1 引言WW.W_PLC※JS_C,OM-PL,C-技.术_网
金华市秋滨污水处理厂是浙江省2002年7月投入运行的重点工程。配套设施金龙湾提升泵站于2005年1月建成,距离厂区约7公里。秋滨污水处理厂位于城市西郊,而金龙湾提升泵站位于城市中心,如果铺设光缆,不仅投资大,而且施工也很麻烦,如果采用无线通讯,安全性和可靠性也不是很高,考虑到金华市自来水总公司已有防火墙(秋滨污水处理厂已采用VPN接入防火墙),且金龙湾提升泵站采用的Modicon Compact系列PLC自带Modbus端口,所以采用Modbus OPC Server获取泵站的实时运行数据,拨号接入ADSL宽带,二次VPN拨号接入自来水总公司防火墙,秋滨污水处理厂中控室的上位机则利用OPC接口监控泵站运行。
WW.W_PLCJS_COM-PLC-技.术_网
2 安全专用虚拟网络VPN的实现P.L.C.技.术.网——可编程控制器技术门户
2.1 VPN简介WWW_PL※CJS_COM-PLC-技.术_网
即Virtual Private Network,是利用IP网络来传输私有信息而形成的逻辑网络,向用户提供高安全性且比专线价格低廉的资源共享和互连服务。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足客户对原企业内部局域网与远程办公室、移动用户间无缝连接的要求,将网络连接扩展到客户、供货商、合作者和关键用户以形成外部网(Extranet),来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。实施VPN时,较多使用的隧道协议包括二层隧道协议MPLS、L2TP和三层隧道协议IPsec等,常见VPN有:MPLS VPN、VPDN、IPsecVPN等。
WWW.PLCJS.COM——可编程控制器技术门户
由于VPN是在Internet上临时建立的安全专用虚拟网络,节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,所付出的仅仅是向当地的ISP支付一定的上网费用,这就是VPN价格低廉的原因。P_L_C_技_术_网——可——编——程——控-制-器-技——术——门——户
2.2 自来水总公司防火墙配置WW.W_PLC※JS_C,OM-PL,C-技.术_网
自来水总公司采用华为3COM 100F防火墙,一条10m光纤接入Internet,固定IP地址;决定采用L2TP协议的IPsec VPN,部分配置如下:W1WW_P4LCJS_COM-PLC-技.术_网
sysname Quidway——可——编——程——控-制-器-技——术——门——户
#——可——编——程——控-制-器-技——术——门——户
l2tp enable //使能L2TPWWW_PLCJS※COM-PLC-技.术_网(可※编程控※制器技术门户)
dvpn service enable //使能VPN服务WWW_PLC※JS_COM-PLC-技.术_网(可编程控※制器技术门户)
#WWW.PLCJS.COM——可编程控制器技术门户
local-user abcde WWW_P※LCJS_COM-PLC-)技.术_网
//创建移动用户帐号和密码WWW※PLCJS_COM-PL#C-技.术_网(可编※程控※制器技术门户)
password simple abcde——可——编——程——控-制-器-技——术——门——户
service-type pppWWW_PLCJS_COM-PLC-技.术_网
#plcjs.技.术_网
interface Virtual-Template4 WWW※PLCJS_COM-PL#C-技.术_网(可编※程控※制器技术门户)
//建立用于提升泵站VPN的虚拟端口4WWW_PLCJS※COM-PLC-技.术_网(可※编程控※制器技术门户)
ppp authentication-mode pap WWW_PL※CJS_COM-PLC-技.术_网
//设置认证模式WWW.PLCJS.COM——可编程控制器技术门户
ip address 192.168.40.1 255.255.255.0 ——可——编——程——控-制-器-技——术——门——户
//指定提升泵站IPP.L.C.技.术.网——可编程控制器技术门户
remote address 192.168.40.2WWW_PLC※JS_COM-PmLC-技.术_网
#WW.W_PLC※JS_C,OM-PL,C-技.术_网
add interface Virtual-Template4 WWW_PLCJS_COM-PLC-技.术_网
//添加虚拟端口4——可——编——程——控-制-器-技——术——门——户
set priority 5 WWW_PLC※JS_COM-PLC-技.术_网(可编程控※制器技术门户)
//设置优先级WWW_PLCJS_COM-PLC-技.术_网
#WWW_PLCJ-S_COM-PLC-技.术_网(可-编程控-制器技术-门户)
l2tp-group 5WWW_PLCJS※COM-PLC-技.术_网(可※编程控※制器技术门户)
undo tunnel authentication WWW_PLCJS※COM-PLC-技×术_网(可编程控※制器技术门户)
//取消通道认证WW.W_PLCJS_COM-PLC-技.术_网
mandatory-lcp //lcp自协商WWW_PLC※JS_COM-PLC-技.术_网(可编程控※制器技术门户)
allow l2tp virtual-template 4 remote jhwsjlwWWW_PLCJ-S_COM-PLC-技.术_网(可-编程控-制器技术-门户)
//接受网络标识为jhwsjlw的计算机(即提升泵站计算机)的l2tp请求,并绑定到虚拟端口4WWW※PLCJS_COM-PL#C-技.术_网(可编※程控※制器技术门户)
#P_L_C_技_术_网——可——编——程——控-制-器-技——术——门——户
2.3 创建VPN连接WWW_PLCJS※COM-PLC-技×术_网(可编程控※制器技术门户)
金龙湾提升泵站电脑采用的是Win2000SP4操作系统,自带VPN拨号功能,使用方法如下:(XP系统中设置方法类似)WWW_PLCJS@_COM%-PLC-技.术_网
(1) 在注册表中添加以下子项后并重新启动WWW※PLCJS_COM-PL#C-技.术_网(可编※程控※制器技术门户)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\WWW.PLCJS.COM——可编程控制器技术门户
Services\Rasman\ParametersWWW_P※LCJS_COM-PLC-)技.术_网
"ProhibitIpSec"=dword:00000001WWW_PLCJS※COM-PLC-技×术_网(可编程控※制器技术门户)
(2) “网络和拨号连接”——“新建连接”——“通过internet连接到专用网络(V)”——“首先拨此初始连接”(选择ADSL拨号程序)——“主机名或IP地址”(输入防火墙IP),键入VPN连接名称后就可以了。WWW※PLCJS_COM-PL#C-技.术_网(可编※程控※制器技术门户)
(3) 创建完成后,还需要设置虚拟连接,选择该连接——“属性”:WWW_PLC※JS_COM-PLC-技.术_网(可编程控※制器技术门户)
●常规栏中设置拨号和重拨选项;WW.W_PLCJS_COM-PLC-技.术_网
●安全栏中选择“高级”后,点击“设置”按钮进入“高级安全设置”;WWW_PL※CJS_COM-PLC-技.术_网
●“数据加密”选项选择“可选加密”(因为防火墙中没有使用加密),并将“不加密的密码(PAP)(U)”打勾;WWcW_PLCJS_COM-PLC-技.术_网
●网络栏设置:选 L2TP IPSec VPN。WWW_PL※CJS_COM-PLC-技.术_网
(4) 通过该方法创建的VPN连接不能访问外网,这很大程度上保证了数据和电脑的安全。W1WW_P4LCJS_COM-PLC-技.术_网