ＶＰＮ技術(shù)在廣播電視監(jiān)測(cè)網(wǎng)中的應(yīng)用

任貴強(qiáng)　靖亞興

摘 要：隨著廣播電視監(jiān)測(cè)業(yè)務(wù)的拓展，監(jiān)測(cè)范圍擴(kuò)大到偏遠(yuǎn)的高山發(fā)射臺(tái)和鄉(xiāng)村廣播站，但在信號(hào)接收點(diǎn)沒有鋪設(shè)光纜，為了及時(shí)掌握這些地區(qū)的廣播電視播出情況，實(shí)時(shí)回傳廣播電視圖像和聲音信號(hào)，在廣播電視監(jiān)測(cè)網(wǎng)引進(jìn)了VPN技術(shù)。通過(guò)Internet組建的VPN專網(wǎng)既能實(shí)現(xiàn)廣播電視監(jiān)測(cè)調(diào)度指揮中心與遠(yuǎn)程遙測(cè)點(diǎn)進(jìn)行安全的數(shù)據(jù)傳輸，也能滿足移動(dòng)辦公的需求。該方案采用IPSec隧道模式組建VPN專網(wǎng)，對(duì)VPN關(guān)鍵技術(shù)與方案的具體實(shí)施及應(yīng)用進(jìn)行了闡述。

關(guān)鍵詞：VPN技術(shù)；安全防護(hù)；監(jiān)測(cè)網(wǎng)應(yīng)用

1 引言

目前Internet的覆蓋面相當(dāng)廣，對(duì)于光纜鋪設(shè)不到的地方，可用VPN來(lái)擴(kuò)大監(jiān)測(cè)網(wǎng)覆蓋范圍。VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，就是兩個(gè)具有VPN發(fā)起連接能力的設(shè)備（計(jì)算機(jī)或防火墻）通過(guò)Internet形成的一條安全隧道。在隧道發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)通過(guò)封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地到達(dá)用戶端。此種方式讓遠(yuǎn)程遙測(cè)點(diǎn)和移動(dòng)用戶接入網(wǎng)絡(luò)，能夠遠(yuǎn)程使用內(nèi)部服務(wù)器的應(yīng)用系統(tǒng)，在非安全的互聯(lián)網(wǎng)上安全地傳送私有數(shù)據(jù)。與數(shù)據(jù)專線相比，VPN無(wú)需鋪設(shè)線路，能夠利用Internet資源建立安全、可靠、經(jīng)濟(jì)、高效的移動(dòng)監(jiān)測(cè)專網(wǎng)，大大地減少了花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用，易于增加新的遠(yuǎn)程遙測(cè)站點(diǎn)，也簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，進(jìn)一步擴(kuò)大了廣播電視監(jiān)測(cè)在廣電中的監(jiān)督和管理范圍。

2 VPN專網(wǎng)的網(wǎng)路連接和作用

VPN專網(wǎng)的實(shí)現(xiàn)，需在監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)中配置一臺(tái)VPN服務(wù)器與內(nèi)部網(wǎng)絡(luò)連接，在中心將VPN硬件網(wǎng)關(guān)、監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備及內(nèi)部辦公設(shè)備放在防火墻后面，經(jīng)過(guò)防火墻再由一條專用遠(yuǎn)程線路連接到因特網(wǎng)，VPN硬件網(wǎng)關(guān)的LAN（局域網(wǎng)）口連接到內(nèi)網(wǎng)的交換機(jī)上，WAN（廣域網(wǎng)）口連接到與外網(wǎng)相連的路由器。

當(dāng)客戶機(jī)通過(guò)VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由NSP(網(wǎng)絡(luò)服務(wù)提供商)將所有的數(shù)據(jù)傳送到VPN服務(wù)器，再由VPN服務(wù)器將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。網(wǎng)絡(luò)管理員通過(guò)配置VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問內(nèi)部信息的權(quán)利，沒有訪問權(quán)利的用戶無(wú)法獲得局域網(wǎng)信息。

