劉 可 張亦梅 特木其勒

(湖北省地震局,武漢 430071)

如何在湖北省地震網(wǎng)絡系統(tǒng)中架構(gòu) VPDN平臺＊

劉 可 張亦梅 特木其勒

(湖北省地震局,武漢 430071)

湖北省地震系統(tǒng)約有 100個站點需要利用無線網(wǎng)絡系統(tǒng)進行信息傳輸,前期是利用自建的 VPN網(wǎng)絡,其傳輸速度受互聯(lián)網(wǎng)的影響較大,傳輸速度較慢,甚至出現(xiàn)不能對儀器進行實時監(jiān)控、數(shù)據(jù)不能按時收取、無法按時向國家臺網(wǎng)中心報送數(shù)據(jù)的情況。而目前湖北省地震網(wǎng)絡系統(tǒng)業(yè)務的拓展,需要進一步完善覆蓋全省的數(shù)據(jù)傳輸網(wǎng)絡,用于承載前兆無人職守系統(tǒng)、流動測震系統(tǒng)和移動辦公系統(tǒng)。鑒于上述情況,湖北省地震信息網(wǎng)絡部門通過分析各分支點所處的地理位置及數(shù)據(jù)傳輸?shù)囊?最終使用中國電信的無線 VPDN業(yè)務,組建湖北省地震數(shù)據(jù)監(jiān)測VPDN網(wǎng)絡系統(tǒng)。從而滿足了數(shù)據(jù)傳輸?shù)陌踩?、觀測數(shù)據(jù)上報的安全性和地震分析預報的及時性要求。

VPDN平臺;湖北省地震網(wǎng)絡系統(tǒng);數(shù)據(jù)傳輸;安全性;無線網(wǎng)絡

1 湖北省地震無線網(wǎng)絡系統(tǒng)現(xiàn)狀與需求

湖北省地震網(wǎng)絡系統(tǒng)“十五”期間完成了無人值守前兆臺網(wǎng)及部分流動觀測測震臺網(wǎng)建設,全省包括前兆無人職守站點、測震流動臺和移動辦公用戶等共有約 100個站點需要實現(xiàn)數(shù)據(jù)回傳。前期是利用自建的VPN網(wǎng)絡,采用的通用方式為：在區(qū)域中心自建VPN信道、路由,各站點觀測儀器數(shù)據(jù)傳輸采用無線 CDMA+Internet+VPN傳輸方式。由于該傳輸方式是通過 Internet互聯(lián)網(wǎng)接入后再接入到湖北省地震行業(yè)網(wǎng)絡,使其傳輸速度受互聯(lián)網(wǎng)的影響較大,在每周星期一至星期五期間,CDMA傳輸速度較慢,從 2008年下半年開始,數(shù)據(jù)經(jīng)常不能按時收取,不能對儀器進行實時監(jiān)控,無法按時向國家臺網(wǎng)中心報送觀測數(shù)據(jù)。為此,中心值班人員需經(jīng)常重新啟動湖北省地震局區(qū)域中心VPN路由器,每次重啟動造成局行業(yè)網(wǎng) VPN鏈路中斷 10分鐘,嚴重影響湖北省地震前兆臺網(wǎng)運行管理工作質(zhì)量和湖北省地震行業(yè)網(wǎng)的運行安全。

為解決上述問題,同時隨著湖北省地震網(wǎng)絡系統(tǒng)業(yè)務的拓展,需要進一步完善覆蓋全省的數(shù)據(jù)傳輸網(wǎng)絡,用于承載前兆無人職守系統(tǒng)、流動測震系統(tǒng)和移動辦公系統(tǒng)。監(jiān)測預報中心通過調(diào)研,多次與中國電信武漢分公司進行溝通并和其他省地震局交流后,考慮各分支點所處的地理位置及數(shù)據(jù)傳輸?shù)囊?我們選用中國電信的無線VPDN業(yè)務組建湖北省地震數(shù)據(jù)監(jiān)測VPDN網(wǎng)絡系統(tǒng)。VPDN意為虛擬專用撥號網(wǎng)絡,技術(shù)成熟、應用廣泛,可以使用ADSL、光纖和 CDMA移動無線等方式接入。

