方 娜

新乡铁通，河南新乡 453000

1 相关技术

1.1 改造背景

新荷线电气化项目实施后，信号干扰严重，造成新荷线所有车间拨号上网困难，经常出现无法正常拨号，拨号后速率低，严重影响到了沿线车间接收新乡桥工段总段发文件、上报作业生产任务、计划等日常工作。所以急需对沿线车间拨号网络进行改造。

1.2 网络现状

目前新乡桥工段中心点自有服务器，中心点服务器类型为1台Web+邮件服务器，2台程序服务器，自有交换机。计划光纤接入其机关办公网。桥工段中心点下接沿线13个车间。13个车间使用铁通的ADSL线路。13个车间需要访问中心点的服务器，通过INTERNET网络访问到段中心机房服务器上的Web服务、Email、FTP等现有网络服务，进行日常网络办公。

1.3 相关技术

1）此次桥工段改造的主要目的是为了让各沿线车间通过访问新乡桥工段中心点的服务器从而进行公文的互传，上网信息的安全性非常重要。而VPN技术采用的是最安全的IPSec协议，通过该协议传输数据是经过严格加密的（APN数据硬件加密达168位），根本是不可能破解，这样数据在网络上传输的时候即使被黑客查看到也是乱码，而且VPN可以保证数据的完整性，就算黑客查看到也不可能进行修改。所以决定采用VPN技术解决车间上网困难的现象；

2）VPN也叫虚拟专用网，即通过因特网建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。所谓隧道就是一种封装技术，而IPSec隧道协议允许对IP数据进行加密，然后封装在IP包头中通过INTERNET发送，使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

2 接入方案

2.1 方案说明

1）新乡桥工段中心点采用MON166APN设备。 由于中心点的数据传输对稳定性要求极高，特别是在工作传输数据的高峰时期，因此网络必须是更大的带宽和更高的稳定性。所以我们建议在中心点使用MOON166设备，能充分的保证段部网络的稳定性。MOON166提供作为智能接入终端的所有功能，如高性能的防火墙，带宽管理，流量监控，snmp agent等；

2）13个沿线车间采用STAR16APN设备。各车间的数据流量同样很重要，STAR-16都具有高性能的VPN接入设备提供作为智能接入终端的所有功能，如高性能的防火墙，带宽管理，流量监控，snmp agent等；

3）中心点MON166的外网接口（即WAN口）和铁通机房的核心交换机互联，内网接口（即LAN口）和桥工段中心点的交换机互联。各车间的STAR16设备WAN口均为PPPOE拨号连接，LAN口和车间的PC互联。只要让STAR16和MON166设备连入公用网络即可自动发现并建立隧道。

2.2 方案拓扑图

方案拓扑如图2所示。

图2

2.3 数据准备

1）由于APN设备采用VPN技术，因此每个APN设备需要一个许可证号，从而和中心节点建立隧道连接；

2）MON166的广域网IP为铁通网络地址，局域网IP跟桥工段中心点的服务器在一个网段即可；

3）需对13个STAR16的局域网IP进行统一地址分配和规划。

2.4 具体接入方案如下

1）中心点：采用敷设10M 光纤通道，接入MOON166设备实现；

2）用户端：在铁通有网络接口的位置实现直接ADSL接入，单点增加STAR-16设备1台，多点距离不超100m采用交换机（多口）接入。

3 结论

本文分析了桥工段目前的网络现状，并根据其安全性的要求，选择了用VPN技术来实现网络改造。改造后各沿线车间和段之间的公文传递和内部数据传递更加安全和稳定。

[1]局域网组建和维护教程.北京：中国铁道出版社.

[2]Naganand.Doraswamy，Dan.Harkins.IPSec－新一代因特网安全标准[M].北京：机械工业出版社，2000．

[3]郭美华.VPN技术应用研究[J].商场现代化，2007(14)：27-28.