TDCS/CTC系统路局中心网络防火墙桥接模式
2012-11-27周佩琦
周佩琦
*乌鲁木齐铁路局电务处 工程师,830001 乌鲁木齐
随着铁路信息化建设的发展,TDCS/CTC(列车调度指挥系统/调度集中系统)已逐渐成为重要的铁路运输指挥手段,其网络已经覆盖了所有铁路局中心及各个车站,因此网络安全成为保障其正常运行的重要因素,防火墙更是保证网络安全的重要设备之一。
1 防火墙在TDCS/CTC系统中的接入模式
防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。随着TDCS/CTC技术的发展,防火墙技术的应用也在不断提高。
在TDCS/CTC系统发展初期,调度中心防火墙采用路由模式,车站采用透明桥接模式;目前大部分铁路局在调度中心和车站均采用透明桥接模式,只有少部分铁路局调度中心采用原有路由模式。
路由:是指依据OSI网络模型的网络层地址,对网络数据包进行寻路转发的过程。桥接:是指依据OSI网络模型的链路层地址,对网络数据包进行转发的过程。它们的主要区别在于桥接发生在OSI参考模型的第二层(数据链路层),而路由发生在第三层(网络层)。由于在传递信息的过程中使用不同的信息,这一区别使二者以不同的方式来完成其任务。
路由模式的防火墙在路由器和交换机之间采用网络层协议建立数据包转发路径,在TDCS/CTC系统发展初期,调度中心一般采用此种模式。透明桥接模式的防火墙在路由器和交换机之间采用数据链路层协议建立数据包转发路径,TDCS/CTC系统车站一直采用这种模式,目前大部分调度中心也采用这种模式。
2 防火墙在系统中心网络的2种接入模式
由于TDCS/CTC系统属于行车指挥设备,考虑到其安全性,都采用双套设备,其中防火墙每2台属于1套,故一共设置4台防火墙。其功能主要是保护内部网络免受外部网络的攻击、恶性访问及病毒传播。防火墙一般设置在路由器和交换机之间。2种接入模式的优缺点如下。
2.1 系统中心防火墙路由模式
图1 TDCS/CTC系统中心防火墙路由模式连接示意图
路由模式工作数据包转发过程中寻址基于IP地址,而选路是通过路由选择协议计算并选择数据包转发的最佳路径。故如图1所示TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机必须单独形成一个路由选择协议区域,以供完成数据包转发及防火墙访问控制和数据包过滤等工作。
路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有 RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据TDCS/CTC中心网络构架的特点及设备选型等多方面因素,路由模式中选用OSPF协议。如图1中路由器、防火墙及交换机之间建立一个OSPF区域,专门为数据包转发及防火墙的工作服务,而路由器连接的外部网络及交换机连接的内部网络所采用的路由选择协议对防火墙来说均不考虑。但为了能够保证外部网络与内部网络的正常数据传递,需要在路由器及交换机上,将外部及内部网络的其他路由选择协议区域与该OSPF区域选择性的联通(即路由选择协议区域间的双方向路由重发布)。
2.2 系统中心防火墙透明桥接模式
透明桥接模式之所以“透明”,是由于防火墙以此种模式连接在交换机与路由器之间后,从路由器和交换机的角度“看”都可以认为此防火墙是“瞧不见”的。这主要是因为基于OSI参考模型的第二层(数据链路层),在数据包转发过程中使用MAC地址作出转发决定,这样就等于位于一个单独的逻辑地址空间内,而且在转发数据包过程中不更改数据包的内容,也不作为数据包的源和目的地,连接起来的网段好像在一条透明的管道中一样。故如图2所示,TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机不必单独形成一个路由选择协议区域,因此减少了路由器和交换机为不同路由选择协议区域间交互而进行的大量计算。另外,从TDCS/CTC系统软件的角度来看,防火墙就像网线的一部分,除了要进行访问控制及数据包过滤等工作外,似乎可以不用考虑其存在。
3 采用透明桥接模式的优势
3.1 路由模式存在的几个缺陷
1.路由收敛速度慢及网络设备计算量大。在路由模式中,路由器、防火墙和交换机之间建立一个单独路由选择协议区域,而外部网络和内部网络还存在其他区域,要保证整体系统的正常运行就必须将所有路由选择协议区域间进行双方向路由重发布,这样大大降低了路由收敛速度。另外,由于这些工作是由路由器和交换机完成的,故又大大增加了调度中心核心路由器及核心交换机的计算量,从而导致网络设备工作量过大、负担过重。
图2 TDCS/CTC系统中心防火墙透明桥接模式示意图
2.网络瓶颈问题。在路由模式中,为了保证每台防火墙都能得到路由器中完整的路由表,故必须在路由器与防火墙之间增加2台小型交换机,根据图1中的结构能够看出这2台小型交换机成为整个系统数据传输过程中的瓶颈,如果发生故障影响也比较大。
3.结构过于复杂导致维护工作难度加大。在路由模式中,为了保证系统的安全性要求就需要提供大量的冗余路径,通过图1可以看出,结构相当复杂,这样给日常的维护工作及故障处理增加了很大的难度。
3.2 透明桥接模式的优势
1.路由收敛速度快及网络设备计算量小。由于透明桥接模式是基于数据链路层工作的,防火墙仅仅作为一个透明网桥存在,并不参与路由计算,更不需要在路由器和交换机之间为防火墙单独建立一个路由选择协议区域。这样路由器和交换机明显减少了一个双方向路由重发布的环节,路由收敛速度明显比路由模式快,而且中心网络设备的计算量也比路由模式小。
2.不存在网络瓶颈问题。如前所述,防火墙不需要像路由模式那样为了保证路由更新及路由表的完整增加小型交换机。从图2可以看出透明桥接模式并不存在瓶颈问题。
3.结构相对简单,便于维护。如图2所示,根据透明桥接模式工作原理所形成的拓扑结构明显比路由模式,极大地方便了维护人员的日常维护及故障排查。
4 结束语
目前,计算机网络技术已在我国铁路系统中广泛应用,带来的网络安全问题也日益明显。随着计算机和通信技术的发展,如何不断改进和完善网络的安全方案也将成为我们日后研究的方向之一。
[1]姜全生,王彬,侯丽萍,马文坤.计算机网络技术应用[M].北京:清华大学出版社,2010.9.
[2]冯登国.网络安全原理与技术[M].北京:科技出版社,2007.9.
[3]阎慧,王伟.防火墙原理与技术[M].北京:机械工业出版社,2004.4.
