基于IPSec的VPN和IPPBX技术在铁路车票售点接入中的应用

基于IPSec的VPN和IPPBX技术在铁路车票售点接入中的应用

张新勇

张新勇铁通郑州分公司工程管理中心450000

摘要在利用Internet网络为集团和企业用户提供专线和企业内网中，VPN虚拟专用网络（VirtualPrivateNetwork）和IPPBX作为一种灵活、安全和经济的组网方案，越来越受到企业的关注，全文对基于IPSecVPN的VPN和IPPBX技术在铁路客票网中的应用组网进行探讨。

关键词IPSecVPNPBXIPPBX

当前，各城市市区、郊县和城乡结合部，铁路火车票售票点迅速增长，需要建设的客票专线规模快速膨胀，增加市场专线接入数量，对市场收入起到了增长作用。但是，长期以来各火车票售票点的数据通道全部采用的是设备大都是光缆、DDN、ATM专线方式接入，电话、传真和其它业务使用，需要重申请，重新敷设线路和安装设备才能解决接入。但在存在着业务连接和协议转换点多，受外界因素影响大，故障隐患多，建设和维护成本高、难度大等问题。接入网宽带用户接入正朝着全光网络转变，语音及相关业务向着NGN和IMS演进，传统的PSTN将在近几年内逐步淘汰。针对当前网络发展方向，铁路火车票售票点专线和语音等业务接入存在的问题，探讨利用IPSECVPN和IPPBX技术基于IP网络与NGN平台为铁路客票售票点提供数据、语音、传真和其它多种业务接入服务，为铁通在集团和企业专线接入提供快速安全接入手段，在激烈的市场竞争中抢占先机。

一、VPN和IPPBX主要技术

1、PBX。PBX（PrivateBrancheXchange）是程控用户交换机、集团电话的简称，等同于PABX（PrivateAutomaticBrancheXchange），一般用于企业内将用户电话连接至外部公共电话网络的电话交换机设备，可提供内、外线互拔，二次技号等功能。

2、IPPBX。IPPBX是将电话交换机系统的电话交换机与计算机网的功能合一，采用基于IP方式传送方式，实现文本、数据、图像的传输，将电话网和计算机网统一成一个整体，实现局域网内的电子办公，而不同地区的IPPBX网间借助INTERNET网，可实现远距离通信。IPPBX是一个集成通信系统，通过电信网和互联网，在单一设备即可为用户提供语音、传真、数据和视频等多种通信方式。此外还可以方便加载呼叫中心、电话会议、统一通信等业务应用。并且造价低兼，通过与网络软硬件的充分结合，提高了工作效率，节约了通信成本。

3、VPN技术。VPN虚拟专用网络（VirtualPrivateNetwork）指通过共享的IP网络上建立私有的数据通道，将分布在不同地域的网络或终端连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络。将远程的分支机构、办公室、商业伙伴等连接起来，提供端到端的服务（QOS）保证以及安全服务，甚至可以达到传统的采用专线方式连接的安全效果。IPVPN可以非常方便地替代租用专线和传统的ATM/帧中继VPN来连接计算机或局域网，同时还可以提供租用专线的备份、冗余和峰值负载分担等，大大降低了网络通讯成本费用。

4、IPSec（SecurityArchitectureforIPnetwork,IP层协议安全结构）。IPSec协议，是因特网工程任务组(IETF)针对TCP／口协议没有安全机制的严重缺陷，而专门制定的P安全标准，用以在口层实现访问控制、无连接完整性、数据源验证、抗重播、加密和有限的业务流机密性等多种安全服务。L2TP协议下的VPN网络的两个主要服务是“封装”和“加密”，而基于IPSec安全协议的L2TP数据的封装包含“L2TP封装”和“IPSec封装”两层封装，以实现企业么有地址在公网上传输。IPSec（SecurityArchitectureforIPnetwork,IP层协议安全结构），在IP层提供安全服务。在隧道和加密的技术上，IPSec已成为IP安全的一个应用广泛、开放的VPN安全协议，可确保运行在TCP/IP协议上的VPN之间的互操作性。IPSec定义了一套用于保护私有性的完整性的标准协议，支持一系列加密算法如DES、3DEX。检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。

