PBR+ACL技術(shù)在取消高速公路省界收費站網(wǎng)絡(luò)安全改造中的應(yīng)用

劉 鑫，寧學(xué)武，徐天成

（1.北京市路政局道路建設(shè)工程項目管理中心，北京 100031；2.中交基礎(chǔ)設(shè)施養(yǎng)護集團有限公司，北京 100013）

2019年5月16日，國務(wù)院辦公廳印發(fā)《深化收費公路制度改革取消高速公路省界收費站實施方案》，該方案提出，兩年內(nèi)基本取消全國高速公路省界收費站，實現(xiàn)不停車快捷收費；加快工程建設(shè)，力爭2019年底前基本取消全國高速公路省界收費站；2019年10月底前完成推進中央與地方兩級運營管理等系統(tǒng)升級，收費站、收費車道、電子不停車收費系統(tǒng)（ETC）門架系統(tǒng)硬件及軟件標準化建設(shè)改造，加強系統(tǒng)網(wǎng)絡(luò)安全保障；2019年12月底前完成開展系統(tǒng)聯(lián)調(diào)聯(lián)試，基本具備系統(tǒng)切換條件。

收費站系統(tǒng)按照并網(wǎng)接入網(wǎng)絡(luò)安全基本技術(shù)要求和相關(guān)管理制度、標準規(guī)范開展建設(shè)，落實安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境方面的三級安全保護要求，在此要求下，需要將原有收費系統(tǒng)的網(wǎng)絡(luò)與新建ETC門架系統(tǒng)網(wǎng)絡(luò)均接入安全接入防護系統(tǒng)中，以滿足安全通信網(wǎng)絡(luò)要求。

1 網(wǎng)絡(luò)改造需求

1.1 ETC門架系統(tǒng)

此系統(tǒng)屬于新建系統(tǒng)，主要設(shè)備有工業(yè)交換機、服務(wù)器、防火墻、工作站及外場ETC門架RSU、高清車牌識別系統(tǒng)、工業(yè)以太網(wǎng)交換機、安全接入防護設(shè)備系統(tǒng)設(shè)備等。ETC門架系統(tǒng)數(shù)據(jù)通過工業(yè)以太網(wǎng)交換機和敷設(shè)的光纜組成環(huán)網(wǎng)傳至就近收費站。

1.2 收費站收費系統(tǒng)

此系統(tǒng)屬于改造系統(tǒng)，主要設(shè)備有交換機、服務(wù)器、工作站以及收費廣場上的車道控制機，并沒有安全防護。收費站局域網(wǎng)內(nèi)通過以太網(wǎng)交換機將收費廣場上的車道控制機和收費站控制室的計算機共同構(gòu)成星形＋總線型結(jié)構(gòu)的以太網(wǎng)，收費站計算機系統(tǒng)中每個車道控制機與收費站計算機收費站服務(wù)器通信。

1.3 防護的需求

ETC門架系統(tǒng)與原有收費系統(tǒng)均接入ETC門架系統(tǒng)防火墻下端，在防火墻內(nèi)設(shè)置安全策略，達到防護的需求。

1.4 傳輸需求

防火墻根據(jù)功能需求分為省-站防火墻和部-站防火墻，省-站傳輸主鏈路采用10M專線方案，省-站傳輸備用鏈路采用4G傳輸模塊；部-站傳輸建立主備傳輸鏈路，采用4G傳輸模塊。每一臺防火墻均采用路由模式接入。部署的4G模塊按流量使用情況繳費，即在網(wǎng)絡(luò)正常情況下使用高速公路專網(wǎng)，在網(wǎng)絡(luò)異常情況下采用公網(wǎng)進行傳輸。

2 網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀

2.1 ETC門架系統(tǒng)

ETC門架系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1 ETC門架系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

2.2 收費站收費系統(tǒng)

各路段由于受建設(shè)時間、設(shè)計、施工、網(wǎng)絡(luò)設(shè)備等因素影響，網(wǎng)絡(luò)結(jié)構(gòu)大致分為以下三類：

（1）網(wǎng)絡(luò)結(jié)構(gòu)形式一：在兩級管理體制管理下（即路段收費中心計算機系統(tǒng)和收費站計算機系統(tǒng)）路段分中心和收費站均在各自的三層交換機或路由器上設(shè)置相應(yīng)的互聯(lián)地址和網(wǎng)關(guān)。添加相應(yīng)的路由，實現(xiàn)網(wǎng)絡(luò)通信。

（2）網(wǎng)絡(luò)結(jié)構(gòu)形式二：在兩級管理體制管理下路段分中心和收費站在路段分中心交換機上設(shè)置多個VLAN，各個收費站網(wǎng)關(guān)設(shè)置在分中心三層交換機上，并無互聯(lián)地址，采用三層交換機自動生成的路由，實現(xiàn)網(wǎng)絡(luò)通信。

