在廣播電視監(jiān)測(cè)網(wǎng)上組建ＶＰＮ專(zhuān)網(wǎng)

摘 要：隨著廣播電視監(jiān)測(cè)業(yè)務(wù)的拓展，監(jiān)測(cè)范圍擴(kuò)大到偏遠(yuǎn)的高山發(fā)射臺(tái)和鄉(xiāng)村廣播站，但在信號(hào)接收點(diǎn)沒(méi)有鋪設(shè)光纜，為了及時(shí)掌握這些地區(qū)的廣播電視播出情況，實(shí)時(shí)回傳廣播電視圖像和聲音信號(hào)，在廣播電視監(jiān)測(cè)網(wǎng)引進(jìn)了VPN技術(shù)。通過(guò)Internet組建的VPN專(zhuān)網(wǎng)既能實(shí)現(xiàn)廣播電視監(jiān)測(cè)調(diào)度指揮中心與遠(yuǎn)程遙測(cè)點(diǎn)進(jìn)行安全的數(shù)據(jù)傳輸，也能滿(mǎn)足移動(dòng)辦公的需求。該方案采用IPSec隧道模式組建VPN專(zhuān)網(wǎng)，對(duì)VPN關(guān)鍵技術(shù)與方案的具體實(shí)施及應(yīng)用進(jìn)行了闡述。

關(guān)鍵詞：VPN技術(shù);安全防護(hù);監(jiān)測(cè)網(wǎng)應(yīng)用

中圖分類(lèi)號(hào)：TP文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3198（2008）10-0361-04

1 引言

目前Internet的覆蓋面相當(dāng)廣，對(duì)于光纜鋪設(shè)不到的地方，可用VPN來(lái)擴(kuò)大監(jiān)測(cè)網(wǎng)覆蓋范圍。VPN（Virtual Private Network）即虛擬專(zhuān)用網(wǎng)絡(luò)，就是兩個(gè)具有VPN發(fā)起連接能力的設(shè)備（計(jì)算機(jī)或防火墻）通過(guò)Internet形成的一條安全隧道。在隧道發(fā)起端（即服務(wù)端），用戶(hù)的私有數(shù)據(jù)通過(guò)封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶(hù)端），接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地到達(dá)用戶(hù)端。此種方式讓遠(yuǎn)程遙測(cè)點(diǎn)和移動(dòng)用戶(hù)接入網(wǎng)絡(luò)，能夠遠(yuǎn)程使用內(nèi)部服務(wù)器的應(yīng)用系統(tǒng)，在非安全的互聯(lián)網(wǎng)上安全地傳送私有數(shù)據(jù)。與數(shù)據(jù)專(zhuān)線(xiàn)相比，VPN無(wú)需鋪設(shè)線(xiàn)路，能夠利用Internet資源建立安全、可靠、經(jīng)濟(jì)、高效的移動(dòng)監(jiān)測(cè)專(zhuān)網(wǎng)，大大地減少了花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用，易于增加新的遠(yuǎn)程遙測(cè)站點(diǎn)，也簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，進(jìn)一步擴(kuò)大了廣播電視監(jiān)測(cè)在廣電中的監(jiān)督和管理范圍。

2 VPN技術(shù)特點(diǎn)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及Internet接入方式的多樣化，為VPN應(yīng)用提供了條件，不同地區(qū)的遠(yuǎn)程遙測(cè)點(diǎn)可通過(guò)ADSL、小區(qū)寬帶、GPRS、CDMA 1X或窄帶撥號(hào)等各種網(wǎng)絡(luò)連接方式連入Internet，無(wú)需固定公網(wǎng)IP地址，由中心的VPN網(wǎng)關(guān)為認(rèn)證用戶(hù)分配一個(gè)內(nèi)部私網(wǎng)地址，通過(guò)遠(yuǎn)程認(rèn)證，實(shí)現(xiàn)與監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)的互連，從而組成一個(gè)高效統(tǒng)一的虛擬專(zhuān)用網(wǎng)絡(luò)。

