VPN技術(shù)在地鐵AFC系統(tǒng)中的應(yīng)用

胡鑫

摘 要

通信網(wǎng)絡(luò)的好壞著直接關(guān)系著地鐵AFC系統(tǒng)能否正常運(yùn)行，因此在原有的專用通信網(wǎng)之外能夠建立一個(gè)備用的傳輸網(wǎng)絡(luò)，以便在原有網(wǎng)絡(luò)癱瘓的情況下起到替代作用，這對(duì)于AFC系統(tǒng)的可靠性有著很大的影響。

【關(guān)鍵詞】自動(dòng)售檢票系統(tǒng) 虛擬專用網(wǎng) 應(yīng)急通信

自動(dòng)售檢票系統(tǒng)（Automatic Fare Collection，AFC）作為地鐵、輕軌等軌道交通系統(tǒng)的核心組成部分，是一個(gè)涉及多領(lǐng)域多學(xué)科的綜合系統(tǒng)，其中包括計(jì)算機(jī)技術(shù)、通信技術(shù)、數(shù)據(jù)庫管理、機(jī)電一體化技術(shù)、傳感技術(shù)、無線電技術(shù)、模式識(shí)別等諸多新技術(shù)，是地鐵車站日常運(yùn)營(yíng)工作的核心。目前主流的AFC系統(tǒng)，從設(shè)備分布的集中度上大致可以分為三層：終端設(shè)備層（Station Locale Equipment，SLE），車站層（Station Computer，SC），線路層（Line Center Computer，LC）。由于AFC系統(tǒng)是一個(gè)龐大的、分布式的系統(tǒng)，一個(gè)可靠的數(shù)據(jù)傳輸網(wǎng)絡(luò)是系統(tǒng)正常運(yùn)行的關(guān)鍵。

1 概述

現(xiàn)在主流的AFC系統(tǒng)的通信網(wǎng)絡(luò)已經(jīng)淘汰了早期的ATM結(jié)構(gòu)，改為以SDH兼容以太網(wǎng)結(jié)構(gòu)（IP over SDH）和光纖以太網(wǎng)結(jié)構(gòu)為主流。目前國(guó)內(nèi)大多數(shù)在運(yùn)營(yíng)中的地鐵，其通信專網(wǎng)在物理都成線性分布，一旦出現(xiàn)諸如施工因素導(dǎo)致光纜或交換機(jī)損壞，將會(huì)導(dǎo)致下行車站的設(shè)備大面故障，出現(xiàn)乘客無法正常進(jìn)出站的情況。針對(duì)這些問題，作者提出的一種用3G網(wǎng)絡(luò)通VPN技術(shù)相結(jié)合的方案來加以解決，即通過3G網(wǎng)絡(luò)來保證無線網(wǎng)絡(luò)的覆蓋范圍，通過虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）技術(shù)來保證傳輸數(shù)據(jù)的安全性。

目前隨著國(guó)內(nèi)移動(dòng)運(yùn)營(yíng)商的3G網(wǎng)絡(luò)建設(shè)，地鐵車站內(nèi)已經(jīng)基本覆蓋3G信號(hào)，同時(shí)AFC系統(tǒng)的數(shù)據(jù)傳輸均為異步傳輸結(jié)構(gòu)，不需要進(jìn)行設(shè)備之間的時(shí)鐘同步，因此借助3G網(wǎng)絡(luò)實(shí)現(xiàn)AFC系統(tǒng)的應(yīng)急通信是可行的。同時(shí)，可以借助Internet上主流的虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）技術(shù)來確保AFC數(shù)據(jù)的安全性和可靠性。采取這種方案硬件投資少、組網(wǎng)方式靈活，比較適合國(guó)內(nèi)地鐵行業(yè)目前的發(fā)展現(xiàn)狀。

2 VPN技術(shù)選擇

目前我國(guó)三大電信運(yùn)營(yíng)商分別使用不同的3G標(biāo)準(zhǔn)：聯(lián)通運(yùn)營(yíng)WCDMA， 電信運(yùn)營(yíng)CDMA2000， 移動(dòng)運(yùn)營(yíng)TD-SCDMA。各個(gè)運(yùn)營(yíng)商3G 的理論速度是：聯(lián)通3G上網(wǎng)WCDMA 的下行理論峰值高達(dá)7.2Mbit/s，上行最高速率為5.8Mbit/s；電信3G上網(wǎng)CDMA2000 EVDO的下行理論峰值則是3.1Mbit/ s，上行最高速率為1.8Mbit/s；移動(dòng)3G 上網(wǎng)TD-SCDMA G3的下行理論峰值是2.8Mbit/s，上行最高速率為384.0kbit/s，其帶寬均能滿足目前主流AFC系統(tǒng)的數(shù)據(jù)傳輸。

現(xiàn)在主流的VPN隧道協(xié)議主要有三種，PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）、L2TP（第二層隧道協(xié)議）和IPSec（Internet 協(xié)議安全性）。其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，而IPSec是第三層隧道協(xié)議。由于設(shè)計(jì)方案的立足于特殊情況下的應(yīng)急通信，并非是替代原有的通信網(wǎng)絡(luò)，因此要考慮到原有設(shè)備的兼容性問題，那么VPN放置在OSI模型中的層數(shù)越低，則對(duì)原有設(shè)備的兼容性則越好，因此我們選擇將VPN放在第二層即數(shù)據(jù)鏈路層是比較合適的，即傳輸協(xié)議在PPTP和L2TP中選擇。

PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管兩個(gè)協(xié)議非常相似，但是仍存在以下幾方面的不同：

（1）PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接。L2TP可以在IP（使用UDP），幀中繼永久虛擬電路（PVCs），X.25虛擬電路（VCs）或ATM VCs網(wǎng)絡(luò)上使用。

（2）PPTP只能在兩端點(diǎn)間建立單一隧道，而L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP時(shí)，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

（3）L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷（overhead）占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)。

（4）L2TP可以提供隧道驗(yàn)證，而PPTP不支持隧道驗(yàn)證。

對(duì)比以上四點(diǎn)，顯然L2TP對(duì)于目前主流的AFC系統(tǒng)支持更好，設(shè)備改動(dòng)也相對(duì)較小，因此在傳輸協(xié)議上我們選擇L2TP是更加合適的。

3 通信網(wǎng)絡(luò)的設(shè)計(jì)方案

3.1 具體設(shè)計(jì)思路

（1）在線路中心系統(tǒng)的核心路由器設(shè)置VPN網(wǎng)關(guān)，SC端核心交換機(jī)通過3G路由器連接公網(wǎng)，再通過L2TP協(xié)議和IPSEC協(xié)議連接VPN網(wǎng)關(guān)。

（2）配置線路中心端路由的IPSEC服務(wù)，啟用Internet密鑰交換協(xié)議（IKE），選擇加密方式為3DES+MD5，認(rèn)證方式為預(yù)設(shè)共享密鑰（PSK），并創(chuàng)建ACL規(guī)則禁止未經(jīng)加密的數(shù)據(jù)包經(jīng)過路由進(jìn)入公網(wǎng)。

（3）配置線路中心端路由的L2TP服務(wù)，創(chuàng)建虛擬撥號(hào)板登陸用戶名和密碼并設(shè)置虛擬網(wǎng)關(guān)，劃分內(nèi)網(wǎng)地址池（192.168.200.2～254）為登陸用戶提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。

（4）根據(jù)線路中心端預(yù)設(shè)賬號(hào)密碼等安全信息完成車站端3G路由器相關(guān)配置。

3.2 應(yīng)急通信網(wǎng)絡(luò)初步設(shè)計(jì)

改造后的傳輸網(wǎng)絡(luò)拓?fù)鋱D（見圖1）。

以某市地鐵一號(hào)線AFC系統(tǒng)為例，具體網(wǎng)絡(luò)地址劃分如表1。

3.3 3G路由器相關(guān)配置

3.1.1 認(rèn)證方式

選擇PSK（預(yù)共享密鑰）。

3.1.2 認(rèn)證加密

通常情況下都選擇ESP封裝。

3.1.3 密碼

預(yù)共享密鑰。

3.1.4 遠(yuǎn)端IP或域名

對(duì)端路由器IP地址。

3.1.5 本地子網(wǎng)/遠(yuǎn)端子網(wǎng)

傳輸模式下不用配置子網(wǎng)，隧道模式下配置的子網(wǎng)需要與對(duì)端路由器中的ACL嚴(yán)格對(duì)應(yīng)。

3.1.6 傳輸方式

通常情況下的應(yīng)用都為隧道模式。

3.1.7 本地標(biāo)識(shí)/對(duì)端標(biāo)識(shí)

通常情況下不進(jìn)行配置。

3.1.8 DH組標(biāo)識(shí)

通常都配置為Group 2，即Group 1024 。

3.1.9 精確轉(zhuǎn)發(fā)密鑰

PFS，與Cisco是否開啟PFS保持一致。

3.1.10 IKE生存時(shí)間

IKE密鑰交換時(shí)間，對(duì)應(yīng)對(duì)端的isakmplifetime。

3.1.11 密鑰有效時(shí)間

對(duì)應(yīng)對(duì)端的IpSec sa lifetime。

3.1.12 對(duì)端檢測(cè)

DPD檢測(cè)，需要對(duì)端服務(wù)器支持，通常情況下配置為Restart。

具體配置見圖2（僅供參考）。

3.4 網(wǎng)絡(luò)測(cè)試

從車站中心端計(jì)算機(jī)使用 telnet遠(yuǎn)程登陸3G路由器查看IP地址配置，結(jié)果如圖3所示。

說明車站端3G路由器已經(jīng)連接上中心端路由器，并且正確獲得對(duì)端的內(nèi)網(wǎng)IP地址。

4 結(jié)束語

目前國(guó)內(nèi)的地鐵行業(yè)發(fā)展迅猛，已經(jīng)成為國(guó)民經(jīng)濟(jì)新的發(fā)展點(diǎn)。本文以目前成熟的3G網(wǎng)絡(luò)結(jié)合VPN技術(shù)，對(duì)地鐵AFC系統(tǒng)的應(yīng)急通信提出了一種改進(jìn)方案，希望能對(duì)地鐵相關(guān)工作的從業(yè)人員起到一定的參考作用。

作者單位

天津市地下鐵道運(yùn)營(yíng)有限公司 天津市 300222