專用湖北省地震行業(yè)VPDN平臺網(wǎng)絡的中心點位于湖北省地震局 6樓區(qū)域中心機房內(nèi) (圖 1),具體為：1)租用一條中國電信武漢分公司至地震局的2M數(shù)字電路 (SDH);2)各前兆臺網(wǎng)無人職守站點和流動測震觀測臺的數(shù)據(jù)傳輸使用北京映翰通公司InRouter700無線路由器,采用無線 CDMA+VPDN網(wǎng)絡接入湖北省地震行業(yè)網(wǎng);3)同時在VPDN平臺運行正常后還可以用于局用戶的異地移動辦公,通過 EVDO+VPDN方式隨時隨地接入湖北省地震行業(yè)網(wǎng);4)實現(xiàn)湖北省地震網(wǎng)絡系統(tǒng)區(qū)域中心和各站點在VPDN平臺間雙向的路由訪問(圖2)。

圖 1 湖北省地震網(wǎng)絡系統(tǒng)通信信道部署圖Fig.1 Disposition of the information channels of the seismic network system of Hubei province

圖2 湖北省地震網(wǎng)絡系統(tǒng)VPDN平臺信道部署圖Fig.2 Disposition of the VPDN platfor m channels of seismic system of Hubei province

2 湖北省地震網(wǎng)絡無線 VPDN組網(wǎng)方案

湖北省地震網(wǎng)絡無線VPDN組網(wǎng)方案使用中國電信的無線VPDN業(yè)務,組建湖北省的地震數(shù)據(jù)監(jiān)測VPDN網(wǎng)絡系統(tǒng)。VPDN可以動態(tài)地建立從分支點遠端設備到湖北省地震網(wǎng)絡系統(tǒng)區(qū)域中心的電路;各分支點使用CDMA 1X或 EVDO接入,實現(xiàn)無線、移動連接到湖北省地震行業(yè)網(wǎng)內(nèi);更重要的是同時實現(xiàn)了區(qū)域中心和站點間通過規(guī)劃好的固定 IP來雙向訪問。由于可以對觀測儀器設備進行遠程的監(jiān)控管理,集中管理某個區(qū)域的所有臺站、,遠程對各個監(jiān)測點的監(jiān)測設備等進行批量管理、配置、升級等操作,實時了解所有臺站的工作狀態(tài)等因而大大降低了對觀測設備的維護成本。

2.1 VPDN平臺網(wǎng)絡結(jié)構(gòu)

根據(jù)湖北省地震無人監(jiān)測站點所采用的映翰通公司 InRouter700無線路由器的特性及功能,采用的技術(shù)方案如圖3所示。

各分支站點路由器通過CDMA 1X或 EVDO網(wǎng)絡無線接入到就近基站,通過電信大客戶專網(wǎng) CN2匯聚到湖北省地震行業(yè)網(wǎng)核心路由器,實現(xiàn)與湖北省地震行業(yè)網(wǎng)絡區(qū)域中心互聯(lián)。VPDN網(wǎng)絡平臺建成以后,各分支點可以訪問中心點,也可以互訪。

圖3 VPDN平臺網(wǎng)絡結(jié)構(gòu)的技術(shù)方案Fig.3 Technical project of the VPDN platfor m network

2.2 湖北省地震局中心點接入方式

湖北省地震局中心點接入方式如圖 4所示。

圖4 中心點的接入方式Fig.4 Accessmode of the central point

在湖北省地震局總部機房,新裝 2M光纖專用線路 1條,連接 C3845核心路由器和就近電信局端路由器 PE。C3845作為VPDN網(wǎng)絡的LNS,需提供1個 FE電口,并配置好路由。

湖北省地震行業(yè)網(wǎng)區(qū)域中心局域網(wǎng)內(nèi)的電腦,可以直接訪問應用服務器,不需要安裝VPDN電路。

2.3 分支點接入方式

分支點接入方式如圖 5。

圖5 分支點接入方式Fig.5 Accessmode of the brench

在各無人職守分支站點內(nèi)局域網(wǎng)通過 InRouter700無線路由器,電信局 CDMA網(wǎng)絡和 CN2網(wǎng)互通,最終訪問到湖北省地震行業(yè)網(wǎng)區(qū)域中心機房。