目前VPN技術(shù)相當(dāng)成熟，應(yīng)用相當(dāng)廣泛，主要采用四種技術(shù)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

2.1 隧道技術(shù)（Tunneling）

當(dāng)VPN客戶(hù)機(jī)訪(fǎng)問(wèn)VPN服務(wù)器時(shí)，并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，它們是通過(guò)一個(gè)虛擬的隧道進(jìn)行訪(fǎng)問(wèn)。一個(gè)隧道實(shí)際上就是在公網(wǎng)上建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過(guò)這條隧道傳輸，完成數(shù)據(jù)封裝、傳輸和解包。為創(chuàng)建隧道，隧道的客戶(hù)機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議，隧道技術(shù)主要有三種協(xié)議支持：PPTP，L2TP和IPsec。

（1）點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP: Point-to-Point Tunneling Protocol） 。

PPTP協(xié)議工作在OSI/RM開(kāi)放模型中的第二層，允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)送。通過(guò)PPTP，遠(yuǎn)程用戶(hù)首先撥號(hào)到本地因特網(wǎng)服務(wù)提供商ISP（Internet Service Provider）的網(wǎng)絡(luò)服務(wù)器NAS去訪(fǎng)問(wèn)總部的內(nèi)部網(wǎng)絡(luò)，并不需要直接撥號(hào)至總部的網(wǎng)絡(luò)，這樣大大減少了建立和維護(hù)專(zhuān)用遠(yuǎn)程線(xiàn)路的費(fèi)用。PPTP協(xié)議通過(guò)身份驗(yàn)證后開(kāi)始加密，身份驗(yàn)證的過(guò)程沒(méi)有加密，安全性稍低，配置簡(jiǎn)單，在實(shí)現(xiàn)上存在著重大安全隱患。

（2）第2層隧道協(xié)議（L2TP: Layer 2 Tunneling Protocol） 。

L2TP協(xié)議是L2FP(Layer 2 Forwarding Protocol)與PPTP的結(jié)合，專(zhuān)門(mén)用來(lái)進(jìn)行第二層數(shù)據(jù)的通道傳送，允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過(guò)支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP、X.25、楨中繼或ATM。遠(yuǎn)程用戶(hù)通過(guò)本地PSTN、ISDN或PLMN撥號(hào)，利用ISP提供的VPDN（Virtual Private Dial-Network）特服號(hào)，接入ISP在當(dāng)?shù)氐腘AS，通過(guò)當(dāng)?shù)氐腣PDN認(rèn)證系統(tǒng)對(duì)用戶(hù)身份進(jìn)行認(rèn)證，建立一個(gè)位于NAS和LNS(本地網(wǎng)絡(luò)服務(wù)器)之間的虛擬專(zhuān)網(wǎng)來(lái)訪(fǎng)問(wèn)總部的內(nèi)部網(wǎng)絡(luò)。L2TP需要證書(shū)服務(wù)來(lái)驗(yàn)證計(jì)算機(jī)身份，身份驗(yàn)證過(guò)程是加密的，安全性較高，配置稍微復(fù)雜，但也不能完全保證數(shù)據(jù)傳輸過(guò)程中的安全。

（3）安全I(xiàn)P（IPSec：IPSecurity)隧道模式。



IPSEC協(xié)議工作在OSI/RM開(kāi)放模型中的第三層，允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)送，具有認(rèn)證包頭AH（Authentication Header）和數(shù)據(jù)加密格式ESP （Encapsulating Security Payload）。IPSEC采取數(shù)據(jù)源驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)、抗重播保護(hù)等形式，有效保護(hù)IP數(shù)據(jù)報(bào)的安全。在傳輸數(shù)據(jù)包之前將其加密，接收端根據(jù)AH和ESP對(duì)所有受IPSec保護(hù)的數(shù)據(jù)包進(jìn)行認(rèn)證和解密，防止數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，安全性高，從而保證了數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。

