胡蓓蓓

（上海通信段合肥通信車間，安徽 合肥 230000）

1 VPN的基本概念

在VPN(Virtual Private Network)即虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。 虛擬專用網(wǎng)對(duì)用戶端透明，用戶好像使用一條專用線路進(jìn)行通信。

虛擬專用網(wǎng)(VPN)是一個(gè)綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網(wǎng)絡(luò)架構(gòu)上(通常是Internet)利用安全、認(rèn)證、加密等技術(shù)建立企業(yè)的專用線路，在降低聯(lián)網(wǎng)費(fèi)用的同時(shí)確保信息的安全性、完整性和真實(shí)性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優(yōu)先級(jí)別，可構(gòu)筑于IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)上。

2 VPN 的關(guān)鍵技術(shù)

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。

2.1 隧道技術(shù)

VPN是在公網(wǎng)中形成企業(yè)專用的鏈路，為了形成這樣的鏈路，采用了所謂的“隧道”技術(shù)。隧道技術(shù)是VPN的基本技術(shù)，它是分組封裝(Capsule)的技術(shù)，可以模仿點(diǎn)對(duì)點(diǎn)連接技術(shù)，依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商 (NSP)在公用網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是一種利用公網(wǎng)設(shè)施，在一個(gè)網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報(bào)頭封裝幀，附加的報(bào)頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地。

2.2 加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP (Encapsulationg Security Payload)實(shí)現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對(duì)數(shù)據(jù)加密，當(dāng)數(shù)據(jù)到達(dá)接收者時(shí)由接收者對(duì)數(shù)據(jù)進(jìn)行解密的處理過程，算法主要種類包括：對(duì)稱加密(單鑰加密)算法、不對(duì)稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者 Rivest、Shamir和 Adleman名字的首字符)。對(duì)于對(duì)稱加密算法，通信雙方共享一個(gè)密鑰，發(fā)送方使用該密鑰將明文加密成密文，接收方使用相同的密鑰將密文還原成明文。對(duì)稱加密算法運(yùn)算速度快。

不對(duì)稱加密算法是通信雙方各使用兩個(gè)不同的密鑰，一個(gè)是只有發(fā)送方知道的密鑰，另一個(gè)則是與之對(duì)應(yīng)的公開密鑰，公開密鑰不需保密。在通信過程中，發(fā)送方用接收方的公開密鑰加密消息，并且可以用發(fā)送方的秘密密鑰對(duì)消息的某一部分或全部加密，進(jìn)行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗(yàn)證發(fā)送方身份。

2.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

2.4 使用者與設(shè)備身份認(rèn)證技術(shù)

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是用戶名/口令或智能卡認(rèn)證等方式。

3 VPN技術(shù)在上海鐵路局視訊系統(tǒng)的應(yīng)用

3.1 組網(wǎng)需求

結(jié)合鐵路局目前的IP數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)環(huán)境,利用 IP數(shù)據(jù)網(wǎng)組建VPN虛擬專用網(wǎng)線路,采用基于VPN網(wǎng)絡(luò)的點(diǎn)對(duì)點(diǎn)組網(wǎng)模式實(shí)現(xiàn)上海鐵路局視頻會(huì)議系統(tǒng),用來滿足圖像、多媒體、數(shù)據(jù)、語音等信息的傳輸來實(shí)現(xiàn)實(shí)時(shí)、快捷的聯(lián)動(dòng)指揮,可極大提高各點(diǎn)間協(xié)同工作能力。

