APP下载

VPN技术在新疆油田生产自动化专网建设中的应用

2017-04-11马俊林李朋

中国管理信息化 2017年6期
关键词:网络安全

马俊林+李朋

[摘 要]本文简要介绍了MPLS VPN和IPSec VPN的基本原理及技术特点,描述了新疆油田生产自动化专网建设的背景,重点分析了新疆油田作业区网络现状及MPLS VPN和IPSec VPN在构建新疆油田生产自动化专网过程中的应用。

[关键词]VPN技术;自动化专网;网络安全

doi:10.3969/j.issn.1673 - 0194.2017.06.036

[中图分类号]TP29 [文献标识码]A [文章编号]1673-0194(2017)06-00-02

新疆油田是我国西部最大的油田,也是我国石油信息化程度比较高的油田。近些年,随着油气生产物联网建设的快速推进,自动化系统在油气生产中的应用越来越广,也逐渐成为油气生产的控制中枢。油气生产与信息技术、自动化工艺的结合在促进油气生产模式变革的同时,也面临着日益增多的网络安全威胁,为了顺应物联网建设需求,满足国家和中国石油天然气集团公司对工业生产信息系统新的安全标准,新疆油田正在建设一个安全可靠、服务油气生产的自动化专网。

新疆油田生产作业区分布广泛,多位于戈壁沙漠中,光纤链路资源有限,完全新建一个物理独立的生产自动化专网需要巨大的投资,难以满足中国石油集团公司关于降本增效的相关要求。通过整合生产作业区网络资源,利用VPN技术构建生产自动化网络是一个行之有效的措施。

1 VPN技术简介

VPN(Virtual Private Network)即虚拟专用网,是利用公共网络来构建私人专用网络。利用VPN技术构建生产自动化专网就是在现有的网络资源基础上,通过建立VPN安全隧道来传输自动化生产数据,所用的VPN技术主要有MPLS、IPSec和GRE。

1.1 MPLS VPN技术

MPLS VPN是一种基于MPLS技术的VPN,是在网络路由和交换设备上运用MPLS(多协议标签交换)技术,通过结合传统路由技术的标签交换构建VPN。在MPLS VPN模型中,网络由骨干网与用户各Site组成,一个VPN对应一组Site的集合,MP-BGP用来在骨干网络中传递VPN路由信息,MPLS用来将VPN业务从一个VPN站点转发至另一个站点。

基于MP-BGP实现的L3 MPLS VPN包含4个基本组件(P、PE、CE、site),网络结构,如图1所示。

MPLS VPN的主要技术优势是配置简单、灵活,可扩展性强;具有路由信息隔离、地址空间隔离、核心网络隐藏及防标签欺骗等安全特性;支持QoS和流量工程,便于实现数据、语音及视频的统一承载;能够和路由反射器、GRE、IPSec等技术联合使用,适应多种多样的应用场景。其主要技术缺陷是MPLS技术本身无法提供数据加密服务。

1.2 IPSec VPN技术

IPSec是IETF制定的一个开放的网络安全协议组,主要依赖密码技术在IP层提供认证和加密机制,确保通信双方传输数据的安全性。

IPSec包括认证头协议AH、封装安全载荷协议ESP及因特网密钥交换协议IKE。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。IPSec通过在IPSec对等体之间建立双向安全联盟(SA),形成一个安全互通的IPSec隧道来实现数据的安全传输。

IPSec VPN的主要技术优势是实现数据来源认证、数据加密、数据完整性校验和抗重放,在数据传输过程中减少了泄漏和被窃听的风险。其主要技术缺陷是网络的灵活性和可扩展性不足。

2 新疆油田网络现状

新疆油田建设有完整覆盖各个油田生产作业区的办公网络,以支持数字油田信息系统的运行,但是各生产作业区由于建设投产年代不同,作业区生产自动化网络情况各异。大部分油田生产作业区都建设有一些生产自動化网络,以满足自动化系统运行需求,极少部分作业区没有建设独立的生产自动化网络,而是与作业区办公网共用网络设备,通过单独划分网段运行生产自动化系统。由于这些作业区生产网络建设没有进行宏观统一的规划,因此多是分散、独立的网络,IP地址也多使用各自规划的私网IP地址。多数作业区网络结构如图2所示。

3 VPN技术的应用

随着油气生产物联网建设的推进,作业区分散、独立的生产自动化网络不能满足生产数据自动采集、实时回传,异地远程监控的要求。因此,需要构建一个生产自动化骨干网络,将作业区分散的生产自动化网络整合并连接成一张完整的生产自动化专网,而VPN技术在构建生产自动化专网过程中发挥着重要的作用。

