在广播电视监测网上组建VPN专网

摘 要：随着广播电视监测业务的拓展，监测范围扩大到偏远的高山发射台和乡村广播站，但在信号接收点没有铺设光缆，为了及时掌握这些地区的广播电视播出情况，实时回传广播电视图像和声音信号，在广播电视监测网引进了VPN技术。通过Internet组建的VPN专网既能实现广播电视监测调度指挥中心与远程遥测点进行安全的数据传输，也能满足移动办公的需求。该方案采用IPSec隧道模式组建VPN专网，对VPN关键技术与方案的具体实施及应用进行了阐述。

关键词：VPN技术;安全防护;监测网应用

中图分类号：TP文献标识码：A文章编号：1672-3198（2008）10-0361-04

1 引言

目前Internet的覆盖面相当广，对于光缆铺设不到的地方，可用VPN来扩大监测网覆盖范围。VPN（Virtual Private Network）即虚拟专用网络，就是两个具有VPN发起连接能力的设备（计算机或防火墙）通过Internet形成的一条安全隧道。在隧道发起端（即服务端），用户的私有数据通过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。此种方式让远程遥测点和移动用户接入网络，能够远程使用内部服务器的应用系统，在非安全的互联网上安全地传送私有数据。与数据专线相比，VPN无需铺设线路，能够利用Internet资源建立安全、可靠、经济、高效的移动监测专网，大大地减少了花费在城域网和远程网络连接上的费用，易于增加新的远程遥测站点，也简化了网络的设计和管理，进一步扩大了广播电视监测在广电中的监督和管理范围。

2 VPN技术特点

随着互联网技术的发展及Internet接入方式的多样化，为VPN应用提供了条件，不同地区的远程遥测点可通过ADSL、小区宽带、GPRS、CDMA 1X或窄带拨号等各种网络连接方式连入Internet，无需固定公网IP地址，由中心的VPN网关为认证用户分配一个内部私网地址，通过远程认证，实现与监测内部网络的互连，从而组成一个高效统一的虚拟专用网络。

目前VPN技术相当成熟，应用相当广泛，主要采用四种技术：隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

2.1 隧道技术（Tunneling）

当VPN客户机访问VPN服务器时，并没有传统专网所需的端到端的物理链路，它们是通过一个虚拟的隧道进行访问。一个隧道实际上就是在公网上建立一条数据通道，让数据包通过这条隧道传输，完成数据封装、传输和解包。为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议，隧道技术主要有三种协议支持：PPTP，L2TP和IPsec。

（1）点对点隧道协议（PPTP: Point-to-Point Tunneling Protocol） 。

PPTP协议工作在OSI/RM开放模型中的第二层，允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或互联网发送。通过PPTP，远程用户首先拨号到本地因特网服务提供商ISP（Internet Service Provider）的网络服务器NAS去访问总部的内部网络，并不需要直接拨号至总部的网络，这样大大减少了建立和维护专用远程线路的费用。PPTP协议通过身份验证后开始加密，身份验证的过程没有加密，安全性稍低，配置简单，在实现上存在着重大安全隐患。

（2）第2层隧道协议（L2TP: Layer 2 Tunneling Protocol） 。

L2TP协议是L2FP(Layer 2 Forwarding Protocol)与PPTP的结合，专门用来进行第二层数据的通道传送，允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP、X.25、桢中继或ATM。远程用户通过本地PSTN、ISDN或PLMN拨号，利用ISP提供的VPDN（Virtual Private Dial-Network）特服号，接入ISP在当地的NAS，通过当地的VPDN认证系统对用户身份进行认证，建立一个位于NAS和LNS(本地网络服务器)之间的虚拟专网来访问总部的内部网络。L2TP需要证书服务来验证计算机身份，身份验证过程是加密的，安全性较高，配置稍微复杂，但也不能完全保证数据传输过程中的安全。

（3）安全IP（IPSec：IPSecurity)隧道模式。

IPSEC协议工作在OSI/RM开放模型中的第三层，允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或互联网发送，具有认证包头AH（Authentication Header）和数据加密格式ESP （Encapsulating Security Payload）。IPSEC采取数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等形式，有效保护IP数据报的安全。在传输数据包之前将其加密，接收端根据AH和ESP对所有受IPSec保护的数据包进行认证和解密，防止数据包被捕捉并重新投放到网上，安全性高，从而保证了数据包在Internet网上传输时的私有性、完整性和真实性。

