一、 用戶概況

中國石油天然氣集團公司(簡稱中國石油集團)是一家集油氣勘探開發、煉 油化工、油品銷售、油氣儲運、石油貿易、工程技術服務和石油裝備制造于一體的綜合性能源公司，在世界50家大石油公司中排名第7位。此次中國石油加油站VPN業務平臺項目是將所有下屬加油站全部連入到總部管理系統，實現中國石油集團對加油站的扁平化管理。其網絡覆蓋全國各個地區，站點數量眾多。項目一期將對大連、山東的1200座加油站進行聯網。在試驗成功后，將對中國網 通網絡覆蓋地區的8000多座加油站進行VPN組網。

二、 安全需求

本項目由中國網通為加油站提供下行512K、上行128K速率以上的ADSL線路接入VPN網絡，同時為中國石油數據中心提供帶寬為20M的互為冗余鏈路接入VPN網絡。具體安全需求如下：

1. 此項目所傳輸的數據為中國石油重要的生產經營信息，因此確保中國石油的相關數據不被非法窺視或篡改是技術實現中的重要環節。而此項目的數據承載在VPN網絡上，因此就要求方案中選擇的接入方式、采用的VPN技術均需要安全可靠，以保障中國石油信息的安全性。

2. 由于中國石油加油站經營著眾多業務，并且隨著未來應用的擴展，因此要求在設計網絡時應根據不同的業務為中國石油各種數據規劃服務等級，按照等級分配帶寬，充分利用網絡資源，以滿足中國石油的系統運行要求。

3. 中國石油加油站數量眾多，不可能一步將所有加油站納入管理系統內，因此要求VPN網絡應該具備良好的可擴展性，可以靈活方便的增減站點。

4. 中國石油加油站管理系統網絡點數眾多、空前龐大，因此提供給中國石油的應該是一個可管理性極高的VPN網絡，同時要求應具有一套完整的網管系統，可方便配置、管理、維護整個加油站VPN網絡，并進行全面的監控。

三、 解決方案

1. 拓撲結構

2. 使用IPSecVPN技術為加油站和中石油內部網之間的數據傳輸提供加密。核心VPN平臺使用兩臺FortiGate作為核心IPSecVPN接入設備。FortiGate可支持64,000個IPSecVPN并發隧道，為中石油加油站的逐步接入提供了良好的擴展性。

3. 兩臺FortiGate采用HA方式部署，分別接入兩臺20M專線。兩條專線為一主一備。通過FortiGate上配置不同Distance值的兩條路由實現。

4. 使用接口模式IPSecVPN接入。FortiGate上只需配置一條包含所有加油站IP地址網段的IPSecVPN靜態路由。當一個加油站連接到核心VPN平臺后，在FortiGate上將自動生成一條針對該加油站IP地址段的靜態路由，以保證加油站與中石油內部網間的正常通訊。

5.在核心VPN平臺部署管理中心。網管平臺用來監控所有加油站上聯線路狀況;FortiManager可實現在一個統一界面里管理、配置大量的終端VPN 設備，大大減輕了系統管理員的工作量。

6. 每個加油站都分兩個VLAN。部署在加油站的FortiGate設備除了提供PPPoE撥號、IPSecVPN接入到核心VPN網關的功能外，還提供兩個VLAN 間的路由轉發功能，并對VLAN間的訪問進行控制。

7. 實現加油站ADSL撥號成功后，即自動建立IPSecVPN通道。通道建立后，使即沒有數據傳輸，也一直保持IPSecVPN連接。