飛行學院校園網與ADS—B業務專網互聯的實現方案

趙瑞

摘 要：飛行學院ADS-B業務專網和校園網之間物理隔離，校園網用戶無法訪問ADS-B數據服務器，文章提出一種利用雙網卡代理服務器進行數據轉發來實現兩個網絡互聯互通的設計方案。

關鍵詞：ADS-B；代理服務器；SOCKS5；VPN

中圖分類號：TP31 文獻標志碼：A 文章編號：2095-2945（2017）25-0013-02

引言

ADS-B（廣播式自動相關監視）是一種新型的基于GPS衛星定位系統和地空數據鏈通信的航空器運行監視技術。目前中國民航飛行學院ADS-B系統的數據網絡以業務專網的形式運行，校園網用戶無法訪問。以洛陽分院為例，只有塔臺、管制室等在ADS-B業務專網內的終端計算機才能訪問ADS-B服務器，獲得飛行運行監視數據。為便于學院主管領導及時監控訓練飛行情況，機務工程部運控中心掌握實時訓練飛行動態，需要對現有網絡結構進行更新升級和優化，以實現校園網和ADS-B業務專網的互聯互通。

1 雙網互聯的實現方案

ADS-B業務專網和校園網分別為不同IP地址段的兩個局域網，ADS-B專網不與其他網絡聯通，但校園網通過路由與外部因特網連接。要實現兩個網絡之間互聯，最簡單的就是軟件方案，具體方法為利用一臺雙網卡計算機作為代理服務器，兩個網卡分別連接兩個網絡，使用代理服務器軟件對兩個網絡之間的數據進行路由中轉，以實現校園網用戶對ADS-B業務專網的訪問。具體的實現方案如圖1所示。

2 代理服務器的實現原理

如果一臺計算機（客戶機）自身不能執行某種操作，需要通過一臺服務器來執行該操作，那么該服務器即為代理服務器。工作機制類似于生活中的代理商，假設有計算機A（Client），希望獲取B（Object Server）的數據，代理服務器為C（Proxy Server），具體工作流程為：A最終想要獲得B的數據，A須首先與C建立連接，C接收到A的數據請求后，與B建立連接并下載A需要的B機的數據到本地，然后再傳送給A，完成代理。

在兩個網絡之間的代理服務器上安裝代理服務器軟件并進行必要的配置即可實現代理。目前比較流行的代理服務器軟件主要有Windows系統下的CCProxy、WProxy等和Linux系統下的Squid、Dante等。CCProxy和WProxy可以同時支持HTTP和SOCKS5代理，Squid只支持HTTP代理，Dante只支持SOCKS5代理。

3 代理服務器的配置

3.1 硬件配置

考慮到校園網內有訪問ADS-B數據需求的用戶并不多，且ADS-B監視數據流量較小，對于代理服務器的硬件性能需求不高，所以代理服務器硬件的選擇可以采用比較經濟的方案。

目前本方案硬件實現為一臺普通計算機加裝一塊獨立網卡，利用計算機主板上的集成網卡和這塊獨立網卡使這臺計算機升級成為一臺雙網卡的簡易代理服務器，兩塊網卡分別接入校園網和ADS-B業務專網。因為校園網和ADS-B專網分屬不同的IP地址段，所以要分別為每塊網卡設置一個其所屬網段的靜態IP地址。

3.2 軟件配置

代理服務器軟件的選擇要考慮軟件功能性、易用性、性價比和維護難度。Linux系統下的代理服務器軟件功能較單一，且維護難度大，暫不考慮。本方案選擇Windows系統下的WProxy作為代理服務器軟件。WProxy是一款免費軟件，支持HTTP、SOCKS5等4種代理服務、超大高速Web緩存、代理賬號驗證、IP黑白名單、高并發處理。

