黃麗娜

摘要：冬運會多倫賽區(qū)小微氣象信息中心通過互聯(lián)網(wǎng)鏈路與盟局建立VPN網(wǎng)絡，實現(xiàn)賽區(qū)集中辦公區(qū)氣象信息網(wǎng)絡訪問，互聯(lián)網(wǎng)鏈路以有線鏈路為主，4G接入為輔，鏈路故障自動切換。通過“通訊寶”手機終端，對小微氣象信息中心的運行情況遠程實時監(jiān)控。十四冬氣象服務保障中小微氣象信息中心起到關鍵作用，它為賽場辦公區(qū)各氣象業(yè)務系統(tǒng)運行提供網(wǎng)絡支撐。

關鍵詞：VPN網(wǎng)絡;網(wǎng)絡實時監(jiān)控;網(wǎng)絡安全防護;網(wǎng)絡拓撲結構

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）34-0055-03

Abstract： The small and micro meteorological information center in Duolun District of the Winter Sports Games establishes VPN network with the League Bureau through the Internet link， realizes the network access of meteorological information in the centralized office area of the competition area. Internet link is mainly cable link， 4G accessing as a supplement， link failure automatic switching. By“Tongxunbao” app， realizing real-time remote monitoring of the operation of small and micro meteorological information center. In the 14th Winter Sports Games meteorology service， the small and micro meteorological information center plays a key role， it provides network support for the operation of meteorological systems in the office area of the competition area.

Key words： VPN network; real time network monitoring; protecting the security of the network; network topology

1概述

第十四屆全國冬季體育運動會在內蒙古自治區(qū)舉行。冬季運動會冰上龍舟群眾賽事于2020年1月11日、12日在錫林郭勒盟多倫縣龍澤湖公園舉行。龍澤湖公園位于縣城核心區(qū)域，占地50萬平方米，冰面30萬平方米。冰雪項目與氣象條件關系密切，氣象是冬運會成功的關鍵因素之一。

根據(jù)冬運會氣象服務實際需求，升級現(xiàn)有氣象信息通信系統(tǒng)，增強氣象信息傳輸和處理能力。盟局核心設備增加互聯(lián)網(wǎng)VPN網(wǎng)關，部署在防火墻前端，為小微氣象信息中心提供網(wǎng)絡入口。通過 VPN 設備與賽場小微氣象信息中心實現(xiàn)互聯(lián)互通，提高氣象信息共享能力。為重要數(shù)據(jù)交換、信息共享以及高性能運算等提供高速、穩(wěn)定和可靠的網(wǎng)絡支撐，確保各類氣象信息能夠通過互聯(lián)網(wǎng)及時更新，保證各項氣象業(yè)務系統(tǒng)正常運行。

VPN技術（virtual private network） - 虛擬私有網(wǎng)絡技術，VPN技術是基于公共網(wǎng)絡結合加密、身份認證等技術來在不同業(yè)務部門之間建立虛擬安全通道，讓連接到虛擬安全通道的不同業(yè)務部門認為互相處于一個私有網(wǎng)絡之中。VPN 技術具有高安全性、很強的擴展性、低成本、便于管理（虛擬非物理搭建）等特性，具有廣闊的發(fā)展前景。

IPSec（Internet Protocol Security）基于一組開放的網(wǎng)絡安全協(xié)議三層隧道加密技術，IPSec能夠提供雙向認證，并且為IP及其上層業(yè)務數(shù)據(jù)提供安全加密保護，能夠支持數(shù)據(jù)加密（包括常見的DES、3DES、AES加密算法），數(shù)據(jù)完整性驗證，數(shù)據(jù)身份驗證以及防重放等功能，充分保證業(yè)務數(shù)據(jù)的安全性。Ike（Internet Key Exchange）為IPSec提供了自動協(xié)商交換密鑰、建立安全聯(lián)盟的服務，能夠簡化IPSec的使用和管理，大大簡化IPSec的配置和維護工作。

2 VPN實現(xiàn)功能

冬運會期間，通過互聯(lián)網(wǎng)鏈路與盟局氣象內網(wǎng)建立VPN網(wǎng)絡，在多倫賽區(qū)集中辦公區(qū)實現(xiàn)氣象信息網(wǎng)絡訪問，互聯(lián)網(wǎng)鏈路以有線鏈路為主，4G接入為輔，鏈路故障自動切換。并利用無線接入設備向賽區(qū)氣象服務工作場所提供氣象內網(wǎng)有線/無線網(wǎng)絡覆蓋。確保賽區(qū)工作場所氣象業(yè)務系統(tǒng)正常運行，為賽區(qū)氣象服務提供有力支撐。