3.2 設(shè)備部署

3.2.1 組網(wǎng)模式

針對(duì)上海鐵路局管內(nèi)鐵路IP數(shù)據(jù)網(wǎng)VPN、組播、QoS等業(yè)務(wù)需求的特點(diǎn)，充分考慮了目前的業(yè)務(wù)需求和以后的發(fā)展方向，利用SDH做為傳輸平臺(tái)，利用大容量、高可靠性的路由器組網(wǎng)，完全滿足鐵路局基于MPLS的多VPN的要求，為各種不同的業(yè)務(wù)提供安全、可靠的保障。上海鐵路局作為視頻會(huì)議系統(tǒng)的主會(huì)場(chǎng),是視頻業(yè)務(wù)的匯聚地，采用核心路由器二臺(tái)，GE口互聯(lián)，互為主備用，確保網(wǎng)絡(luò)的安全性；路局管轄范圍內(nèi)各省會(huì)作為本省視頻業(yè)務(wù)匯聚地采用匯聚層路由器二臺(tái)，互為主備用，與路局核心路由器間采用兩條POS155M鏈路互聯(lián)；省內(nèi)每個(gè)地市設(shè)立一臺(tái)路由器，與省會(huì)二臺(tái)匯聚路由器各用一條155M鏈路互聯(lián)，充分確保整個(gè)網(wǎng)絡(luò)的安全性。全局各站段（包括車間）作為視頻業(yè)務(wù)接入點(diǎn)，采用接入層路由器和交換機(jī)等方式互聯(lián)入IP數(shù)據(jù)網(wǎng)絡(luò)中。

3.2.2 VPN業(yè)務(wù)實(shí)現(xiàn)方式

在IP數(shù)據(jù)網(wǎng)內(nèi)，組建多條VPN通道，以區(qū)分不同站段的電視電話會(huì)議需求。例如上海鐵路局某部門召開電視電話，在根據(jù)需求在以上網(wǎng)絡(luò)中創(chuàng)建一條VPN隧道。

當(dāng)某工務(wù)段會(huì)議信息發(fā)送到ce路由器時(shí)，ce路由器就會(huì)對(duì)此用戶信息進(jìn)行識(shí)別判斷，如果是此VPN的信息那么就對(duì)此報(bào)文進(jìn)行再封裝。所謂的再封裝就是按照事先創(chuàng)建好的隧道所指定的對(duì)端用戶連接的IP數(shù)據(jù)網(wǎng)中的邊緣設(shè)備，通常就是封裝對(duì)端設(shè)備的IP地址。這樣用戶信息在數(shù)據(jù)網(wǎng)絡(luò)中傳遞時(shí)，網(wǎng)絡(luò)中設(shè)備只檢查其頂部封裝的公網(wǎng)信息進(jìn)行轉(zhuǎn)發(fā)判斷，而不檢查用戶的私網(wǎng)信息。當(dāng)對(duì)端邊緣設(shè)備收到此信息后，判斷出這是本地某VPN的報(bào)文，就去除公網(wǎng)信息的封裝，將還原后的用戶信息發(fā)送到本地VPN用戶。這樣，VPN就可以很安全的傳遞到對(duì)端用戶，保證了信息的安全性。

結(jié)語

VPN技術(shù)在鐵路數(shù)據(jù)網(wǎng)系統(tǒng)上已經(jīng)廣泛應(yīng)用，現(xiàn)已平穩(wěn)承載了路局公務(wù)視頻業(yè)務(wù)及鐵路各各站段視頻業(yè)務(wù)應(yīng)用。在已經(jīng)建設(shè)運(yùn)營(yíng)的高速鐵路，VPN技術(shù)主要解決了龐大的沿線視頻監(jiān)控系統(tǒng)，為高鐵的安全運(yùn)營(yíng)保駕護(hù)航。全路IP/MPLS通信平臺(tái)建設(shè)完成以后，整合全路網(wǎng)的VPN業(yè)務(wù)系統(tǒng)，最終實(shí)現(xiàn)整個(gè)鐵道部統(tǒng)一的大的IP/MPLS通信平臺(tái)，為鐵路業(yè)務(wù)的快速發(fā)展提供堅(jiān)實(shí)的支撐。

[1]石水紅.基于MPLS的VPN技術(shù)原理及其實(shí)現(xiàn)，電子技術(shù)應(yīng)用.

[2]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全[M].金城出版社，2000.

[3]劉麗萍，張文華.VPN中的話音業(yè)務(wù)[J].中國數(shù)據(jù)通信，2003.