VPN服務(wù)器相當(dāng)于執(zhí)行路由和遠(yuǎn)程訪問服務(wù)任務(wù)的一個(gè)增強(qiáng)的'Windows 2003 Server'服務(wù)器，一旦一個(gè)進(jìn)入VPN網(wǎng)絡(luò)的請(qǐng)求被批準(zhǔn)，這個(gè)VPN服務(wù)器就簡(jiǎn)單地充當(dāng)一臺(tái)路由器向這個(gè)VPN客戶機(jī)提供專用網(wǎng)絡(luò)的接入。

3 VPN硬件網(wǎng)關(guān)的主要配置方法及安全設(shè)置

3.1 VPN硬件網(wǎng)關(guān)上的配置（以O(shè)LYM產(chǎn)品為例）：

①配置VPN硬件網(wǎng)關(guān)IP地址（該地址段為監(jiān)測(cè)局域網(wǎng)未被使用的IP地址，可與監(jiān)測(cè)局域網(wǎng)同網(wǎng)段或不同網(wǎng)段，設(shè)置時(shí)不能包含已經(jīng)被使用的IP），使得通過(guò)VPN接入到監(jiān)測(cè)局域網(wǎng)的遠(yuǎn)程用戶能夠從這個(gè)IP地址中獲得與內(nèi)網(wǎng)相同網(wǎng)段的局域網(wǎng)IP地址。比如將VPN硬件網(wǎng)關(guān)IP設(shè)為172.10.3.1，局域網(wǎng)中的任意一臺(tái)應(yīng)用服務(wù)器的IP設(shè)成172.10.3.XXX。對(duì)于需要被各遙測(cè)站點(diǎn)、遠(yuǎn)程用戶訪問的應(yīng)用服務(wù)器（如廣播監(jiān)測(cè)主服務(wù)器、電視監(jiān)測(cè)主服務(wù)器、WEB服務(wù)器等）的網(wǎng)關(guān)則指向VPN硬件網(wǎng)關(guān)。

②在VPN廣域聯(lián)網(wǎng)中設(shè)置相應(yīng)的上網(wǎng)方式（電話拔號(hào)上網(wǎng)、一線通ISDN、網(wǎng)絡(luò)快車ADSL、有固定IP的線路、DHCP客戶端/SSO等），在本方案中使用專線連到Internet，則選擇有固定IP線路的上網(wǎng)方式，輸入固定的IP及網(wǎng)關(guān)。

③配置“虛擬專網(wǎng)”下的“許可證”，輸入VPN公司分配的APN組域(VDOMAIN)、節(jié)點(diǎn)名(VHOST)以及許可證號(hào)。

④配置專網(wǎng)屬性：隧道類型選擇IPSEC協(xié)議，數(shù)據(jù)加密算法設(shè)置為AES/128，傳輸認(rèn)證算法設(shè)置為MD5-96，在本端地址中輸入VPN硬件網(wǎng)關(guān)IP地址，并選擇“啟用交叉巡檢”、“啟用突發(fā)巡檢” ，使遂道具有自檢與自動(dòng)恢復(fù)功能。

⑤配置Winapn服務(wù)管理：

“虛擬專網(wǎng)”的“APN移動(dòng)用戶”設(shè)置：將“啟動(dòng)Winapn啟動(dòng)服務(wù)”提交，在Winapn服務(wù)器中設(shè)置靜態(tài)IP地址池、子網(wǎng)掩碼、服務(wù)器端口等，也就是為移動(dòng)用戶設(shè)置虛擬IP段，作為CLIENT（winapn）和SERVER(apn) 之間建立隧道后通信來(lái)使用。這個(gè)虛擬IP段不能跟任何一個(gè)實(shí)際的IP段沖突（包括SERVER端和CLIENT端），如果有沖突，則無(wú)法進(jìn)行通信。

3.2 VPN硬件網(wǎng)關(guān)的安全設(shè)置：

根據(jù)監(jiān)測(cè)業(yè)務(wù)需求在VPN設(shè)備上設(shè)定相應(yīng)的內(nèi)網(wǎng)服務(wù)，通過(guò)設(shè)置用戶分組、訪問控制和行為審計(jì)等措施來(lái)加強(qiáng)內(nèi)網(wǎng)安全;為防止外網(wǎng)的攻擊設(shè)置防火墻的過(guò)濾規(guī)則（使用自檢測(cè)功能進(jìn)行檢測(cè)）;為內(nèi)網(wǎng)用戶設(shè)定訪問Internet的權(quán)限，設(shè)置用戶組，不同用戶組可獨(dú)立分配不同的上網(wǎng)權(quán)限。防火墻規(guī)則是按照控制列表順序從上到下執(zhí)行的，在設(shè)置防火墻規(guī)則時(shí)必須考慮規(guī)則間的互相關(guān)聯(lián)及限制。

