行压缩编码，并通过VPN技术将数据传输到企业内部网中；

（2）企业内部网：包括VPN服务器、工程师站和数据库服务器，VPN服务器和工业设备数据采集层相连，工程师站获取采集到的数据并进行数据处理和远程控制，数据库服务器存储处理后的工业设备数据；

（3）用户终端侧：远程用户使用电脑、手机、平板等终端接入公用网络，并向企业内部网发起VPN连接，从而对工业设备进行安全的数据查看和远程控制。

本方法的核心控制在于工程师站部分，其主要功能包括：以图表、流程图等形式实时显示各个模块的信息；通过事件查询方式保证操作人员能实时查看故障、报警等信息；通过对被控设备发送操作指令的形式实现对工业设备的实时远程控制；通过报表、曲线等形式对被控设备的运行状态及环境情况进行查询、统计和分析。

工程师站核心功能界面如图1所示：

图1 工程师站核心功能界面

图2 远程控制方法框架示意图

3.2 方法实施步骤

基于VPN技术的工业设备远程监控方法，主要由工业设备数据采集层、企业内部网和用户终端侧三部分组成。

如图2框架示意图所示，本方法的主要实施步骤如下：

（1）工业设备传感器采集现场数据，包括温湿度、电机状态、现场画面等；

（2）工控机通过串口通信或TCP/IP通信方式获取设备数据，将工业设备数据进行压缩编码并与VPN服务器建立通信链路，从而实现将现场数据传输至企业内部网；

（3）VPN服务器做为用户认证和数据转发的中间站，通过用户访问控制、报文认证、IP封装/拆解及数据加解密等方式保证数据传输的安全性和完整性，同时将数据或控制命令转发至对应设备处；

（4）工程师站将获取到的数据进行解码处理和存储，同时将数据转发至日志服务器和统计服务器等进行日志记录和数据统计；

（5）远程用户使用电脑、手机、平板等终端接入公用网络，并向企业内部网发起VPN连接，通过认证后，根据用户权限的不同查看不同的操作界面并发送授权的控制命令。

4.结束语

现代大型工业建设企业在国外承包了大量工程项目，工程现场存在许多需要监控的环境要素，如温湿度、电机状态、现场画面等。随着项目规模和数量的不断扩大，需要监控的工业设备也越来越多，导致企业需要投入大量的人力物力进行维护和管理。

本文提出的基于VPN技术的工业设备远程监控方法实现了在国内对国外工程现场设备进行远程控制，查询监控数据，了解工程现场的实时情况；充分利用现有网络资源，将工业设备的运维管理方式由被动维护转为主动维护，从而为企业管理和维护节约大量成本；同时通过VPN的隧道协议及加密技术，保证数据在公网上的安全性。

[1]尹淑玲.SSL VPN技术及应用研究[J].计算机技术与发展,2013,23(6):129-131.

[2]Gasey Wilson, Peter Doak.虚拟专用网的创建与实现[M].钟鸣,魏允韬译.北京:机械工业出版社,2000

[3]王松江.VPN技术在计算机网络中的应用[J].计算机光盘软件与应用,2013(20).

[4]唐淑萍,宋杰.工业以太网在远程监控中的应用[J].电脑与知识,2012,5.

[5]陈少波.基于Internet网远程监控系统研究[D].长沙:中南大学,2007.

[6]张军,尚敏,陈剑.基于3G技术的智能农业远程监控与管理系统[J].计算机测量与控制,2011,19(5):1058-1061.

陈县（1992—），浙江温州人，硕士研究生，主要研究方向：计算机网络，分布式系统。