ＶＰＮ技術在廣播電視監測網中的應用

任貴強　靖亞興

摘 要：隨著廣播電視監測業務的拓展，監測范圍擴大到偏遠的高山發射臺和鄉村廣播站，但在信號接收點沒有鋪設光纜，為了及時掌握這些地區的廣播電視播出情況，實時回傳廣播電視圖像和聲音信號，在廣播電視監測網引進了VPN技術。通過Internet組建的VPN專網既能實現廣播電視監測調度指揮中心與遠程遙測點進行安全的數據傳輸，也能滿足移動辦公的需求。該方案采用IPSec隧道模式組建VPN專網，對VPN關鍵技術與方案的具體實施及應用進行了闡述。

關鍵詞：VPN技術；安全防護；監測網應用

1 引言

目前Internet的覆蓋面相當廣，對于光纜鋪設不到的地方，可用VPN來擴大監測網覆蓋范圍。VPN（Virtual Private Network）即虛擬專用網絡，就是兩個具有VPN發起連接能力的設備（計算機或防火墻）通過Internet形成的一條安全隧道。在隧道發起端（即服務端），用戶的私有數據通過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數據經過拆封和解密之后安全地到達用戶端。此種方式讓遠程遙測點和移動用戶接入網絡，能夠遠程使用內部服務器的應用系統，在非安全的互聯網上安全地傳送私有數據。與數據專線相比，VPN無需鋪設線路，能夠利用Internet資源建立安全、可靠、經濟、高效的移動監測專網，大大地減少了花費在城域網和遠程網絡連接上的費用，易于增加新的遠程遙測站點，也簡化了網絡的設計和管理，進一步擴大了廣播電視監測在廣電中的監督和管理范圍。

2 VPN專網的網路連接和作用

VPN專網的實現，需在監測內部網絡中配置一臺VPN服務器與內部網絡連接，在中心將VPN硬件網關、監測網絡設備及內部辦公設備放在防火墻后面，經過防火墻再由一條專用遠程線路連接到因特網，VPN硬件網關的LAN（局域網）口連接到內網的交換機上，WAN（廣域網）口連接到與外網相連的路由器。

當客戶機通過VPN連接與專用網絡中的計算機進行通信時，先由NSP(網絡服務提供商)將所有的數據傳送到VPN服務器，再由VPN服務器將所有的數據傳送到目標計算機。網絡管理員通過配置VPN服務器，指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問內部信息的權利，沒有訪問權利的用戶無法獲得局域網信息。

VPN服務器相當于執行路由和遠程訪問服務任務的一個增強的'Windows 2003 Server'服務器，一旦一個進入VPN網絡的請求被批準，這個VPN服務器就簡單地充當一臺路由器向這個VPN客戶機提供專用網絡的接入。

3 VPN硬件網關的主要配置方法及安全設置

3.1 VPN硬件網關上的配置（以OLYM產品為例）：

①配置VPN硬件網關IP地址（該地址段為監測局域網未被使用的IP地址，可與監測局域網同網段或不同網段，設置時不能包含已經被使用的IP），使得通過VPN接入到監測局域網的遠程用戶能夠從這個IP地址中獲得與內網相同網段的局域網IP地址。比如將VPN硬件網關IP設為172.10.3.1，局域網中的任意一臺應用服務器的IP設成172.10.3.XXX。對于需要被各遙測站點、遠程用戶訪問的應用服務器（如廣播監測主服務器、電視監測主服務器、WEB服務器等）的網關則指向VPN硬件網關。

②在VPN廣域聯網中設置相應的上網方式（電話拔號上網、一線通ISDN、網絡快車ADSL、有固定IP的線路、DHCP客戶端/SSO等），在本方案中使用專線連到Internet，則選擇有固定IP線路的上網方式，輸入固定的IP及網關。

③配置“虛擬專網”下的“許可證”，輸入VPN公司分配的APN組域(VDOMAIN)、節點名(VHOST)以及許可證號。

④配置專網屬性：隧道類型選擇IPSEC協議，數據加密算法設置為AES/128，傳輸認證算法設置為MD5-96，在本端地址中輸入VPN硬件網關IP地址，并選擇“啟用交叉巡檢”、“啟用突發巡檢” ，使遂道具有自檢與自動恢復功能。

⑤配置Winapn服務管理：

“虛擬專網”的“APN移動用戶”設置：將“啟動Winapn啟動服務”提交，在Winapn服務器中設置靜態IP地址池、子網掩碼、服務器端口等，也就是為移動用戶設置虛擬IP段，作為CLIENT（winapn）和SERVER(apn) 之間建立隧道后通信來使用。這個虛擬IP段不能跟任何一個實際的IP段沖突（包括SERVER端和CLIENT端），如果有沖突，則無法進行通信。

