TDCS/CTC系統路局中心網絡防火墻橋接模式

周佩琦

*烏魯木齊鐵路局電務處 工程師，830001 烏魯木齊

隨著鐵路信息化建設的發展，TDCS/CTC(列車調度指揮系統/調度集中系統)已逐漸成為重要的鐵路運輸指揮手段，其網絡已經覆蓋了所有鐵路局中心及各個車站，因此網絡安全成為保障其正常運行的重要因素，防火墻更是保證網絡安全的重要設備之一。

1 防火墻在TDCS/CTC系統中的接入模式

防火墻是一種用來加強網絡之間訪問控制、防止外部網絡用戶以非法手段通過外部網絡進入內部網絡、訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。隨著TDCS/CTC技術的發展，防火墻技術的應用也在不斷提高。

在TDCS/CTC系統發展初期，調度中心防火墻采用路由模式，車站采用透明橋接模式;目前大部分鐵路局在調度中心和車站均采用透明橋接模式，只有少部分鐵路局調度中心采用原有路由模式。

路由:是指依據OSI網絡模型的網絡層地址，對網絡數據包進行尋路轉發的過程。橋接:是指依據OSI網絡模型的鏈路層地址，對網絡數據包進行轉發的過程。它們的主要區別在于橋接發生在OSI參考模型的第二層(數據鏈路層)，而路由發生在第三層(網絡層)。由于在傳遞信息的過程中使用不同的信息，這一區別使二者以不同的方式來完成其任務。

路由模式的防火墻在路由器和交換機之間采用網絡層協議建立數據包轉發路徑，在TDCS/CTC系統發展初期，調度中心一般采用此種模式。透明橋接模式的防火墻在路由器和交換機之間采用數據鏈路層協議建立數據包轉發路徑，TDCS/CTC系統車站一直采用這種模式，目前大部分調度中心也采用這種模式。

2 防火墻在系統中心網絡的2種接入模式

由于TDCS/CTC系統屬于行車指揮設備，考慮到其安全性，都采用雙套設備，其中防火墻每2臺屬于1套，故一共設置4臺防火墻。其功能主要是保護內部網絡免受外部網絡的攻擊、惡性訪問及病毒傳播。防火墻一般設置在路由器和交換機之間。2種接入模式的優缺點如下。

2.1 系統中心防火墻路由模式

圖1 TDCS/CTC系統中心防火墻路由模式連接示意圖

路由模式工作數據包轉發過程中尋址基于IP地址，而選路是通過路由選擇協議計算并選擇數據包轉發的最佳路徑。故如圖1所示TDCS/CTC系統調度中心網絡中的路由器、防火墻及交換機必須單獨形成一個路由選擇協議區域，以供完成數據包轉發及防火墻訪問控制和數據包過濾等工作。

路由選擇協議是數據包轉發計算并選擇最佳路徑的協議，一般常見的有 RIP、OSPF、IGRP及EIGRP等，其中EIGRP協議屬于CISCO公司的私有協議，只有該公司生產的設備支持該協議。根據TDCS/CTC中心網絡構架的特點及設備選型等多方面因素，路由模式中選用OSPF協議。如圖1中路由器、防火墻及交換機之間建立一個OSPF區域，專門為數據包轉發及防火墻的工作服務，而路由器連接的外部網絡及交換機連接的內部網絡所采用的路由選擇協議對防火墻來說均不考慮。但為了能夠保證外部網絡與內部網絡的正常數據傳遞，需要在路由器及交換機上，將外部及內部網絡的其他路由選擇協議區域與該OSPF區域選擇性的聯通(即路由選擇協議區域間的雙方向路由重發布)。

2.2 系統中心防火墻透明橋接模式

透明橋接模式之所以“透明”，是由于防火墻以此種模式連接在交換機與路由器之間后，從路由器和交換機的角度“看”都可以認為此防火墻是“瞧不見”的。這主要是因為基于OSI參考模型的第二層(數據鏈路層)，在數據包轉發過程中使用MAC地址作出轉發決定，這樣就等于位于一個單獨的邏輯地址空間內，而且在轉發數據包過程中不更改數據包的內容，也不作為數據包的源和目的地，連接起來的網段好像在一條透明的管道中一樣。故如圖2所示，TDCS/CTC系統調度中心網絡中的路由器、防火墻及交換機不必單獨形成一個路由選擇協議區域，因此減少了路由器和交換機為不同路由選擇協議區域間交互而進行的大量計算。另外，從TDCS/CTC系統軟件的角度來看，防火墻就像網線的一部分，除了要進行訪問控制及數據包過濾等工作外，似乎可以不用考慮其存在。

3 采用透明橋接模式的優勢

3.1 路由模式存在的幾個缺陷

1．路由收斂速度慢及網絡設備計算量大。在路由模式中，路由器、防火墻和交換機之間建立一個單獨路由選擇協議區域，而外部網絡和內部網絡還存在其他區域，要保證整體系統的正常運行就必須將所有路由選擇協議區域間進行雙方向路由重發布，這樣大大降低了路由收斂速度。另外，由于這些工作是由路由器和交換機完成的，故又大大增加了調度中心核心路由器及核心交換機的計算量，從而導致網絡設備工作量過大、負擔過重。

圖2 TDCS/CTC系統中心防火墻透明橋接模式示意圖

2．網絡瓶頸問題。在路由模式中，為了保證每臺防火墻都能得到路由器中完整的路由表，故必須在路由器與防火墻之間增加2臺小型交換機，根據圖1中的結構能夠看出這2臺小型交換機成為整個系統數據傳輸過程中的瓶頸，如果發生故障影響也比較大。

3．結構過于復雜導致維護工作難度加大。在路由模式中，為了保證系統的安全性要求就需要提供大量的冗余路徑，通過圖1可以看出，結構相當復雜，這樣給日常的維護工作及故障處理增加了很大的難度。

3.2 透明橋接模式的優勢

1．路由收斂速度快及網絡設備計算量小。由于透明橋接模式是基于數據鏈路層工作的，防火墻僅僅作為一個透明網橋存在，并不參與路由計算，更不需要在路由器和交換機之間為防火墻單獨建立一個路由選擇協議區域。這樣路由器和交換機明顯減少了一個雙方向路由重發布的環節，路由收斂速度明顯比路由模式快，而且中心網絡設備的計算量也比路由模式小。

2．不存在網絡瓶頸問題。如前所述，防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機。從圖2可以看出透明橋接模式并不存在瓶頸問題。

3．結構相對簡單，便于維護。如圖2所示，根據透明橋接模式工作原理所形成的拓撲結構明顯比路由模式，極大地方便了維護人員的日常維護及故障排查。

4 結束語

目前，計算機網絡技術已在我國鐵路系統中廣泛應用，帶來的網絡安全問題也日益明顯。隨著計算機和通信技術的發展，如何不斷改進和完善網絡的安全方案也將成為我們日后研究的方向之一。

［1］姜全生，王彬，侯麗萍，馬文坤．計算機網絡技術應用［M］．北京:清華大學出版社，2010．9．

［2］馮登國．網絡安全原理與技術［M］.北京:科技出版社，2007．9．

［3］閻慧，王偉．防火墻原理與技術［M］.北京:機械工業出版社，2004．4．