一、 用戶概況

中國石油天然氣集團公司(簡稱中國石油集團)是一家集油氣勘探開發(fā)、煉 油化工、油品銷售、油氣儲運、石油貿(mào)易、工程技術(shù)服務(wù)和石油裝備制造于一體的綜合性能源公司，在世界50家大石油公司中排名第7位。此次中國石油加油站VPN業(yè)務(wù)平臺項目是將所有下屬加油站全部連入到總部管理系統(tǒng)，實現(xiàn)中國石油集團對加油站的扁平化管理。其網(wǎng)絡(luò)覆蓋全國各個地區(qū)，站點數(shù)量眾多。項目一期將對大連、山東的1200座加油站進行聯(lián)網(wǎng)。在試驗成功后，將對中國網(wǎng) 通網(wǎng)絡(luò)覆蓋地區(qū)的8000多座加油站進行VPN組網(wǎng)。

二、 安全需求

本項目由中國網(wǎng)通為加油站提供下行512K、上行128K速率以上的ADSL線路接入VPN網(wǎng)絡(luò)，同時為中國石油數(shù)據(jù)中心提供帶寬為20M的互為冗余鏈路接入VPN網(wǎng)絡(luò)。具體安全需求如下：

1. 此項目所傳輸?shù)臄?shù)據(jù)為中國石油重要的生產(chǎn)經(jīng)營信息，因此確保中國石油的相關(guān)數(shù)據(jù)不被非法窺視或篡改是技術(shù)實現(xiàn)中的重要環(huán)節(jié)。而此項目的數(shù)據(jù)承載在VPN網(wǎng)絡(luò)上，因此就要求方案中選擇的接入方式、采用的VPN技術(shù)均需要安全可靠，以保障中國石油信息的安全性。

2. 由于中國石油加油站經(jīng)營著眾多業(yè)務(wù)，并且隨著未來應(yīng)用的擴展，因此要求在設(shè)計網(wǎng)絡(luò)時應(yīng)根據(jù)不同的業(yè)務(wù)為中國石油各種數(shù)據(jù)規(guī)劃服務(wù)等級，按照等級分配帶寬，充分利用網(wǎng)絡(luò)資源，以滿足中國石油的系統(tǒng)運行要求。

3. 中國石油加油站數(shù)量眾多，不可能一步將所有加油站納入管理系統(tǒng)內(nèi)，因此要求VPN網(wǎng)絡(luò)應(yīng)該具備良好的可擴展性，可以靈活方便的增減站點。

4. 中國石油加油站管理系統(tǒng)網(wǎng)絡(luò)點數(shù)眾多、空前龐大，因此提供給中國石油的應(yīng)該是一個可管理性極高的VPN網(wǎng)絡(luò)，同時要求應(yīng)具有一套完整的網(wǎng)管系統(tǒng)，可方便配置、管理、維護整個加油站VPN網(wǎng)絡(luò)，并進行全面的監(jiān)控。

三、 解決方案

1. 拓撲結(jié)構(gòu)

2. 使用IPSecVPN技術(shù)為加油站和中石油內(nèi)部網(wǎng)之間的數(shù)據(jù)傳輸提供加密。核心VPN平臺使用兩臺FortiGate作為核心IPSecVPN接入設(shè)備。FortiGate可支持64,000個IPSecVPN并發(fā)隧道，為中石油加油站的逐步接入提供了良好的擴展性。

3. 兩臺FortiGate采用HA方式部署，分別接入兩臺20M專線。兩條專線為一主一備。通過FortiGate上配置不同Distance值的兩條路由實現(xiàn)。

4. 使用接口模式IPSecVPN接入。FortiGate上只需配置一條包含所有加油站IP地址網(wǎng)段的IPSecVPN靜態(tài)路由。當(dāng)一個加油站連接到核心VPN平臺后，在FortiGate上將自動生成一條針對該加油站IP地址段的靜態(tài)路由，以保證加油站與中石油內(nèi)部網(wǎng)間的正常通訊。

5.在核心VPN平臺部署管理中心。網(wǎng)管平臺用來監(jiān)控所有加油站上聯(lián)線路狀況;FortiManager可實現(xiàn)在一個統(tǒng)一界面里管理、配置大量的終端VPN 設(shè)備，大大減輕了系統(tǒng)管理員的工作量。

6. 每個加油站都分兩個VLAN。部署在加油站的FortiGate設(shè)備除了提供PPPoE撥號、IPSecVPN接入到核心VPN網(wǎng)關(guān)的功能外，還提供兩個VLAN 間的路由轉(zhuǎn)發(fā)功能，并對VLAN間的訪問進行控制。

7. 實現(xiàn)加油站ADSL撥號成功后，即自動建立IPSecVPN通道。通道建立后，使即沒有數(shù)據(jù)傳輸，也一直保持IPSecVPN連接。