TDCS/CTC系統(tǒng)路局中心網(wǎng)絡(luò)防火墻橋接模式

周佩琦

*烏魯木齊鐵路局電務(wù)處 工程師，830001 烏魯木齊

隨著鐵路信息化建設(shè)的發(fā)展，TDCS/CTC(列車(chē)調(diào)度指揮系統(tǒng)/調(diào)度集中系統(tǒng))已逐漸成為重要的鐵路運(yùn)輸指揮手段，其網(wǎng)絡(luò)已經(jīng)覆蓋了所有鐵路局中心及各個(gè)車(chē)站，因此網(wǎng)絡(luò)安全成為保障其正常運(yùn)行的重要因素，防火墻更是保證網(wǎng)絡(luò)安全的重要設(shè)備之一。

1 防火墻在TDCS/CTC系統(tǒng)中的接入模式

防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制、防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)、訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。隨著TDCS/CTC技術(shù)的發(fā)展，防火墻技術(shù)的應(yīng)用也在不斷提高。

在TDCS/CTC系統(tǒng)發(fā)展初期，調(diào)度中心防火墻采用路由模式，車(chē)站采用透明橋接模式;目前大部分鐵路局在調(diào)度中心和車(chē)站均采用透明橋接模式，只有少部分鐵路局調(diào)度中心采用原有路由模式。

路由:是指依據(jù)OSI網(wǎng)絡(luò)模型的網(wǎng)絡(luò)層地址，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行尋路轉(zhuǎn)發(fā)的過(guò)程。橋接:是指依據(jù)OSI網(wǎng)絡(luò)模型的鏈路層地址，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的過(guò)程。它們的主要區(qū)別在于橋接發(fā)生在OSI參考模型的第二層(數(shù)據(jù)鏈路層)，而路由發(fā)生在第三層(網(wǎng)絡(luò)層)。由于在傳遞信息的過(guò)程中使用不同的信息，這一區(qū)別使二者以不同的方式來(lái)完成其任務(wù)。

路由模式的防火墻在路由器和交換機(jī)之間采用網(wǎng)絡(luò)層協(xié)議建立數(shù)據(jù)包轉(zhuǎn)發(fā)路徑，在TDCS/CTC系統(tǒng)發(fā)展初期，調(diào)度中心一般采用此種模式。透明橋接模式的防火墻在路由器和交換機(jī)之間采用數(shù)據(jù)鏈路層協(xié)議建立數(shù)據(jù)包轉(zhuǎn)發(fā)路徑，TDCS/CTC系統(tǒng)車(chē)站一直采用這種模式，目前大部分調(diào)度中心也采用這種模式。

2 防火墻在系統(tǒng)中心網(wǎng)絡(luò)的2種接入模式

由于TDCS/CTC系統(tǒng)屬于行車(chē)指揮設(shè)備，考慮到其安全性，都采用雙套設(shè)備，其中防火墻每2臺(tái)屬于1套，故一共設(shè)置4臺(tái)防火墻。其功能主要是保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊、惡性訪問(wèn)及病毒傳播。防火墻一般設(shè)置在路由器和交換機(jī)之間。2種接入模式的優(yōu)缺點(diǎn)如下。

2.1 系統(tǒng)中心防火墻路由模式

圖1 TDCS/CTC系統(tǒng)中心防火墻路由模式連接示意圖

路由模式工作數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程中尋址基于IP地址，而選路是通過(guò)路由選擇協(xié)議計(jì)算并選擇數(shù)據(jù)包轉(zhuǎn)發(fā)的最佳路徑。故如圖1所示TDCS/CTC系統(tǒng)調(diào)度中心網(wǎng)絡(luò)中的路由器、防火墻及交換機(jī)必須單獨(dú)形成一個(gè)路由選擇協(xié)議區(qū)域，以供完成數(shù)據(jù)包轉(zhuǎn)發(fā)及防火墻訪問(wèn)控制和數(shù)據(jù)包過(guò)濾等工作。

路由選擇協(xié)議是數(shù)據(jù)包轉(zhuǎn)發(fā)計(jì)算并選擇最佳路徑的協(xié)議，一般常見(jiàn)的有 RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產(chǎn)的設(shè)備支持該協(xié)議。根據(jù)TDCS/CTC中心網(wǎng)絡(luò)構(gòu)架的特點(diǎn)及設(shè)備選型等多方面因素，路由模式中選用OSPF協(xié)議。如圖1中路由器、防火墻及交換機(jī)之間建立一個(gè)OSPF區(qū)域，專(zhuān)門(mén)為數(shù)據(jù)包轉(zhuǎn)發(fā)及防火墻的工作服務(wù)，而路由器連接的外部網(wǎng)絡(luò)及交換機(jī)連接的內(nèi)部網(wǎng)絡(luò)所采用的路由選擇協(xié)議對(duì)防火墻來(lái)說(shuō)均不考慮。但為了能夠保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的正常數(shù)據(jù)傳遞，需要在路由器及交換機(jī)上，將外部及內(nèi)部網(wǎng)絡(luò)的其他路由選擇協(xié)議區(qū)域與該OSPF區(qū)域選擇性的聯(lián)通(即路由選擇協(xié)議區(qū)域間的雙方向路由重發(fā)布)。

