VPN技術在新疆油田生產自動化專網建設中的應用

馬俊林+李朋

[摘 要]本文簡要介紹了MPLS VPN和IPSec VPN的基本原理及技術特點，描述了新疆油田生產自動化專網建設的背景，重點分析了新疆油田作業區網絡現狀及MPLS VPN和IPSec VPN在構建新疆油田生產自動化專網過程中的應用。

[關鍵詞]VPN技術；自動化專網；網絡安全

doi：10.3969/j.issn.1673 - 0194.2017.06.036

[中圖分類號]TP29 [文獻標識碼]A [文章編號]1673-0194（2017）06-00-02

新疆油田是我國西部最大的油田，也是我國石油信息化程度比較高的油田。近些年，隨著油氣生產物聯網建設的快速推進，自動化系統在油氣生產中的應用越來越廣，也逐漸成為油氣生產的控制中樞。油氣生產與信息技術、自動化工藝的結合在促進油氣生產模式變革的同時，也面臨著日益增多的網絡安全威脅，為了順應物聯網建設需求，滿足國家和中國石油天然氣集團公司對工業生產信息系統新的安全標準，新疆油田正在建設一個安全可靠、服務油氣生產的自動化專網。

新疆油田生產作業區分布廣泛，多位于戈壁沙漠中，光纖鏈路資源有限，完全新建一個物理獨立的生產自動化專網需要巨大的投資，難以滿足中國石油集團公司關于降本增效的相關要求。通過整合生產作業區網絡資源，利用VPN技術構建生產自動化網絡是一個行之有效的措施。

1 VPN技術簡介

VPN（Virtual Private Network）即虛擬專用網，是利用公共網絡來構建私人專用網絡。利用VPN技術構建生產自動化專網就是在現有的網絡資源基礎上，通過建立VPN安全隧道來傳輸自動化生產數據，所用的VPN技術主要有MPLS、IPSec和GRE。

1.1 MPLS VPN技術

MPLS VPN是一種基于MPLS技術的VPN，是在網絡路由和交換設備上運用MPLS（多協議標簽交換）技術，通過結合傳統路由技術的標簽交換構建VPN。在MPLS VPN模型中，網絡由骨干網與用戶各Site組成，一個VPN對應一組Site的集合，MP-BGP用來在骨干網絡中傳遞VPN路由信息，MPLS用來將VPN業務從一個VPN站點轉發至另一個站點。

基于MP-BGP實現的L3 MPLS VPN包含4個基本組件（P、PE、CE、site），網絡結構，如圖1所示。

MPLS VPN的主要技術優勢是配置簡單、靈活，可擴展性強；具有路由信息隔離、地址空間隔離、核心網絡隱藏及防標簽欺騙等安全特性；支持QoS和流量工程，便于實現數據、語音及視頻的統一承載；能夠和路由反射器、GRE、IPSec等技術聯合使用，適應多種多樣的應用場景。其主要技術缺陷是MPLS技術本身無法提供數據加密服務。

1.2 IPSec VPN技術

IPSec是IETF制定的一個開放的網絡安全協議組，主要依賴密碼技術在IP層提供認證和加密機制，確保通信雙方傳輸數據的安全性。

IPSec包括認證頭協議AH、封裝安全載荷協議ESP及因特網密鑰交換協議IKE。其中，AH和ESP這兩個安全協議用于提供安全服務，IKE協議用于密鑰交換。IPSec通過在IPSec對等體之間建立雙向安全聯盟（SA），形成一個安全互通的IPSec隧道來實現數據的安全傳輸。

IPSec VPN的主要技術優勢是實現數據來源認證、數據加密、數據完整性校驗和抗重放，在數據傳輸過程中減少了泄漏和被竊聽的風險。其主要技術缺陷是網絡的靈活性和可擴展性不足。

2 新疆油田網絡現狀

新疆油田建設有完整覆蓋各個油田生產作業區的辦公網絡，以支持數字油田信息系統的運行，但是各生產作業區由于建設投產年代不同，作業區生產自動化網絡情況各異。大部分油田生產作業區都建設有一些生產自動化網絡，以滿足自動化系統運行需求，極少部分作業區沒有建設獨立的生產自動化網絡，而是與作業區辦公網共用網絡設備，通過單獨劃分網段運行生產自動化系統。由于這些作業區生產網絡建設沒有進行宏觀統一的規劃，因此多是分散、獨立的網絡，IP地址也多使用各自規劃的私網IP地址。多數作業區網絡結構如圖2所示。

