方 娜

新鄉(xiāng)鐵通，河南新鄉(xiāng) 453000

1 相關(guān)技術(shù)

1.1 改造背景

新荷線電氣化項目實施后，信號干擾嚴(yán)重，造成新荷線所有車間撥號上網(wǎng)困難，經(jīng)常出現(xiàn)無法正常撥號，撥號后速率低，嚴(yán)重影響到了沿線車間接收新鄉(xiāng)橋工段總段發(fā)文件、上報作業(yè)生產(chǎn)任務(wù)、計劃等日常工作。所以急需對沿線車間撥號網(wǎng)絡(luò)進行改造。

1.2 網(wǎng)絡(luò)現(xiàn)狀

目前新鄉(xiāng)橋工段中心點自有服務(wù)器，中心點服務(wù)器類型為1臺Web+郵件服務(wù)器，2臺程序服務(wù)器，自有交換機。計劃光纖接入其機關(guān)辦公網(wǎng)。橋工段中心點下接沿線13個車間。13個車間使用鐵通的ADSL線路。13個車間需要訪問中心點的服務(wù)器，通過INTERNET網(wǎng)絡(luò)訪問到段中心機房服務(wù)器上的Web服務(wù)、Email、FTP等現(xiàn)有網(wǎng)絡(luò)服務(wù)，進行日常網(wǎng)絡(luò)辦公。

1.3 相關(guān)技術(shù)

1）此次橋工段改造的主要目的是為了讓各沿線車間通過訪問新鄉(xiāng)橋工段中心點的服務(wù)器從而進行公文的互傳，上網(wǎng)信息的安全性非常重要。而VPN技術(shù)采用的是最安全的IPSec協(xié)議，通過該協(xié)議傳輸數(shù)據(jù)是經(jīng)過嚴(yán)格加密的（APN數(shù)據(jù)硬件加密達168位），根本是不可能破解，這樣數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)臅r候即使被黑客查看到也是亂碼，而且VPN可以保證數(shù)據(jù)的完整性，就算黑客查看到也不可能進行修改。所以決定采用VPN技術(shù)解決車間上網(wǎng)困難的現(xiàn)象；

2）VPN也叫虛擬專用網(wǎng)，即通過因特網(wǎng)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。所謂隧道就是一種封裝技術(shù)，而IPSec隧道協(xié)議允許對IP數(shù)據(jù)進行加密，然后封裝在IP包頭中通過INTERNET發(fā)送，使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的。

2 接入方案

2.1 方案說明

1）新鄉(xiāng)橋工段中心點采用MON166APN設(shè)備。 由于中心點的數(shù)據(jù)傳輸對穩(wěn)定性要求極高，特別是在工作傳輸數(shù)據(jù)的高峰時期，因此網(wǎng)絡(luò)必須是更大的帶寬和更高的穩(wěn)定性。所以我們建議在中心點使用MOON166設(shè)備，能充分的保證段部網(wǎng)絡(luò)的穩(wěn)定性。MOON166提供作為智能接入終端的所有功能，如高性能的防火墻，帶寬管理，流量監(jiān)控，snmp agent等；

2）13個沿線車間采用STAR16APN設(shè)備。各車間的數(shù)據(jù)流量同樣很重要，STAR-16都具有高性能的VPN接入設(shè)備提供作為智能接入終端的所有功能，如高性能的防火墻，帶寬管理，流量監(jiān)控，snmp agent等；

3）中心點MON166的外網(wǎng)接口（即WAN口）和鐵通機房的核心交換機互聯(lián)，內(nèi)網(wǎng)接口（即LAN口）和橋工段中心點的交換機互聯(lián)。各車間的STAR16設(shè)備WAN口均為PPPOE撥號連接，LAN口和車間的PC互聯(lián)。只要讓STAR16和MON166設(shè)備連入公用網(wǎng)絡(luò)即可自動發(fā)現(xiàn)并建立隧道。

2.2 方案拓?fù)鋱D

方案拓?fù)淙鐖D2所示。

圖2

2.3 數(shù)據(jù)準(zhǔn)備

1）由于APN設(shè)備采用VPN技術(shù)，因此每個APN設(shè)備需要一個許可證號，從而和中心節(jié)點建立隧道連接；

2）MON166的廣域網(wǎng)IP為鐵通網(wǎng)絡(luò)地址，局域網(wǎng)IP跟橋工段中心點的服務(wù)器在一個網(wǎng)段即可；

3）需對13個STAR16的局域網(wǎng)IP進行統(tǒng)一地址分配和規(guī)劃。

2.4 具體接入方案如下

1）中心點：采用敷設(shè)10M 光纖通道，接入MOON166設(shè)備實現(xiàn)；

2）用戶端：在鐵通有網(wǎng)絡(luò)接口的位置實現(xiàn)直接ADSL接入，單點增加STAR-16設(shè)備1臺，多點距離不超100m采用交換機（多口）接入。

3 結(jié)論

本文分析了橋工段目前的網(wǎng)絡(luò)現(xiàn)狀，并根據(jù)其安全性的要求，選擇了用VPN技術(shù)來實現(xiàn)網(wǎng)絡(luò)改造。改造后各沿線車間和段之間的公文傳遞和內(nèi)部數(shù)據(jù)傳遞更加安全和穩(wěn)定。

[1]局域網(wǎng)組建和維護教程.北京：中國鐵道出版社.

[2]Naganand.Doraswamy，Dan.Harkins.IPSec－新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].北京：機械工業(yè)出版社，2000．

[3]郭美華.VPN技術(shù)應(yīng)用研究[J].商場現(xiàn)代化，2007(14)：27-28.