2．3 加解密技术（Encryption & Decryption）

加解密技术是数据通信中一项较成熟的技术，可直接利用。

2．4 密钥管理技术（Key Management）

密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取,密钥管理技术又分为 SKIP与 ISAKMP/OAKLEY 两种。SKIP（互联网简单密钥管理）主要是利用 Diffie-Hellman 的演算法则，在网络上传输密钥；在 ISAKMP (Internet 安全连接和密钥管理协议)中，双方都有两把密钥，分别用于公用、私用。

2.5 使用者与设备身份认证技术（Authentication）

当VPN客户端连接VPN服务器时，就涉及到身份验证的问题，身份验证可以采用Windows的身份验证或者RADIUS（远程拨号用户确认服务）身份验证。

Windows的身份验证主要通过用户名和密码来提供认证，认证协议采用Microsoft质询握手身份验证协议MS－CHAP（Microsoft Handshake Authentication Protocol）来加强对用户身份的查验。数据包的加密采用点对点加密算法MPPE（Microsoft Point-to-Point Encrypytion）协议, MPPE先在客户端工作站上对PPP数据包进行加密，然后才把它们送入PPTP隧道。传输途中的隧道交换机无法对这些PPP数据包进行解密，这就提高了数据的保密性。

RADIUS身份验证是通过Windows安装Internet验证服务IAS（Internet Authentication Service）来实现。RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密。通过ESP（Encapsulating Security Payload）和一种加密算法（例如3DES）的IPSec为隐藏属性提供更多的保护，同时为所有RADIUS消息提供数据机密性。这种拨号方式建立的VPN连接，可以实现双重数据加密，使网络数据传输更安全。

VPN的加密方式使得网络信息传输安全性大大提高，数据验证使得接收方可识别数据包是否被非法篡改，保证了数据的完整性。

3 VPN专网的安全防护

在公网上使用VPN传输私有数据，面临潜在的安全风险，这需要提供安全保障。虽然VPN有单独的网关，对IPSec数据包进行加密/解密处理和身份认证，但它没有很强的访问控制功能，如状态包过滤、网络内容过滤、防DoS攻击等。要防止非法用户对网络资源或私有信息的访问，网络管理员必须对通过VPN连接到网络的计算机和直接连接到LAN的计算机实行同样的安全标准。

为保证VPN的安全性，我们必须将所有设备放在防火墙之后, 防火墙必须封锁任何没有使用的端口，由防火墙打开允许的隧道信息包通过,才能与内部网络进行数据传输。可以通过安全检测设置来限制有权限的访问者，如果不再符合安全法则时，根本不允许接入。也可以限制内网中的部分用户上Internet，从而为私有数据在公用网络上的传输提供了安全和保密。

在监测网络上建立防火墙，能够保证内部网络免受安全威胁及攻击，强大的网络地址转换功能使服务器对外伪装服务身份，保护局域网内部的服务器安全运行，同时支持对特殊网络服务如QQ、MSN、BT、电驴以及ARP欺骗病毒的屏蔽功能。对于连接VPN的用户也必须在个人计算机上安装个人防火墙，它可以使非法侵入者不能进入局域网。

4 VPN技术在广播电视监测网中的应用

综合VPN技术优点，在广播电视监测网上采用了IPSec隧道模式组建VPN专网，其网络拓扑结构如下：

4.1 VPN专网的网路连接和作用

VPN专网的实现，需在监测内部网络中配置一台VPN服务器与内部网络连接，在中心将VPN硬件网关、监测网络设备及内部办公设备放在防火墙后面，经过防火墙再由一条专用远程线路连接到因特网，VPN硬件网关的LAN（局域网）口连接到内网的交换机上，WAN（广域网）口连接到与外网相连的路由器。

当客户机通过VPN连接与专用网络中的计算机进行通信时，先由NSP(网络服务提供商)将所有的数据传送到VPN服务器，再由VPN服务器将所有的数据传送到目标计算机。网络管理员通过配置VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问内部信息的权利，没有访问权利的用户无法获得局域网信息。

VPN服务器相当于执行路由和远程访问服务任务的一个增强的‘Windows 2003 Server’服务器，一旦一个进入VPN网络的请求被批准，这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。