3 VPN技術的應用

隨著油氣生產物聯網建設的推進，作業區分散、獨立的生產自動化網絡不能滿足生產數據自動采集、實時回傳，異地遠程監控的要求。因此，需要構建一個生產自動化骨干網絡，將作業區分散的生產自動化網絡整合并連接成一張完整的生產自動化專網，而VPN技術在構建生產自動化專網過程中發揮著重要的作用。

3.1 MPLS VPN在生產自動化骨干網絡建設中的應用

新疆油田覆蓋完整的油田辦公網絡給MPLS VPN技術的應用創造了有利條件，辦公網可以作為MPLS域，為生產自動化骨干網絡提供underlay承載，作業區生產自動化網絡通過簡單整改，統一接入匯聚交換機，匯聚交換機作為CE設備，接入作業區辦公網PE設備，通過MPLS VPN將生產數據傳輸至異地市區中控室及數據中心。網絡結構如圖3所示。

圖3 生產自動化專網MPLS VPN架構圖

MPLS VPN配置靈活、擴展性強的優勢非常適合生產自動化骨干網絡的構建。有獨立生產網絡的作業區通過在CE和PE間部署靜態路由，將作業區生產網接入VPN（如作業區B）；生產與辦公共用網絡設備的作業區，通過VLAN將生產網與辦公網隔離，在CE與PE間部署二層trunk，在PE上起vlanif，將生產網VLAN接入VPN（如作業區B）；部分老作業區辦公網匯聚設備不支持MPLS，不能作為PE設備，可通過部署GRE隧道，將CE設備通過隧道接入VPN（如作業區C）。

為實現管控一體化，中控室及數據中心的工控信息系統都不是與外界隔離的孤立系統，需要實現與油田辦公網的安全互通，因此，可以將防火墻以CE設備的方式部署在辦公網與生產自動化專網的邊界，這可以很好的實現生產網與辦公網安全的管控連接。

使用MPLS VPN技術構建生產自動化骨干網絡具有以下幾點明顯的優勢。

（1）MPLS配置簡單，只需要在PE設備及接口上啟用MPLS和LDP，創建VPN實例并綁定相應接口，在PE設備間建立MP-BGP對等體關系。MPLS VPN路由隔離和IP地址隔離的特性使其對辦公網的平穩運行不會造成影響。

（2）作業區生產網絡部署工控信息系統，網絡調整會對油氣生產造成影響，PE與CE間多種多樣的連接方式，能夠滿足作業區在不進行較大網絡調整的情況下，滿足基于MPLS VPN技術的生產自動化骨干網的需求。

（3）MPLS VPN技術成熟，擴展性強，便于各作業區逐個實施，穩步推進，路由隔離且控制靈活的特性能夠滿足多種網絡隔離與互通的需求。QoS特性能夠在有限的帶寬資源下充分保證生產控制數據的傳輸。

3.2 IPSec VPN技術在作業區生產網絡建設中的應用

部分作業區或采油站地處偏遠，油氣井數量有限，作業區生產數據通常通過租用運營商鏈路回傳至市區中控室，運營商網絡安全性薄弱，保證生產數據的安全性格外重要，這種場景非常適合IPSec VPN技術的應用。網絡結構如圖4所示。

在跨運營商網絡的偏遠作業區與中控室網關之間使用IPSec VPN技術主要有以下兩點優勢。

（1）數據安全加密傳輸能夠得到可靠保證，網絡安全性高。

（2）通過GRE over IPSec方式在網關與網關之間部署IPSec VPN配置簡單，運維難度小。

4 結 語

受國際油價持續低迷的影響，石油石化企業承受著巨大的生產經營壓力，新疆油田為推動現代化智能油氣田的建設，在有限的資金投入下，持續推進油氣生產物聯網建設，而生產自動化專網作為構成油氣生產物聯網及其他勘探生產信息系統的神經和血管，擔負著油氣生產的數據采集、傳輸、處理以及監控管理、指揮決策等功能。靈活的使用MPLS VPN和IPSec VPN等VPN技術，在最小的資金投入下，能夠最大限度整合現有網絡資源，形成一個完整的生產自動化專網，滿足當下物聯網建設對生產自動化網絡的需求。運用VPN技術構建企業內部專用網絡經濟而且安全，非常適合在新疆油田中部署應用，其價值仍可以進一步挖掘。

主要參考文獻

[1][美]吉查德，佩佩恩雅克，愛普卡.MPLS和VPN體系結構（第二卷）[M].盧澤新，朱培棟，齊寧，譯.北京：人民郵電出版社，2010.

[2]王占京，張麗諾，雷波.VPN網絡技術與業務應用[M].北京：國防工業出版社，2012.

[3]楊鐸.基于MPLS VPN技術的組網的設計與實現[D].長春：吉林大學，2014.

[4]趙曦.MPLS-VPN組網的規劃與實現[D].北京：北京郵電大學，2012.