陳軍輝，孫　侃，陳吉鋒，張　明

(浙江省地震局，浙江　杭州　310013)

?

VPN技術(shù)在流動地震臺網(wǎng)數(shù)據(jù)傳輸中的應(yīng)用

陳軍輝，孫侃，陳吉鋒，張明

(浙江省地震局，浙江杭州310013)

摘要：流動地震臺站的數(shù)據(jù)傳輸主要指實現(xiàn)流動臺站與省局臺網(wǎng)中心間觀測數(shù)據(jù)的傳輸，文章主要介紹VPN技術(shù)在浙江省流動地震臺網(wǎng)數(shù)據(jù)傳輸過程中的主要相關(guān)配置及技術(shù)指標(biāo)，并通過應(yīng)用實例證明采用VPN技術(shù)進(jìn)行流動地震臺的組網(wǎng)是安全可靠的。

關(guān)鍵詞：流動地震臺網(wǎng)；數(shù)據(jù)傳輸； VPN技術(shù)

0引言

流動地震臺，一方面用于震前監(jiān)測，對可能發(fā)生中強(qiáng)地震的區(qū)域地震活動背景作臨時性的加密觀測，更好地跟蹤地震的活動動態(tài)；另一方面用于余震監(jiān)測，記錄中強(qiáng)地震后的余震變化，為進(jìn)一步研究地震震源特征及后續(xù)震情變化夯實基礎(chǔ)資料。目前，流動地震臺也用于對工程現(xiàn)場爆破而引起地動數(shù)據(jù)變化的監(jiān)測，并已成為社會服務(wù)的一個窗口。在流動地震臺的地動數(shù)據(jù)傳輸過程中，因其作為連接公網(wǎng)的連續(xù)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)節(jié)點，易受到公網(wǎng)上其它無信任關(guān)系的節(jié)點的攻擊，包括病毒攻擊、黑客攻擊等，導(dǎo)致臺站觀測數(shù)據(jù)的丟失，甚至造成網(wǎng)絡(luò)系統(tǒng)的崩潰。這些潛在風(fēng)險對流動地震臺網(wǎng)的安全性和數(shù)據(jù)傳輸?shù)谋Ｃ苄远紟砭薮蟮奶魬?zhàn)。因此，固定地震臺現(xiàn)多采用SDH/MSTP等專線的方式，或采用VPN技術(shù)建立虛擬專網(wǎng)的方式進(jìn)行數(shù)據(jù)傳輸。但流動地震臺網(wǎng)及其數(shù)據(jù)控制中心多為臨時搭建，SDH/MSTP等光纖有線網(wǎng)絡(luò)的數(shù)據(jù)傳輸方式無法快速建立， VPN技術(shù)作為一種成熟的網(wǎng)絡(luò)技術(shù)，在地震行業(yè)中已廣泛應(yīng)用。例如一些有線網(wǎng)絡(luò)不能到達(dá)的觀測臺(點)、臨時觀測點和流動觀測點，在公用網(wǎng)絡(luò)上運用VPN技術(shù)就能實現(xiàn)與專線相同的效果，并在公網(wǎng)上實現(xiàn)私有化網(wǎng)絡(luò)[1]。本文主要對VPN技術(shù)在浙江省流動地震臺網(wǎng)中的運用加以論述。

1流動地震臺網(wǎng)的系統(tǒng)構(gòu)成

浙江省流動地震臺網(wǎng)的系統(tǒng)構(gòu)成包括：流動地震臺站、現(xiàn)場地震數(shù)據(jù)控制中心、省局臺網(wǎng)中心，具體系統(tǒng)構(gòu)成如第28頁圖1所示。其中，流動地震臺站共7個，由3G無線路由器、BDCOM2820路由器等網(wǎng)絡(luò)設(shè)備及地震觀測設(shè)備構(gòu)成。地震觀測設(shè)備主要包括FSS-3M短周期地震計和EDAS-24GN數(shù)據(jù)采集器；現(xiàn)場地震數(shù)據(jù)控制中心部署了深信服無線路由器、工作站、交換機(jī)等硬件設(shè)備及JOPENS系統(tǒng)和自動地震速報系統(tǒng)等軟件系統(tǒng)；省局臺網(wǎng)中心由博達(dá)VPN路由器4860等網(wǎng)絡(luò)設(shè)備以及各服務(wù)器和軟件系統(tǒng)構(gòu)成。關(guān)于具體地址分配，現(xiàn)場地震數(shù)據(jù)控制中心為10.**.159.0/28網(wǎng)段，網(wǎng)關(guān)為10.**.159.1，VPN隧道地址為10.**.242.200；流動臺站1為10.**.159.16/28網(wǎng)段，網(wǎng)關(guān)為10.**.159.17，VPN隧道地址為10.**.242.201；流動臺站2為10.**.159.32/28網(wǎng)段，網(wǎng)關(guān)為10.**.159.33，VPN隧道地址為10.**.242.202；流動臺站3-流動臺站7的網(wǎng)絡(luò)設(shè)計以此類推。