2．3 加解密技術(shù)（Encryption Decryption）

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，可直接利用。

2．4 密鑰管理技術(shù)（Key Management）

密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取，密鑰管理技術(shù)又分為 SKIP與 ISAKMP/OAKLEY 兩種。SKIP（互聯(lián)網(wǎng)簡(jiǎn)單密鑰管理）主要是利用 Diffie-Hellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在 ISAKMP (Internet 安全連接和密鑰管理協(xié)議)中，雙方都有兩把密鑰，分別用于公用、私用。

2.5 使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）

當(dāng)VPN客戶(hù)端連接VPN服務(wù)器時(shí)，就涉及到身份驗(yàn)證的問(wèn)題，身份驗(yàn)證可以采用Windows的身份驗(yàn)證或者RADIUS（遠(yuǎn)程撥號(hào)用戶(hù)確認(rèn)服務(wù)）身份驗(yàn)證。

Windows的身份驗(yàn)證主要通過(guò)用戶(hù)名和密碼來(lái)提供認(rèn)證，認(rèn)證協(xié)議采用Microsoft質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議MS－CHAP（Microsoft Handshake Authentication Protocol）來(lái)加強(qiáng)對(duì)用戶(hù)身份的查驗(yàn)。數(shù)據(jù)包的加密采用點(diǎn)對(duì)點(diǎn)加密算法MPPE（Microsoft Point-to-Point Encrypytion）協(xié)議， MPPE先在客戶(hù)端工作站上對(duì)PPP數(shù)據(jù)包進(jìn)行加密，然后才把它們送入PPTP隧道。傳輸途中的隧道交換機(jī)無(wú)法對(duì)這些PPP數(shù)據(jù)包進(jìn)行解密，這就提高了數(shù)據(jù)的保密性。

RADIUS身份驗(yàn)證是通過(guò)Windows安裝Internet驗(yàn)證服務(wù)IAS（Internet Authentication Service）來(lái)實(shí)現(xiàn)。RADIUS隱藏機(jī)制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法來(lái)給用戶(hù)的口令以及其它屬性加密。通過(guò)ESP（Encapsulating Security Payload）和一種加密算法（例如3DES）的IPSec為隱藏屬性提供更多的保護(hù)，同時(shí)為所有RADIUS消息提供數(shù)據(jù)機(jī)密性。這種撥號(hào)方式建立的VPN連接，可以實(shí)現(xiàn)雙重?cái)?shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。

VPN的加密方式使得網(wǎng)絡(luò)信息傳輸安全性大大提高，數(shù)據(jù)驗(yàn)證使得接收方可識(shí)別數(shù)據(jù)包是否被非法篡改，保證了數(shù)據(jù)的完整性。

3 VPN專(zhuān)網(wǎng)的安全防護(hù)

在公網(wǎng)上使用VPN傳輸私有數(shù)據(jù)，面臨潛在的安全風(fēng)險(xiǎn)，這需要提供安全保障。雖然VPN有單獨(dú)的網(wǎng)關(guān)，對(duì)IPSec數(shù)據(jù)包進(jìn)行加密/解密處理和身份認(rèn)證，但它沒(méi)有很強(qiáng)的訪(fǎng)問(wèn)控制功能，如狀態(tài)包過(guò)濾、網(wǎng)絡(luò)內(nèi)容過(guò)濾、防DoS攻擊等。要防止非法用戶(hù)對(duì)網(wǎng)絡(luò)資源或私有信息的訪(fǎng)問(wèn)，網(wǎng)絡(luò)管理員必須對(duì)通過(guò)VPN連接到網(wǎng)絡(luò)的計(jì)算機(jī)和直接連接到LAN的計(jì)算機(jī)實(shí)行同樣的安全標(biāo)準(zhǔn)。