（3）網(wǎng)絡(luò)結(jié)構(gòu)形式三：在三級管理體制管理下（即路段收費中心計算機系統(tǒng)、收費所計算機系統(tǒng)和收費站車道控制機系統(tǒng)）路段分中心和收費所均在各自的三層交換機上設(shè)置相應(yīng)的互聯(lián)地址和網(wǎng)關(guān)。添加相應(yīng)的路由，實現(xiàn)網(wǎng)絡(luò)通信。每個收費所管轄兩個收費站，收費所交換機設(shè)置多個VLAN，和每個收費站車道二層交換機之間采用光纜直接傳輸，收費站機房只有ODF配線架，并無網(wǎng)絡(luò)設(shè)備。

3 網(wǎng)絡(luò)現(xiàn)狀問題

（1）現(xiàn)場實際中含有三級管理體制，收費所管轄收費站共享服務(wù)器、工作站，收費站級無三層交換機或路由器、ONU設(shè)備，與收費所之間采用光纜直接傳輸。

（2）由于收費站建設(shè)時間比較早，光纜使用較多，導(dǎo)致可利用光纜資源非常有限。

（3）受經(jīng)費限制，不能大量增加相應(yīng)的設(shè)備和光纜資源。

（4）針對三級管理體制的情況，原設(shè)計方案未給出具體解決方案，無法根據(jù)原設(shè)計圖紙實施。

（5）防火墻均采用路由模式接入，并無動態(tài)路由功能，原有網(wǎng)絡(luò)中動態(tài)路由均需改為靜態(tài)路由。

4 關(guān)鍵技術(shù)及改造思路

4.1 關(guān)鍵技術(shù)

（1）PBR（Policy Based Routing，策略路由）技術(shù)。PBR是一種比基于目標網(wǎng)絡(luò)進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。

應(yīng)用策略路由必須指定策略路由使用的路由圖，并且要創(chuàng)建路由圖。一個路由圖由很多條策略組成，每個策略都定義了1個或多個匹配規(guī)則和對應(yīng)操作。一個接口應(yīng)用策略路由后，將對該接口接收到的所有數(shù)據(jù)包進行檢查，不符合路由圖任何策略的數(shù)據(jù)包將按照通常的路由轉(zhuǎn)發(fā)進行處理，符合路由圖中某個策略的數(shù)據(jù)包就按照該策略中定義的操作進行處理。

策略路由可以使數(shù)據(jù)包按照用戶指定的策略進行轉(zhuǎn)發(fā)。對于某些管理目的，如QoS（Quality of Service，服務(wù)質(zhì)量）需求或VPN拓撲結(jié)構(gòu)，要求某些路由必須經(jīng)過特定的路徑，就可以使用策略路由。例如，一個策略可以指定從某個網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只能轉(zhuǎn)發(fā)到某個特定的接口。

策略路由大體上分為兩種：一種是根據(jù)路由的目的地址來進行的策略,稱為目的地址路由；另一種是根據(jù)路由源地址來進行的策略,稱為源地址路由。隨著策略路由的發(fā)展又增加了智能均衡的策略方式。

（2）ACL（Access Control Lists，訪問控制列表）技術(shù)。訪問控制列表是一種基于數(shù)據(jù)包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應(yīng)用于路由器和三層交換機，借助訪問控制列表可以有效地控制用戶對網(wǎng)絡(luò)的訪問，從而最大程度上保障網(wǎng)絡(luò)安全。

訪問控制列表是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。

ACL具有以下功能：①限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定這種類型的數(shù)據(jù)包具有更高的優(yōu)先級，同等情況下可預(yù)先被網(wǎng)絡(luò)設(shè)備處理。②提供對通信流量的控制手段。③提供網(wǎng)絡(luò)訪問的基本安全手段。④在網(wǎng)絡(luò)設(shè)備接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞。

（3）浮動路由技術(shù)。靜態(tài)路由是由管理員在路由器中手動配置的固定路由,浮動路由是靜態(tài)路由的一種，主要考慮的是鏈路冗余。浮動路由是如何實現(xiàn)鏈路冗余的？眾所周知，路由表的管理距離越低，優(yōu)先級越高。例如，將動態(tài)路由的管理距離優(yōu)先級修改為低，手動添加的靜態(tài)路由優(yōu)先級修改為高。當(dāng)動態(tài)路由出現(xiàn)問題時，原有的路由會失效，路由器會自動選擇靜態(tài)路由，保證網(wǎng)絡(luò)不中斷，實現(xiàn)冗余備份。

4.2 改造思路

針對三級管理體制的網(wǎng)絡(luò)改造：路段收費分中心增加相應(yīng)的互聯(lián)地址，添加對應(yīng)收費站回指路由；收費所內(nèi)增加二層管理型接入交換機，采用PBR和ACL指定具體數(shù)據(jù)傳輸方向，采用浮動路由實現(xiàn)主備鏈路切換。