2.4 移動辦公接入方式

對于移動辦公用戶,使用安裝有CDMA或 EVDO上網(wǎng)卡的筆記本電腦,可以撥號連接湖北省地震行業(yè)網(wǎng)區(qū)域中心。智能手機本身直接支持 CDMA1X或 EVDO,簡單設置后就可以接入到地震行業(yè)網(wǎng)區(qū)域中心。

2.5 域和撥號用戶名

在電信VPDN平臺上,專門為湖北省地震局建立一個域,該域和公網(wǎng)、其他專網(wǎng)相互隔離,不能互通。該域具有唯一域名,形似 company.hb等,可以和其他不同域區(qū)分。

每個分支點和移動辦公配備的U I M卡,分配有全域唯一的撥號用戶名,形似 abcdefg@company. hb,密碼為英文字母和數(shù)字串。

2.6 VPDN電路建立過程

1)設備撥號。各類終端、路由器使用專門分配的 abcdefg@company.hb用戶名撥號。

2)隧道建立。電信 IP寬帶網(wǎng)絡中的接入服務器(PDSN)從用戶名判別是湖北省地震局的用戶,于是建立到湖北省地震行業(yè)網(wǎng) C3845核心路由器的L2TP隧道。

3)認證。隧道建立以后,接入服務器 (PDSN)將用戶名和密碼提交給LNS,LNS和AAA服務器配合進行用戶認證。

4)電路建立。認證通過后,LNS和AAA服務器配合,據(jù)分支點VPDN帳號為分支機點無線路由器分配固定 IP,打通從撥號設備到 LNS的 3層連接。這時分支點路由器、移動終端就可以訪問湖北省地震行業(yè)網(wǎng)區(qū)域中心了。

2.7 分支點到中心點路由的實現(xiàn)

在做 IP地址規(guī)劃時,為每個分支點局域網(wǎng)配備IP地址段,為區(qū)域中心點路由器和分支點 CDMA無線路由器配備互聯(lián) IP地址段,并在各路由器上配置好路由表。

在VPDN電路建立過程中,區(qū)域中心點路由器為分支點路由器分配固定的互聯(lián) IP地址。電路建立以后,湖北省地震行業(yè)網(wǎng)區(qū)域中心局域網(wǎng)內(nèi) IP就可以通過 3層路由訪問各分支站點局域網(wǎng)內(nèi) IP了。

3 相關(guān)技術(shù)介紹

3.1 VPDN

3.1.1 業(yè)務描述

虛擬專用撥號網(wǎng)絡 (VPDN)業(yè)務,是指在中國寬帶互聯(lián)網(wǎng)基礎上開放的基于撥號方式的虛擬專用網(wǎng)絡業(yè)務。VPDN業(yè)務向用戶提供以撥號方式接入中國寬帶互聯(lián)網(wǎng),利用中國寬帶互聯(lián)網(wǎng)公共網(wǎng)絡資源建立虛擬鏈路,實現(xiàn)企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)資源的訪問。

3.1.2 業(yè)務功能

1)使用有域名后綴的撥號帳號,通過撥號接入到客戶網(wǎng)絡;

2)客戶授權(quán)的合法用戶可隨時隨地以撥號方式進入客戶內(nèi)部網(wǎng),訪問客戶內(nèi)部數(shù)據(jù)資源,實現(xiàn)網(wǎng)點聯(lián)網(wǎng)、移動辦公;

3)方便將客戶合作伙伴遠程接入客戶內(nèi)部網(wǎng),大范圍組建客戶外聯(lián)網(wǎng);

4)可以與專線組成的虛擬專用網(wǎng)進行無縫鏈結(jié);

5)客戶可以管理用戶帳號。

3.1.3 業(yè)務特點

1)不需要安裝特殊的軟件,也不需要申請外地的賬號,在全國各地,均可接入企業(yè)內(nèi)部網(wǎng)絡,使用方法和普通撥號上網(wǎng)一樣簡單方便;

2)只使用 ADSL線路或 CDMA上網(wǎng)卡即可接入企業(yè)內(nèi)部網(wǎng)絡,客戶可以大大降低設備費及專線費,從而減少經(jīng)營成本;

3)利用中國電信的公共網(wǎng)絡組建私有網(wǎng),客戶可以在最大范圍內(nèi)獲得其所需的私有網(wǎng);

4)采用 L2TP(Layer 2 Tunneling Protocol)協(xié)議隧道技術(shù),并對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密,可以充分保證客戶數(shù)據(jù)的私密性和安全性;

