一、 用户概况
中国石油天然气集团公司(简称中国石油集团)是一家集油气勘探开发、炼 油化工、油品销售、油气储运、石油贸易、工程技术服务和石油装备制造于一体的综合性能源公司,在世界50家大石油公司中排名第7位。此次中国石油加油站VPN业务平台项目是将所有下属加油站全部连入到总部管理系统,实现中国石油集团对加油站的扁平化管理。其网络覆盖全国各个地区,站点数量众多。项目一期将对大连、山东的1200座加油站进行联网。在试验成功后,将对中国网 通网络覆盖地区的8000多座加油站进行VPN组网。
二、 安全需求
本项目由中国网通为加油站提供下行512K、上行128K速率以上的ADSL线路接入VPN网络,同时为中国石油数据中心提供带宽为20M的互为冗余链路接入VPN网络。具体安全需求如下:
1. 此项目所传输的数据为中国石油重要的生产经营信息,因此确保中国石油的相关数据不被非法窥视或篡改是技术实现中的重要环节。而此项目的数据承载在VPN网络上,因此就要求方案中选择的接入方式、采用的VPN技术均需要安全可靠,以保障中国石油信息的安全性。
2. 由于中国石油加油站经营着众多业务,并且随着未来应用的扩展,因此要求在设计网络时应根据不同的业务为中国石油各种数据规划服务等级,按照等级分配带宽,充分利用网络资源,以满足中国石油的系统运行要求。
3. 中国石油加油站数量众多,不可能一步将所有加油站纳入管理系统内,因此要求VPN网络应该具备良好的可扩展性,可以灵活方便的增减站点。
4. 中国石油加油站管理系统网络点数众多、空前庞大,因此提供给中国石油的应该是一个可管理性极高的VPN网络,同时要求应具有一套完整的网管系统,可方便配置、管理、维护整个加油站VPN网络,并进行全面的监控。
三、 解决方案
1. 拓扑结构
2. 使用IPSecVPN技术为加油站和中石油内部网之间的数据传输提供加密。核心VPN平台使用两台FortiGate作为核心IPSecVPN接入设备。FortiGate可支持64,000个IPSecVPN并发隧道,为中石油加油站的逐步接入提供了良好的扩展性。
3. 两台FortiGate采用HA方式部署,分别接入两台20M专线。两条专线为一主一备。通过FortiGate上配置不同Distance值的两条路由实现。
4. 使用接口模式IPSecVPN接入。FortiGate上只需配置一条包含所有加油站IP地址网段的IPSecVPN静态路由。当一个加油站连接到核心VPN平台后,在FortiGate上将自动生成一条针对该加油站IP地址段的静态路由,以保证加油站与中石油内部网间的正常通讯。
5.在核心VPN平台部署管理中心。网管平台用来监控所有加油站上联线路状况;FortiManager可实现在一个统一界面里管理、配置大量的终端VPN 设备,大大减轻了系统管理员的工作量。
6. 每个加油站都分两个VLAN。部署在加油站的FortiGate设备除了提供PPPoE拨号、IPSecVPN接入到核心VPN网关的功能外,还提供两个VLAN 间的路由转发功能,并对VLAN间的访问进行控制。
7. 实现加油站ADSL拨号成功后,即自动建立IPSecVPN通道。通道建立后,使即没有数据传输,也一直保持IPSecVPN连接。
