在廣播電視監測網上組建ＶＰＮ專網

摘 要：隨著廣播電視監測業務的拓展，監測范圍擴大到偏遠的高山發射臺和鄉村廣播站，但在信號接收點沒有鋪設光纜，為了及時掌握這些地區的廣播電視播出情況，實時回傳廣播電視圖像和聲音信號，在廣播電視監測網引進了VPN技術。通過Internet組建的VPN專網既能實現廣播電視監測調度指揮中心與遠程遙測點進行安全的數據傳輸，也能滿足移動辦公的需求。該方案采用IPSec隧道模式組建VPN專網，對VPN關鍵技術與方案的具體實施及應用進行了闡述。

關鍵詞：VPN技術;安全防護;監測網應用

中圖分類號：TP文獻標識碼：A文章編號：1672-3198（2008）10-0361-04

1 引言

目前Internet的覆蓋面相當廣，對于光纜鋪設不到的地方，可用VPN來擴大監測網覆蓋范圍。VPN（Virtual Private Network）即虛擬專用網絡，就是兩個具有VPN發起連接能力的設備（計算機或防火墻）通過Internet形成的一條安全隧道。在隧道發起端（即服務端），用戶的私有數據通過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數據經過拆封和解密之后安全地到達用戶端。此種方式讓遠程遙測點和移動用戶接入網絡，能夠遠程使用內部服務器的應用系統，在非安全的互聯網上安全地傳送私有數據。與數據專線相比，VPN無需鋪設線路，能夠利用Internet資源建立安全、可靠、經濟、高效的移動監測專網，大大地減少了花費在城域網和遠程網絡連接上的費用，易于增加新的遠程遙測站點，也簡化了網絡的設計和管理，進一步擴大了廣播電視監測在廣電中的監督和管理范圍。

2 VPN技術特點

隨著互聯網技術的發展及Internet接入方式的多樣化，為VPN應用提供了條件，不同地區的遠程遙測點可通過ADSL、小區寬帶、GPRS、CDMA 1X或窄帶撥號等各種網絡連接方式連入Internet，無需固定公網IP地址，由中心的VPN網關為認證用戶分配一個內部私網地址，通過遠程認證，實現與監測內部網絡的互連，從而組成一個高效統一的虛擬專用網絡。

目前VPN技術相當成熟，應用相當廣泛，主要采用四種技術：隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

2.1 隧道技術（Tunneling）

當VPN客戶機訪問VPN服務器時，并沒有傳統專網所需的端到端的物理鏈路，它們是通過一個虛擬的隧道進行訪問。一個隧道實際上就是在公網上建立一條數據通道，讓數據包通過這條隧道傳輸，完成數據封裝、傳輸和解包。為創建隧道，隧道的客戶機和服務器雙方必須使用相同的隧道協議，隧道技術主要有三種協議支持：PPTP，L2TP和IPsec。

（1）點對點隧道協議（PPTP: Point-to-Point Tunneling Protocol） 。

PPTP協議工作在OSI/RM開放模型中的第二層，允許對IP、IPX或NetBEUI數據流進行加密，然后封裝在IP包頭中通過企業IP網絡或互聯網發送。通過PPTP，遠程用戶首先撥號到本地因特網服務提供商ISP（Internet Service Provider）的網絡服務器NAS去訪問總部的內部網絡，并不需要直接撥號至總部的網絡，這樣大大減少了建立和維護專用遠程線路的費用。PPTP協議通過身份驗證后開始加密，身份驗證的過程沒有加密，安全性稍低，配置簡單，在實現上存在著重大安全隱患。

（2）第2層隧道協議（L2TP: Layer 2 Tunneling Protocol） 。

L2TP協議是L2FP(Layer 2 Forwarding Protocol)與PPTP的結合，專門用來進行第二層數據的通道傳送，允許對IP、IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳遞的任意網絡發送，如IP、X.25、楨中繼或ATM。遠程用戶通過本地PSTN、ISDN或PLMN撥號，利用ISP提供的VPDN（Virtual Private Dial-Network）特服號，接入ISP在當地的NAS，通過當地的VPDN認證系統對用戶身份進行認證，建立一個位于NAS和LNS(本地網絡服務器)之間的虛擬專網來訪問總部的內部網絡。L2TP需要證書服務來驗證計算機身份，身份驗證過程是加密的，安全性較高，配置稍微復雜，但也不能完全保證數據傳輸過程中的安全。