1.1流動地震臺站的數(shù)據(jù)傳輸

流動地震臺站的數(shù)據(jù)傳輸主要是實現(xiàn)流動臺站與省局臺網(wǎng)中心的觀測數(shù)據(jù)傳輸，鑒于流動地震臺站部署地點的不確定性，采用3G無線傳輸技術(shù)或ADSL技術(shù)實現(xiàn)基于VPN技術(shù)的數(shù)據(jù)傳輸。流動地震臺站與省局臺網(wǎng)中心的組網(wǎng)屬于應(yīng)用型小型網(wǎng)絡(luò)，考慮到維護(hù)路由表角度，采用了靜態(tài)路由，基于數(shù)據(jù)傳輸建立的快速可靠性，流動地震臺站采用L2TP協(xié)議的隧道技術(shù)進(jìn)行數(shù)據(jù)上傳。

1.1.1基于3G無線路由技術(shù)的數(shù)據(jù)傳輸

臺站觀測數(shù)據(jù)通過3G無線技術(shù)進(jìn)行與省局臺網(wǎng)中心的數(shù)據(jù)傳輸，無線路由器采用映翰通公司的IR711設(shè)備，數(shù)據(jù)傳輸協(xié)議采用L2TP的VPN隧道協(xié)議。

主要相關(guān)配置及說明如下：

lan0_netmask=255.255.255.240//配置子網(wǎng)掩碼

圖1　流動地震臺網(wǎng)的系統(tǒng)構(gòu)成Fig.1　System composition of mobile seismic network

login_timeout=500

lan0_name=lan0

lan0_ip=10.**.159.17//配置網(wǎng)關(guān)

language=Chinese

lan0_mtu_enable=0

lan0_iface=eth0

lan0_mode=1

lan0_server=0.0.0.0

l2tpc_tunnels=1,L2TP_TUNNEL_1,61.164.**.**,aaa,aaa,Router,0,1,0,,10.**.242.201,,10.0.0.0,255.0.0.0,60,5,0,0,1492,1492,0,,;

//設(shè)置隧道協(xié)議及其用戶名密碼，公網(wǎng)地址，隧道地址，遠(yuǎn)端子網(wǎng)，MTU,MRU等

1.1.2基于ADSL技術(shù)的數(shù)據(jù)傳輸

關(guān)于流動地震臺站觀測數(shù)據(jù)采用ADSL技術(shù)的光纖傳輸，通常是基于動態(tài)IP組建VPN網(wǎng)絡(luò)，主要用于流動地震臺部署在部門單位及居民家庭中等情況。ADSL即非對稱數(shù)字信號傳送，能在現(xiàn)有的銅雙絞線，即普通電話線上提供8 Mbit/s的下行速率，1 Mbit/s的上行速率，遠(yuǎn)高于ISDN速率。目前CABLE ADSL已經(jīng)在普通家庭用戶中普及，且傳輸質(zhì)量穩(wěn)定可靠，為流動地震臺利用ADSL線路進(jìn)行數(shù)據(jù)傳輸提供了基礎(chǔ)。ADSL撥號中PPP會話的建立有PAP認(rèn)證協(xié)議和CHAP認(rèn)證協(xié)議，考慮數(shù)據(jù)傳輸?shù)陌踩裕捎贑HAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列，也被稱為“挑戰(zhàn)字符串”[2]，所以CHAP認(rèn)證較PAP認(rèn)證來說更為安全。浙江省流動地震臺站ADSL連接省局臺網(wǎng)中心的鏈路通過博達(dá)路由器BDCOM2820實現(xiàn)，會話建立的方式為CHAP認(rèn)證，數(shù)據(jù)傳輸協(xié)議同樣采用L2TP的VPN隧道協(xié)議。配置過程中，考慮到流動臺站設(shè)備上英特網(wǎng)的問題，配置了動態(tài)NAT。