3.2 VPN硬件網關的安全設置：

根據監測業務需求在VPN設備上設定相應的內網服務，通過設置用戶分組、訪問控制和行為審計等措施來加強內網安全;為防止外網的攻擊設置防火墻的過濾規則（使用自檢測功能進行檢測）;為內網用戶設定訪問Internet的權限，設置用戶組，不同用戶組可獨立分配不同的上網權限。防火墻規則是按照控制列表順序從上到下執行的，在設置防火墻規則時必須考慮規則間的互相關聯及限制。

①在“防火墻”的“網絡對象管理”中設置節點對象（網絡中的主機），輸入節點名稱（任意設定）、IP地址（受訪問控制規則控制的PC機）、MAC地址（可選項），所屬網絡根據實際選擇內網internal、外網external、APN網。

比如要管理局域網中WEB服務器，在節點對象中可添加這樣的信息，節點名稱選WEB服務器、IP設為172.10.3. XXX、MAC地址為WEB服務器網卡地址、所屬網絡選擇內網。

②在節點對象組中添加不同的用戶組，每個用戶組可以包含多個主機，對應不同的控制規則，以分配不同的權限。

③在訪問控制管理中設置訪問控制規則，輸入源地址、目的地址、服務端口、時間計劃、訪問控制管理等項。其中“源地址”為數據報發送端，“目的地址”為數據報接受端，這兩項的可控端包含ANY（任何網絡）、WAN（外網）、LAN（內網）、APNNET（APN網）、節點對象（網絡中的主機）等內容,“服務端口” 包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等服務對象, “控制”項分為“接受（ACCEPT）數據報通過”、“拒絕（DROP）數據報通過”兩種。

客戶端要安裝隧道軟件，安裝過程中需要安裝虛擬網卡，安裝完成后進行軟件設置。

添加一個隧道名稱（任意設定），輸入用戶名和密碼（硬件VPN中設置的遠程用戶名和密碼）。若選擇VDN查詢方式則輸入Vdomain（硬件VPN中的域名）以及Vhost（硬件VPN中節點名）。若選擇直接使用IP方式則輸入APN地址（VPN設備固定IP）來建立安全隧道。

輸入完成后選擇建立的隧道名稱進行連接。啟動客戶端后虛擬網卡的狀態由斷開轉為正常，在初始化隧道過程中，使用用戶ID和口令或用數字許可證鑒權。隧道建立成功后在電腦右小角會提示“隧道啟用”， VPN會根據配置文件分配對應IP給虛擬網卡。

對于無人值守的遠程遙測站點還需進行相關設置，如斷線重連次數（填入100次就能無限制斷線重連）、選擇開機啟動隧道、客戶端計算機是否使用無線上網（手機上網方式選擇此項），這些設置都為VPN網絡的自動連接提供保障。

在客戶端還須安裝相應的殺毒軟件及防火墻，以保證網絡安全。

客戶和隧道服務器建立隧道后，就可以進行通信了，如同ISP沒有參與連接一樣。在此基礎上，簡單的配置一下路由信息，就可以讓VPN客戶端訪問VPN服務端所在網段的全部資源。

4 VPN技術在廣播電視監測網實施的優勢

采用廉價的接入方式，實現各遠程遙測點、移動用戶與整個廣播電視監測網絡的無縫連接和安全連接，在任何地點、任何上網方式都可以接入監測局域網，減少在設備、人員和管理上的投資，保護了現有硬件和軟件系統上的投資，有效地降低了運營成本。

VPN 自帶斷線重撥技術，內置自動撥號軟件和VPN 隧道監控線程，在斷線情況下10秒內自動撥號，隧道自動建立，使遠程遙測點與中心網絡保持連接。VPN提供信息日志、錯誤日志和調試日志等多種類型的日志，讓網絡管理員隨時了解設備運行情況，幫助網絡管理員準確定位網絡故障點，降低了維護成本，減少了維護工作量。

VPN 采用了目前先進的壓縮算法，帶寬利用率達 130 ％，大大提高系統數據的訪問傳輸速度，為監測調度指揮系統提供高效快速的 VPN 虛擬網絡平臺。

結語

利用VPN技術上的優勢，把廣播電視監測網遠程拓展到了偏遠的縣、鄉、鎮，建立了一個規模大，覆蓋省、市、縣、鄉、鎮的自動化無人值守、實時監測、實時預警發布、實時調度指揮功能于一體的科學高效的廣播電視監管系統，實現了把監測告警信息實時動態反饋給各級播出單位，達到科學高效的管理目標。解決了全區各級廣電管理部門長期以來無法及時掌握和了解各縣、鄉、鎮廣播電視播出質量和覆蓋效果的難題，從而確保了黨和政府的政令暢通，為保障人民群眾收聽好廣播、看好電視節目，發揮極其重要的作用。

參考文獻

[1]高海英，薛元星，辛陽等著.VPN技術［M］. 北京:機械工業出版社, 2004,(4).

[2]王達等著.虛擬專用網（VPN）精解[M].北京:清華大學出版社, 2005,(4).

[3][美]Mark Lewis著. VPN故障診斷與排除[M]. 袁國忠等譯.北京:人民郵電出版社, 2006,(2).