PBR+ACL技术在取消高速公路省界收费站网络安全改造中的应用

刘 鑫，宁学武，徐天成

（1.北京市路政局道路建设工程项目管理中心，北京 100031；2.中交基础设施养护集团有限公司，北京 100013）

2019年5月16日，国务院办公厅印发《深化收费公路制度改革取消高速公路省界收费站实施方案》，该方案提出，两年内基本取消全国高速公路省界收费站，实现不停车快捷收费；加快工程建设，力争2019年底前基本取消全国高速公路省界收费站；2019年10月底前完成推进中央与地方两级运营管理等系统升级，收费站、收费车道、电子不停车收费系统（ETC）门架系统硬件及软件标准化建设改造，加强系统网络安全保障；2019年12月底前完成开展系统联调联试，基本具备系统切换条件。

收费站系统按照并网接入网络安全基本技术要求和相关管理制度、标准规范开展建设，落实安全通信网络、安全区域边界及安全计算环境方面的三级安全保护要求，在此要求下，需要将原有收费系统的网络与新建ETC门架系统网络均接入安全接入防护系统中，以满足安全通信网络要求。

1 网络改造需求

1.1 ETC门架系统

此系统属于新建系统，主要设备有工业交换机、服务器、防火墙、工作站及外场ETC门架RSU、高清车牌识别系统、工业以太网交换机、安全接入防护设备系统设备等。ETC门架系统数据通过工业以太网交换机和敷设的光缆组成环网传至就近收费站。

1.2 收费站收费系统

此系统属于改造系统，主要设备有交换机、服务器、工作站以及收费广场上的车道控制机，并没有安全防护。收费站局域网内通过以太网交换机将收费广场上的车道控制机和收费站控制室的计算机共同构成星形＋总线型结构的以太网，收费站计算机系统中每个车道控制机与收费站计算机收费站服务器通信。

1.3 防护的需求

ETC门架系统与原有收费系统均接入ETC门架系统防火墙下端，在防火墙内设置安全策略，达到防护的需求。

1.4 传输需求

防火墙根据功能需求分为省-站防火墙和部-站防火墙，省-站传输主链路采用10M专线方案，省-站传输备用链路采用4G传输模块；部-站传输建立主备传输链路，采用4G传输模块。每一台防火墙均采用路由模式接入。部署的4G模块按流量使用情况缴费，即在网络正常情况下使用高速公路专网，在网络异常情况下采用公网进行传输。

2 网络结构现状

2.1 ETC门架系统

ETC门架系统网络拓扑结构如图1所示。

图1 ETC门架系统网络拓扑结构图

2.2 收费站收费系统

各路段由于受建设时间、设计、施工、网络设备等因素影响，网络结构大致分为以下三类：

（1）网络结构形式一：在两级管理体制管理下（即路段收费中心计算机系统和收费站计算机系统）路段分中心和收费站均在各自的三层交换机或路由器上设置相应的互联地址和网关。添加相应的路由，实现网络通信。

（2）网络结构形式二：在两级管理体制管理下路段分中心和收费站在路段分中心交换机上设置多个VLAN，各个收费站网关设置在分中心三层交换机上，并无互联地址，采用三层交换机自动生成的路由，实现网络通信。

（3）网络结构形式三：在三级管理体制管理下（即路段收费中心计算机系统、收费所计算机系统和收费站车道控制机系统）路段分中心和收费所均在各自的三层交换机上设置相应的互联地址和网关。添加相应的路由，实现网络通信。每个收费所管辖两个收费站，收费所交换机设置多个VLAN，和每个收费站车道二层交换机之间采用光缆直接传输，收费站机房只有ODF配线架，并无网络设备。

3 网络现状问题

（1）现场实际中含有三级管理体制，收费所管辖收费站共享服务器、工作站，收费站级无三层交换机或路由器、ONU设备，与收费所之间采用光缆直接传输。

（2）由于收费站建设时间比较早，光缆使用较多，导致可利用光缆资源非常有限。

（3）受经费限制，不能大量增加相应的设备和光缆资源。

（4）针对三级管理体制的情况，原设计方案未给出具体解决方案，无法根据原设计图纸实施。

（5）防火墙均采用路由模式接入，并无动态路由功能，原有网络中动态路由均需改为静态路由。

4 关键技术及改造思路

4.1 关键技术

（1）PBR（Policy Based Routing，策略路由）技术。PBR是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。

应用策略路由必须指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1个或多个匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有数据包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。

策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的，如QoS（Quality of Service，服务质量）需求或VPN拓扑结构，要求某些路由必须经过特定的路径，就可以使用策略路由。例如，一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。