為保證VPN的安全性，我們必須將所有設(shè)備放在防火墻之后， 防火墻必須封鎖任何沒(méi)有使用的端口，由防火墻打開(kāi)允許的隧道信息包通過(guò)，才能與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。可以通過(guò)安全檢測(cè)設(shè)置來(lái)限制有權(quán)限的訪(fǎng)問(wèn)者，如果不再符合安全法則時(shí)，根本不允許接入。也可以限制內(nèi)網(wǎng)中的部分用戶(hù)上Internet，從而為私有數(shù)據(jù)在公用網(wǎng)絡(luò)上的傳輸提供了安全和保密。

在監(jiān)測(cè)網(wǎng)絡(luò)上建立防火墻，能夠保證內(nèi)部網(wǎng)絡(luò)免受安全威脅及攻擊，強(qiáng)大的網(wǎng)絡(luò)地址轉(zhuǎn)換功能使服務(wù)器對(duì)外偽裝服務(wù)身份，保護(hù)局域網(wǎng)內(nèi)部的服務(wù)器安全運(yùn)行，同時(shí)支持對(duì)特殊網(wǎng)絡(luò)服務(wù)如QQ、MSN、BT、電驢以及ARP欺騙病毒的屏蔽功能。對(duì)于連接VPN的用戶(hù)也必須在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻，它可以使非法侵入者不能進(jìn)入局域網(wǎng)。

4 VPN技術(shù)在廣播電視監(jiān)測(cè)網(wǎng)中的應(yīng)用

綜合VPN技術(shù)優(yōu)點(diǎn)，在廣播電視監(jiān)測(cè)網(wǎng)上采用了IPSec隧道模式組建VPN專(zhuān)網(wǎng)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：

4.1 VPN專(zhuān)網(wǎng)的網(wǎng)路連接和作用

VPN專(zhuān)網(wǎng)的實(shí)現(xiàn)，需在監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)中配置一臺(tái)VPN服務(wù)器與內(nèi)部網(wǎng)絡(luò)連接，在中心將VPN硬件網(wǎng)關(guān)、監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備及內(nèi)部辦公設(shè)備放在防火墻后面，經(jīng)過(guò)防火墻再由一條專(zhuān)用遠(yuǎn)程線(xiàn)路連接到因特網(wǎng)，VPN硬件網(wǎng)關(guān)的LAN（局域網(wǎng)）口連接到內(nèi)網(wǎng)的交換機(jī)上，WAN（廣域網(wǎng)）口連接到與外網(wǎng)相連的路由器。

當(dāng)客戶(hù)機(jī)通過(guò)VPN連接與專(zhuān)用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由NSP(網(wǎng)絡(luò)服務(wù)提供商)將所有的數(shù)據(jù)傳送到VPN服務(wù)器，再由VPN服務(wù)器將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。網(wǎng)絡(luò)管理員通過(guò)配置VPN服務(wù)器，指定只有符合特定身份要求的用戶(hù)才能連接VPN服務(wù)器獲得訪(fǎng)問(wèn)內(nèi)部信息的權(quán)利，沒(méi)有訪(fǎng)問(wèn)權(quán)利的用戶(hù)無(wú)法獲得局域網(wǎng)信息。

VPN服務(wù)器相當(dāng)于執(zhí)行路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)任務(wù)的一個(gè)增強(qiáng)的‘Windows 2003 Server’服務(wù)器，一旦一個(gè)進(jìn)入VPN網(wǎng)絡(luò)的請(qǐng)求被批準(zhǔn)，這個(gè)VPN服務(wù)器就簡(jiǎn)單地充當(dāng)一臺(tái)路由器向這個(gè)VPN客戶(hù)機(jī)提供專(zhuān)用網(wǎng)絡(luò)的接入。

