基于VPN技術的工業(yè)設備遠程監(jiān)控

西南科技大學 陳 縣

蘇州中材建設有限公司 夏 挺 郭正平 徐亞平

基于VPN技術的工業(yè)設備遠程監(jiān)控

西南科技大學 陳 縣

蘇州中材建設有限公司 夏 挺 郭正平 徐亞平

本文闡述了VPN技術的概念和原理，并結合工業(yè)控制應用場景，設計一套基于VPN技術的工業(yè)設備遠程監(jiān)控方法。首先探討了VPN技術的應用背景，VPN技術通過在公網上建立起虛擬的專用網絡，并利用隧道技術對通信數(shù)據(jù)進行加密和封裝，從而實現(xiàn)點到點的安全連接。然后著重分析了基于VPN技術的工業(yè)設備遠程監(jiān)控方法，實現(xiàn)在公網環(huán)境下安全地訪問企業(yè)內部網絡并對工業(yè)設備進行實時遠程監(jiān)控，提高跨國企業(yè)對國外現(xiàn)場工業(yè)設備的管理質量和辦公效率。

工業(yè)控制；遠程監(jiān)控；隧道；加密

1.引言

現(xiàn)代大型工業(yè)建設企業(yè)在國外承包了大量工程項目，工程現(xiàn)場存在許多需要監(jiān)控的環(huán)境要素，如溫濕度、電機狀態(tài)、現(xiàn)場畫面等。隨著項目規(guī)模不斷增大以及項目數(shù)量的不斷增多，需要監(jiān)控的工業(yè)設備也越來越多，導致了企業(yè)需要耗費大量的人力物力進行維護和管理。

傳統(tǒng)工業(yè)設備控制方法對通信距離有較大限制，對工作人員的依賴性較強，工作效率低下。各個工程現(xiàn)場進行維護管理時，所有數(shù)據(jù)報表都需要工作人員到達現(xiàn)場進行錄入、登記、修改，增加了企業(yè)管理成本。

工業(yè)設備遠程監(jiān)控技術作為當今社會的研究熱點，已經有海內外的眾多學者對此開展了研究。在1997年的第一屆基于因特網的遠程監(jiān)控診斷工作會議上，眾多專家學者就遠程監(jiān)控系統(tǒng)開放式系統(tǒng)、遠程傳輸協(xié)議、以及用戶權限設置等進行了討論，同時對未來的遠程監(jiān)控技術發(fā)展做了相關展望。當前很多國際企業(yè)公司也通過網絡方式對工業(yè)設備進行遠程監(jiān)控以及故障診斷咨詢。美國National Instruments公司在開發(fā)的產品中加入了網絡數(shù)據(jù)處理模塊，從而通過HTTP、FTP等方式實現(xiàn)了在網絡上進行監(jiān)控數(shù)據(jù)的實時傳輸。另外，法國的ALARM公司在遠程監(jiān)控和智能化預警技術等領域投入了大量的研發(fā)精力，并將其研究成果成功地應用在多個項目上。

在數(shù)字通信時代，工業(yè)監(jiān)控設備通過采集現(xiàn)場數(shù)字信號，經由局域網和互聯(lián)網的傳輸，從而實現(xiàn)遠程監(jiān)控場景的多樣化組合與調度。但是，在現(xiàn)實條件下，遠程網絡監(jiān)控受到網絡資源的限制以及網絡運營商在某些網絡邊緣節(jié)點上設置的端口限制，大量的網絡終端無法順利地在互聯(lián)網中被訪問。而VPN技術能夠實現(xiàn)在公網上搭建“虛擬局域網絡”，從而在突破上述限制的前提下還能以相對安全的方式實現(xiàn)遠程調試監(jiān)控。

2.VPN技術

VPN即Virtual Private Network，是通過隧道加密等技術實現(xiàn)在公網上搭建虛擬專用網絡的技術。VPN技術的核心思想是通過隧道加密等技術在互聯(lián)網上建立專用通路，讓客戶端與服務器能夠通過這條專用通路在公共互聯(lián)網上實現(xiàn)類似局域網通信的功能。

要實現(xiàn)虛擬專用網絡連接，首先要在企業(yè)內部網絡中配置VPN內網接入設備，并且該設備至少要具有兩個網卡，它能同時連接企業(yè)內部網絡和Internet。遠程客戶端在使用VPN的過程中無需關心如何建立隧道、數(shù)據(jù)如何加密以及身份認證等問題。

