搭建IPsec VPN隧道解决PLC设备与主控上位机无法使用公网IP进行通信的问题
问题描述
按照初设规定,每个工程点位都要安装一条具有独立公网IP的光纤专线,供该点位的视频监控设备、水质监测设备及PLC设备与外界进行通信。而在项目开发前期并没有意识到,组态软件(上位机)无法通过公网IP地址连接PLC,导致在交付后期PLC设备无法与主控进行通信。
后经过了解得知可以在控制室网络与各PLC所属网络之间搭建VPN隧道,使得两个网络之间可以像局域网那样相互访问。
VPN技术
VPN(虚拟专用网络,Virtual Private Network)是一种通过在公共网络上建立专用网络的技术,它可以让分散在不同地理位置的设备安全地相互通信,仿佛它们处在同一个局域网内。VPN技术最初主要用于远程办公和保护数据隐私,但如今已广泛应用于各种网络环境中,包括工业自动化领域中的PLC设备和主控上位机的安全通信。
如表所示目前流行的有以下几种协议:
| 协议类型 | 安全性 | 性能 | 兼容性 | 配置复杂性 | 典型应用场景 | 工作层级 |
|---|---|---|---|---|---|---|
| IPsec VPN | 非常高,支持强加密和认证 | 较好,但加密开销较大 | 需要支持IPsec的客户端 | 中等,通常需要配置路由和防火墙 | 企业间通信,保护敏感数据传输 | 网络层(第3层) |
| SSL VPN | 高,基于SSL/TLS加密 | 较好,依赖网络延迟 | 高,支持浏览器或轻量级客户端 | 较低,使用方便 | 远程访问,适合移动办公和远程用户 | 传输层(第4层) |
| PPTP VPN | 低,已知安全漏洞较多 | 高,较少的加密开销 | 高,几乎所有平台都支持 | 非常低,易于设置 | 小型网络,不涉及敏感数据的场景 | 数据链路层(第2层) |
| L2TP/IPsec | 非常高,结合L2TP和IPsec的优势 | 较好,但隧道开销较大 | 中等,需安装客户端软件 | 中等,配置较复杂 | 提供强加密的企业级网络连接 | 数据链路层(第2层)和 网络层(第3层) |
| OpenVPN | 高,支持多种加密算法 | 较好,依赖网络延迟和加密设置 | 中等,需安装客户端软件 | 中等,需要一定的配置 | 开源解决方案,适合多种应用场景 | 传输层(第4层) |
详细解决方案
IP重新划分
由于控制室和各个点位配备的都有工业级路由器且支持IPsec VPN的搭建,所以直接在路由器上进行VPN搭建。
由于IPsec VPN要求各个隧道两端的网络是不同网段的,因此将整个工程的网络IP地址按照下表进行划分,使得主控和各个位置可以互相连通。
| 点位 | 公网独立IP | 局域网网络 |
|---|---|---|
| 控制室 | 111.xxx.xxx.xx1 | 192.168.1.0/24 |
| 位置1# | 111.xxx.xxx.xx2 | 192.168.2.0/24 |
| 位置2# | 111.xxx.xxx.xx3 | 192.168.3.0/24 |
| 位置3# | 111.xxx.xxx.xx4 | 192.168.4.0/24 |
| 位置4# | 111.xxx.xxx.xx5 | 192.168.5.0/24 |
| 位置5# | 111.xxx.xxx.xx6 | 192.168.6.0/24 |
采用站点到站点VPN部署模式,网络架构图如下图所示:
主控路由器配置(总部)
以锐捷工业路由器为例演示总部的配置
需要注意以下几个点:
- 总部和分部在两个阶段的加密算法以及预共享密钥要保持一致。
- 总部和分部都需要配置隧道两端的网段。
其他点位路由器配置
以TP-LINK工业级路由器为例演示分部的配置
测试
验证是否搭建成功可以从两个方面进行验证:
-
配置成功之后,主控和其他点位路由器都有相应的提示。
- 主控路由器
- PLC设备点位(分部)路由器
- 主控路由器
-
在主控(控制室网络)中使用局域网IP
pingPLC设备
