任贵强 靖亚兴
摘 要:随着广播电视监测业务的拓展,监测范围扩大到偏远的高山发射台和乡村广播站,但在信号接收点没有铺设光缆,为了及时掌握这些地区的广播电视播出情况,实时回传广播电视图像和声音信号,在广播电视监测网引进了VPN技术。通过Internet组建的VPN专网既能实现广播电视监测调度指挥中心与远程遥测点进行安全的数据传输,也能满足移动办公的需求。该方案采用IPSec隧道模式组建VPN专网,对VPN关键技术与方案的具体实施及应用进行了阐述。
关键词:VPN技术;安全防护;监测网应用
1 引言
目前Internet的覆盖面相当广,对于光缆铺设不到的地方,可用VPN来扩大监测网覆盖范围。VPN(Virtual Private Network)即虚拟专用网络,就是两个具有VPN发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全隧道。在隧道发起端(即服务端),用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。此种方式让远程遥测点和移动用户接入网络,能够远程使用内部服务器的应用系统,在非安全的互联网上安全地传送私有数据。与数据专线相比,VPN无需铺设线路,能够利用Internet资源建立安全、可靠、经济、高效的移动监测专网,大大地减少了花费在城域网和远程网络连接上的费用,易于增加新的远程遥测站点,也简化了网络的设计和管理,进一步扩大了广播电视监测在广电中的监督和管理范围。
2 VPN专网的网路连接和作用
VPN专网的实现,需在监测内部网络中配置一台VPN服务器与内部网络连接,在中心将VPN硬件网关、监测网络设备及内部办公设备放在防火墙后面,经过防火墙再由一条专用远程线路连接到因特网,VPN硬件网关的LAN(局域网)口连接到内网的交换机上,WAN(广域网)口连接到与外网相连的路由器。
当客户机通过VPN连接与专用网络中的计算机进行通信时,先由NSP(网络服务提供商)将所有的数据传送到VPN服务器,再由VPN服务器将所有的数据传送到目标计算机。网络管理员通过配置VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问内部信息的权利,没有访问权利的用户无法获得局域网信息。
VPN服务器相当于执行路由和远程访问服务任务的一个增强的'Windows 2003 Server'服务器,一旦一个进入VPN网络的请求被批准,这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。
3 VPN硬件网关的主要配置方法及安全设置
3.1 VPN硬件网关上的配置(以OLYM产品为例):
①配置VPN硬件网关IP地址(该地址段为监测局域网未被使用的IP地址,可与监测局域网同网段或不同网段,设置时不能包含已经被使用的IP),使得通过VPN接入到监测局域网的远程用户能够从这个IP地址中获得与内网相同网段的局域网IP地址。比如将VPN硬件网关IP设为172.10.3.1,局域网中的任意一台应用服务器的IP设成172.10.3.XXX。对于需要被各遥测站点、远程用户访问的应用服务器(如广播监测主服务器、电视监测主服务器、WEB服务器等)的网关则指向VPN硬件网关。
②在VPN广域联网中设置相应的上网方式(电话拔号上网、一线通ISDN、网络快车ADSL、有固定IP的线路、DHCP客户端/SSO等),在本方案中使用专线连到Internet,则选择有固定IP线路的上网方式,输入固定的IP及网关。
③配置“虚拟专网”下的“许可证”,输入VPN公司分配的APN组域(VDOMAIN)、节点名(VHOST)以及许可证号。
④配置专网属性:隧道类型选择IPSEC协议,数据加密算法设置为AES/128,传输认证算法设置为MD5-96,在本端地址中输入VPN硬件网关IP地址,并选择“启用交叉巡检”、“启用突发巡检” ,使遂道具有自检与自动恢复功能。
⑤配置Winapn服务管理:
“虚拟专网”的“APN移动用户”设置:将“启动Winapn启动服务”提交,在Winapn服务器中设置静态IP地址池、子网掩码、服务器端口等,也就是为移动用户设置虚拟IP段,作为CLIENT(winapn)和SERVER(apn) 之间建立隧道后通信来使用。这个虚拟IP段不能跟任何一个实际的IP段冲突(包括SERVER端和CLIENT端),如果有冲突,则无法进行通信。
3.2 VPN硬件网关的安全设置:
根据监测业务需求在VPN设备上设定相应的内网服务,通过设置用户分组、访问控制和行为审计等措施来加强内网安全;为防止外网的攻击设置防火墙的过滤规则(使用自检测功能进行检测);为内网用户设定访问Internet的权限,设置用户组,不同用户组可独立分配不同的上网权限。防火墙规则是按照控制列表顺序从上到下执行的,在设置防火墙规则时必须考虑规则间的互相关联及限制。
①在“防火墙”的“网络对象管理”中设置节点对象(网络中的主机),输入节点名称(任意设定)、IP地址(受访问控制规则控制的PC机)、MAC地址(可选项),所属网络根据实际选择内网internal、外网external、APN网。
比如要管理局域网中WEB服务器,在节点对象中可添加这样的信息,节点名称选WEB服务器、IP设为172.10.3. XXX、MAC地址为WEB服务器网卡地址、所属网络选择内网。
②在节点对象组中添加不同的用户组,每个用户组可以包含多个主机,对应不同的控制规则,以分配不同的权限。
③在访问控制管理中设置访问控制规则,输入源地址、目的地址、服务端口、时间计划、访问控制管理等项。其中“源地址”为数据报发送端,“目的地址”为数据报接受端,这两项的可控端包含ANY(任何网络)、WAN(外网)、LAN(内网)、APNNET(APN网)、节点对象(网络中的主机)等内容,“服务端口” 包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等服务对象, “控制”项分为“接受(ACCEPT)数据报通过”、“拒绝(DROP)数据报通过”两种。
客户端要安装隧道软件,安装过程中需要安装虚拟网卡,安装完成后进行软件设置。
添加一个隧道名称(任意设定),输入用户名和密码(硬件VPN中设置的远程用户名和密码)。若选择VDN查询方式则输入Vdomain(硬件VPN中的域名)以及Vhost(硬件VPN中节点名)。若选择直接使用IP方式则输入APN地址(VPN设备固定IP)来建立安全隧道。
输入完成后选择建立的隧道名称进行连接。启动客户端后虚拟网卡的状态由断开转为正常,在初始化隧道过程中,使用用户ID和口令或用数字许可证鉴权。隧道建立成功后在电脑右小角会提示“隧道启用”, VPN会根据配置文件分配对应IP给虚拟网卡。
对于无人值守的远程遥测站点还需进行相关设置,如断线重连次数(填入100次就能无限制断线重连)、选择开机启动隧道、客户端计算机是否使用无线上网(手机上网方式选择此项),这些设置都为VPN网络的自动连接提供保障。
在客户端还须安装相应的杀毒软件及防火墙,以保证网络安全。
客户和隧道服务器建立隧道后,就可以进行通信了,如同ISP没有参与连接一样。在此基础上,简单的配置一下路由信息,就可以让VPN客户端访问VPN服务端所在网段的全部资源。
4 VPN技术在广播电视监测网实施的优势
采用廉价的接入方式,实现各远程遥测点、移动用户与整个广播电视监测网络的无缝连接和安全连接,在任何地点、任何上网方式都可以接入监测局域网,减少在设备、人员和管理上的投资,保护了现有硬件和软件系统上的投资,有效地降低了运营成本。
VPN 自带断线重拨技术,内置自动拨号软件和VPN 隧道监控线程,在断线情况下10秒内自动拨号,隧道自动建立,使远程遥测点与中心网络保持连接。VPN提供信息日志、错误日志和调试日志等多种类型的日志,让网络管理员随时了解设备运行情况,帮助网络管理员准确定位网络故障点,降低了维护成本,减少了维护工作量。
VPN 采用了目前先进的压缩算法,带宽利用率达 130 %,大大提高系统数据的访问传输速度,为监测调度指挥系统提供高效快速的 VPN 虚拟网络平台。
结语
利用VPN技术上的优势,把广播电视监测网远程拓展到了偏远的县、乡、镇,建立了一个规模大,覆盖省、市、县、乡、镇的自动化无人值守、实时监测、实时预警发布、实时调度指挥功能于一体的科学高效的广播电视监管系统,实现了把监测告警信息实时动态反馈给各级播出单位,达到科学高效的管理目标。解决了全区各级广电管理部门长期以来无法及时掌握和了解各县、乡、镇广播电视播出质量和覆盖效果的难题,从而确保了党和政府的政令畅通,为保障人民群众收听好广播、看好电视节目,发挥极其重要的作用。
参考文献
[1]高海英,薛元星,辛阳等著.VPN技术[M]. 北京:机械工业出版社, 2004,(4).
[2]王达等著.虚拟专用网(VPN)精解[M].北京:清华大学出版社, 2005,(4).
[3][美]Mark Lewis著. VPN故障诊断与排除[M]. 袁国忠等译.北京:人民邮电出版社, 2006,(2).