（3）安全IP（IPSec：IPSecurity)隧道模式。



IPSEC協議工作在OSI/RM開放模型中的第三層，允許對IP負載數據進行加密，然后封裝在IP包頭中通過企業IP網絡或互聯網發送，具有認證包頭AH（Authentication Header）和數據加密格式ESP （Encapsulating Security Payload）。IPSEC采取數據源驗證、無連接數據的完整性驗證、數據內容的機密性保護、抗重播保護等形式，有效保護IP數據報的安全。在傳輸數據包之前將其加密，接收端根據AH和ESP對所有受IPSec保護的數據包進行認證和解密，防止數據包被捕捉并重新投放到網上，安全性高，從而保證了數據包在Internet網上傳輸時的私有性、完整性和真實性。

2．3 加解密技術（Encryption Decryption）

加解密技術是數據通信中一項較成熟的技術，可直接利用。

2．4 密鑰管理技術（Key Management）

密鑰管理技術的主要任務是在公用數據網上安全地傳遞密鑰而不被竊取，密鑰管理技術又分為 SKIP與 ISAKMP/OAKLEY 兩種。SKIP（互聯網簡單密鑰管理）主要是利用 Diffie-Hellman 的演算法則，在網絡上傳輸密鑰；在 ISAKMP (Internet 安全連接和密鑰管理協議)中，雙方都有兩把密鑰，分別用于公用、私用。

2.5 使用者與設備身份認證技術（Authentication）

當VPN客戶端連接VPN服務器時，就涉及到身份驗證的問題，身份驗證可以采用Windows的身份驗證或者RADIUS（遠程撥號用戶確認服務）身份驗證。

Windows的身份驗證主要通過用戶名和密碼來提供認證，認證協議采用Microsoft質詢握手身份驗證協議MS－CHAP（Microsoft Handshake Authentication Protocol）來加強對用戶身份的查驗。數據包的加密采用點對點加密算法MPPE（Microsoft Point-to-Point Encrypytion）協議， MPPE先在客戶端工作站上對PPP數據包進行加密，然后才把它們送入PPTP隧道。傳輸途中的隧道交換機無法對這些PPP數據包進行解密，這就提高了數據的保密性。

RADIUS身份驗證是通過Windows安裝Internet驗證服務IAS（Internet Authentication Service）來實現。RADIUS隱藏機制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法來給用戶的口令以及其它屬性加密。通過ESP（Encapsulating Security Payload）和一種加密算法（例如3DES）的IPSec為隱藏屬性提供更多的保護，同時為所有RADIUS消息提供數據機密性。這種撥號方式建立的VPN連接，可以實現雙重數據加密，使網絡數據傳輸更安全。

VPN的加密方式使得網絡信息傳輸安全性大大提高，數據驗證使得接收方可識別數據包是否被非法篡改，保證了數據的完整性。

3 VPN專網的安全防護

在公網上使用VPN傳輸私有數據，面臨潛在的安全風險，這需要提供安全保障。雖然VPN有單獨的網關，對IPSec數據包進行加密/解密處理和身份認證，但它沒有很強的訪問控制功能，如狀態包過濾、網絡內容過濾、防DoS攻擊等。要防止非法用戶對網絡資源或私有信息的訪問，網絡管理員必須對通過VPN連接到網絡的計算機和直接連接到LAN的計算機實行同樣的安全標準。

為保證VPN的安全性，我們必須將所有設備放在防火墻之后， 防火墻必須封鎖任何沒有使用的端口，由防火墻打開允許的隧道信息包通過，才能與內部網絡進行數據傳輸。可以通過安全檢測設置來限制有權限的訪問者，如果不再符合安全法則時，根本不允許接入。也可以限制內網中的部分用戶上Internet，從而為私有數據在公用網絡上的傳輸提供了安全和保密。

在監測網絡上建立防火墻，能夠保證內部網絡免受安全威脅及攻擊，強大的網絡地址轉換功能使服務器對外偽裝服務身份，保護局域網內部的服務器安全運行，同時支持對特殊網絡服務如QQ、MSN、BT、電驢以及ARP欺騙病毒的屏蔽功能。對于連接VPN的用戶也必須在個人計算機上安裝個人防火墻，它可以使非法侵入者不能進入局域網。

4 VPN技術在廣播電視監測網中的應用

綜合VPN技術優點，在廣播電視監測網上采用了IPSec隧道模式組建VPN專網，其網絡拓撲結構如下：

4.1 VPN專網的網路連接和作用

VPN專網的實現，需在監測內部網絡中配置一臺VPN服務器與內部網絡連接，在中心將VPN硬件網關、監測網絡設備及內部辦公設備放在防火墻后面，經過防火墻再由一條專用遠程線路連接到因特網，VPN硬件網關的LAN（局域網）口連接到內網的交換機上，WAN（廣域網）口連接到與外網相連的路由器。

當客戶機通過VPN連接與專用網絡中的計算機進行通信時，先由NSP(網絡服務提供商)將所有的數據傳送到VPN服務器，再由VPN服務器將所有的數據傳送到目標計算機。網絡管理員通過配置VPN服務器，指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問內部信息的權利，沒有訪問權利的用戶無法獲得局域網信息。

