1.案例概述

1.1背景

中国石油天然气集团有限公司(以下简称“中国石油”)高度重视《推进互联网协议第六版(IPv6)规模部署行动计划》的落实。基于国家发展工业互联网、推动IPv6规模部署的相关要求,中国石油启动局域网改进(生产网IPv6)项目,积极进行相关网络基础设施、应用系统的改造,推进IPv6规模部署。

1.2目标

紧跟国家政策要求,加快推动IPv6技术在中国石油规模部署,满足国家对央企到2025年三个阶段的工作要求。规模应用IPv6技术,建成低延时、高可靠、有效覆盖的生产网络基础设施,为中国石油生产业务提供庞大的网络地址空间和数据传输通道,支持安全、实时的生产指挥调度和生产数据传输,满足业务发展需要。

2.做法与经验

2.1案例介绍

中国石油按照国家对央企到2025年三阶段的各项任务要求,设计IPv6整体规划,涵盖网络基础设施、网络安全、业务系统、网络综合支撑等部分。工业生产网IPv6改造包括网络基础设施、网络过渡环境、网络安全体系、综合管理平台、演进测试验证平台、生产专网标准体系等。

中国石油工业生产专网体系架构图

2.2总体改造方案

2.2.1 IPv6工业生产专网建设方案

IPv6生产专网采用网络分层和功能分区设计:层次上分为核心层、汇聚层和接入层;功能上分为生产管理区、外联区、无线接入区等。同时采用双栈方式组网,IPv4/IPv6协议并存。对于新兴生产业务应用采用IPv6技术承载,对于既有生产业务应用进行技术评估,无法平滑升级支持IPv6协议的仍采用IPv4网络承载业务,以增量带动存量,逐步实现IPv6平滑演进。

IPv6生产专网网络架构图

2.2.2 IPv6网络过渡环境建设方案

在生产网络和办公网络的边界建设IPv4/IPv6网络过渡环境,根据实际业务需求采用IVI、NAT64和双栈三种技术,针对地址固定的访问需求采用IVI技术,针对仅从IPv6发起到IPv4的访问采用NAT64技术,针对现有生产系统无法通过升级支持IPv6协议的采用服务器端双栈接入。

IPv6生产专网网络过渡模型

2.2.3 IPv6安全防护体系建设方案

IPv6生产专网依据等级保护三级要求,秉承“网络专用、安全分区、横向隔离,纵向防护”的建设理念,建立了包括管理体系、技术体系、控制体系的中国石油IPv6工业生产网安全防护体系。

IPv6工业生产专网安全防护体系

通过防病毒、终端传输加密认证、访问控制、入侵检测、统一安全管理等手段,从接入安全、网络边界安全、数据中心安全等几个方面设计防护措施,保障IPv6工业生产网及应用系统的安全性、可靠性。

IPv6生产专网边界安全防护技术架构

2.2.4 IPv6综合管理平台建设方案

IPv6综合管理平台分为总部和地区公司两个管理层级,实现对汇总数据进行分析和挖掘,建立IPv6资产分布、网络状态、数据统计、决策相关的功能和视图功能;同时,实时监测资源状态,全方位感知IPv6网络运行状况,建立全景资源视图、智能分析视图、报告、业务视图、统一管控功能。

IPv6综合管理平台总体功能架构

2.2.5 IPv6演进测试验证平台建设方案

IPv6演进测试验证平台,具备对网络、终端、业务系统的IPv6功能/性能测试、双栈功能/性能测试功能,对应用提供IPv6的仿真、测试、验证环境,保障网络和应用系统向下一代互联网平滑演进。

IPv6演进测试验证平台体系架构

2.2.6 IPv6工业生产专网标准体系

结合中国石油生产业务实际需求、技术发展趋势,形成符合中国石油生产业务的IPv6网络基础设施最佳实践和通用框架,形成可推广的IPv6统一标准。

中国石油IPv6工业生产专网标准体系

3.成效与亮点

3.1率先建成全国最大的基于IPv6工业生产专用网络,打造“油气生产IPv6+技术体系”

中国石油早在2012年承担了国家下一代互联网试点专项,率先在大庆油田建成全国最大的IPv6工业生产专网。基于IPv6构建了低延时、高可靠、广覆盖的生产网络基础设施,支持油田工业控制、海量物联、高清视频影像等终端接入与数据传输。率先形成面向下一代互联网的“油气生产IPv6+”体系,对IPv6技术在工业生产领域大面积普及起到指导示范作用。

3.2全面构建基于IPv6的层次化、纵深化的工业生产网络信息安全防护体系

将IPv6工业生产专网划分为生产数据采集传输、数据中心两大安全区域,在各安全区域部署无线接入加密、防火墙、入侵检测、行为审计、防病毒等技术防护手段。构建了安全、可信的DNS服务,配合地址转换系统实现网络过渡。

3.3完成基于IPv6生产环境下等级保护基本要求的验证,完成基于IPv6生产系统的等保测试

基于国家《信息系统安全等级保护基本要求》和《信息系统安全等级保护测评要求》,完成IPv6生产专网主机安全、网络安全、应用安全和数据安全等完整测评,构建基于IPv6的安全防护体系。

3.4构建基于IPv6的综合管理系统,实现IPv6生产专网整体态势感知

在中国石油构建统一的IPv6生产专网综合管理平台,通过对网络状态、安全状态、物联网终端状态等信息的收集、分析,实现油气田井区、计量间、集输站、联合站、处理厂生产数据、设备状态信息在作业区生产指挥中心及生产控制中心集中管理和控制。

3.5形成了一系列基于IPv6的网络和安全标准规范

中国石油将项目建设过程中的管理规范、建设经验以及技术标准总结归纳,完成了16项IPv6标准规范的制定,申报《石油工业基于IPv6的网络建设规范》行业标准,填补了我国在IPv6工业标准规范方面的多项空白。