①在“防火墻”的“網(wǎng)絡(luò)對(duì)象管理”中設(shè)置節(jié)點(diǎn)對(duì)象（網(wǎng)絡(luò)中的主機(jī)），輸入節(jié)點(diǎn)名稱（任意設(shè)定）、IP地址（受訪問控制規(guī)則控制的PC機(jī)）、MAC地址（可選項(xiàng)），所屬網(wǎng)絡(luò)根據(jù)實(shí)際選擇內(nèi)網(wǎng)internal、外網(wǎng)external、APN網(wǎng)。

比如要管理局域網(wǎng)中WEB服務(wù)器，在節(jié)點(diǎn)對(duì)象中可添加這樣的信息，節(jié)點(diǎn)名稱選WEB服務(wù)器、IP設(shè)為172.10.3. XXX、MAC地址為WEB服務(wù)器網(wǎng)卡地址、所屬網(wǎng)絡(luò)選擇內(nèi)網(wǎng)。

②在節(jié)點(diǎn)對(duì)象組中添加不同的用戶組，每個(gè)用戶組可以包含多個(gè)主機(jī)，對(duì)應(yīng)不同的控制規(guī)則，以分配不同的權(quán)限。

③在訪問控制管理中設(shè)置訪問控制規(guī)則，輸入源地址、目的地址、服務(wù)端口、時(shí)間計(jì)劃、訪問控制管理等項(xiàng)。其中“源地址”為數(shù)據(jù)報(bào)發(fā)送端，“目的地址”為數(shù)據(jù)報(bào)接受端，這兩項(xiàng)的可控端包含ANY（任何網(wǎng)絡(luò)）、WAN（外網(wǎng)）、LAN（內(nèi)網(wǎng)）、APNNET（APN網(wǎng)）、節(jié)點(diǎn)對(duì)象（網(wǎng)絡(luò)中的主機(jī)）等內(nèi)容,“服務(wù)端口” 包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等服務(wù)對(duì)象, “控制”項(xiàng)分為“接受（ACCEPT）數(shù)據(jù)報(bào)通過(guò)”、“拒絕（DROP）數(shù)據(jù)報(bào)通過(guò)”兩種。

客戶端要安裝隧道軟件，安裝過(guò)程中需要安裝虛擬網(wǎng)卡，安裝完成后進(jìn)行軟件設(shè)置。

添加一個(gè)隧道名稱（任意設(shè)定），輸入用戶名和密碼（硬件VPN中設(shè)置的遠(yuǎn)程用戶名和密碼）。若選擇VDN查詢方式則輸入Vdomain（硬件VPN中的域名）以及Vhost（硬件VPN中節(jié)點(diǎn)名）。若選擇直接使用IP方式則輸入APN地址（VPN設(shè)備固定IP）來(lái)建立安全隧道。

輸入完成后選擇建立的隧道名稱進(jìn)行連接。啟動(dòng)客戶端后虛擬網(wǎng)卡的狀態(tài)由斷開轉(zhuǎn)為正常，在初始化隧道過(guò)程中，使用用戶ID和口令或用數(shù)字許可證鑒權(quán)。隧道建立成功后在電腦右小角會(huì)提示“隧道啟用”， VPN會(huì)根據(jù)配置文件分配對(duì)應(yīng)IP給虛擬網(wǎng)卡。

對(duì)于無(wú)人值守的遠(yuǎn)程遙測(cè)站點(diǎn)還需進(jìn)行相關(guān)設(shè)置，如斷線重連次數(shù)（填入100次就能無(wú)限制斷線重連）、選擇開機(jī)啟動(dòng)隧道、客戶端計(jì)算機(jī)是否使用無(wú)線上網(wǎng)（手機(jī)上網(wǎng)方式選擇此項(xiàng)），這些設(shè)置都為VPN網(wǎng)絡(luò)的自動(dòng)連接提供保障。