VPN服務器相當于執行路由和遠程訪問服務任務的一個增強的‘Windows 2003 Server’服務器，一旦一個進入VPN網絡的請求被批準，這個VPN服務器就簡單地充當一臺路由器向這個VPN客戶機提供專用網絡的接入。

4.2 VPN硬件網關的主要配置方法及安全設置

（1） VPN硬件網關上的配置（以OLYM產品為例）：

①配置VPN硬件網關IP地址（該地址段為監測局域網未被使用的IP地址，可與監測局域網同網段或不同網段，設置時不能包含已經被使用的IP），使得通過VPN接入到監測局域網的遠程用戶能夠從這個IP地址中獲得與內網相同網段的局域網IP地址。比如將VPN硬件網關IP設為172.10.3.1，局域網中的任意一臺應用服務器的IP設成172.10.3.XXX。對于需要被各遙測站點、遠程用戶訪問的應用服務器（如廣播監測主服務器、電視監測主服務器、WEB服務器等）的網關則指向VPN硬件網關。

②在VPN廣域聯網中設置相應的上網方式（電話拔號上網、一線通ISDN、網絡快車ADSL、有固定IP的線路、DHCP客戶端/SSO等），在本方案中使用專線連到Internet，則選擇有固定IP線路的上網方式，輸入固定的IP及網關。

③配置“虛擬專網”下的“許可證”，輸入VPN公司分配的APN組域(VDOMAIN)、節點名(VHOST)以及許可證號。

④配置專網屬性：隧道類型選擇IPSEC協議，數據加密算法設置為AES/128，傳輸認證算法設置為MD5-96，在本端地址中輸入VPN硬件網關IP地址，并選擇“啟用交叉巡檢”、“啟用突發巡檢” ，使遂道具有自檢與自動恢復功能。

⑤配置Winapn服務管理：

“虛擬專網”的“APN移動用戶”設置：將“啟動Winapn啟動服務”提交，在Winapn服務器中設置靜態IP地址池、子網掩碼、服務器端口等，也就是為移動用戶設置虛擬IP段，作為CLIENT（winapn）和SERVER(apn) 之間建立隧道后通信來使用。這個虛擬IP段不能跟任何一個實際的IP段沖突（包括SERVER端和CLIENT端），如果有沖突，則無法進行通信。

遠程用戶管理設置：為各遙測站點、遠程用戶分配合法用戶名、密碼等賬號信息，其中IP地址要符合“Winapn服務器”中的“靜態IP地址池”的網段設置。注意遠程用戶端的IP 最后一個網段不能設置為1，如172.31.252.1這樣的IP就不能設定。

（2）VPN硬件網關的安全設置：

根據監測業務需求在VPN設備上設定相應的內網服務，通過設置用戶分組、訪問控制和行為審計等措施來加強內網安全;為防止外網的攻擊設置防火墻的過濾規則（使用自檢測功能進行檢測）;為內網用戶設定訪問Internet的權限，設置用戶組，不同用戶組可獨立分配不同的上網權限。防火墻規則是按照控制列表順序從上到下執行的，在設置防火墻規則時必須考慮規則間的互相關聯及限制。

①在“防火墻”的“網絡對象管理”中設置節點對象（網絡中的主機），輸入節點名稱（任意設定）、IP地址（受訪問控制規則控制的PC機）、MAC地址（可選項），所屬網絡根據實際選擇內網internal、外網external、APN網。

比如要管理局域網中WEB服務器，在節點對象中可添加這樣的信息，節點名稱選WEB服務器、IP設為172.10.3. XXX、MAC地址為WEB服務器網卡地址、所屬網絡選擇內網。

②在節點對象組中添加不同的用戶組，每個用戶組可以包含多個主機，對應不同的控制規則，以分配不同的權限。

③在訪問控制管理中設置訪問控制規則，輸入源地址、目的地址、服務端口、時間計劃、訪問控制管理等項。其中“源地址”為數據報發送端，“目的地址”為數據報接受端，這兩項的可控端包含ANY（任何網絡）、WAN（外網）、LAN（內網）、APNNET（APN網）、節點對象（網絡中的主機）等內容，“服務端口” 包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等服務對象， “控制”項分為“接受（ACCEPT）數據報通過”、“拒絕（DROP）數據報通過”兩種。

比如設置局域網中WEB服務器的權限為允許訪問內網和外網資源，允許接受任何控制，而局域網中其他PC機均不能訪問外網，則可這樣設置兩條控制規則。第1條規則為“源”選WEB服務器、“目的”選ANY、“服務”選ANY、“時間”選ANY、“控制”選接受（ACCEPT），第2條規則為“源”選LAN、“目的”選WAN、“服務”選ANY、“時間”選ANY、“控制”選拒絕（DROP）。假如局域網所有PC機都不允許訪問外網，只需設置一條規則，“源”選ANY、“目的”選ANY、“服務”選ANY、“時間”選ANY、“控制”選拒絕（DROP）。