5 工程應(yīng)用

文章結(jié)合京平京秦取消高速公路省界收費站項目，應(yīng)用以上關(guān)鍵技術(shù)對三級管理體制的網(wǎng)絡(luò)進行了改造。

5.1 改造方案

（1）各收費站站級機房內(nèi)新增二層交換機（含光模塊），用于接入ETC門架系統(tǒng)與收費系統(tǒng)。

（2）改造網(wǎng)絡(luò)拓撲結(jié)構(gòu)，改造后物理拓撲結(jié)構(gòu)如圖2所示，邏輯拓撲結(jié)構(gòu)圖如圖3所示。

圖2 改造后物理拓撲結(jié)構(gòu)圖

圖3 改造后邏輯拓撲結(jié)構(gòu)圖

（3）網(wǎng)絡(luò)配置。①路段收費分中心交換機：增加互聯(lián)地址；增加回指路由（靜態(tài)路由）。②收費所交換機：創(chuàng)建ACL規(guī)則；PBR配置；應(yīng)用PBR；配置浮動路由。③收費站防火墻。

5.2 配置實例

（1）分中心交換機配置。在與WGZ所互聯(lián)接口VLAN206下既保留原有互聯(lián)地址18.25.217.150/30，與BBD收費站通信，又增加新的互聯(lián)地址165.195.111.29/30，與WGZ收費站通信。

在全局模式下配置WGZ所WGZ收費站業(yè)務(wù)網(wǎng)段回指路由，原有收費業(yè)務(wù)網(wǎng)段111.111.111.0/27；ETC門架機房業(yè)務(wù)網(wǎng)段18.26.211.192/26；ETC門架業(yè)務(wù)網(wǎng)段18.115.22.128/26。

在全局模式下配置WGZ所BBD收費站業(yè)務(wù)網(wǎng)段回指路由，原有收費業(yè)務(wù)網(wǎng)段10.241.195.0/27；ETC門架機房業(yè)務(wù)網(wǎng)段18.115.22.64/26；ETC門架業(yè)務(wù)網(wǎng)段18.115.13.0/26。

（2）收費所交換機配置。創(chuàng)建ACL規(guī)則：規(guī)則一，允許WGZ收費站與BBD收費站業(yè)務(wù)互通，實現(xiàn)服務(wù)器、工作站共享；規(guī)則二，允許WGZ收費站業(yè)務(wù)數(shù)據(jù)通過與省中心通信；規(guī)則三，允許WGZ收費站業(yè)務(wù)數(shù)據(jù)通過與部中心通信。

PBR配置：節(jié)點一，匹配ACL規(guī)則一完成服務(wù)器、工作站共享設(shè)置；節(jié)點二，匹配ACL規(guī)則二指定精準路由由本站省站防火墻出接口與省中心通信；節(jié)點三，匹配ACL規(guī)則三指定精準路由由本站部站防火墻出接口與部中心通信。

PBR應(yīng)用：全局模式下，開啟PBR功能，WGZ收費站、BBD收費站接口下應(yīng)用PBR。

配置路由：配置默認路由指定BBD收費站數(shù)據(jù)分別到省中心、部中心；配置浮動路由指定WGZ收費站數(shù)據(jù)分別到省中心、部中心。

（3）收費站防火墻配置。省級、部級防火墻配置各相應(yīng)接口地址。Eth1：ETC門架系統(tǒng)IP地址；Eth2：收費系統(tǒng)IP地址；Eth4：主用專用或4G鏈路IP地址；Eth5：備用4G鏈路IP地址。

配置防火墻默認路由，并配置metric值，使其主、備鏈路生效。

5.3 驗證結(jié)果

（1）WGZ收費站數(shù)據(jù)到省聯(lián)網(wǎng)中心，通信正常，根據(jù)指定的路由轉(zhuǎn)發(fā)數(shù)據(jù)。路由下一跳到省級防火墻IP，再到路段分中心IP，再到省聯(lián)網(wǎng)中心服務(wù)器。

（2）WGZ收費站數(shù)據(jù)到部中心，通信正常。

（3）BBD收費站數(shù)據(jù)到省級聯(lián)網(wǎng)中心，通信正常，根據(jù)指定的路由轉(zhuǎn)發(fā)數(shù)據(jù)。路由下一跳到省級防火墻IP，再到路段分中心IP，再到省聯(lián)網(wǎng)中心服務(wù)器。

6 結(jié)束語

根據(jù)工程實際情況，應(yīng)用PBR+ACL技術(shù)解決了三級管理體制下網(wǎng)絡(luò)安全防護拓撲結(jié)構(gòu)改造問題，實現(xiàn)了收費系統(tǒng)數(shù)據(jù)、ETC門架系統(tǒng)數(shù)據(jù)按照指定路由在網(wǎng)絡(luò)中傳輸，降低了施工難度，保證了網(wǎng)絡(luò)數(shù)據(jù)合理、穩(wěn)定的傳輸，不僅節(jié)約了光纜資源，而且降低了工程費用。