黎珠博

(廣東省地震局， 廣東 廣州 510070）

0 引言

最近十幾年來， 廣東地震前兆觀測建設經(jīng)歷了 “九五”、 “十五”、 “十一五” 三個階段的建設改造。 將網(wǎng)絡信息技術應用到臺網(wǎng)數(shù)據(jù)傳輸中是此次臺站改造中的其中一項重要內(nèi)容。 尤其是對于測項比較少的臺點， 考慮其臺站的通信資源和運行成本， 通過調(diào)研和實踐表明， 使用VPN 技術進行數(shù)據(jù)傳輸具有良好的效果。

1 VPN 的概述

VPN 就是虛擬專用網(wǎng)絡， 虛擬專用網(wǎng)不是真的專用網(wǎng)絡， 但卻能夠實現(xiàn)專用網(wǎng)絡的功能。 虛擬專用網(wǎng)指的是依靠ISP（Internet 服務提供商）和其它NSP（網(wǎng)絡服務提供商）， 在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。 在虛擬專用網(wǎng)中， 任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路， 而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 IETF草案理解基于IP 的VPN 為： “使用IP 機制仿真出一個私有的廣域網(wǎng)” 是通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線技術。 所謂虛擬， 是指用戶不再需要擁有實際的長途數(shù)據(jù)線路， 而是使用Internet 公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。 所謂專用網(wǎng)絡， 是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡。

用戶現(xiàn)在在電信部門租用的幀中繼（Frame Relay）與ATM 等數(shù)據(jù)網(wǎng)絡提供固定虛擬線路（PVC-Permanent Virtual Circuit）來連接需要通訊的單位， 所有的權限掌握在別人的手中。 如果用戶需要一些別的服務， 需要填寫許多的單據(jù)， 再等上相當一段時間， 才能享受到新的服務。 更為重要的是兩端的終端設備不但價格昂貴， 而且管理也需要一定的專業(yè)技術人員， 無疑增加了成本， 而且?guī)欣^、 ATM 數(shù)據(jù)網(wǎng)絡也不會像Internet 那樣， 可立即與世界上任何一個使用Internet 網(wǎng)絡的單位連接。 而在Internet 上， VPN 使用者可以控制自己與其他使用者的聯(lián)系， 同時支持撥號的用戶。

虛擬專用網(wǎng)一般指的是建筑在Internet 上能夠自我管理的專用網(wǎng)絡， 而不是Frame Relay 或ATM 等提供虛擬固定線路（PVC）服務的網(wǎng)絡。 以IP 為主要通訊協(xié)議的VPN， 也可稱之為IP-VPN。

由于VPN 是在Internet 上臨時建立的安全專用虛擬網(wǎng)絡， 用戶就節(jié)省了租用專線的費用， 在運行的資金支出上， 除了購買VPN 設備， 企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用， 也節(jié)省了長途電話費。 這就是VPN 價格低廉的原因。

2 VPN 的特點

2.1 安全保障

雖然實現(xiàn)VPN 的技術和方式很多， 但所有的VPN 均應保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。 在非面向連接的公用IP 網(wǎng)絡上建立一個邏輯的、 點對點的連接， 稱之為建立一個隧道， 可以利用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密， 以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解， 從而保證了數(shù)據(jù)的私有性和安全性。 在安全性方面， 由于VPN直接構建在公用網(wǎng)上， 實現(xiàn)簡單、 方便、 靈活， 但同時其安全問題也更為突出。 企業(yè)必須確保其VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改， 并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。 ExtranetVPN 將企業(yè)網(wǎng)擴展到合作伙伴和客戶， 對安全性提出了更高的要求。

2.2 服務質(zhì)量保證（QoS）

VPN 網(wǎng)應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。 不同的用戶和業(yè)務對服務質(zhì)量保證的要求差別較大。 如移動辦公用戶， 提供廣泛的連接和覆蓋性是保證VPN 服務的一個主要因素； 而對于擁有眾多分支機構的專線VPN 網(wǎng)絡， 交互式的內(nèi)部企業(yè)網(wǎng)應用則要求網(wǎng)絡能提供良好的穩(wěn)定性； 對于其它應用（如視頻等）則對網(wǎng)絡提出了更明確的要求， 如網(wǎng)絡時延及誤碼率等。 所有以上網(wǎng)絡應用均要求網(wǎng)絡根據(jù)需要提供不同等級的服務質(zhì)量。 在網(wǎng)絡優(yōu)化方面， 構建VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源， 為重要數(shù)據(jù)提供可靠的帶寬。 廣域網(wǎng)流量的不確定性使其帶寬的利用率很低， 在流量高峰時引起網(wǎng)絡阻塞， 產(chǎn)生網(wǎng)絡瓶頸， 使實時性要求高的數(shù)據(jù)得不到及時發(fā)送； 而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。 QoS 通過流量預測與流量控制策略， 可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理， 使得各類數(shù)據(jù)能夠被合理地先后發(fā)送， 并預防阻塞的發(fā)生。

2.3 可擴充性和靈活性

VPN 必須能夠支持通過Intranet 和Extranet 的任何類型的數(shù)據(jù)流， 方便增加新的節(jié)點，支持多種類型的傳輸媒介， 可以滿足同時傳輸語音、 圖像和數(shù)據(jù)等新應用對高質(zhì)量傳輸以及帶寬增加的需求。

