0.引言 
　　自动售检票（AFC）系统是一个集售票、检票、计费、收费、统计、清分结算和运行管理等于一体的自动化系统[1]，其作为轨道交通运营管理重要子系统之一，既承担着减少地铁工作人员的劳动强度，获取城市交通客流信息的一手资料等任务，也负责着票务收入计量，财务信息的汇总分析等重要工作。鉴于AFC系统在轨道交通运营过程中的重要地位，其安全性原则不容忽视。安全性建设意义重大，但完善安全性建设却难以面面俱到。一方面，我们知道安全是AFC系统能否正常运行的关键；另一方面，AFC系统作为内容繁多，结构严密，逻辑清晰的信息联机储存以及管理的系统，其安全性建设是一个系统工程。信息安全理论的木桶原理告诉我们：一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定，也即是说，安全性建设这个系统工程必须重视每一个安全细节。 
　　1.三号线网络中的VLAN技术 
　　网络作为AFC系统的重要组成部分，其安全性也是AFC系统安全的一部分。 
　　三号线的AFC网络规划需要将多个车站的终端组成一个网络，并且由于业务分工的需要，每个车站内部的终端需要组成不同的局域网。若使用传统的局域网加路由的技术，则满足需求的网络方案中必须用到大量的路由，而且对处理网络结构的改变也不够灵活。而VLAN技术的特点却正好有效的解决了以上需求。利用VLAN技术以及VLAN技术上的干道技术，一方面，我们可以有效的分割广播域且不会增加对路由的需求，节约了成本；另一方面，VLAN可以非常灵活的处理终端的重新归网问题。 
　　2.安全隐患 
　　在了解了VLAN技术之后，我们来看看这种安全技术的两个潜在隐患。 
　　第二层攻击类型介绍。 
　　交换机处理的数据属于参考网络模型的第二层，即数据链路层。利用该层数据帧进行的网络攻击我们都称为第二层网络攻击。已知的第二层攻击有以下几种：VLAN跳跃，STP攻击，DHCP欺骗，CAM表溢出等。我们将重点放在VLAN跳跃攻击上。 
　　VLAN跳跃攻击有两种方法，分别是交换机欺骗和双重标示。 
　　2.1交换机欺骗 
　　我们知道，如果一条线路成为干道的话，该线路将可以传递所有VLAN数据帧。一些cisco交换机端口的中继默认设置为auto模式，这使得接入交换机的攻击者主机可以构造DTP帧来打开交换机的中继模式。收到DTP帧的交换机会认为攻击者主机是另一交换机的中继端口，从而打开自己的中继模式，使得交换机将所有的VLAN数据帧传送给攻击者主机。如果车站服务器被入侵，那么当服务器上的入侵者向交换机发送其构造的DTP帧时，中继默认设置为auto模式的交换机便会将该交换机上所有VLAN的数据包发给工作站。此时，服务器上的入侵者得到了该连接到该交换机上所有其他设备的数据包，包括GATE，TVM，BOM，TCM等。这就是VLAN跳跃攻击。 
　　2.2双重标记 
　　为了能和不支持VLAN技术的交换机或其他设备通讯，支持VLAN技术的交换机设置了一个默认的本地VLAN。这个VLAN的发出数据帧是不带VLAN标签的。如果一个数据帧含有本地VLAN的标签，那么在发出这个数据帧的时候，该VLAN会被交换机删去。针对这一处理方法，攻击者可以构造一个双重标记的数据帧，达到访问本不能访问的VLAN网络的目的。 
　　如右图所示，假设下图的工作站A和终端A分别属于VLAN2和VLAN3，在一般情况下工作站A不能访问终端A。然而，当工作站A向交换机A发送一个双重标记的数据帧时，这个数据帧就可以到达终端A，进而达到访问终端A的目的。 
　　3.防范措施 
　　3.1针对交换机欺骗的防范措施 
　　交换机欺骗的危害虽大，但其预防措施却并不复杂。事实上，交换机欺骗攻击之所以说是一个安全隐患是因为大多数的交换机默认就将端口设置auto模式。三号线采用的交换机CiscoCatalyst 3550，其端口的默认设置便是这种形式。 
　　为了防范交换机欺骗攻击，我们可以修改非干道端口上默认打开的auto模式，将其改成接入模式。以CiscoCatalyst 3550交换机为例，我们可以用下面的命令消除交换机欺骗攻击隐患： 
　　Switch（config）#interface gigabitethernet 0/1 
　　Switch（config-if）#switchport mode access 
　　C3550交换机是地铁三号线车站计算机系统中的站台设备接入交换机，数目较多，这就加大该隐患的危险性。以上改变端口默认设置的命令应该在各个C3550交换机上执行，另外，对于线路中的其他交换机，我们也必须确定交换机的端口是否为auto设置，若是，则按照相应交换机的操作命令修改auto设置。 
　　3.2针对双重标记的防范措施 
　　实现双重标记这种攻击，前提条件是两台交换机使用802.1q协议作为干道的中继通讯以及两台交换机均具有相同标号的本地VLAN。大多数的交换机为了提高兼容性都是使用802.1q协议作为干道的中继通讯协议，并且，交换机默认的本地VLAN都为VLAN1，从而，这些默认设置滋生了双重标识这种安全隐患。 
　　（1）修改以上提及的默认设置，我们便可以防范这个隐患。 
　　以C3550交换机为例，可以在交换机上利用下列命令将本地VLAN的编号设置成其他编号： 
　　Switch（config）#interface gigabitethernet 0/1 
　　Switch（config-if）#switchport trunk native vlan 123 
　　（2）选择思科的专有协议ISL代替802.1q协议。这方法只能用在车站交换机全部支持ISL协议的场合，操作的命令是： 
　　Switch（config-if）#switchport trunk encapsulation isl 
　　（3）比较实用的防范方法是在干道端口上标记所有本地VLAN流量，命令如下： 
　　Switch（config-if）#switchport native vlan tag 
　　通过这条命令，我们可以让所有的干道端口保留本地VLAN数据包的帧标记，双重标记攻击便失效了。 
　　4.结语 
　　通过讨论VLAN的两个较为隐蔽安全隐患及其防范措施，我们填补三号线AFC网络的存在的一些安全隐患。安全是一个系统性工程，而安全系统总是取决与最薄弱环节的安全程度，因此在日常工作中，我们必须加强安全意识，领会安全性原则，并重视安全性操作，借此提高广州地铁的安全性建设水平，为更好服务市民做出努力。