5)客戶可以自行規(guī)劃用戶帳號。

3.2 中國電信 3G網(wǎng)絡介紹

3.2.1 CDMA 1X技術(shù)

中國電信CDMA 2000 1X網(wǎng)絡是 3G的第一階段技術(shù),CDMA(Code Division Multiple Access)是一種碼分多址的通信方式,它是在數(shù)字技術(shù)的分支——擴頻通信技術(shù)上發(fā)展起來的一種無線電通信技術(shù),不同的移動臺共用一個頻率,應用擴頻通信技術(shù),對每個移動臺分配一個獨特的、隨機的碼序列,每個碼序列與所有其他碼序列互不相同,而且彼此都不相關(guān)。因此,CDMA技術(shù)與 FDMA(頻分多址)、TDMA(時分多址)技術(shù)相比,具有很多的優(yōu)越性。第三代移動通信普遍采用了這種技術(shù)。

中國電信已經(jīng)建立了完善的 CDMA 2000-1X網(wǎng)絡,網(wǎng)絡部分引入了分組交換,可支持移動 IP數(shù)據(jù)傳輸業(yè)務。CDMA數(shù)據(jù)傳輸?shù)膬?yōu)點在于：

1)傳輸速率高,傳輸峰值速率達到 153.6kbits,是目前公網(wǎng)傳輸中實測最高的,適合圖像數(shù)據(jù)傳輸;

2)永遠在線,可以實時傳輸數(shù)據(jù);

3)基站覆蓋范圍廣,漫游性能好,高速移動時仍然能傳數(shù)據(jù);

4)多種資費可以選擇,價格合理;

5)基于 IP協(xié)議可以訪問 Internet或VPN網(wǎng)絡。

3.2.2 CDMA EV-DO

CDMA2000 1x EV-DO,是CDMA2000 1x演進到3G的技術(shù),是一種針對分組數(shù)據(jù)業(yè)務進行優(yōu)化的、高頻譜利用率的CDMA無線通信技術(shù),它向下兼容CDMA 1X。

CDMA EV-DO分為兩個版本 Rev A和 Rev B。目前 EV-DO RevA網(wǎng)絡已經(jīng)投入商用,2010年主要城市的RevA網(wǎng)絡將升級到RevB。

CDMA EV-DO具有如下技術(shù)特點：

1)速率快,RevA理論下行速率最高 3.1Mbps,上行速率最高 1.8Mbps,實際速率與普通 ADSL速率相當;

2)EV-DO RevA可以通過軟件升級到 EV-DO RevB,提供高達 9.3Mbps的下行和高達 5.4Mbps的上行峰值速率;

3)全面支持 QoS,具有靈活和有效的 QoS控制機制,使系統(tǒng)和終端可以基于應用的不同 QoS要求,對每個高層數(shù)據(jù)流進行資源分配和調(diào)度控制,在保證系統(tǒng)穩(wěn)定性的前提下,可以靈活而有效地滿足不同數(shù)據(jù)流的傳輸要求,從而可以同時支持實時和非實時等多種業(yè)務。

(1)低接入時延

EV-DO對接入信道和控制信道均進行了優(yōu)化,使用戶可以在發(fā)起服務請求時更快地接入網(wǎng)絡、較快地響應來自網(wǎng)絡的服務請求,終端可以適配網(wǎng)絡服務情況的同時降低功耗,提高待機時間。

(2)低傳輸時延

在進行數(shù)據(jù)傳輸時,EV-DO引入了高容量模式和低時延模式。

(3)低切換時延

EV-DO Rev A通過網(wǎng)絡切換預先指示,可以大大降低前向切換時延。

3.3 無線 VPDN安全性分析

1)空中無線安全保障系統(tǒng)

在無線上,由于 CDMA技術(shù)源于美國軍用抗干擾技術(shù),CDMA碼址是個偽隨機碼,而且共有 4.4萬億種可能的排列,因此,竊聽或解碼只存在理論上的可能性,但在實際中不可能做到,目前也尚無關(guān)于CDMA系統(tǒng)被竊聽或解碼的新聞報道。采用其他的無線通信方式如 GPRS,對無線接入側(cè)信號安全性較差,信號易被截取和竊聽。

