赵瑞

摘 要：飞行学院ADS-B业务专网和校园网之间物理隔离，校园网用户无法访问ADS-B数据服务器，文章提出一种利用双网卡代理服务器进行数据转发来实现两个网络互联互通的设计方案。

关键词：ADS-B；代理服务器；SOCKS5；VPN

中图分类号：TP31 文献标志码：A 文章编号：2095-2945（2017）25-0013-02

引言

ADS-B（广播式自动相关监视）是一种新型的基于GPS卫星定位系统和地空数据链通信的航空器运行监视技术。目前中国民航飞行学院ADS-B系统的数据网络以业务专网的形式运行，校园网用户无法访问。以洛阳分院为例，只有塔台、管制室等在ADS-B业务专网内的终端计算机才能访问ADS-B服务器，获得飞行运行监视数据。为便于学院主管领导及时监控训练飞行情况，机务工程部运控中心掌握实时训练飞行动态，需要对现有网络结构进行更新升级和优化，以实现校园网和ADS-B业务专网的互联互通。

1 双网互联的实现方案

ADS-B业务专网和校园网分别为不同IP地址段的两个局域网，ADS-B专网不与其他网络联通，但校园网通过路由与外部因特网连接。要实现两个网络之间互联，最简单的就是软件方案，具体方法为利用一台双网卡计算機作为代理服务器，两个网卡分别连接两个网络，使用代理服务器软件对两个网络之间的数据进行路由中转，以实现校园网用户对ADS-B业务专网的访问。具体的实现方案如图1所示。

2 代理服务器的实现原理

如果一台计算机（客户机）自身不能执行某种操作，需要通过一台服务器来执行该操作，那么该服务器即为代理服务器。工作机制类似于生活中的代理商，假设有计算机A（Client），希望获取B（Object Server）的数据，代理服务器为C（Proxy Server），具体工作流程为：A最终想要获得B的数据，A须首先与C建立连接，C接收到A的数据请求后，与B建立连接并下载A需要的B机的数据到本地，然后再传送给A，完成代理。

在两个网络之间的代理服务器上安装代理服务器软件并进行必要的配置即可实现代理。目前比较流行的代理服务器软件主要有Windows系统下的CCProxy、WProxy等和Linux系统下的Squid、Dante等。CCProxy和WProxy可以同时支持HTTP和SOCKS5代理，Squid只支持HTTP代理，Dante只支持SOCKS5代理。

3 代理服务器的配置

3.1 硬件配置

考虑到校园网内有访问ADS-B数据需求的用户并不多，且ADS-B监视数据流量较小，对于代理服务器的硬件性能需求不高，所以代理服务器硬件的选择可以采用比较经济的方案。

目前本方案硬件实现为一台普通计算机加装一块独立网卡，利用计算机主板上的集成网卡和这块独立网卡使这台计算机升级成为一台双网卡的简易代理服务器，两块网卡分别接入校园网和ADS-B业务专网。因为校园网和ADS-B专网分属不同的IP地址段，所以要分别为每块网卡设置一个其所属网段的静态IP地址。

3.2 软件配置

代理服务器软件的选择要考虑软件功能性、易用性、性价比和维护难度。Linux系统下的代理服务器软件功能较单一，且维护难度大，暂不考虑。本方案选择Windows系统下的WProxy作为代理服务器软件。WProxy是一款免费软件，支持HTTP、SOCKS5等4种代理服务、超大高速Web缓存、代理账号验证、IP黑白名单、高并发处理。

WProxy软件安装过程较简单，安装完成后自启动，并自动添加系统启动项和后台服务，系统重启后WProxy后台服务会自启动运行。软件的具体配置过程如下：（1）设置需要开启的代理类型。根据学院校园网和ADS-B业务专网互联的具体应用需求，只需要开启HTTP和SOCKS5两种代理类型。WProxy上HTTP代理默认端口是808，SOCKS5代理默认端口是1080，两者可以不做修改直接使用默认值。（2）设置本机监听的IP地址。为了使用户计算机能够顺利访问到服务器上的所有网卡IP，本机监听的IP地址需要设置为0.0.0.0。地址0.0.0.0在IPv4中属于A类特殊IP地址。在服务器上，0.0.0.0指的是本机上的所有IPv4地址，如果一个主机有两个IP地址，并且该主机上的一个服务监听的地址是0.0.0.0，那么通过两个IP地址都能够访问该服务。在实际应用中，一般我们在服务端绑定本机监听IP的时候如果绑定到0.0.0.0，服务访问方就可以通过服务器的多个IP地址（多网卡）访问服务器上的服务。（3）配置Web缓存。因为ADS-B系统数据流量不高，所以WProxy的Web缓存可以使用默认值，不需要进行特殊优化。（4）配置账号验证和IP黑白名单。WProxy的账号密码设置需要结合WFilter软件，添加账号密码后，访问用户必须先验证账户信息才能连接服务器获取数据。IP白名单可以控制只允许某些IP或IP段上的用户访问服务器，IP黑名单则可以禁止某些IP或IP段的用户访问服务器。

3.3 外网访问配置

在家办公、出差等情况下有访问ADS-B数据服务器需求的话，需要先通过外部因特网接入校园网，然后经代理服务器跳接到ADS-B业务专网。由于校园网是局域网，代理服务器没有公网IP，外部外网无法直连代理服务器，所以必须要在外网用户计算机和代理服务器之间搭建一个VPN通道，外网用户可以通过VPN直连代理服务器。可以利用代理服务器Windows系统内置的功能搭建VPN服务器，一般先要在网络适配器设置里新建传入连接，然后设置准入账户以及网络参数完成设置。因为代理服务器所在校园内网里，没有公网IP，外网用户无法直接访问，所以还需要在校园网出口路由上进行端口映射。在出口路由上做1723端口的映射，将代理服务器的校园网IP映射到校园网出口路由的公网IP上。

4 实现示例

代理服务器配置完成后，校园网内的用户如要访问ADS-B数据服务器，首先要在ADS-B客户端上进行本地网络代理设置。因为ADS-B客户端软件支持SOCKS5代理， IP地址应设为代理服务器校园网网卡IP，端口设为对应的1080。如果代理服务器软件开启了账号验证，还需要在ADS-B客户端软件上填写正确的账号和密码。设置完成后，ADS-B客户端软件向ADS-B数据服务器IP发起访问请求后，该请求会先转到代理服务器校园网网卡IP，然后经过服务器IP地址0.0.0.0自动跳接到ADS-B专网网卡IP上，请求进入ADS-B专网最终路由到ADS-B数据服务器，最终实现校园网ADS-B客户端和ADS-B专网服务器的互联互通。

5 结束语

随着学院的快速发展， ADS-B在飞行指挥中的作用变得越来越重要，ADS-B系统的正常运行直接关系着学院训练飞行的安全。本方案以极低的成本和较高的易用性，解决了学院校园网和ADS-B业务专网的互联问题，使更多的重要位置、部门和人员能够连通ADS-B业务专网，观察实时训练飞行动态，切实加强了整个分院的飞行监控能力，为飞行运行的安全提供强有力的保障。

参考文献：

[1]常国锋.代理服务器接入Internet技术分析[J].科技资讯，2015，07.

[2]罗智勇，等.基于VPN网络的高校数字化图书馆组建模型研究[J].图书馆学研究，2013，01.endprint