4.2 VPN硬件網(wǎng)關(guān)的主要配置方法及安全設(shè)置

（1） VPN硬件網(wǎng)關(guān)上的配置（以O(shè)LYM產(chǎn)品為例）：

①配置VPN硬件網(wǎng)關(guān)IP地址（該地址段為監(jiān)測(cè)局域網(wǎng)未被使用的IP地址，可與監(jiān)測(cè)局域網(wǎng)同網(wǎng)段或不同網(wǎng)段，設(shè)置時(shí)不能包含已經(jīng)被使用的IP），使得通過(guò)VPN接入到監(jiān)測(cè)局域網(wǎng)的遠(yuǎn)程用戶(hù)能夠從這個(gè)IP地址中獲得與內(nèi)網(wǎng)相同網(wǎng)段的局域網(wǎng)IP地址。比如將VPN硬件網(wǎng)關(guān)IP設(shè)為172.10.3.1，局域網(wǎng)中的任意一臺(tái)應(yīng)用服務(wù)器的IP設(shè)成172.10.3.XXX。對(duì)于需要被各遙測(cè)站點(diǎn)、遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)的應(yīng)用服務(wù)器（如廣播監(jiān)測(cè)主服務(wù)器、電視監(jiān)測(cè)主服務(wù)器、WEB服務(wù)器等）的網(wǎng)關(guān)則指向VPN硬件網(wǎng)關(guān)。

②在VPN廣域聯(lián)網(wǎng)中設(shè)置相應(yīng)的上網(wǎng)方式（電話(huà)拔號(hào)上網(wǎng)、一線(xiàn)通ISDN、網(wǎng)絡(luò)快車(chē)ADSL、有固定IP的線(xiàn)路、DHCP客戶(hù)端/SSO等），在本方案中使用專(zhuān)線(xiàn)連到Internet，則選擇有固定IP線(xiàn)路的上網(wǎng)方式，輸入固定的IP及網(wǎng)關(guān)。

③配置“虛擬專(zhuān)網(wǎng)”下的“許可證”，輸入VPN公司分配的APN組域(VDOMAIN)、節(jié)點(diǎn)名(VHOST)以及許可證號(hào)。

④配置專(zhuān)網(wǎng)屬性：隧道類(lèi)型選擇IPSEC協(xié)議，數(shù)據(jù)加密算法設(shè)置為AES/128，傳輸認(rèn)證算法設(shè)置為MD5-96，在本端地址中輸入VPN硬件網(wǎng)關(guān)IP地址，并選擇“啟用交叉巡檢”、“啟用突發(fā)巡檢” ，使遂道具有自檢與自動(dòng)恢復(fù)功能。

⑤配置Winapn服務(wù)管理：

“虛擬專(zhuān)網(wǎng)”的“APN移動(dòng)用戶(hù)”設(shè)置：將“啟動(dòng)Winapn啟動(dòng)服務(wù)”提交，在Winapn服務(wù)器中設(shè)置靜態(tài)IP地址池、子網(wǎng)掩碼、服務(wù)器端口等，也就是為移動(dòng)用戶(hù)設(shè)置虛擬IP段，作為CLIENT（winapn）和SERVER(apn) 之間建立隧道后通信來(lái)使用。這個(gè)虛擬IP段不能跟任何一個(gè)實(shí)際的IP段沖突（包括SERVER端和CLIENT端），如果有沖突，則無(wú)法進(jìn)行通信。

遠(yuǎn)程用戶(hù)管理設(shè)置：為各遙測(cè)站點(diǎn)、遠(yuǎn)程用戶(hù)分配合法用戶(hù)名、密碼等賬號(hào)信息，其中IP地址要符合“Winapn服務(wù)器”中的“靜態(tài)IP地址池”的網(wǎng)段設(shè)置。注意遠(yuǎn)程用戶(hù)端的IP 最后一個(gè)網(wǎng)段不能設(shè)置為1，如172.31.252.1這樣的IP就不能設(shè)定。