VPN技術的實現(xiàn)并不依靠物理上的端到端的專用連接，它是利用Internet等公用網絡設施，在兩臺直接與公網連接的網絡設備之間建立一條專用通道，并利用隧道技術對數(shù)據(jù)進行加密封裝，同時通過身份認證、權限控制等技術實現(xiàn)與專用網絡類似的功能，從而實現(xiàn)對重要信息的安全傳輸。通過VPN技術建立的虛擬局域網絡能夠保持原有的網絡拓撲結構和網絡資源不變，從而實現(xiàn)低成本、快捷、安全的通信方式。

3.遠程監(jiān)控方法設計

3.1 方法內容

常見的連接遠程監(jiān)控設備的方式是通過路由器的端口映射功能，只要在交換機或路由器上對要監(jiān)控的設備進行端口映射的設置即可，這樣就可以實現(xiàn)在公網上通過IP地址來訪問遠程監(jiān)控設備的即時數(shù)據(jù)。雖然這種方式在實現(xiàn)上非常方便，但是也存在著一些問題：

（1）大部分通過路由器獲得的IP地址都屬于內網地址，而遠程客戶端通過公網無法訪問內網中的監(jiān)控設備。

（2）即使路由器或交換機獲得的IP地址屬于公網地址，但由于運營商在某些網絡節(jié)點上做了訪問限制，從而導致了遠程客戶端在公網上依然無法訪問該IP。

（3）有可能路由器得到的是動態(tài)分配的IP地址，即使分配到的是公網IP地址，同時也沒有受到運營商的訪問限制，但由于每次得到的IP不一致，很難讓遠程客戶端正常訪問。

為解決上述問題，本文提出一種基于VPN技術的工業(yè)設備遠程調試監(jiān)控方法。首先作為VPN網關，必須要具有公網IP，而VPN客戶端可以自由地從Internet網絡中接入該網關。VPN客戶端與VPN服務器通過建立專用連接，使現(xiàn)場監(jiān)控設備和遠程服務器處在一個“虛擬局域網”內，兩者之間可以實現(xiàn)安全的網絡通信。監(jiān)控設備可以通過3G/4G網絡、WiFi網絡等方式連接遠程服務器，從而達到隨時隨地進行遠程監(jiān)控的目的。

采用基于VPN技術的工業(yè)設備遠程監(jiān)控實現(xiàn)了在國內對國外工程現(xiàn)場設備進行遠程調試與監(jiān)控，查詢監(jiān)控數(shù)據(jù)，了解工程現(xiàn)場的實時情況；充分利用現(xiàn)有網絡資源，將工業(yè)設備的運營管理方式由被動維護轉為主動維護，從而為企業(yè)管理和維護節(jié)約大量成本；對傳輸?shù)腎P數(shù)據(jù)包提供壓縮算法，實現(xiàn)IP數(shù)據(jù)包壓縮功能，實現(xiàn)全局流量壓縮，從而在很大程度上減少帶寬占用；同時，通過VPN的隧道協(xié)議及加密技術，保證在公網上傳輸?shù)臄?shù)據(jù)的安全性。該方法主要內容包括：

（1）工業(yè)設備數(shù)據(jù)采集層：輸入端從工業(yè)設備中采集文本、語音、視頻等多種類型數(shù)據(jù)，輸出端由工控機對數(shù)據(jù)進行壓縮編碼，并通過VPN技術將數(shù)據(jù)傳輸?shù)狡髽I(yè)內部網中；

（2）企業(yè)內部網：包括VPN服務器、工程師站和數(shù)據(jù)庫服務器，VPN服務器和工業(yè)設備數(shù)據(jù)采集層相連，工程師站獲取采集到的數(shù)據(jù)并進行數(shù)據(jù)處理和遠程控制，數(shù)據(jù)庫服務器存儲處理后的工業(yè)設備數(shù)據(jù)；

（3）用戶終端側：遠程用戶使用電腦、手機、平板等終端接入公用網絡，并向企業(yè)內部網發(fā)起VPN連接，從而對工業(yè)設備進行安全的數(shù)據(jù)查看和遠程控制。

