通信网络的好坏着直接关系着地铁AFC系统能否正常运行,因此在原有的专用通信网之外能够建立一个备用的传输网络,以便在原有网络瘫痪的情况下起到替代作用,这对于AFC系统的可靠性有着很大的影响。
【关键词】自动售检票系统 虚拟专用网 应急通信
自动售检票系统(Automatic Fare Collection,AFC)作为地铁、轻轨等轨道交通系统的核心组成部分,是一个涉及多领域多学科的综合系统,其中包括计算机技术、通信技术、数据库管理、机电一体化技术、传感技术、无线电技术、模式识别等诸多新技术,是地铁车站日常运营工作的核心。目前主流的AFC系统,从设备分布的集中度上大致可以分为三层:终端设备层(Station Locale Equipment,SLE),车站层(Station Computer,SC),线路层(Line Center Computer,LC)。由于AFC系统是一个庞大的、分布式的系统,一个可靠的数据传输网络是系统正常运行的关键。
1 概述
现在主流的AFC系统的通信网络已经淘汰了早期的ATM结构,改为以SDH兼容以太网结构(IP over SDH)和光纤以太网结构为主流。目前国内大多数在运营中的地铁,其通信专网在物理都成线性分布,一旦出现诸如施工因素导致光缆或交换机损坏,将会导致下行车站的设备大面故障,出现乘客无法正常进出站的情况。针对这些问题,作者提出的一种用3G网络通VPN技术相结合的方案来加以解决,即通过3G网络来保证无线网络的覆盖范围,通过虚拟专用网络(Virtual Private Network,VPN)技术来保证传输数据的安全性。
目前随着国内移动运营商的3G网络建设,地铁车站内已经基本覆盖3G信号,同时AFC系统的数据传输均为异步传输结构,不需要进行设备之间的时钟同步,因此借助3G网络实现AFC系统的应急通信是可行的。同时,可以借助Internet上主流的虚拟专用网络(Virtual Private Network,VPN)技术来确保AFC数据的安全性和可靠性。采取这种方案硬件投资少、组网方式灵活,比较适合国内地铁行业目前的发展现状。
2 VPN技术选择
目前我国三大电信运营商分别使用不同的3G标准:联通运营WCDMA, 电信运营CDMA2000, 移动运营TD-SCDMA。各个运营商3G 的理论速度是:联通3G上网WCDMA 的下行理论峰值高达7.2Mbit/s,上行最高速率为5.8Mbit/s;电信3G上网CDMA2000 EVDO的下行理论峰值则是3.1Mbit/ s,上行最高速率为1.8Mbit/s;移动3G 上网TD-SCDMA G3的下行理论峰值是2.8Mbit/s,上行最高速率为384.0kbit/s,其带宽均能满足目前主流AFC系统的数据传输。
现在主流的VPN隧道协议主要有三种,PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和IPSec(Internet 协议安全性)。其中PPTP和L2TP协议工作在OSI模型的第二层,而IPSec是第三层隧道协议。由于设计方案的立足于特殊情况下的应急通信,并非是替代原有的通信网络,因此要考虑到原有设备的兼容性问题,那么VPN放置在OSI模型中的层数越低,则对原有设备的兼容性则越好,因此我们选择将VPN放在第二层即数据链路层是比较合适的,即传输协议在PPTP和L2TP中选择。
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:
(1)PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
(2)PPTP只能在两端点间建立单一隧道,而L2TP支持在两端点间使用多隧道。使用L2TP时,用户可以针对不同的服务质量创建不同的隧道。
(3)L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
(4)L2TP可以提供隧道验证,而PPTP不支持隧道验证。
对比以上四点,显然L2TP对于目前主流的AFC系统支持更好,设备改动也相对较小,因此在传输协议上我们选择L2TP是更加合适的。
3 通信网络的设计方案
3.1 具体设计思路
(1)在线路中心系统的核心路由器设置VPN网关,SC端核心交换机通过3G路由器连接公网,再通过L2TP协议和IPSEC协议连接VPN网关。
(2)配置线路中心端路由的IPSEC服务,启用Internet密钥交换协议(IKE),选择加密方式为3DES+MD5,认证方式为预设共享密钥(PSK),并创建ACL规则禁止未经加密的数据包经过路由进入公网。
(3)配置线路中心端路由的L2TP服务,创建虚拟拨号板登陆用户名和密码并设置虚拟网关,划分内网地址池(192.168.200.2~254)为登陆用户提供网络地址转换(NAT)。
(4)根据线路中心端预设账号密码等安全信息完成车站端3G路由器相关配置。
3.2 应急通信网络初步设计
改造后的传输网络拓扑图(见图1)。
以某市地铁一号线AFC系统为例,具体网络地址划分如表1。
3.3 3G路由器相关配置
3.1.1 认证方式
选择PSK(预共享密钥)。
3.1.2 认证加密
通常情况下都选择ESP封装。
3.1.3 密码
预共享密钥。
3.1.4 远端IP或域名
对端路由器IP地址。
3.1.5 本地子网/远端子网
传输模式下不用配置子网,隧道模式下配置的子网需要与对端路由器中的ACL严格对应。
3.1.6 传输方式
通常情况下的应用都为隧道模式。
3.1.7 本地标识/对端标识
通常情况下不进行配置。
3.1.8 DH组标识
通常都配置为Group 2,即Group 1024 。
3.1.9 精确转发密钥
PFS,与Cisco是否开启PFS保持一致。
3.1.10 IKE生存时间
IKE密钥交换时间,对应对端的isakmplifetime。
3.1.11 密钥有效时间
对应对端的IpSec sa lifetime。
3.1.12 对端检测
DPD检测,需要对端服务器支持,通常情况下配置为Restart。
具体配置见图2(仅供参考)。
3.4 网络测试
从车站中心端计算机使用 telnet远程登陆3G路由器查看IP地址配置,结果如图3所示。
说明车站端3G路由器已经连接上中心端路由器,并且正确获得对端的内网IP地址。
4 结束语
目前国内的地铁行业发展迅猛,已经成为国民经济新的发展点。本文以目前成熟的3G网络结合VPN技术,对地铁AFC系统的应急通信提出了一种改进方案,希望能对地铁相关工作的从业人员起到一定的参考作用。
