新荷沿線車間VPN接入方案

方 娜

新鄉鐵通，河南新鄉 453000

1 相關技術

1.1 改造背景

新荷線電氣化項目實施后，信號干擾嚴重，造成新荷線所有車間撥號上網困難，經常出現無法正常撥號，撥號后速率低，嚴重影響到了沿線車間接收新鄉橋工段總段發文件、上報作業生產任務、計劃等日常工作。所以急需對沿線車間撥號網絡進行改造。

1.2 網絡現狀

目前新鄉橋工段中心點自有服務器，中心點服務器類型為1臺Web+郵件服務器，2臺程序服務器，自有交換機。計劃光纖接入其機關辦公網。橋工段中心點下接沿線13個車間。13個車間使用鐵通的ADSL線路。13個車間需要訪問中心點的服務器，通過INTERNET網絡訪問到段中心機房服務器上的Web服務、Email、FTP等現有網絡服務，進行日常網絡辦公。

1.3 相關技術

1）此次橋工段改造的主要目的是為了讓各沿線車間通過訪問新鄉橋工段中心點的服務器從而進行公文的互傳，上網信息的安全性非常重要。而VPN技術采用的是最安全的IPSec協議，通過該協議傳輸數據是經過嚴格加密的（APN數據硬件加密達168位），根本是不可能破解，這樣數據在網絡上傳輸的時候即使被黑客查看到也是亂碼，而且VPN可以保證數據的完整性，就算黑客查看到也不可能進行修改。所以決定采用VPN技術解決車間上網困難的現象；

2）VPN也叫虛擬專用網，即通過因特網建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道。所謂隧道就是一種封裝技術，而IPSec隧道協議允許對IP數據進行加密，然后封裝在IP包頭中通過INTERNET發送，使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。

2 接入方案

2.1 方案說明

1）新鄉橋工段中心點采用MON166APN設備。 由于中心點的數據傳輸對穩定性要求極高，特別是在工作傳輸數據的高峰時期，因此網絡必須是更大的帶寬和更高的穩定性。所以我們建議在中心點使用MOON166設備，能充分的保證段部網絡的穩定性。MOON166提供作為智能接入終端的所有功能，如高性能的防火墻，帶寬管理，流量監控，snmp agent等；

2）13個沿線車間采用STAR16APN設備。各車間的數據流量同樣很重要，STAR-16都具有高性能的VPN接入設備提供作為智能接入終端的所有功能，如高性能的防火墻，帶寬管理，流量監控，snmp agent等；

3）中心點MON166的外網接口（即WAN口）和鐵通機房的核心交換機互聯，內網接口（即LAN口）和橋工段中心點的交換機互聯。各車間的STAR16設備WAN口均為PPPOE撥號連接，LAN口和車間的PC互聯。只要讓STAR16和MON166設備連入公用網絡即可自動發現并建立隧道。

2.2 方案拓撲圖

方案拓撲如圖2所示。

圖2

2.3 數據準備

1）由于APN設備采用VPN技術，因此每個APN設備需要一個許可證號，從而和中心節點建立隧道連接；

2）MON166的廣域網IP為鐵通網絡地址，局域網IP跟橋工段中心點的服務器在一個網段即可；

3）需對13個STAR16的局域網IP進行統一地址分配和規劃。

2.4 具體接入方案如下

1）中心點：采用敷設10M 光纖通道，接入MOON166設備實現；

2）用戶端：在鐵通有網絡接口的位置實現直接ADSL接入，單點增加STAR-16設備1臺，多點距離不超100m采用交換機（多口）接入。

3 結論

本文分析了橋工段目前的網絡現狀，并根據其安全性的要求，選擇了用VPN技術來實現網絡改造。改造后各沿線車間和段之間的公文傳遞和內部數據傳遞更加安全和穩定。

[1]局域網組建和維護教程.北京：中國鐵道出版社.

[2]Naganand.Doraswamy，Dan.Harkins.IPSec－新一代因特網安全標準[M].北京：機械工業出版社，2000．

[3]郭美華.VPN技術應用研究[J].商場現代化，2007(14)：27-28.