（2）VPN硬件網(wǎng)關(guān)的安全設(shè)置：

根據(jù)監(jiān)測(cè)業(yè)務(wù)需求在VPN設(shè)備上設(shè)定相應(yīng)的內(nèi)網(wǎng)服務(wù)，通過(guò)設(shè)置用戶(hù)分組、訪(fǎng)問(wèn)控制和行為審計(jì)等措施來(lái)加強(qiáng)內(nèi)網(wǎng)安全;為防止外網(wǎng)的攻擊設(shè)置防火墻的過(guò)濾規(guī)則（使用自檢測(cè)功能進(jìn)行檢測(cè)）;為內(nèi)網(wǎng)用戶(hù)設(shè)定訪(fǎng)問(wèn)Internet的權(quán)限，設(shè)置用戶(hù)組，不同用戶(hù)組可獨(dú)立分配不同的上網(wǎng)權(quán)限。防火墻規(guī)則是按照控制列表順序從上到下執(zhí)行的，在設(shè)置防火墻規(guī)則時(shí)必須考慮規(guī)則間的互相關(guān)聯(lián)及限制。

①在“防火墻”的“網(wǎng)絡(luò)對(duì)象管理”中設(shè)置節(jié)點(diǎn)對(duì)象（網(wǎng)絡(luò)中的主機(jī)），輸入節(jié)點(diǎn)名稱(chēng)（任意設(shè)定）、IP地址（受訪(fǎng)問(wèn)控制規(guī)則控制的PC機(jī)）、MAC地址（可選項(xiàng)），所屬網(wǎng)絡(luò)根據(jù)實(shí)際選擇內(nèi)網(wǎng)internal、外網(wǎng)external、APN網(wǎng)。

比如要管理局域網(wǎng)中WEB服務(wù)器，在節(jié)點(diǎn)對(duì)象中可添加這樣的信息，節(jié)點(diǎn)名稱(chēng)選WEB服務(wù)器、IP設(shè)為172.10.3. XXX、MAC地址為WEB服務(wù)器網(wǎng)卡地址、所屬網(wǎng)絡(luò)選擇內(nèi)網(wǎng)。

②在節(jié)點(diǎn)對(duì)象組中添加不同的用戶(hù)組，每個(gè)用戶(hù)組可以包含多個(gè)主機(jī)，對(duì)應(yīng)不同的控制規(guī)則，以分配不同的權(quán)限。

③在訪(fǎng)問(wèn)控制管理中設(shè)置訪(fǎng)問(wèn)控制規(guī)則，輸入源地址、目的地址、服務(wù)端口、時(shí)間計(jì)劃、訪(fǎng)問(wèn)控制管理等項(xiàng)。其中“源地址”為數(shù)據(jù)報(bào)發(fā)送端，“目的地址”為數(shù)據(jù)報(bào)接受端，這兩項(xiàng)的可控端包含ANY（任何網(wǎng)絡(luò)）、WAN（外網(wǎng)）、LAN（內(nèi)網(wǎng)）、APNNET（APN網(wǎng)）、節(jié)點(diǎn)對(duì)象（網(wǎng)絡(luò)中的主機(jī)）等內(nèi)容，“服務(wù)端口” 包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等服務(wù)對(duì)象， “控制”項(xiàng)分為“接受（ACCEPT）數(shù)據(jù)報(bào)通過(guò)”、“拒絕（DROP）數(shù)據(jù)報(bào)通過(guò)”兩種。

比如設(shè)置局域網(wǎng)中WEB服務(wù)器的權(quán)限為允許訪(fǎng)問(wèn)內(nèi)網(wǎng)和外網(wǎng)資源，允許接受任何控制，而局域網(wǎng)中其他PC機(jī)均不能訪(fǎng)問(wèn)外網(wǎng)，則可這樣設(shè)置兩條控制規(guī)則。第1條規(guī)則為“源”選WEB服務(wù)器、“目的”選ANY、“服務(wù)”選ANY、“時(shí)間”選ANY、“控制”選接受（ACCEPT），第2條規(guī)則為“源”選LAN、“目的”選WAN、“服務(wù)”選ANY、“時(shí)間”選ANY、“控制”選拒絕（DROP）。假如局域網(wǎng)所有PC機(jī)都不允許訪(fǎng)問(wèn)外網(wǎng)，只需設(shè)置一條規(guī)則，“源”選ANY、“目的”選ANY、“服務(wù)”選ANY、“時(shí)間”選ANY、“控制”選拒絕（DROP）。