3.1 MPLS VPN在生产自动化骨干网络建设中的应用

新疆油田覆盖完整的油田办公网络给MPLS VPN技术的应用创造了有利条件,办公网可以作为MPLS域,为生产自动化骨干网络提供underlay承载,作业区生产自动化网络通过简单整改,统一接入汇聚交换机,汇聚交换机作为CE设备,接入作业区办公网PE设备,通过MPLS VPN将生产数据传输至异地市区中控室及数据中心。网络结构如图3所示。

图3 生产自动化专网MPLS VPN架构图

MPLS VPN配置灵活、扩展性强的优势非常适合生产自动化骨干网络的构建。有独立生产网络的作业区通过在CE和PE间部署静态路由,将作业区生产网接入VPN(如作业区B);生产与办公共用网络设备的作业区,通过VLAN将生产网与办公网隔离,在CE与PE间部署二层trunk,在PE上起vlanif,将生产网VLAN接入VPN(如作业区B);部分老作业区办公网汇聚设备不支持MPLS,不能作为PE设备,可通过部署GRE隧道,将CE设备通过隧道接入VPN(如作业区C)。

为实现管控一体化,中控室及数据中心的工控信息系统都不是与外界隔离的孤立系统,需要实现与油田办公网的安全互通,因此,可以将防火墙以CE设备的方式部署在办公网与生产自动化专网的边界,这可以很好的实现生产网与办公网安全的管控连接。

使用MPLS VPN技术构建生产自动化骨干网络具有以下几点明显的优势。

(1)MPLS配置简单,只需要在PE设备及接口上启用MPLS和LDP,创建VPN实例并绑定相应接口,在PE设备间建立MP-BGP对等体关系。MPLS VPN路由隔离和IP地址隔离的特性使其对办公网的平稳运行不会造成影响。

(2)作业区生产网络部署工控信息系统,网络调整会对油气生产造成影响,PE与CE间多种多样的连接方式,能够满足作业区在不进行较大网络调整的情况下,满足基于MPLS VPN技术的生产自动化骨干网的需求。

(3)MPLS VPN技术成熟,扩展性强,便于各作业区逐个实施,稳步推进,路由隔离且控制灵活的特性能够满足多种网络隔离与互通的需求。QoS特性能够在有限的带宽资源下充分保证生产控制数据的传输。

3.2 IPSec VPN技术在作业区生产网络建设中的应用

部分作业区或采油站地处偏远,油气井数量有限,作业区生产数据通常通过租用运营商链路回传至市区中控室,运营商网络安全性薄弱,保证生产数据的安全性格外重要,这种场景非常适合IPSec VPN技术的应用。网络结构如图4所示。

在跨运营商网络的偏远作业区与中控室网关之间使用IPSec VPN技术主要有以下两点优势。

(1)数据安全加密传输能够得到可靠保证,网络安全性高。

(2)通过GRE over IPSec方式在网关与网关之间部署IPSec VPN配置简单,运维难度小。

4 结 语

受国际油价持续低迷的影响,石油石化企业承受着巨大的生产经营压力,新疆油田为推动现代化智能油气田的建设,在有限的资金投入下,持续推进油气生产物联网建设,而生产自动化专网作为构成油气生产物联网及其他勘探生产信息系統的神经和血管,担负着油气生产的数据采集、传输、处理以及监控管理、指挥决策等功能。灵活的使用MPLS VPN和IPSec VPN等VPN技术,在最小的资金投入下,能够最大限度整合现有网络资源,形成一个完整的生产自动化专网,满足当下物联网建设对生产自动化网络的需求。运用VPN技术构建企业内部专用网络经济而且安全,非常适合在新疆油田中部署应用,其价值仍可以进一步挖掘。

主要参考文献

[1][美]吉查德,佩佩恩雅克,爱普卡.MPLS和VPN体系结构(第二卷)[M].卢泽新,朱培栋,齐宁,译.北京:人民邮电出版社,2010.

[2]王占京,张丽诺,雷波.VPN网络技术与业务应用[M].北京:国防工业出版社,2012.

[3]杨铎.基于MPLS VPN技术的组网的设计与实现[D].长春:吉林大学,2014.

[4]赵曦.MPLS-VPN组网的规划与实现[D].北京:北京邮电大学,2012.

猜你喜欢

网络安全
网络安全知多少?
新形势下的特种设备网络安全防护探讨
新量子通信线路保障网络安全
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
网络安全与执法专业人才培养探索与思考
设立网络安全专项基金 促进人才培养
网络安全监测数据分析——2015年12月
网络安全监测数据分析——2015年11月