铁路专用数据网组网及安全讨论.doc

铁路专用数据网组网及安全讨论摘要 文章首先从理论角度出发，论述并分析了铁路专用数据网的组网方式，指出其在逻辑结构上能够大体划分为数据中心、核心层、汇聚层以及接入层，并且分析了各自的构成特征和职责。而后就铁路专用数据网的安全问题展开剖析，指出网内数据隔离，即VPN的应用，和网络软硬两个层面的安全设置是维系专用数据网安全的生命线。 关键词 铁路；专用；数据网；组网；安全 中图分类号TP392 文献标识码A 文章编号 1674-6708（2012）67-0189-02 在铁路系统中，数据的传输不仅仅为旅途中的乘客提供着必要的通信支持，更承担着铁路系统正常运行所必需的数据传输任务。随着列车行驶速度的不断提升，以及多种数字技术的投入应用，列车行驶过程中的数据传输成了确保列车安全运行的一个重要因素，也正因为如此，铁路专用数据网的运行和安全问题才得到了更多的重视。 1 铁路专用数据网的组网方式 从铁路专用数据网的逻辑构成角度看，其由下至上可以大致划分为接入层、汇聚层、核心层以及数据中心几个主要层面。 从北京铁路局专用数据网的逻辑结构上看，相对于数据中心的北京铁路局网络中心，负责对三个核心层面的子网进行必要的协调，并且实现同种协议的子网间数据传输。对于核心层而言，北京铁路局专用数据网包括了三个主要区域的子网，子网的核心共同构成了整个数据网的核心层，即北京铁路局下属的专用数据网由北京数据网、天津数据网以及河北数据网。核心层是整个专用数据网的核心部分，由路由器和三层交换机构成，通常在设备选用的时候倾向于千兆位分布交换式路由器，妻交换容量为128Mb/s，随着技术的发展，核心层的设备改进步伐也比较快，将会呈现出紧随科技发展的趋势。同时从核心网络的传输介质看，通常在早期就已经采用了光纤传输的技术，并且随着光复用技术的逐步完善，核心网络能够承受的数据流量也不断增强，从总体上能够满足未来很长一段时间内数据量的增加。 汇聚层负责对接入层上报的业务进行汇聚整理。由于汇聚层的网络划分以地理上的区域为准绳，因此对于一些区域内的数据传输请求，汇聚层可以实现自行处理，而不必提交到核心网络中。对于汇聚层而言，网络的逻辑拓扑结构采取星形进行组织，在设备方面，多采取常规路由器、三层交换机以及DSLAM等。在网络传输介质上，目前多为光铜混合网络，主要是针对目前呈现出的需求特征来对已经存在的铜网进行必要的升级。 而对于接入层，即直接接收用户的数据传输请求的网络层，通常设定在铁路沿线，在二三等站中，通常都只存在有接入设备。同样采取星形拓扑结构为网络的逻辑结构，多利用N×E1信道接入到汇聚层。该层面通常由普通路由器、二层交换机以及DSLAM等设备构成。 2 铁路专用数据网的安全实现 铁路用专用数据网是一个用于数据传输的物理平台，其中不同部门的多种数据都需要利用该平台进行传送，并且从整体上看，铁路专用数据网还处于一种半开放的状态之下。鉴于此种情况，为了确保不同的部门和用户之间能够实现正确有效以及安全的数据传输，有必要针对铁路专用数据网的应用状态以及安全防范展开必要的分析。 首先，铁路专用数据网内部的数据传输隔离技术早已成为必需。网内隔离技术，能够确保铁路工作环境中的不同部门在进行数据传输的过程中仅面对一个专用的逻辑网络，而非一个物理上的综合网络传输系统。目前常见的网内隔离技术包括有L2TP VPN、GRE VPN、IPSecVPN、SSL VPN、MPLS VPN等技术，并且以MPLS VPN技术相对成熟，我国铁路专用数据网也采用了此种技术。MPLS VPN技术存在相对完善的行业标准，且互通性良好，适合大规模使用。使用MPLS VPN技术，能够实现较为简洁的应用，用户不需要进行IP路由管理和骨干网管理，对于PE或P路由器的接入以及CE路由问题也可以采取完全透明的态度。同时，MPLS VPN对于IP的管理相对灵活，在VPN构建的过程中，对于IP的部署和现有二层骨干网支持的安全程度相当。此外，MPLS技术的报头校验对于网内正确传输数据也意义重大。 其次，从网络软环境管理的角度看，也亟待提高其工作水平。只有对整个网络正确的使用，才能进一步确保网络环境的安全。针对目前可能存在的网络资源滥用问题，应当对每个涉及网络操作的人员都分配权限，尤其是可能接触到铁路系统数据VPN的工作人员更应当谨慎。对于权限的管理，应当依据一定的规章制度，并且采取动态或半动态口令配合管理。对于实际的操作而言，还有一个必须要做的方面就是相应人员的培训，对于网络的使用，不应当仅仅了解操作步骤，对于相关设备的原理和简单故障的定位和排除也要进行相应的了解。并且还需要在完善人员素质的基础上，对网络做好必要的软件层面监控，相应的数据和参数应当及时加以分析，并