4.2 VPN硬件网关的主要配置方法及安全设置

（1） VPN硬件网关上的配置（以OLYM产品为例）：

①配置VPN硬件网关IP地址（该地址段为监测局域网未被使用的IP地址，可与监测局域网同网段或不同网段，设置时不能包含已经被使用的IP），使得通过VPN接入到监测局域网的远程用户能够从这个IP地址中获得与内网相同网段的局域网IP地址。比如将VPN硬件网关IP设为172.10.3.1，局域网中的任意一台应用服务器的IP设成172.10.3.XXX。对于需要被各遥测站点、远程用户访问的应用服务器（如广播监测主服务器、电视监测主服务器、WEB服务器等）的网关则指向VPN硬件网关。

②在VPN广域联网中设置相应的上网方式（电话拔号上网、一线通ISDN、网络快车ADSL、有固定IP的线路、DHCP客户端/SSO等），在本方案中使用专线连到Internet，则选择有固定IP线路的上网方式，输入固定的IP及网关。

③配置“虚拟专网”下的“许可证”，输入VPN公司分配的APN组域(VDOMAIN)、节点名(VHOST)以及许可证号。

④配置专网属性：隧道类型选择IPSEC协议，数据加密算法设置为AES/128，传输认证算法设置为MD5-96，在本端地址中输入VPN硬件网关IP地址，并选择“启用交叉巡检”、“启用突发巡检” ，使遂道具有自检与自动恢复功能。

⑤配置Winapn服务管理：

“虚拟专网”的“APN移动用户”设置：将“启动Winapn启动服务”提交，在Winapn服务器中设置静态IP地址池、子网掩码、服务器端口等，也就是为移动用户设置虚拟IP段，作为CLIENT（winapn）和SERVER(apn) 之间建立隧道后通信来使用。这个虚拟IP段不能跟任何一个实际的IP段冲突（包括SERVER端和CLIENT端），如果有冲突，则无法进行通信。

远程用户管理设置：为各遥测站点、远程用户分配合法用户名、密码等账号信息，其中IP地址要符合“Winapn服务器”中的“静态IP地址池”的网段设置。注意远程用户端的IP 最后一个网段不能设置为1，如172.31.252.1这样的IP就不能设定。

（2）VPN硬件网关的安全设置：

根据监测业务需求在VPN设备上设定相应的内网服务，通过设置用户分组、访问控制和行为审计等措施来加强内网安全;为防止外网的攻击设置防火墙的过滤规则（使用自检测功能进行检测）;为内网用户设定访问Internet的权限，设置用户组，不同用户组可独立分配不同的上网权限。防火墙规则是按照控制列表顺序从上到下执行的，在设置防火墙规则时必须考虑规则间的互相关联及限制。

①在“防火墙”的“网络对象管理”中设置节点对象（网络中的主机），输入节点名称（任意设定）、IP地址（受访问控制规则控制的PC机）、MAC地址（可选项），所属网络根据实际选择内网internal、外网external、APN网。

比如要管理局域网中WEB服务器，在节点对象中可添加这样的信息，节点名称选WEB服务器、IP设为172.10.3. XXX、MAC地址为WEB服务器网卡地址、所属网络选择内网。

②在节点对象组中添加不同的用户组，每个用户组可以包含多个主机，对应不同的控制规则，以分配不同的权限。

③在访问控制管理中设置访问控制规则，输入源地址、目的地址、服务端口、时间计划、访问控制管理等项。其中“源地址”为数据报发送端，“目的地址”为数据报接受端，这两项的可控端包含ANY（任何网络）、WAN（外网）、LAN（内网）、APNNET（APN网）、节点对象（网络中的主机）等内容,“服务端口” 包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等服务对象, “控制”项分为“接受（ACCEPT）数据报通过”、“拒绝（DROP）数据报通过”两种。

比如设置局域网中WEB服务器的权限为允许访问内网和外网资源，允许接受任何控制，而局域网中其他PC机均不能访问外网，则可这样设置两条控制规则。第1条规则为“源”选WEB服务器、“目的”选ANY、“服务”选ANY、“时间”选ANY、“控制”选接受（ACCEPT），第2条规则为“源”选LAN、“目的”选WAN、“服务”选ANY、“时间”选ANY、“控制”选拒绝（DROP）。假如局域网所有PC机都不允许访问外网，只需设置一条规则，“源”选ANY、“目的”选ANY、“服务”选ANY、“时间”选ANY、“控制”选拒绝（DROP）。