2.2 系統(tǒng)中心防火墻透明橋接模式

透明橋接模式之所以“透明”，是由于防火墻以此種模式連接在交換機(jī)與路由器之間后，從路由器和交換機(jī)的角度“看”都可以認(rèn)為此防火墻是“瞧不見(jiàn)”的。這主要是因?yàn)榛贠SI參考模型的第二層(數(shù)據(jù)鏈路層)，在數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程中使用MAC地址作出轉(zhuǎn)發(fā)決定，這樣就等于位于一個(gè)單獨(dú)的邏輯地址空間內(nèi)，而且在轉(zhuǎn)發(fā)數(shù)據(jù)包過(guò)程中不更改數(shù)據(jù)包的內(nèi)容，也不作為數(shù)據(jù)包的源和目的地，連接起來(lái)的網(wǎng)段好像在一條透明的管道中一樣。故如圖2所示，TDCS/CTC系統(tǒng)調(diào)度中心網(wǎng)絡(luò)中的路由器、防火墻及交換機(jī)不必單獨(dú)形成一個(gè)路由選擇協(xié)議區(qū)域，因此減少了路由器和交換機(jī)為不同路由選擇協(xié)議區(qū)域間交互而進(jìn)行的大量計(jì)算。另外，從TDCS/CTC系統(tǒng)軟件的角度來(lái)看，防火墻就像網(wǎng)線的一部分，除了要進(jìn)行訪問(wèn)控制及數(shù)據(jù)包過(guò)濾等工作外，似乎可以不用考慮其存在。

3 采用透明橋接模式的優(yōu)勢(shì)

3.1 路由模式存在的幾個(gè)缺陷

1．路由收斂速度慢及網(wǎng)絡(luò)設(shè)備計(jì)算量大。在路由模式中，路由器、防火墻和交換機(jī)之間建立一個(gè)單獨(dú)路由選擇協(xié)議區(qū)域，而外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)還存在其他區(qū)域，要保證整體系統(tǒng)的正常運(yùn)行就必須將所有路由選擇協(xié)議區(qū)域間進(jìn)行雙方向路由重發(fā)布，這樣大大降低了路由收斂速度。另外，由于這些工作是由路由器和交換機(jī)完成的，故又大大增加了調(diào)度中心核心路由器及核心交換機(jī)的計(jì)算量，從而導(dǎo)致網(wǎng)絡(luò)設(shè)備工作量過(guò)大、負(fù)擔(dān)過(guò)重。

圖2 TDCS/CTC系統(tǒng)中心防火墻透明橋接模式示意圖

2．網(wǎng)絡(luò)瓶頸問(wèn)題。在路由模式中，為了保證每臺(tái)防火墻都能得到路由器中完整的路由表，故必須在路由器與防火墻之間增加2臺(tái)小型交換機(jī)，根據(jù)圖1中的結(jié)構(gòu)能夠看出這2臺(tái)小型交換機(jī)成為整個(gè)系統(tǒng)數(shù)據(jù)傳輸過(guò)程中的瓶頸，如果發(fā)生故障影響也比較大。

3．結(jié)構(gòu)過(guò)于復(fù)雜導(dǎo)致維護(hù)工作難度加大。在路由模式中，為了保證系統(tǒng)的安全性要求就需要提供大量的冗余路徑，通過(guò)圖1可以看出，結(jié)構(gòu)相當(dāng)復(fù)雜，這樣給日常的維護(hù)工作及故障處理增加了很大的難度。

3.2 透明橋接模式的優(yōu)勢(shì)

1．路由收斂速度快及網(wǎng)絡(luò)設(shè)備計(jì)算量小。由于透明橋接模式是基于數(shù)據(jù)鏈路層工作的，防火墻僅僅作為一個(gè)透明網(wǎng)橋存在，并不參與路由計(jì)算，更不需要在路由器和交換機(jī)之間為防火墻單獨(dú)建立一個(gè)路由選擇協(xié)議區(qū)域。這樣路由器和交換機(jī)明顯減少了一個(gè)雙方向路由重發(fā)布的環(huán)節(jié)，路由收斂速度明顯比路由模式快，而且中心網(wǎng)絡(luò)設(shè)備的計(jì)算量也比路由模式小。

2．不存在網(wǎng)絡(luò)瓶頸問(wèn)題。如前所述，防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機(jī)。從圖2可以看出透明橋接模式并不存在瓶頸問(wèn)題。

3．結(jié)構(gòu)相對(duì)簡(jiǎn)單，便于維護(hù)。如圖2所示，根據(jù)透明橋接模式工作原理所形成的拓?fù)浣Y(jié)構(gòu)明顯比路由模式，極大地方便了維護(hù)人員的日常維護(hù)及故障排查。

4 結(jié)束語(yǔ)

目前，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已在我國(guó)鐵路系統(tǒng)中廣泛應(yīng)用，帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益明顯。隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展，如何不斷改進(jìn)和完善網(wǎng)絡(luò)的安全方案也將成為我們?nèi)蘸笱芯康姆较蛑弧?/p>

［1］姜全生，王彬，侯麗萍，馬文坤．計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用［M］．北京:清華大學(xué)出版社，2010．9．

［2］馮登國(guó)．網(wǎng)絡(luò)安全原理與技術(shù)［M］.北京:科技出版社，2007．9．

［3］閻慧，王偉．防火墻原理與技術(shù)［M］.北京:機(jī)械工業(yè)出版社，2004．4．