本方法的核心控制在于工程師站部分，其主要功能包括：以圖表、流程圖等形式實時顯示各個模塊的信息；通過事件查詢方式保證操作人員能實時查看故障、報警等信息；通過對被控設備發(fā)送操作指令的形式實現(xiàn)對工業(yè)設備的實時遠程控制；通過報表、曲線等形式對被控設備的運行狀態(tài)及環(huán)境情況進行查詢、統(tǒng)計和分析。

工程師站核心功能界面如圖1所示：

圖1 工程師站核心功能界面

圖2 遠程控制方法框架示意圖

3.2 方法實施步驟

基于VPN技術的工業(yè)設備遠程監(jiān)控方法，主要由工業(yè)設備數(shù)據(jù)采集層、企業(yè)內部網和用戶終端側三部分組成。

如圖2框架示意圖所示，本方法的主要實施步驟如下：

（1）工業(yè)設備傳感器采集現(xiàn)場數(shù)據(jù)，包括溫濕度、電機狀態(tài)、現(xiàn)場畫面等；

（2）工控機通過串口通信或TCP/IP通信方式獲取設備數(shù)據(jù)，將工業(yè)設備數(shù)據(jù)進行壓縮編碼并與VPN服務器建立通信鏈路，從而實現(xiàn)將現(xiàn)場數(shù)據(jù)傳輸至企業(yè)內部網；

（3）VPN服務器做為用戶認證和數(shù)據(jù)轉發(fā)的中間站，通過用戶訪問控制、報文認證、IP封裝/拆解及數(shù)據(jù)加解密等方式保證數(shù)據(jù)傳輸?shù)陌踩院屯暾裕瑫r將數(shù)據(jù)或控制命令轉發(fā)至對應設備處；

（4）工程師站將獲取到的數(shù)據(jù)進行解碼處理和存儲，同時將數(shù)據(jù)轉發(fā)至日志服務器和統(tǒng)計服務器等進行日志記錄和數(shù)據(jù)統(tǒng)計；

（5）遠程用戶使用電腦、手機、平板等終端接入公用網絡，并向企業(yè)內部網發(fā)起VPN連接，通過認證后，根據(jù)用戶權限的不同查看不同的操作界面并發(fā)送授權的控制命令。

4.結束語

現(xiàn)代大型工業(yè)建設企業(yè)在國外承包了大量工程項目，工程現(xiàn)場存在許多需要監(jiān)控的環(huán)境要素，如溫濕度、電機狀態(tài)、現(xiàn)場畫面等。隨著項目規(guī)模和數(shù)量的不斷擴大，需要監(jiān)控的工業(yè)設備也越來越多，導致企業(yè)需要投入大量的人力物力進行維護和管理。

本文提出的基于VPN技術的工業(yè)設備遠程監(jiān)控方法實現(xiàn)了在國內對國外工程現(xiàn)場設備進行遠程控制，查詢監(jiān)控數(shù)據(jù)，了解工程現(xiàn)場的實時情況；充分利用現(xiàn)有網絡資源，將工業(yè)設備的運維管理方式由被動維護轉為主動維護，從而為企業(yè)管理和維護節(jié)約大量成本；同時通過VPN的隧道協(xié)議及加密技術，保證數(shù)據(jù)在公網上的安全性。

[1]尹淑玲.SSL VPN技術及應用研究[J].計算機技術與發(fā)展,2013,23(6):129-131.

[2]Gasey Wilson, Peter Doak.虛擬專用網的創(chuàng)建與實現(xiàn)[M].鐘鳴,魏允韜譯.北京:機械工業(yè)出版社,2000

[3]王松江.VPN技術在計算機網絡中的應用[J].計算機光盤軟件與應用,2013(20).

[4]唐淑萍,宋杰.工業(yè)以太網在遠程監(jiān)控中的應用[J].電腦與知識,2012,5.

[5]陳少波.基于Internet網遠程監(jiān)控系統(tǒng)研究[D].長沙:中南大學,2007.

[6]張軍,尚敏,陳劍.基于3G技術的智能農業(yè)遠程監(jiān)控與管理系統(tǒng)[J].計算機測量與控制,2011,19(5):1058-1061.

陳縣（1992—），浙江溫州人，碩士研究生，主要研究方向：計算機網絡，分布式系統(tǒng)。