（3）对于移动用户，管理员可选择是否为该移动用户启用DKEY，若启用，需将对应DKEY插入总部模块所在计算机的USB口上，VPN设备将会把此移动用户接入VPN所需的配置信息导入DKEY，并将DKEY作为用户接入时的身份认证依据。

4.3 VPN客户端设置

（1）客户端要安装隧道软件，安装过程中需要安装虚拟网卡，安装完成后进行软件设置。

（2）添加一个隧道名称（任意设定），输入用户名和密码（硬件VPN中设置的远程用户名和密码）。若选择VDN查询方式则输入Vdomain（硬件VPN中的域名）以及Vhost（硬件VPN中节点名）。若选择直接使用IP方式则输入APN地址（VPN设备固定IP）来建立安全隧道。

（3）输入完成后选择建立的隧道名称进行连接。启动客户端后虚拟网卡的状态由断开转为正常，在初始化隧道过程中，使用用户ID和口令或用数字许可证鉴权。隧道建立成功后在电脑右小角会提示“隧道启用”， VPN会根据配置文件分配对应IP给虚拟网卡。

（4）对于无人值守的远程遥测站点还需进行相关设置，如断线重连次数（填入100次就能无限制断线重连）、选择开机启动隧道、客户端计算机是否使用无线上网（手机上网方式选择此项），这些设置都为VPN网络的自动连接提供保障。

（5）在客户端还须安装相应的杀毒软件及防火墙，以保证网络安全。

客户和隧道服务器建立隧道后，就可以进行通信了，如同ISP没有参与连接一样。在此基础上，简单的配置一下路由信息，就可以让VPN客户端访问VPN服务端所在网段的全部资源。

4.4 VPN技术在广播电视监测网实施的优势

（1）采用廉价的接入方式，实现各远程遥测点、移动用户与整个广播电视监测网络的无缝连接和安全连接，在任何地点、任何上网方式都可以接入监测局域网，减少在设备、人员和管理上的投资，保护了现有硬件和软件系统上的投资，有效地降低了运营成本。

（2）通过防火墙内部策略控制体系，VPN能够允许授权移动用户或已授权的用户在任何时间任何地点访问监测局域网，对VPN数据可以进行有效的控制和管理，使VPN专网的数据通信具有良好的安全性和管理性。

（3）VPN 自带断线重拨技术，内置自动拨号软件和VPN 隧道监控线程，在断线情况下10秒内自动拨号，隧道自动建立，使远程遥测点与中心网络保持连接。VPN提供信息日志、错误日志和调试日志等多种类型的日志，让网络管理员随时了解设备运行情况，帮助网络管理员准确定位网络故障点，降低了维护成本，减少了维护工作量。

（4）VPN 采用了目前先进的压缩算法，带宽利用率达 130 ％，大大提高系统数据的访问传输速度，为监测调度指挥系统提供高效快速的 VPN 虚拟网络平台。

5 结语

利用VPN技术上的优势，把广播电视监测网远程拓展到了偏远的县、乡、镇，建立了一个规模大，覆盖省、市、县、乡、镇的自动化无人值守、实时监测、实时预警、实时调度指挥功能于一体的科学高效的广播电视监管系统，实现了把监测告警信息实时动态反馈给各级播出单位，达到科学高效的管理目标。解决了全区各级广电管理部门长期以来无法及时掌握和了解各县、乡、镇广播电视播出质量和覆盖效果的难题，从而确保了党和政府的政令畅通，为保障人民群众收听好广播、看好电视节目，发挥极其重要的作用。

参考文献

［1］［美］Richard Deal著. Cisco VPN完全配置指南［M］.北京:人民邮电出版社， 2007,(4).

［2］［美］Mark Lucas等著.防火墙策略与VPN配置［M］. 北京:水利水电出版社，2008,(1).

［3］高海英，薛元星，辛阳等著.VPN技术［M］. 北京:机械工业出版社, 2004,(4).

［4］王达等著。虚拟专用网（VPN）精解［M］. 北京:清华大学出版社, 2005,(4).

［5］［美］Mark Lewis著. VPN故障诊断与排除［M］. 袁国忠等译.北京:人民邮电出版社, 2006,(2).