在客戶端還須安裝相應(yīng)的殺毒軟件及防火墻，以保證網(wǎng)絡(luò)安全。

客戶和隧道服務(wù)器建立隧道后，就可以進(jìn)行通信了，如同ISP沒有參與連接一樣。在此基礎(chǔ)上，簡(jiǎn)單的配置一下路由信息，就可以讓VPN客戶端訪問VPN服務(wù)端所在網(wǎng)段的全部資源。

4 VPN技術(shù)在廣播電視監(jiān)測(cè)網(wǎng)實(shí)施的優(yōu)勢(shì)

采用廉價(jià)的接入方式，實(shí)現(xiàn)各遠(yuǎn)程遙測(cè)點(diǎn)、移動(dòng)用戶與整個(gè)廣播電視監(jiān)測(cè)網(wǎng)絡(luò)的無(wú)縫連接和安全連接，在任何地點(diǎn)、任何上網(wǎng)方式都可以接入監(jiān)測(cè)局域網(wǎng)，減少在設(shè)備、人員和管理上的投資，保護(hù)了現(xiàn)有硬件和軟件系統(tǒng)上的投資，有效地降低了運(yùn)營(yíng)成本。

VPN 自帶斷線重?fù)芗夹g(shù)，內(nèi)置自動(dòng)撥號(hào)軟件和VPN 隧道監(jiān)控線程，在斷線情況下10秒內(nèi)自動(dòng)撥號(hào)，隧道自動(dòng)建立，使遠(yuǎn)程遙測(cè)點(diǎn)與中心網(wǎng)絡(luò)保持連接。VPN提供信息日志、錯(cuò)誤日志和調(diào)試日志等多種類型的日志，讓網(wǎng)絡(luò)管理員隨時(shí)了解設(shè)備運(yùn)行情況，幫助網(wǎng)絡(luò)管理員準(zhǔn)確定位網(wǎng)絡(luò)故障點(diǎn)，降低了維護(hù)成本，減少了維護(hù)工作量。

VPN 采用了目前先進(jìn)的壓縮算法，帶寬利用率達(dá) 130 ％，大大提高系統(tǒng)數(shù)據(jù)的訪問傳輸速度，為監(jiān)測(cè)調(diào)度指揮系統(tǒng)提供高效快速的 VPN 虛擬網(wǎng)絡(luò)平臺(tái)。

結(jié)語(yǔ)

利用VPN技術(shù)上的優(yōu)勢(shì)，把廣播電視監(jiān)測(cè)網(wǎng)遠(yuǎn)程拓展到了偏遠(yuǎn)的縣、鄉(xiāng)、鎮(zhèn)，建立了一個(gè)規(guī)模大，覆蓋省、市、縣、鄉(xiāng)、鎮(zhèn)的自動(dòng)化無(wú)人值守、實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)預(yù)警發(fā)布、實(shí)時(shí)調(diào)度指揮功能于一體的科學(xué)高效的廣播電視監(jiān)管系統(tǒng)，實(shí)現(xiàn)了把監(jiān)測(cè)告警信息實(shí)時(shí)動(dòng)態(tài)反饋給各級(jí)播出單位，達(dá)到科學(xué)高效的管理目標(biāo)。解決了全區(qū)各級(jí)廣電管理部門長(zhǎng)期以來(lái)無(wú)法及時(shí)掌握和了解各縣、鄉(xiāng)、鎮(zhèn)廣播電視播出質(zhì)量和覆蓋效果的難題，從而確保了黨和政府的政令暢通，為保障人民群眾收聽好廣播、看好電視節(jié)目，發(fā)揮極其重要的作用。

參考文獻(xiàn)

[1]高海英，薛元星，辛陽(yáng)等著.VPN技術(shù)［M］. 北京:機(jī)械工業(yè)出版社, 2004,(4).

[2]王達(dá)等著.虛擬專用網(wǎng)（VPN）精解[M].北京:清華大學(xué)出版社, 2005,(4).

[3][美]Mark Lewis著. VPN故障診斷與排除[M]. 袁國(guó)忠等譯.北京:人民郵電出版社, 2006,(2).