主要相關(guān)配置及說明如下：

interface Virtual-tunnel0//配置隧道接入ADSL撥號

mtu 1492

ip address negotiated

no ip directed-broadcast

no ip unreachable

ppp chap hostname hu2041103//配置CHAP認(rèn)證，以及撥號用戶名、密碼

ppp chap password 0 ********

ip nat outside//定義撥號接口為NAT外部網(wǎng)絡(luò)

ip nat mss 1452

interface Virtual-tunnel1//L2TP連接服務(wù)器端的隧道接入配置

ip address 10.**.242.201 255.255.255.0//指定IP，成為L2TP隧道端口地址

no ip directed-broadcast

ppp chap hostname aaa

ppp chap password 0 aaa

interface GigaEthernet0/0

no ip address

no ip directed-broadcast

interface GigaEthernet0/1//配置內(nèi)網(wǎng)口，連接內(nèi)部網(wǎng)絡(luò)

ip address 10.**.159.17 255.255.255.240

no ip directed-broadcast

ip nat inside//配置為NAT內(nèi)部本地地址

ip route default Virtual-tunnel0//靜態(tài)路由，根據(jù)需要指定

ip route 10.**.0.0 255.255.0.0 Virtual-tunnel1 180

snmp-server community dzj-105 RO

ip access-list extended nat//配置擴(kuò)展訪問列表，允許內(nèi)網(wǎng)上Inernet

permit ip 10.**.159.0 255.255.255.240 any

vpdn enable//開啟VPDN功能

vpdn-group 1//創(chuàng)建VPDN策略組1

request-dialin//指定成為L2TP的接入端

port Virtual-tunnel1//關(guān)聯(lián)Virtual-tunnel1

protocol l2tp//指定協(xié)議類型

local-name default

initiate-to ip 61.164.**.** priority 0

vpdn-group poe0//創(chuàng)建VPDN策略組POE0

request-dialin

port Virtual-tunnel0//關(guān)聯(lián)Virtual-tunnel0

protocol pppoe//采用PPPOE撥號協(xié)議

pppoe bind GigaEthernet0/0

ip nat inside source list nat interface Virtual-tunnel0//配置臺站設(shè)備上網(wǎng)的動態(tài)NAT

1.2現(xiàn)場地震數(shù)據(jù)控制中心與省局臺網(wǎng)中心的數(shù)據(jù)交互

現(xiàn)場地震數(shù)據(jù)控制中心與省局臺網(wǎng)中的數(shù)據(jù)交互主要是實現(xiàn)其與省局臺網(wǎng)中心服務(wù)器網(wǎng)段(10.**.253.0/0)的數(shù)據(jù)傳輸，使流動地震臺站的監(jiān)測數(shù)據(jù)能通過省局臺網(wǎng)中心實時傳輸?shù)浆F(xiàn)場地震數(shù)據(jù)控制中心。其實現(xiàn)方式為采用深信服VPN路由器VPN-1250-cdma2000與位于省局臺網(wǎng)中心的博達(dá)VPN路由器BDCOM4860建立IPSEC隧道傳輸協(xié)議，數(shù)據(jù)加密使用ESP協(xié)議中的3DES加密算法實現(xiàn)，數(shù)據(jù)完整性通過MD5算法實現(xiàn)。