（3）對于移動用戶，管理員可選擇是否為該移動用戶啟用DKEY，若啟用，需將對應DKEY插入總部模塊所在計算機的USB口上，VPN設備將會把此移動用戶接入VPN所需的配置信息導入DKEY，并將DKEY作為用戶接入時的身份認證依據。

4.3 VPN客戶端設置

（1）客戶端要安裝隧道軟件，安裝過程中需要安裝虛擬網卡，安裝完成后進行軟件設置。

（2）添加一個隧道名稱（任意設定），輸入用戶名和密碼（硬件VPN中設置的遠程用戶名和密碼）。若選擇VDN查詢方式則輸入Vdomain（硬件VPN中的域名）以及Vhost（硬件VPN中節點名）。若選擇直接使用IP方式則輸入APN地址（VPN設備固定IP）來建立安全隧道。

（3）輸入完成后選擇建立的隧道名稱進行連接。啟動客戶端后虛擬網卡的狀態由斷開轉為正常，在初始化隧道過程中，使用用戶ID和口令或用數字許可證鑒權。隧道建立成功后在電腦右小角會提示“隧道啟用”， VPN會根據配置文件分配對應IP給虛擬網卡。

（4）對于無人值守的遠程遙測站點還需進行相關設置，如斷線重連次數（填入100次就能無限制斷線重連）、選擇開機啟動隧道、客戶端計算機是否使用無線上網（手機上網方式選擇此項），這些設置都為VPN網絡的自動連接提供保障。

（5）在客戶端還須安裝相應的殺毒軟件及防火墻，以保證網絡安全。

客戶和隧道服務器建立隧道后，就可以進行通信了，如同ISP沒有參與連接一樣。在此基礎上，簡單的配置一下路由信息，就可以讓VPN客戶端訪問VPN服務端所在網段的全部資源。

4.4 VPN技術在廣播電視監測網實施的優勢

（1）采用廉價的接入方式，實現各遠程遙測點、移動用戶與整個廣播電視監測網絡的無縫連接和安全連接，在任何地點、任何上網方式都可以接入監測局域網，減少在設備、人員和管理上的投資，保護了現有硬件和軟件系統上的投資，有效地降低了運營成本。

（2）通過防火墻內部策略控制體系，VPN能夠允許授權移動用戶或已授權的用戶在任何時間任何地點訪問監測局域網，對VPN數據可以進行有效的控制和管理，使VPN專網的數據通信具有良好的安全性和管理性。

（3）VPN 自帶斷線重撥技術，內置自動撥號軟件和VPN 隧道監控線程，在斷線情況下10秒內自動撥號，隧道自動建立，使遠程遙測點與中心網絡保持連接。VPN提供信息日志、錯誤日志和調試日志等多種類型的日志，讓網絡管理員隨時了解設備運行情況，幫助網絡管理員準確定位網絡故障點，降低了維護成本，減少了維護工作量。

（4）VPN 采用了目前先進的壓縮算法，帶寬利用率達 130 ％，大大提高系統數據的訪問傳輸速度，為監測調度指揮系統提供高效快速的 VPN 虛擬網絡平臺。 

5 結語

利用VPN技術上的優勢，把廣播電視監測網遠程拓展到了偏遠的縣、鄉、鎮，建立了一個規模大，覆蓋省、市、縣、鄉、鎮的自動化無人值守、實時監測、實時預警發布、實時調度指揮功能于一體的科學高效的廣播電視監管系統，實現了把監測告警信息實時動態反饋給各級播出單位，達到科學高效的管理目標。解決了全區各級廣電管理部門長期以來無法及時掌握和了解各縣、鄉、鎮廣播電視播出質量和覆蓋效果的難題，從而確保了黨和政府的政令暢通，為保障人民群眾收聽好廣播、看好電視節目，發揮極其重要的作用。

參考文獻

［1］［美］Richard Deal著. Cisco VPN完全配置指南［M］.北京:人民郵電出版社， 2007，(4).

［2］［美］Mark Lucas等著.防火墻策略與VPN配置［M］. 北京:水利水電出版社，2008，(1).

［3］高海英，薛元星，辛陽等著.VPN技術［M］. 北京:機械工業出版社， 2004，(4).

［4］王達等著。虛擬專用網（VPN）精解［M］. 北京:清華大學出版社， 2005，(4).

［5］［美］Mark Lewis著. VPN故障診斷與排除［M］. 袁國忠等譯.北京:人民郵電出版社， 2006，(2).