摘要：本文从空管运行保障现场的ADS-B二级数据中心系统的邦达ADS-B信号中断故障出发，排查该系统接口交换机后发现存在引接的ADS-B监视信号有异常的情况出现，随后分析了该次故障的主要原因及相应处置措施，并由此引发对使用网络交换机进行数据引接时如何避免相关问题出现的思考，探讨在计算机网络软硬件技术高速发展的当今，采用配置交换机访问控制列表（ACL）的方式，以替代有着昂贵成本的硬件防火墙等设备，最终达到快速、方便地实现对网络数据包进行管控和过滤的目的，从而在一定程度上实现基础且有效的网络安全保障。

关键词：空管；交换机；数据引接；访问控制列表；ACL；网络安全

1.引言

成都区域管制中心邦达传输链路中断后，观察到ADS-B二级数据中心系统上邦达ADS-B信号仍然存在，核对线路资料无误并检查交换机接口正常，但是在接口交换机上拔掉邦达来源线缆时，出现了邦达ADS-B信号依然存在的不合理现象，此外发现ADS-B二级数据中心里的邦达信号覆盖范围过大，不符合该信号实际覆盖范围的情况，因此怀疑是接口交换机上引接的其他来源的ADS-B数据混进了邦达来源的ADS-B数据中。

2.ADS-B数据中心系统

ADS-B数据中心是现代化的空中交通管制系统的重要组成部分，为空中交通管制提供自动化的数据支持，其重要性十分突出，它能够处理多路ADS-B数据，参考数据来源的状态情况，对ADS-B数据进行融汇，形成稳定可靠、精度高的ADS-B航迹，对多协议多路多种版本的ADS-B进行实时数据接收、处理、分发、显示，具有多路ADS-B信号的实时传输、协议转换、ADS-B格式变换、坐标转换、多地面站数据的融合和验证处理、图形生成及显示、ADS-B数据分发等主要功能，是一套对所有ADS-B监视信息和运行管理信息进行处理和管理的计算机综合处理系统。

3.信号引接及数据包

对于空管监视ADS-B 监视服务，由ADS-B地面站负责产生提供单站信号，ADS-B数据站部署在分局（站）所在地提供本地空管用户所需数据，ADS-B二级数据中心部署在各区域管制中心负责提供区域管制级用户所需数据，并负责向区内外用户分发所需ADS-B服务数据。成都区域管制中心使用的ADS-B数据中心系统为ADS-B二级数据中心。

业务接入的数据主要是由地面站直接送来的数据包，主要包括ADS-B地面站目标报告报文，以及地面站服务报文，此外还包括数据中心运行状态、雷达数据、飞行计划数据、多点定位数据、综合航迹数据、时钟信号数据等。其中，ADS-B监视信号数据的传输特点是：特定端口，固定速率，低延时，以UDP/IP报文为主，采用组播形式发送，数据延时、中断或丢失会影响空管运行。

4.组播方式

组播是一种允许一个或多个发送者（组播源）发送单一的数据包到多个接收者（一次的，同时的）的网络技术。组播源把数据包发送到特定组播组，而只有属于该组播组的地址才能接收到数据包。

ADS-B数据中心系统在引接ADS-B和雷达信号等数据时，支持多种数据接入方式，包括同步串口、组播、广播、单播，其中数据单播传输的时候，由于市面上的路由器、交换机等网络设备都无法实现单播数据的一变多，使应用场景受到限制，在广播方式下，信息又会发送到不需要该信息的接收方从而浪费带宽资源，甚至引起广播风暴，但组播技术以其独特的优越性，既可以可以满足多用户接收使用同一数据，又不会消耗过多带宽，所以当前使用最多的数据接入方式为组播方式。

5.问题排查

由于邦达链路中断后，同一传输链路邦达来源的其他数据均中断，但邦达ADS-B信号依然存在，于是针对这一异常情况展开设备排查。

查看ADS-B二级数据中心系统的接口交换机配置，检查其源IP地址与二级中心DBM上源IP配置一致没有问题，确定该路信号为邦达ADS-B信号源。

在ADS-B二级数据中心系统上查看邦达ADS-B单站的信号情况，发现邦达ADS-B的信号依然存在，并且其信号所显示的覆盖范围非常广有一千多公里，远远超过ADS-B接收机理论三四百公里的作用半径，覆盖范围涵盖了成都至拉萨及四川大部分区域。而且在ADS-B二级数据中心接口交换机上断开邦达ADS-B的信号接入网线后，邦达ADS-B的信号依然存在。因此怀疑是接口交换机上引接的其他来源的ADS-B数据混进了邦达来源的ADS-B数据中。