主要相關(guān)配置及說明如下：

crypto nat//開啟IPSec VPN nat穿透，支持在nat環(huán)境下使用

crypto identification sangfor//配置本端fqdn為“1.1.1.2” fqdn ″1.1.1.2″

crypto isakmp key sangfor 0.0.0.0 0.0.0.0//創(chuàng)建預(yù)共享密鑰為“sangfor”，以及對端野蠻模式身份ID為“任意值”

crypto isakmp policy 10//創(chuàng)建預(yù)共享密鑰，以及對端野蠻模式身份ID

Encryption 3des//配置加密算法為3DES

Hash md5//配置加密算法為MD5

Lifetime 3600//配置存活時間為3600秒

crypto ipsec transform-set sangforvpn//創(chuàng)建變換集及策略名sangforvpn

transform-type esp-3des esp-md5-hmac//具體的認(rèn)證算法及加法

crypto dynamic-map sangfor//創(chuàng)建動態(tài)映射圖

id sangfor//配置引用identification為“sangfor”

set transform-set sangforvpn//綁定名稱為“snagforvpn”的變換集到映射圖

match address sangfor//匹配名稱為“sangfor”ACL策略

ip access-list extended sangfor//把本地是 10.**.253.0網(wǎng)段的去訪問10.**.159.0網(wǎng)段的數(shù)據(jù)引流到vpn

permit ip 10.**.253.0 255.255.255.0 10.**.159.0 255.255.255.240

2系統(tǒng)實際使用

浙江省流動地震臺網(wǎng)在杭州、臨安、湖州等多地舉行的應(yīng)急演練中均無故障運行。特別是2014年10月至2015年初在溫州文成、泰順交界處地震應(yīng)急期間，此流動臺網(wǎng)進(jìn)行了現(xiàn)場實地運行，流動臺網(wǎng)段中有3個網(wǎng)段劃分給由BBAS-2地震計與24GN數(shù)采組成的強(qiáng)震臺，進(jìn)行基于L2TP的3G無線數(shù)據(jù)傳輸，均取得了很好的觀測效果。2015年，浙江省應(yīng)急演練隊伍在南京舉辦的年度華東片區(qū)地震演練中，在演練基地搭建了流動地震臺及現(xiàn)場地震數(shù)據(jù)控制中心。演練過程中，我省局現(xiàn)場地震數(shù)據(jù)控制中心實時成功地獲取了現(xiàn)場江蘇局用震源車通過連續(xù)震動激發(fā)出的地震波。

3結(jié)論

基于VPN技術(shù)進(jìn)行流動地震臺網(wǎng)的數(shù)據(jù)傳輸，通過了在浙江省內(nèi)及2015年華東區(qū)年度演練的多次實踐應(yīng)用，證明采用VPN技術(shù)進(jìn)行流動地震臺的組網(wǎng)是可行的。VPN技術(shù)中的隧道技術(shù)、數(shù)據(jù)封裝、加密解密等技術(shù)用于流動地震臺組網(wǎng)安全可靠，但在一些極端條件下，比如大震后地區(qū)網(wǎng)絡(luò)基站受到大面積破壞，VPN技術(shù)的流動臺網(wǎng)進(jìn)行數(shù)據(jù)傳輸將受到限制，應(yīng)選擇衛(wèi)星通訊等其他方式。

參考文獻(xiàn)：

[1]孫海軍，趙瑞勝，魏斌，等.VPN技術(shù)在新疆地磁臺陣中的應(yīng)用[J].內(nèi)陸地震,2010,24(3):253-258.

[2]楊文利，王億.交換機(jī)/路由器的配置與管理[M].北京:中國電力出版社,2008:202-203.

文章編號：1000-6265(2016)02-0027-04

收稿日期：2016-03-03

基金項目：浙江省地震背景場探測項目(5-2013-31-0021)。

第一作者簡介：陳軍輝(1984—)，男，浙江省東陽人。2009年畢業(yè)于廣西大學(xué)，碩士研究生，工程師。

中圖分類號：P315.09

文獻(xiàn)標(biāo)志碼：A

Application of VPN Technology in Data Transmission of Mobile Seismic Network

CHEN Jun-hui, SUN Kan, CHEN Ji-feng, ZHANG Ming

(Earthquake Administration of Zhejiang Province, Hangzhou, Zhejiang 310013, China)

Abstract:The data transmission of mobile seismic stations is mainly between mobile stations and provincial network center. Related configurations and technical indexes of VPN technology in the data transmission process of mobile seismic network in Zhejiang province are introduces. By application examples it is proved that the networking is reliable and feasible by using VPN technology.

Key words:Mobile seismic network; Data transmission; VPN technology