3 VPN網(wǎng)絡部署方案

3.1設備信息

[項目 名稱 數(shù)量 位置 網(wǎng)絡設備 VPN網(wǎng)關 2 錫林郭勒盟氣象局 深信服防火墻 1 錫林郭勒盟氣象局 VPN接入設備 2 現(xiàn)場氣象服務中心 三層交換機 1 現(xiàn)場氣象服務中心 ]

3.2業(yè)務配置

（1）VPN接入

局端VPN配置啟用VPN功能，配置VPN端點，添加VPN隧道及相應安全規(guī)則。終端VPN配置添加VPN隧道，配置遠程連接信息及IPSEC算法配置后，連接完成與局端VPN隧道建立。

（2）防火墻

配置前完成各對象的定義，根據(jù)使用的設備接口、IP地址（段）或子網(wǎng)、端口增加相應的安全規(guī)則。

（3）無線接入

因網(wǎng)絡已通過VPN路由進行了包轉發(fā)，為減少路由節(jié)點，無線接入無論設備是否帶有路由功能，應選擇不啟用，僅配置無線接入點和訪問控制即可。

（4）交換機

啟動三層路由功能，配置賽區(qū)局域網(wǎng)網(wǎng)關。

（5）服務器

服務器主要用途為在賽場提供數(shù)據(jù)、產(chǎn)品、資料等的本地存儲和分發(fā)等，配置samba、ftp等常規(guī)文件服務協(xié)議，配置虛擬桌面連接。

3.3VPN網(wǎng)絡拓撲結構

網(wǎng)絡拓撲結構如圖1所示。

在盟局VPN接入?yún)^(qū)域部署AR3260及MSR 30-11E，通過雙絞線接入互聯(lián)網(wǎng)出口路由器作為盟局VPN網(wǎng)關，負責與多倫賽區(qū)的接入路由器建立VPN隧道，同時VPN網(wǎng)關通過邊界防火墻接入氣象內網(wǎng)，實現(xiàn)多倫賽區(qū)的內網(wǎng)訪問需求。

多倫賽區(qū)VPN接入?yún)^(qū)域部署2臺接入路由器AR3260、AR2240和1臺三層交換機S5720，AR3260通過聯(lián)通有線及聯(lián)通4G接入互聯(lián)網(wǎng)，AR2240通過移動4G接入互聯(lián)網(wǎng)，以有線為主路，4G接入為輔。賽場區(qū)域的2臺接入路由器分別與盟局VPN網(wǎng)關建立1條VPN隧道上聯(lián)盟局，并在IPSec tunnel的基礎上啟用OSPF路由協(xié)議，實現(xiàn)賽場與盟局之間的動態(tài)路由學習。賽場接入交換機雙上聯(lián)至2臺賽場接入路由器，啟用OSPF實現(xiàn)路由學習，多倫賽場業(yè)務網(wǎng)關部署在賽場接入交換機上。

盟局VPN網(wǎng)關兩臺設備AR3260及MSR 30-11E，實現(xiàn)冷備，如果其中一臺設備故障，切換另一臺設備，可以重新建立VPN隧道實現(xiàn)賽區(qū)氣象內網(wǎng)通信。互聯(lián)網(wǎng)鏈路以聯(lián)通有線為主，移動有線、聯(lián)通4G、移動4G為輔。聯(lián)通有線故障，自動切換聯(lián)通4G，保障賽區(qū)氣象內網(wǎng)實時通信。聯(lián)通有線延時變長，手動切換移動有線，保障賽區(qū)氣象內網(wǎng)通信暢通。

3.4路由規(guī)劃

如上圖所示4臺設備全部使用OSPF協(xié)議同步路由信息，其中盟局VPN網(wǎng)關與賽場接入路由器在IPSec tunnel上層建立OSPF鄰居關系。多倫賽區(qū)內的2臺路由器通過OSPF實現(xiàn)熱備，現(xiàn)場實施時可根據(jù)實際的線路情況和4G信號情況通過調整OSPF接口COST值等方法調整主備選路。圖中計劃以綠色路徑作為協(xié)議優(yōu)選路徑，紅色路徑作為協(xié)議備選路徑。

