VPN技术在地铁AFC系统中的应用

胡鑫

摘 要

通信网络的好坏着直接关系着地铁AFC系统能否正常运行，因此在原有的专用通信网之外能够建立一个备用的传输网络，以便在原有网络瘫痪的情况下起到替代作用，这对于AFC系统的可靠性有着很大的影响。

【关键词】自动售检票系统 虚拟专用网 应急通信

自动售检票系统（Automatic Fare Collection，AFC）作为地铁、轻轨等轨道交通系统的核心组成部分，是一个涉及多领域多学科的综合系统，其中包括计算机技术、通信技术、数据库管理、机电一体化技术、传感技术、无线电技术、模式识别等诸多新技术，是地铁车站日常运营工作的核心。目前主流的AFC系统，从设备分布的集中度上大致可以分为三层：终端设备层（Station Locale Equipment，SLE），车站层（Station Computer，SC），线路层（Line Center Computer，LC）。由于AFC系统是一个庞大的、分布式的系统，一个可靠的数据传输网络是系统正常运行的关键。

1 概述

现在主流的AFC系统的通信网络已经淘汰了早期的ATM结构，改为以SDH兼容以太网结构（IP over SDH）和光纤以太网结构为主流。目前国内大多数在运营中的地铁，其通信专网在物理都成线性分布，一旦出现诸如施工因素导致光缆或交换机损坏，将会导致下行车站的设备大面故障，出现乘客无法正常进出站的情况。针对这些问题，作者提出的一种用3G网络通VPN技术相结合的方案来加以解决，即通过3G网络来保证无线网络的覆盖范围，通过虚拟专用网络（Virtual Private Network，VPN）技术来保证传输数据的安全性。

目前随着国内移动运营商的3G网络建设，地铁车站内已经基本覆盖3G信号，同时AFC系统的数据传输均为异步传输结构，不需要进行设备之间的时钟同步，因此借助3G网络实现AFC系统的应急通信是可行的。同时，可以借助Internet上主流的虚拟专用网络（Virtual Private Network，VPN）技术来确保AFC数据的安全性和可靠性。采取这种方案硬件投资少、组网方式灵活，比较适合国内地铁行业目前的发展现状。

2 VPN技术选择

目前我国三大电信运营商分别使用不同的3G标准：联通运营WCDMA， 电信运营CDMA2000， 移动运营TD-SCDMA。各个运营商3G 的理论速度是：联通3G上网WCDMA 的下行理论峰值高达7.2Mbit/s，上行最高速率为5.8Mbit/s；电信3G上网CDMA2000 EVDO的下行理论峰值则是3.1Mbit/ s，上行最高速率为1.8Mbit/s；移动3G 上网TD-SCDMA G3的下行理论峰值是2.8Mbit/s，上行最高速率为384.0kbit/s，其带宽均能满足目前主流AFC系统的数据传输。

现在主流的VPN隧道协议主要有三种，PPTP（点对点隧道协议）、L2TP（第二层隧道协议）和IPSec（Internet 协议安全性）。其中PPTP和L2TP协议工作在OSI模型的第二层，而IPSec是第三层隧道协议。由于设计方案的立足于特殊情况下的应急通信，并非是替代原有的通信网络，因此要考虑到原有设备的兼容性问题，那么VPN放置在OSI模型中的层数越低，则对原有设备的兼容性则越好，因此我们选择将VPN放在第二层即数据链路层是比较合适的，即传输协议在PPTP和L2TP中选择。

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

（1）PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs），X.25虚拟电路（VCs）或ATM VCs网络上使用。

（2）PPTP只能在两端点间建立单一隧道，而L2TP支持在两端点间使用多隧道。使用L2TP时，用户可以针对不同的服务质量创建不同的隧道。

（3）L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

（4）L2TP可以提供隧道验证，而PPTP不支持隧道验证。

对比以上四点，显然L2TP对于目前主流的AFC系统支持更好，设备改动也相对较小，因此在传输协议上我们选择L2TP是更加合适的。

3 通信网络的设计方案

3.1 具体设计思路

（1）在线路中心系统的核心路由器设置VPN网关，SC端核心交换机通过3G路由器连接公网，再通过L2TP协议和IPSEC协议连接VPN网关。

（2）配置线路中心端路由的IPSEC服务，启用Internet密钥交换协议（IKE），选择加密方式为3DES+MD5，认证方式为预设共享密钥（PSK），并创建ACL规则禁止未经加密的数据包经过路由进入公网。

（3）配置线路中心端路由的L2TP服务，创建虚拟拨号板登陆用户名和密码并设置虚拟网关，划分内网地址池（192.168.200.2～254）为登陆用户提供网络地址转换（NAT）。

（4）根据线路中心端预设账号密码等安全信息完成车站端3G路由器相关配置。

3.2 应急通信网络初步设计

改造后的传输网络拓扑图（见图1）。

以某市地铁一号线AFC系统为例，具体网络地址划分如表1。

3.3 3G路由器相关配置

3.1.1 认证方式

选择PSK（预共享密钥）。

3.1.2 认证加密

通常情况下都选择ESP封装。

3.1.3 密码

预共享密钥。

3.1.4 远端IP或域名

对端路由器IP地址。

3.1.5 本地子网/远端子网

传输模式下不用配置子网，隧道模式下配置的子网需要与对端路由器中的ACL严格对应。

3.1.6 传输方式

通常情况下的应用都为隧道模式。

3.1.7 本地标识/对端标识

通常情况下不进行配置。

3.1.8 DH组标识

通常都配置为Group 2，即Group 1024 。

3.1.9 精确转发密钥

PFS，与Cisco是否开启PFS保持一致。

3.1.10 IKE生存时间

IKE密钥交换时间，对应对端的isakmplifetime。

3.1.11 密钥有效时间

对应对端的IpSec sa lifetime。

3.1.12 对端检测

DPD检测，需要对端服务器支持，通常情况下配置为Restart。

具体配置见图2（仅供参考）。

3.4 网络测试

从车站中心端计算机使用 telnet远程登陆3G路由器查看IP地址配置，结果如图3所示。

说明车站端3G路由器已经连接上中心端路由器，并且正确获得对端的内网IP地址。

4 结束语

目前国内的地铁行业发展迅猛，已经成为国民经济新的发展点。本文以目前成熟的3G网络结合VPN技术，对地铁AFC系统的应急通信提出了一种改进方案，希望能对地铁相关工作的从业人员起到一定的参考作用。

作者单位

天津市地下铁道运营有限公司 天津市 300222