2)接入側(cè)L2TP二層隧道協(xié)議

CDMA數(shù)據(jù)網(wǎng)絡內(nèi)包括無線接入服務器 PDSN、VPDN網(wǎng)關(guān)等設備只完成對用戶的接入功能(完成物理層、鏈路層、網(wǎng)絡層功能),對用戶的應用數(shù)據(jù)不做任何處理,用戶的私密性和安全性可以得到充分的保證。同時設備自身也處在一個相對安全的內(nèi)部網(wǎng)絡環(huán)境中,避免了從外部網(wǎng)絡入侵的可能。無線終端通過接入交換機與VPDN服務器的鏈接是通過L2TP隧道協(xié)議。L2TP隧道協(xié)議保證了 VPN在 IP網(wǎng)絡上的安全性,是目前技術(shù)成熟,運用廣泛的VPN技術(shù)。

3)兩層認證保障和私有 IP地址

無線接入側(cè)的AAA認證服務器對用戶 I MSI號和域名進行初步認證,VPDN接入側(cè)的 RAD I US認證服務器對其用戶名及密碼進行再次認證。多層認證系統(tǒng)充分保證了系統(tǒng)的安全性和保密性。此外無線接入帳號 (用戶名、密碼等)采用了MD5 CHAP加密認證方式,密碼采用密文傳輸,避免了傳輸過程中密碼被竊取的可能性。分配給每個無線用戶的 IP地址是經(jīng)過客戶許可且分配的是客戶內(nèi)部網(wǎng)絡中合法的 IP地址,保證了無線終端與任何外部網(wǎng)絡的隔離。VPDN平臺的 AAA服務器除了完成無線接入用戶的身份認證外,還可以根據(jù)需要對 CDMAU I M卡內(nèi)部的 I MSI號進行識別,識別出U I M卡使用人是否有權(quán)使用指定的無線接入帳號。分配給無線用戶的內(nèi)部 IP地址也可以根據(jù)需要采用動態(tài)分配和靜態(tài)指定方式,這樣做到了IP地址、I MSI、無線接入帳號三者的唯一確定性,實現(xiàn)了從物理層到網(wǎng)絡層的統(tǒng)一。

4 湖北省地震網(wǎng)絡 VPDN平臺建設的成效

湖北省地震網(wǎng)絡VPDN平臺的建設實現(xiàn)了地震臺網(wǎng)建設的數(shù)字化、無線化,大大降低了建設成本,由于實現(xiàn)了多種觀測設備的統(tǒng)一接入管理,可以對各種觀測設備進行遠程的監(jiān)控管理,因而大大降低了對地震設備的維護成本。遠端觀測設備的監(jiān)控管理方便快捷。觀測數(shù)據(jù)的實時性上報,保證了地震預報的及時性,提高了預測效率。針對地震設備布設環(huán)境的惡劣性,無線VPDN平臺的建設可以滿足野外無人職守觀測環(huán)境的需求。專網(wǎng)接入方式可以保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

HOW TO CONSTRACT VPDN PLATFORM IN EARTHQUAKE NETWORK SYSTEM OF HUBEI PROVINCE

Liu Ke,Zhang Yi mei and Temuqile
(Earthquake Adm inistration of Hubei Province,W uhan 430071)

There is a great need for about 100 stations of the earthquake administration of Hubei province to transmit information by use of the wireless network system.Early,the home-made VPN network was used,bywhich the transmission velocity ismuch affected by internet,so the velocity was very slow,even we could not moniter the instruments in real time,could not often receive the data on ti me,and thus could not report the data to state station network center on time.At present,the business of the seis mic network system of Hubei province has extended and it needs improving the data trans mission network to cover the whole Hubei and to support the anmared precursor system,mobile seismometry system and mobile office system.Seeing that,the department of earthquake information network of Hubei province,after analyzing the geographic location of each brouch point and their demands,decided to constract the VPDN network system formonitoring the seismic data of Hubei province by use of the wirelessVPDN of China Telecom.Thereby,the sofety of data trans mission,reporting the observations in real time and the analysis and prediction of earthquake on time can be guaranted.

platfor m VPDN;seismic network system of Hubei province;data transmission;safety;wireless network

1671-5942(2010)Supp.(Ⅰ)-0157-05

2010-05-13

劉可,男,1973年生,工程師,主要從事網(wǎng)絡管理工作.E-mail：liuke@eqhb.gov.cn

TN919.2

A