2.4 可管理性

從用戶角度和運營商角度應可方便地進行管理、 維護。 在VPN 管理方面， VPN 要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)， 甚至是客戶和合作伙伴。 雖然可以將一些次要的網(wǎng)絡管理任務交給服務提供商去完成， 企業(yè)自己仍需要完成許多網(wǎng)絡管理任務。 所以， 一個完善的VPN 管理系統(tǒng)是必不可少的。 VPN 管理的目標為： 減小網(wǎng)絡風險、 具有高擴展性、 經(jīng)濟性、 高可靠性等優(yōu)點。 事實上， VPN 管理主要包括安全管理、 設備管理、 配置管理、 訪問控制列表管理、 QoS 管理等內(nèi)容。

3 VPN 安全技術[1]

由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對數(shù)據(jù)的安全性都比較關心。

目前VPN 主要采用四項技術來保證安全， 這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、 密鑰管理技術（Key Management）、 使用者與設備身份認證技術（Authentication）。

3.1 隧道技術

隧道技術是VPN 的基本技術類似于點對點連接技術， 它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道）， 讓數(shù)據(jù)包通過這條隧道傳輸。 隧道是由隧道協(xié)議形成的， 分為第二、 三層隧道協(xié)議。 第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP 中， 再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。 第二層隧道協(xié)議有L2F、 PPTP、L2TP 等。 L2TP 協(xié)議是目前IETF 的標準， 由IETF 融合PPTP 與L2F 而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中， 形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。 第三層隧道協(xié)議有VTP、 IPSec 等。 IPSec（IP Security）是由一組RFC 文檔組成， 定義了一個系統(tǒng)來提供安全協(xié)議選擇、 安全算法， 確定服務所使用密鑰等服務， 從而在IP 層提供安全保障。

3.2 加解密技術

加解密技術是數(shù)據(jù)通信中一項較成熟的技術， VPN 可直接利用現(xiàn)有技術。

3.3 密鑰管理技術

密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。 現(xiàn)行密鑰管理技術又分為SKIP 與ISAKMP/OAKLEY 兩種。 SKIP 主要是利用Diffie-Hellman 的演算法則， 在網(wǎng)絡上傳輸密鑰； 在ISAKMP 中， 雙方都有兩把密鑰， 分別用于公用、 私用。

3.4 使用者與設備身份認證技術

使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

4 地震前兆觀測臺站VPN 技術網(wǎng)絡架構

地震前兆數(shù)據(jù)的傳輸必須確保數(shù)據(jù)的穩(wěn)定安全傳輸， 防止外部通過網(wǎng)路進入儀器對數(shù)據(jù)及相關參數(shù)進行修改， VPN 技術在這兩方面都具有很大的優(yōu)越性， 都有較高的安全性及可管理性， 因此適合臺站的數(shù)據(jù)傳輸。 現(xiàn)在一般地區(qū)都有電話線路， 因此采用電信寬帶及VPN 設備進行傳輸可滿足我們的要求， 對于在山區(qū)布設在山上的觀測點， 則通過CDMA 網(wǎng)絡， 利用VPN 技術進行傳輸（圖1）。 只需在VPN 設備進行簡易的配置即可完成通信。

圖1 VPN 技術在前兆觀測中的應用網(wǎng)絡架構Fig.1 Network architecture of application of VPN in precursor observation

目前在廣東前兆數(shù)據(jù)傳輸采用VPN 傳輸?shù)呐_點分別有梅州臺、 河源黃子洞水氡觀測點、 河源雙塘地磁臺、 廣州五山臺[2]。 梅州臺共有水位儀、 水溫儀、 氣象三要素儀三套前兆觀測設備， 而且當?shù)卦缫咽褂脤拵暇W(wǎng)交換信息， 在這個基礎上， 只需簡單的增加一臺VPN 設備， 即可滿足要求。 河源黃子洞水氡觀測點只有水氡觀測一個測項， 周圍有一些農(nóng)居， 電話線路已到達， 申請電信寬帶用于訪問INTETNET 信息， 增加VPN 設備進到局數(shù)據(jù)庫。 河源雙塘FHD 地磁觀測也只有地磁一個設備， 觀測房建在雙塘地區(qū)一座海拔高80 m的半山上， 通往附近的民居都是彎彎曲曲的泥路， 長達5 km， 拉個電話線路成本太高， 但聯(lián)通CDMA 信號已覆蓋當?shù)兀?我們就采用CDMA 網(wǎng)絡進行數(shù)據(jù)傳輸。 廣州五山臺雖然地處廣州市區(qū)， 但當?shù)氐碾娫捑€路信號一直都不是太好， 最后也是選用CDMA 進行傳輸。

5 結束語

廣東前兆觀測建設中， 采用VPN 技術傳輸?shù)呐_站， 基本上都運轉了五年， 數(shù)據(jù)傳輸正常， 我們認為在VPN 技術應用中， 可根據(jù)臺站的實踐情況， 因地制宜， 選擇有線或者類似于CDMA 之類的移動通信技術架構網(wǎng)絡信息傳輸， 具有很強的靈活性和可操作性。 而且由于在VPN 技術應用中采用隧道技術、 加解密技術、 密鑰管理技術和使用者與設備身份認證技術等四項技術， 對數(shù)據(jù)文件的安全可靠提供了保障， 儀器內(nèi)部參數(shù)及數(shù)據(jù)沒有遭到人為的網(wǎng)絡破壞修改， 整體上運轉良好， 證明VPN 技術用于臺站觀測還是可行和可靠的。

[1] 申普兵. 計算機網(wǎng)絡與通信(第2 版)[M]. 北京： 人民郵電出版社， 2012.

[2] 楊恒廣， 賈曉飛主編. 高等職業(yè)教育 “十二五” 規(guī)劃教材： 交換機/路由器的管理與配置[M]. 北京： 清華大學出版社， 2012.