策略路由大体上分为两种：一种是根据路由的目的地址来进行的策略,称为目的地址路由；另一种是根据路由源地址来进行的策略,称为源地址路由。随着策略路由的发展又增加了智能均衡的策略方式。

（2）ACL（Access Control Lists，访问控制列表）技术。访问控制列表是一种基于数据包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助访问控制列表可以有效地控制用户对网络的访问，从而最大程度上保障网络安全。

访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL具有以下功能：①限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。②提供对通信流量的控制手段。③提供网络访问的基本安全手段。④在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

（3）浮动路由技术。静态路由是由管理员在路由器中手动配置的固定路由,浮动路由是静态路由的一种，主要考虑的是链路冗余。浮动路由是如何实现链路冗余的？众所周知，路由表的管理距离越低，优先级越高。例如，将动态路由的管理距离优先级修改为低，手动添加的静态路由优先级修改为高。当动态路由出现问题时，原有的路由会失效，路由器会自动选择静态路由，保证网络不中断，实现冗余备份。

4.2 改造思路

针对三级管理体制的网络改造：路段收费分中心增加相应的互联地址，添加对应收费站回指路由；收费所内增加二层管理型接入交换机，采用PBR和ACL指定具体数据传输方向，采用浮动路由实现主备链路切换。

5 工程应用

文章结合京平京秦取消高速公路省界收费站项目，应用以上关键技术对三级管理体制的网络进行了改造。

5.1 改造方案

（1）各收费站站级机房内新增二层交换机（含光模块），用于接入ETC门架系统与收费系统。

（2）改造网络拓扑结构，改造后物理拓扑结构如图2所示，逻辑拓扑结构图如图3所示。

图2 改造后物理拓扑结构图

图3 改造后逻辑拓扑结构图

（3）网络配置。①路段收费分中心交换机：增加互联地址；增加回指路由（静态路由）。②收费所交换机：创建ACL规则；PBR配置；应用PBR；配置浮动路由。③收费站防火墙。

5.2 配置实例

（1）分中心交换机配置。在与WGZ所互联接口VLAN206下既保留原有互联地址18.25.217.150/30，与BBD收费站通信，又增加新的互联地址165.195.111.29/30，与WGZ收费站通信。

在全局模式下配置WGZ所WGZ收费站业务网段回指路由，原有收费业务网段111.111.111.0/27；ETC门架机房业务网段18.26.211.192/26；ETC门架业务网段18.115.22.128/26。

在全局模式下配置WGZ所BBD收费站业务网段回指路由，原有收费业务网段10.241.195.0/27；ETC门架机房业务网段18.115.22.64/26；ETC门架业务网段18.115.13.0/26。

（2）收费所交换机配置。创建ACL规则：规则一，允许WGZ收费站与BBD收费站业务互通，实现服务器、工作站共享；规则二，允许WGZ收费站业务数据通过与省中心通信；规则三，允许WGZ收费站业务数据通过与部中心通信。

PBR配置：节点一，匹配ACL规则一完成服务器、工作站共享设置；节点二，匹配ACL规则二指定精准路由由本站省站防火墙出接口与省中心通信；节点三，匹配ACL规则三指定精准路由由本站部站防火墙出接口与部中心通信。

PBR应用：全局模式下，开启PBR功能，WGZ收费站、BBD收费站接口下应用PBR。

配置路由：配置默认路由指定BBD收费站数据分别到省中心、部中心；配置浮动路由指定WGZ收费站数据分别到省中心、部中心。

（3）收费站防火墙配置。省级、部级防火墙配置各相应接口地址。Eth1：ETC门架系统IP地址；Eth2：收费系统IP地址；Eth4：主用专用或4G链路IP地址；Eth5：备用4G链路IP地址。

配置防火墙默认路由，并配置metric值，使其主、备链路生效。

5.3 验证结果

（1）WGZ收费站数据到省联网中心，通信正常，根据指定的路由转发数据。路由下一跳到省级防火墙IP，再到路段分中心IP，再到省联网中心服务器。

（2）WGZ收费站数据到部中心，通信正常。

（3）BBD收费站数据到省级联网中心，通信正常，根据指定的路由转发数据。路由下一跳到省级防火墙IP，再到路段分中心IP，再到省联网中心服务器。

6 结束语

根据工程实际情况，应用PBR+ACL技术解决了三级管理体制下网络安全防护拓扑结构改造问题，实现了收费系统数据、ETC门架系统数据按照指定路由在网络中传输，降低了施工难度，保证了网络数据合理、稳定的传输，不仅节约了光缆资源，而且降低了工程费用。