于是对ADS-B二级数据中心系统上其他ADS-B站点的单站覆盖与邦达ADS-B的覆盖情况进行逐一对比，观察到拉萨和峨眉的信号的与邦达ADS-B覆盖范围有高度重叠，考虑是对应的ADS-B信号有可能混入了邦达ADS-B信号中去。最后在不影响运行的情况下，通过分别断开这两路信号来源的网线，并观察邦达ADS-B信号的覆盖及监控变化情况，最终确定邦达ADS-B信号由拉萨与峨眉ADS-B信号组成，邦达ADS-B自身原始的信号应该是被交换机阻塞或者被ADS-B二级数据中心系统丢弃了，因而在运行系统中没有该路数据信号。

6.原因分析

经过前面的对比分析，可以得出ADS-B二级数据中心里的邦达ADS-B信号包含来自邦达地面站、拉萨地面站以及峨眉地面站的数据。

通过分别抓取邦达、峨眉和拉萨ADS-B信号的组播数据包，分析地面站源头送来的数据，发现峨眉与拉萨过来的数据均分别包含两种不同于其自身网络信息的数据包，而邦达ADS-B本身的数据，因为该站点传输链路延迟过大，导致数据包到达本地端后被ADS-B数据中心系统判断为过期的无效数据而丢弃，因此真实的邦达ADS-B数据包均未被系统采用。

三个地面站点的网络配置如表1所示（文中相关配置参数数据均非实际配置，仅用作举例说明）。

抓包查看到三个站点的数据包，拉萨站点发往本端的数据包含有230.1.5.1/10000和233.1.3.1/10003这两种网络地址的数据包；峨眉站点发往本端的数据包含有233.1.3.2/10003和233.1.3.1/10003这两种网络地址的数据包；而邦达站点发往本端的数据包仅含有233.1.3.1/10003这一种网络地址的数据包。各站点送出数据包具体情况（数据包所含网络信息：源IP地址、目的IP地址及目的端口号），其示意说明如图1所示。

抓包结果显示三个站点的数据包中，都分别含有目的端口号是10003，目的IP是233.1.3.1的数据包，而目的端口号10003，目的IP 233.1.3.1，正好与ADS-B数据中心系统数据库DBM上邦达ADS-B的站点网络配置一致，进而证实峨眉和拉萨ADS-B的数据包混入了邦达ADS-B中。

ADS-B数据中心系统是根据各ADS-B站点配置的组播信息与数据库DBM上配置的网络信息，通过对比该站点的目的IP与目的端口来判断具体信号来源的，虽然数据库DBM配置中包含源IP地址信息，但只用作备注示意，不作为匹配条件。

由于峨眉与拉萨过来的数据均分别包含两种数据包，并且它们其中的一种数据的组播信息刚好都与邦达的组播信息一致，故系统将这部分数据包也判断成了来自邦达的数据包，而这些数据包其实是来自峨眉与拉萨两个站点，因此在ADS-B二级数据中心上观察到的邦达ADS-B信号，实际是峨眉与拉萨叠加ADS-B信号。

7.处置措施

针对ADS-B数据中心系统出现的该数据引接异常情况，现提出三种解决方法，并就此逐一进行比较分析，以寻求找到一种最简单方便且有效的处置措施。

方法一，变更邦达站点输出ADS-B信号数据包至成都区域管制中心所对应各设备的网络配置，主要是变更目的端口号或目的IP，以避免当前站点之间的数据包网络地址信息冲突。这种方法需要发送方和接收方两方共同修改相关网络配置参数，涉及在ADS-B数据中心系统数据库上的站点网络配置修改及发布，以及在交换机上对邦达ADS-B信号端口进行网络配置修改及生效。该方法要双方同步做出调整，需进行沟通协调，比较费时费力且流程繁琐，不利于问题的快速有效解决，而且治标不治本，会因为各地站点众多，难免再次会出现接收到的数据包网络地址冲突的情况。

