本发明涉及一种远程信号集中监测系统,尤其是涉及一种用于跨网络远程信号集中监测系统的安全访问方法。
背景技术:
随着信号集中监测系统的发展,实现跨网络的关联数据分析、大数据综合分析的需求比较急迫。同时信号集中监测系统存在信息分级、隔离传输的需求,特别是对重要信息传输的实时性、安全性的需求要得到保障。
技术实现要素:
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种用于跨网络远程信号集中监测系统的安全访问方法。
本发明的目的可以通过以下技术方案来实现:
一种用于跨网络远程信号集中监测系统的安全访问方法,包括:
(1)采用vpn技术构建信号集中监测系统传输专用网络,用于满足远程访问;
(2)采用专用网络安全隔离设备,自定义处理算法,用于提升隔离安全性;
(3)采用mplsvpn技术,用于实现系统接口不同安全等级网络间的安全隔离;
(4)建立一套实时流量监测系统,用于及时预警。
优选地,所述的(1)具体为:
利用vpn技术在铁路ip数据网中构建专用网络通道,实现对信号集中监测系统的远程调阅。
优选地,所述的铁路ip数据网现已覆盖铁总网络和各路局、各段监测中心网络。
优选地,所述的(2)具体为:
(21)网络隔离采用ip及端口策略白名单、专用底层安全协议,定制协议进行跨网交换,指定协议中执行必要参数交换内容,支持可动态配置;
(22)对信号集中监测网和接口网络通信的网络协议进行还原,运用设定硬件及设定通信协议实现两网间的信息摆渡;
(23)实现指定的访问终端,在指定的时间内,通过指定监测服务应用协议,访问指定的服务应用。
优选地,所述的(3)具体为:
采用mplsvpn技术在一张物理网上承载多个逻辑子网,实现端到端的业务隔离。
优选地,所述的mplsvpn技术采用嵌套mplsvpn技术,实现数据的qos控制。
优选地,在所述的mplsvpn监测主逻辑通道中,再划分vpn子通道。
优选地,所述的(4)具体为:
获取ip数据网网管流量监测功能,建立一套实时流量监测系统,当整体网络带宽超过预设阀值产生预警,当监测网络带宽超过预设阀值产生预警。
优选地,由于mplsvpn数据包格式的不同,实时流量监测技术需要进行相应的调整:传统netflow技术中的流一般由以下七元组唯一标识:源地址、目的地址、源端口号、目的端口号、协议类型、服务类型、报文入逻辑接口。
传统netflow技术标识一条流的方法已经无法应用于mplsvpn网络中标识一条vpn流,需对其进行扩展,采用9元组的方式:源地址、目的地址、源端口号、目的端口号、协议类型、服务类型、报文入逻辑接口、源vrfindex、目的vrfindex。
本发明实现了总公司对路局监测系统的远程调阅,满足总公司对电务信息化建设、管理以及今后发展的需要;实现了信号集中监测系统与外部系统接口不同完全等级网络间的安全隔离。与现有技术相比,本发明打通了数据交互通道,实现数据共享,使得系统整体结构更灵活,能减少维护管理工作量,从而提升维护管理质量和效率。
附图说明
图1为本发明实例中架构的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
如图1所示,本发明具体过程如下:
1、为满足总公司对电务信息化建设、管理以及今后发展的需要,实现总公司对各路局信号集中监测系统信息的调阅,在总公司与各路局之间构建安全、可靠的信号集中监测数据传输通道;为适应于电务当前维护需求以及后续发展方向,综合考虑,采取vpn技术在铁路综合ip数据网中划分8-10m的监测通道。同时解决当前监测系统平滑迁移问题以及流量实时监测及预警问题。
2、基于mplsvpn技术的铁路综合ip数据网(多协议标签交换技术)实现了基于业务优先级的qos控制。为了保证高优先级业务的稳定性和实时性(例如gsm-r),它在高优先级业务流量增大至超过网络总体带宽时,会将低优先级业务数据丢弃。建立一套实时流量监测系统:当整体网络带宽超过预设阀值产生预警,当监测专网带宽超过预设阀值产生预警。
3、在网络传输设备中,设置acl策略,在acl策略中配置各类数据标签的通行顺序,以达到高优先级数据先行的效果。
业务服务器发出业务报文时只需要在业务报文中(内容是可以按照需求填写的,比如,ip地址、端口号)定出报文优先级,设备就可以识别,从而定义相应的qos策略。当然,交换机也可支持报文优先级的重定义,也可以通过交换机实现报文的优先级定义。
只要识别了业务报文,就可以根据业务报文进行相应的qos策略。针对现有状况考虑采用严格队列的方式,即在业务发生拥塞时,优先保障队列中优先级最高的业务报文的发送。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。