（3）對(duì)于移動(dòng)用戶(hù)，管理員可選擇是否為該移動(dòng)用戶(hù)啟用DKEY，若啟用，需將對(duì)應(yīng)DKEY插入總部模塊所在計(jì)算機(jī)的USB口上，VPN設(shè)備將會(huì)把此移動(dòng)用戶(hù)接入VPN所需的配置信息導(dǎo)入DKEY，并將DKEY作為用戶(hù)接入時(shí)的身份認(rèn)證依據(jù)。

4.3 VPN客戶(hù)端設(shè)置

（1）客戶(hù)端要安裝隧道軟件，安裝過(guò)程中需要安裝虛擬網(wǎng)卡，安裝完成后進(jìn)行軟件設(shè)置。

（2）添加一個(gè)隧道名稱(chēng)（任意設(shè)定），輸入用戶(hù)名和密碼（硬件VPN中設(shè)置的遠(yuǎn)程用戶(hù)名和密碼）。若選擇VDN查詢(xún)方式則輸入Vdomain（硬件VPN中的域名）以及Vhost（硬件VPN中節(jié)點(diǎn)名）。若選擇直接使用IP方式則輸入APN地址（VPN設(shè)備固定IP）來(lái)建立安全隧道。

（3）輸入完成后選擇建立的隧道名稱(chēng)進(jìn)行連接。啟動(dòng)客戶(hù)端后虛擬網(wǎng)卡的狀態(tài)由斷開(kāi)轉(zhuǎn)為正常，在初始化隧道過(guò)程中，使用用戶(hù)ID和口令或用數(shù)字許可證鑒權(quán)。隧道建立成功后在電腦右小角會(huì)提示“隧道啟用”， VPN會(huì)根據(jù)配置文件分配對(duì)應(yīng)IP給虛擬網(wǎng)卡。

（4）對(duì)于無(wú)人值守的遠(yuǎn)程遙測(cè)站點(diǎn)還需進(jìn)行相關(guān)設(shè)置，如斷線(xiàn)重連次數(shù)（填入100次就能無(wú)限制斷線(xiàn)重連）、選擇開(kāi)機(jī)啟動(dòng)隧道、客戶(hù)端計(jì)算機(jī)是否使用無(wú)線(xiàn)上網(wǎng)（手機(jī)上網(wǎng)方式選擇此項(xiàng)），這些設(shè)置都為VPN網(wǎng)絡(luò)的自動(dòng)連接提供保障。

（5）在客戶(hù)端還須安裝相應(yīng)的殺毒軟件及防火墻，以保證網(wǎng)絡(luò)安全。

客戶(hù)和隧道服務(wù)器建立隧道后，就可以進(jìn)行通信了，如同ISP沒(méi)有參與連接一樣。在此基礎(chǔ)上，簡(jiǎn)單的配置一下路由信息，就可以讓VPN客戶(hù)端訪(fǎng)問(wèn)VPN服務(wù)端所在網(wǎng)段的全部資源。

4.4 VPN技術(shù)在廣播電視監(jiān)測(cè)網(wǎng)實(shí)施的優(yōu)勢(shì)

（1）采用廉價(jià)的接入方式，實(shí)現(xiàn)各遠(yuǎn)程遙測(cè)點(diǎn)、移動(dòng)用戶(hù)與整個(gè)廣播電視監(jiān)測(cè)網(wǎng)絡(luò)的無(wú)縫連接和安全連接，在任何地點(diǎn)、任何上網(wǎng)方式都可以接入監(jiān)測(cè)局域網(wǎng)，減少在設(shè)備、人員和管理上的投資，保護(hù)了現(xiàn)有硬件和軟件系統(tǒng)上的投資，有效地降低了運(yùn)營(yíng)成本。