二、IPSecVPN和IPPBX在铁路客票售票点接入方案

铁通IP城域网在经过多年的建设和优化后，铁通已实现由交换型IP城域网向路由型IP城域网转型，通过二三层网络分离，构建物理和逻辑层次清晰的三层路由网络(城域骨干网)和二层接入网络(宽带接入网)；通过城域骨干网的大容量、少节点，宽带接入网的广覆盖，减少口城域网的物理和逻辑级联级数，并将BRAS直挂，进一步减少设备类型，规范软件版本、VLANID等网络配置。优化改造后的IP城域网，具备多种接入方式的二、三层VPN业务能力，能够实现物理或逻辑上的企业互连。为NGN、IMS和IPPBX等平台接入，提供了网络基础能力保证。

（1）IPSecVPN在铁路客票售票点接入方案

根据铁路火车票管理系统是铁路运营管理工作中的重要网络运行系统，必须保证业务、数据和系统运行安全、可靠和稳定。铁路火车票系统采用了基于IPSEC技术的VPN网关设备接入，不既能够提供加速硬件DES、3DES和AES（128、192和256）加密算法，以及SHA-1或MD5散列算法用于数据完整性检验等加密隧道技术，使用Rivest，Shamir，Aldeman（RSA）算法签名和Diffie-Hellman，身份验证方法，为铁路火车票售票系统在互联网上建立安全、强大、灵活和便于扩展的服务，可提供网络物理隔离及安全保证；同时，由于IPVPN的加密、隧道技术、用户鉴权、验证等工作全部由VPN网关设备完成，也大大减轻了终端和客票系统负担。为此，使用基于IPSec协议硬件VPN设备用于铁路火车票系统和售票点虚拟专线通道，是避免铁路火车票管理系统与互联网隔离最好方法，也是安全可靠性较高的选择。

（2）本网各客票售票点连接VPN方案

在铁通网络覆盖区域风，各铁路客票售票点安装VPN网关，通过铁通ADSL、LAN、GPON（FTTCT和FTTH）等网络，通过拔入VPN汇聚路由网（网关），实现各铁路客票售票点与铁路客票系统汇聚路由器的虚拟隧道通道连接，提供票务服务。各客票售票点语音设备等业务接入，使用IAD设备，在IAD设备开机后，将自动拔入IPPBX平台进行设备、用户鉴权，建立连接，为客票售票点提供语音电话、电话会议、传真和V网等多种业务服务。

（3）其它运营商互联网内客票售票点连接VPN方案

其它网络客票售票点接入也是通过其它网络的ADSL、LAN、GPON（FTTC和FTTH）等接入，建立互联网连接，通过其它运营商IP城域网、互联网和本网汇聚层路由器，拔入VPN汇聚路由网（网关），实现各铁路客票售票点与铁路客票系统汇聚路由器的隧道协议建立虚拟通道连接，完成售票点终端设备和客票系统连接，提供票务服务。各客票售票点语音设备等业务接入，使用IAD设备，在IAD设备开机后，将自动拔入IPPBX平台进行设备、用户鉴权，建立连接，为客票售票点提供语音电话、电话会议、传真和V网等多种业务服务。

总之，通过基于IPSec的VPN和IPPBX接入方案在铁路客票售票系统运用，全面跟进接入网全光网络和语音及相关业务NGN化发展演进方向。并能充分利用既有宽带网络资源，为用户提高安全、可靠、可管理、高效的专线服务，大幅降低铁路客票专线的建设成本、减少业务连接和协议转换故障隐患，为维护减轻负担，为铁通IP网向全光化转化，以及传统PSTN网络向着NGN或IMS融合做好前期准备工作，为铁通在集团和企业专线语音等接入提供快速安全接入手段，在激烈的市场竞争中抢占先机。