方 娜

新鄉(xiāng)鐵通，河南新鄉(xiāng) 453000

1 相關技術

1.1 改造背景

新荷線電氣化項目實施后，信號干擾嚴重，造成新荷線所有車間撥號上網(wǎng)困難，經(jīng)常出現(xiàn)無法正常撥號，撥號后速率低，嚴重影響到了沿線車間接收新鄉(xiāng)橋工段總段發(fā)文件、上報作業(yè)生產(chǎn)任務、計劃等日常工作。所以急需對沿線車間撥號網(wǎng)絡進行改造。

1.2 網(wǎng)絡現(xiàn)狀

目前新鄉(xiāng)橋工段中心點自有服務器，中心點服務器類型為1臺Web+郵件服務器，2臺程序服務器，自有交換機。計劃光纖接入其機關辦公網(wǎng)。橋工段中心點下接沿線13個車間。13個車間使用鐵通的ADSL線路。13個車間需要訪問中心點的服務器，通過INTERNET網(wǎng)絡訪問到段中心機房服務器上的Web服務、Email、FTP等現(xiàn)有網(wǎng)絡服務，進行日常網(wǎng)絡辦公。

1.3 相關技術

1）此次橋工段改造的主要目的是為了讓各沿線車間通過訪問新鄉(xiāng)橋工段中心點的服務器從而進行公文的互傳，上網(wǎng)信息的安全性非常重要。而VPN技術采用的是最安全的IPSec協(xié)議，通過該協(xié)議傳輸數(shù)據(jù)是經(jīng)過嚴格加密的（APN數(shù)據(jù)硬件加密達168位），根本是不可能破解，這樣數(shù)據(jù)在網(wǎng)絡上傳輸?shù)臅r候即使被黑客查看到也是亂碼，而且VPN可以保證數(shù)據(jù)的完整性，就算黑客查看到也不可能進行修改。所以決定采用VPN技術解決車間上網(wǎng)困難的現(xiàn)象；

2）VPN也叫虛擬專用網(wǎng)，即通過因特網(wǎng)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定隧道。所謂隧道就是一種封裝技術，而IPSec隧道協(xié)議允許對IP數(shù)據(jù)進行加密，然后封裝在IP包頭中通過INTERNET發(fā)送，使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的。

2 接入方案

2.1 方案說明

1）新鄉(xiāng)橋工段中心點采用MON166APN設備。 由于中心點的數(shù)據(jù)傳輸對穩(wěn)定性要求極高，特別是在工作傳輸數(shù)據(jù)的高峰時期，因此網(wǎng)絡必須是更大的帶寬和更高的穩(wěn)定性。所以我們建議在中心點使用MOON166設備，能充分的保證段部網(wǎng)絡的穩(wěn)定性。MOON166提供作為智能接入終端的所有功能，如高性能的防火墻，帶寬管理，流量監(jiān)控，snmp agent等；

2）13個沿線車間采用STAR16APN設備。各車間的數(shù)據(jù)流量同樣很重要，STAR-16都具有高性能的VPN接入設備提供作為智能接入終端的所有功能，如高性能的防火墻，帶寬管理，流量監(jiān)控，snmp agent等；

3）中心點MON166的外網(wǎng)接口（即WAN口）和鐵通機房的核心交換機互聯(lián)，內(nèi)網(wǎng)接口（即LAN口）和橋工段中心點的交換機互聯(lián)。各車間的STAR16設備WAN口均為PPPOE撥號連接，LAN口和車間的PC互聯(lián)。只要讓STAR16和MON166設備連入公用網(wǎng)絡即可自動發(fā)現(xiàn)并建立隧道。

2.2 方案拓撲圖

方案拓撲如圖2所示。

圖2

2.3 數(shù)據(jù)準備

1）由于APN設備采用VPN技術，因此每個APN設備需要一個許可證號，從而和中心節(jié)點建立隧道連接；

2）MON166的廣域網(wǎng)IP為鐵通網(wǎng)絡地址，局域網(wǎng)IP跟橋工段中心點的服務器在一個網(wǎng)段即可；

3）需對13個STAR16的局域網(wǎng)IP進行統(tǒng)一地址分配和規(guī)劃。

2.4 具體接入方案如下

1）中心點：采用敷設10M 光纖通道，接入MOON166設備實現(xiàn)；

2）用戶端：在鐵通有網(wǎng)絡接口的位置實現(xiàn)直接ADSL接入，單點增加STAR-16設備1臺，多點距離不超100m采用交換機（多口）接入。

3 結(jié)論

本文分析了橋工段目前的網(wǎng)絡現(xiàn)狀，并根據(jù)其安全性的要求，選擇了用VPN技術來實現(xiàn)網(wǎng)絡改造。改造后各沿線車間和段之間的公文傳遞和內(nèi)部數(shù)據(jù)傳遞更加安全和穩(wěn)定。

[1]局域網(wǎng)組建和維護教程.北京：中國鐵道出版社.

[2]Naganand.Doraswamy，Dan.Harkins.IPSec－新一代因特網(wǎng)安全標準[M].北京：機械工業(yè)出版社，2000．

[3]郭美華.VPN技術應用研究[J].商場現(xiàn)代化，2007(14)：27-28.