3.5網(wǎng)絡監(jiān)測手段

將小微氣象信息中心相關設備添加至“通訊寶”平臺，通過“通訊寶”手機終端，對氣象廣域網(wǎng)、氣象局域網(wǎng)、十四冬小微氣象信息中心的運行情況遠程實時監(jiān)控，網(wǎng)絡故障脫離現(xiàn)場，能夠在第一時間監(jiān)控網(wǎng)絡通斷情況，并及時響應。每日定時檢查小微氣象信息中心聯(lián)通有線互聯(lián)網(wǎng)通信狀態(tài)，如果延時變長及時聯(lián)系運營商解決。

3.6故障排查手段

查看互聯(lián)網(wǎng)連通性，登錄賽場路由器（AR3260或AR2240）ping盟局互聯(lián)網(wǎng)出口地址。能ping通說明多倫互聯(lián)網(wǎng)訪問正常，可結合tracert 202.99.224.8判斷本地路由器出口選路。

查看ospf鄰居關系，命令：display ospf peer brief，如果通過tunnel11或tunnel12接口到盟局VPN網(wǎng)關建立的ospf鄰居關系狀態(tài)為FULL，則為正常，否則查看接口狀態(tài)和ike及IPSec協(xié)商狀態(tài)。

查看接口狀態(tài)，命令：display ip interface brief，觀察互聯(lián)網(wǎng)接口g/0/2、c4/0/0、tunnel11或tunnel12口的協(xié)議狀態(tài)是否為up，tunnel口在建立完IPSec協(xié)商后為up狀態(tài)。

查看ike協(xié)商，命令：display ike sa，類似如下結果為正常：

否則，ike協(xié)商失敗，要檢查ike peer相關配置和兩個路由器之間端口連通性。

查看IPSec協(xié)商，命令：display ipsec sa，正常會顯示內容，如果IPSec協(xié)商失敗不會顯示任何內容。如果IPSec協(xié)商失敗重點檢查兩端設備用于配置的加密算法是否一致。

3.7網(wǎng)絡安全防護

根據(jù)《關于組織做好第十四屆全國冬季運動會氣象服務網(wǎng)絡安全保障工作的通知》，制定了“十四冬”冰上龍舟比賽期間的網(wǎng)絡安全應急預案，明確應急處置流程，發(fā)生或可能發(fā)生網(wǎng)絡安全事件時，及時啟動應急預案。扎實做好網(wǎng)絡安全防護工作。

小微氣象信息中心網(wǎng)絡安全防護工作，在VPN網(wǎng)關AR3260和氣象內網(wǎng)之間配置防火墻，實現(xiàn)對多倫賽區(qū)集中辦公區(qū)氣象內網(wǎng)訪問控制。對賽區(qū)集中辦公區(qū)需要訪問氣象內網(wǎng)網(wǎng)段進行調查，根據(jù)需求建立相應的應用控制策略，從而有效管理控制氣象內網(wǎng)訪問，并禁止對外風險端口。

4總結

小微氣象信息中心主要實現(xiàn)方式是通過在互聯(lián)網(wǎng)上建立加密通信隧道，連接賽場辦公區(qū)內網(wǎng)和錫林郭勒盟氣象局內網(wǎng)。十四冬氣象服務保障中小微氣象信息中心起到關鍵作用，它為賽場辦公區(qū)各氣象業(yè)務系統(tǒng)運行提供網(wǎng)絡支撐。小微氣象信息中心建設關鍵是網(wǎng)絡拓撲結構設計，網(wǎng)絡安全措施，網(wǎng)絡保障手段。小微氣象信息中心運行期間不免會出現(xiàn)一些問題，要逐步排查故障，查找故障原因，從根本解決問題，并且總結經(jīng)驗，提高技術水平，提升重大氣象服務保障能力。

參考文獻：

[1] 肖蔚琪.IPSECVPN技術在私有虛擬專網(wǎng)中的應用探討[J].信息通信，2014，27（12）：188-189.

[2] 于程杰.計算機網(wǎng)絡安全中虛擬網(wǎng)絡技術的應用[J].科技資訊，2019，17（28）：9-10.

[3] 竇以文，劉旭林，沈波，等.氣象信息安全建設探討[J].氣象與環(huán)境學報，2011，27（2）：45-49.

[4] 胡鵬，孫偉忠，陳曉宇.廣州突發(fā)預警信息發(fā)布中心網(wǎng)絡安全的加固[J].廣東氣象，2018，40（3）：77-80.

[5]秦柯.Cisco IPSec VPN實戰(zhàn)指南[M].北京：人民郵電出版社，2012.

【通聯(lián)編輯：代影】