方法二，修改ADS-B数据中心系统软件。由于每个ADS-B站点都有其唯一的SAC/SIC值（类似于该站点的唯一ID地址），但当前ADS-B数据中心系统并不会检查站点的SAC/SIC值，因此可以通过修改软件，增加对ADS-B数据进行SAC/SIC值匹配检查的功能，也可以增加对组播数据包源IP地址信息的匹配功能，这样系统能够根据数据库DBM上配置的SAC/SIC值信息或者源IP地址信息进行一致性检查，若不一致时，会将这些数据包视作非该站点来源的数据包而进行丢弃，在解决上述同组播地址问题的同时，可以避免类似问题再次出现。但由于这种方式涉及修改软件程序，需要软件提供方对软件做出修改，可能由此引出额外设备维护费用支出，并且软件修改后，也要对软件的功能性和稳定性等进行多方面的测试验证，所需周期较长，因此这种方法也并不快速有效。

方法三，采用配置交换机访问控制列表（ACL）的方式，把峨眉和拉萨送过来的数据包中与邦达地址重合的那部分数据包过滤掉，使之不会混入邦达ADS-B信号中。如上图1所示信息，对比来自峨眉的两种数据包，可以发现它们的目的IP不一致，因此可通过目的IP进行过滤；对比来自拉萨的两种数据包，可以发现它们的目的端口号不一致，因此可通过目的端口进行过滤。于是可以通过在ADS-B数据中心系统的接口交换机上，配置交换机访问控制列表，在峨眉的端口配置上增加目的IP地址过滤规则，将目的IP地址为233.1.3.1的数据包过滤掉；在拉萨的端口配置上增加目的端口号过滤规则，将目的端口号为10003的数据包过滤掉。这样，ADS-B二级数据中心系统接收到的邦达ADS-B信号已无由拉萨、峨眉混入的信号，为来自邦达站点本身的信号，同时也不影响拉萨和峨眉的正常信号。

对比前两种方法，可以看出第三种方法在解决该问题上，不仅处置速度更快、效率更高，没有繁复冗长的流程，而且不涉及沟通协调多方进行调整，所要变更的设备影响范围小，此外也没有额外的软硬件费用支出，最重要但是能够从根本上解决该问题，而所需的操作只用在对应交换机端口配置上增加几条简单的规则，就能达到过滤出所需数据包的目的，并在一定程度上提升整个系统的网络安全防护能力。

8.访问控制列表ACL

访问控制列表ACL（Access Control List）是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃，该技术被广泛地应用于路由器和三层交换机上，结合预设的条件允许或拒绝特定的数据包进出网络，实现对网络访问的控制，从而有效保障网络的安全运行。

ACL是一条或多条规则组成的集合，所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源 IP 地址、目的 IP 地址、端口号等，可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用[1]，并可以限制特定用户或设备对网络资源的访问。

借助ACL技术，用户可以实现提供安全访问、防止网络攻击以及提高网络带宽利用率等功能，可以有针对性地基于报文中的特定信息制定一系列访问规则，每一条规则描述了对所匹配特定信息的数据包将采取的对应动作，然后将这些用户预设的规则应用到对应端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的 ACL 规则进出路由器或交换机。

9.结束语

随着民航业的快速发展，空中交通管制单位所承担的航班业务量也与日俱增，与此同时对支撑空管工作安全平稳开展的相关设备带来了更加巨大的挑战，时刻考验着空管设备的稳定运行。更大的管制业务体量，意味着对引接的各类数据提出了更多的需求，以满足多样的业务实现，由此越来越多的网络数据包从四面八方的站点设备，汇聚于各运行系统前端的交换机上，这对空管设备保障部门的数据引接工作提出了更高的要求，要规避数据引接过程中可能产生的网络风险，以保证输送进各运行系统的各种数据包的纯净性。

计算机软硬件技术的进步推动的网络技术的发展，在网络安全愈发重要的当今时代，单位及个人应注意使用合理的安全技术手段保护网络设备，但现实中往往受限于设备条件和运营成本等方面条件的限制，我们只能转换思路，采用访问控制列表（ACL）来替代昂贵的硬件防火墙实现对网络数据流的管控、过滤[2]。交换机ACL技术的应用，对空管单位在引接外部数据时可能存在的网络问题，给出了一种快速方便的解决方案，可以行之有效地过滤出所需数据包，并在一定程度上保障了网络安全。

参考文献：

[1]马秀琴.基于访问控制列表的企业网络安全管理研究[J].计算机产品与流通，2019（10）：47.

[2]蒋君华.ACL技术在中小型网络安全管理中的应用分析[J].中阿科技论坛（中英阿文），2019（03）：63-65+180-182.

作者简介：王晨宇（1997），男，四川成都人，汉，本科，助理工程师，研究方向：空管自动化系统 内话系统。