（2）通過(guò)防火墻內(nèi)部策略控制體系，VPN能夠允許授權(quán)移動(dòng)用戶(hù)或已授權(quán)的用戶(hù)在任何時(shí)間任何地點(diǎn)訪(fǎng)問(wèn)監(jiān)測(cè)局域網(wǎng)，對(duì)VPN數(shù)據(jù)可以進(jìn)行有效的控制和管理，使VPN專(zhuān)網(wǎng)的數(shù)據(jù)通信具有良好的安全性和管理性。

（3）VPN 自帶斷線(xiàn)重?fù)芗夹g(shù)，內(nèi)置自動(dòng)撥號(hào)軟件和VPN 隧道監(jiān)控線(xiàn)程，在斷線(xiàn)情況下10秒內(nèi)自動(dòng)撥號(hào)，隧道自動(dòng)建立，使遠(yuǎn)程遙測(cè)點(diǎn)與中心網(wǎng)絡(luò)保持連接。VPN提供信息日志、錯(cuò)誤日志和調(diào)試日志等多種類(lèi)型的日志，讓網(wǎng)絡(luò)管理員隨時(shí)了解設(shè)備運(yùn)行情況，幫助網(wǎng)絡(luò)管理員準(zhǔn)確定位網(wǎng)絡(luò)故障點(diǎn)，降低了維護(hù)成本，減少了維護(hù)工作量。

（4）VPN 采用了目前先進(jìn)的壓縮算法，帶寬利用率達(dá) 130 ％，大大提高系統(tǒng)數(shù)據(jù)的訪(fǎng)問(wèn)傳輸速度，為監(jiān)測(cè)調(diào)度指揮系統(tǒng)提供高效快速的 VPN 虛擬網(wǎng)絡(luò)平臺(tái)。 

5 結(jié)語(yǔ)

利用VPN技術(shù)上的優(yōu)勢(shì)，把廣播電視監(jiān)測(cè)網(wǎng)遠(yuǎn)程拓展到了偏遠(yuǎn)的縣、鄉(xiāng)、鎮(zhèn)，建立了一個(gè)規(guī)模大，覆蓋省、市、縣、鄉(xiāng)、鎮(zhèn)的自動(dòng)化無(wú)人值守、實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)預(yù)警發(fā)布、實(shí)時(shí)調(diào)度指揮功能于一體的科學(xué)高效的廣播電視監(jiān)管系統(tǒng)，實(shí)現(xiàn)了把監(jiān)測(cè)告警信息實(shí)時(shí)動(dòng)態(tài)反饋給各級(jí)播出單位，達(dá)到科學(xué)高效的管理目標(biāo)。解決了全區(qū)各級(jí)廣電管理部門(mén)長(zhǎng)期以來(lái)無(wú)法及時(shí)掌握和了解各縣、鄉(xiāng)、鎮(zhèn)廣播電視播出質(zhì)量和覆蓋效果的難題，從而確保了黨和政府的政令暢通，為保障人民群眾收聽(tīng)好廣播、看好電視節(jié)目，發(fā)揮極其重要的作用。

參考文獻(xiàn)

［1］［美］Richard Deal著. Cisco VPN完全配置指南［M］.北京:人民郵電出版社， 2007，(4).

［2］［美］Mark Lucas等著.防火墻策略與VPN配置［M］. 北京:水利水電出版社，2008，(1).

［3］高海英，薛元星，辛陽(yáng)等著.VPN技術(shù)［M］. 北京:機(jī)械工業(yè)出版社， 2004，(4).

［4］王達(dá)等著。虛擬專(zhuān)用網(wǎng)（VPN）精解［M］. 北京:清華大學(xué)出版社， 2005，(4).

［5］［美］Mark Lewis著. VPN故障診斷與排除［M］. 袁國(guó)忠等譯.北京:人民郵電出版社， 2006，(2).