WProxy軟件安裝過程較簡單，安裝完成后自啟動，并自動添加系統啟動項和后臺服務，系統重啟后WProxy后臺服務會自啟動運行。軟件的具體配置過程如下：（1）設置需要開啟的代理類型。根據學院校園網和ADS-B業務專網互聯的具體應用需求，只需要開啟HTTP和SOCKS5兩種代理類型。WProxy上HTTP代理默認端口是808，SOCKS5代理默認端口是1080，兩者可以不做修改直接使用默認值。（2）設置本機監聽的IP地址。為了使用戶計算機能夠順利訪問到服務器上的所有網卡IP，本機監聽的IP地址需要設置為0.0.0.0。地址0.0.0.0在IPv4中屬于A類特殊IP地址。在服務器上，0.0.0.0指的是本機上的所有IPv4地址，如果一個主機有兩個IP地址，并且該主機上的一個服務監聽的地址是0.0.0.0，那么通過兩個IP地址都能夠訪問該服務。在實際應用中，一般我們在服務端綁定本機監聽IP的時候如果綁定到0.0.0.0，服務訪問方就可以通過服務器的多個IP地址（多網卡）訪問服務器上的服務。（3）配置Web緩存。因為ADS-B系統數據流量不高，所以WProxy的Web緩存可以使用默認值，不需要進行特殊優化。（4）配置賬號驗證和IP黑白名單。WProxy的賬號密碼設置需要結合WFilter軟件，添加賬號密碼后，訪問用戶必須先驗證賬戶信息才能連接服務器獲取數據。IP白名單可以控制只允許某些IP或IP段上的用戶訪問服務器，IP黑名單則可以禁止某些IP或IP段的用戶訪問服務器。

3.3 外網訪問配置

在家辦公、出差等情況下有訪問ADS-B數據服務器需求的話，需要先通過外部因特網接入校園網，然后經代理服務器跳接到ADS-B業務專網。由于校園網是局域網，代理服務器沒有公網IP，外部外網無法直連代理服務器，所以必須要在外網用戶計算機和代理服務器之間搭建一個VPN通道，外網用戶可以通過VPN直連代理服務器。可以利用代理服務器Windows系統內置的功能搭建VPN服務器，一般先要在網絡適配器設置里新建傳入連接，然后設置準入賬戶以及網絡參數完成設置。因為代理服務器所在校園內網里，沒有公網IP，外網用戶無法直接訪問，所以還需要在校園網出口路由上進行端口映射。在出口路由上做1723端口的映射，將代理服務器的校園網IP映射到校園網出口路由的公網IP上。

4 實現示例

代理服務器配置完成后，校園網內的用戶如要訪問ADS-B數據服務器，首先要在ADS-B客戶端上進行本地網絡代理設置。因為ADS-B客戶端軟件支持SOCKS5代理， IP地址應設為代理服務器校園網網卡IP，端口設為對應的1080。如果代理服務器軟件開啟了賬號驗證，還需要在ADS-B客戶端軟件上填寫正確的賬號和密碼。設置完成后，ADS-B客戶端軟件向ADS-B數據服務器IP發起訪問請求后，該請求會先轉到代理服務器校園網網卡IP，然后經過服務器IP地址0.0.0.0自動跳接到ADS-B專網網卡IP上，請求進入ADS-B專網最終路由到ADS-B數據服務器，最終實現校園網ADS-B客戶端和ADS-B專網服務器的互聯互通。

5 結束語

隨著學院的快速發展， ADS-B在飛行指揮中的作用變得越來越重要，ADS-B系統的正常運行直接關系著學院訓練飛行的安全。本方案以極低的成本和較高的易用性，解決了學院校園網和ADS-B業務專網的互聯問題，使更多的重要位置、部門和人員能夠連通ADS-B業務專網，觀察實時訓練飛行動態，切實加強了整個分院的飛行監控能力，為飛行運行的安全提供強有力的保障。

參考文獻：

[1]常國鋒.代理服務器接入Internet技術分析[J].科技資訊，2015，07.

[2]羅智勇，等.基于VPN網絡的高校數字化圖書館組建模型研究[J].圖書館學研究，2013，01.endprint