林 洋 , 張 穎

(四川省地震局，四川 成都 610041)

VPN技術(shù)在四川地震信息網(wǎng)絡(luò)中的應(yīng)用

林 洋 , 張 穎

(四川省地震局，四川 成都 610041)

通過VPN技術(shù)的應(yīng)用，使不同地區(qū)的節(jié)點通過Internet實現(xiàn)了專網(wǎng)通信的可能，并促進了四川省地震信息網(wǎng)絡(luò)的建設(shè)和發(fā)展。文章介紹了VPN技術(shù)在四川地震信息網(wǎng)絡(luò)中的應(yīng)用及其實現(xiàn)。

VPN；GRE；IPSEC；應(yīng)用

四川省地震信息網(wǎng)絡(luò)經(jīng)過近10年的建設(shè)和發(fā)展，已形成以四川省地震局為區(qū)域中心，覆蓋全省17個地震臺站、60余個市(州)、縣信息節(jié)點的信息網(wǎng)絡(luò)，為地震監(jiān)測數(shù)據(jù)的傳輸與共享、地震應(yīng)急、市縣防震減災(zāi)信息服務(wù)等提供了通信平臺。目前，區(qū)域中心與信息節(jié)點之間的通信主要有專線模式和基于互聯(lián)網(wǎng)的VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))模式，由于專線的通信成本較高，近年來，市、縣信息節(jié)點的建設(shè)幾乎都是利用成本低廉的互聯(lián)網(wǎng)線路，與省中心組建VPN，推動了信息節(jié)點的建設(shè)，也促進了四川省防震減災(zāi)綜合信息服務(wù)的發(fā)展。

1 VPN技術(shù)簡介

IETF(Internet Engineering Task Force，互聯(lián)網(wǎng)工程任務(wù)組)組織對VPN的解釋為：通過專門的隧道加密技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。VPN通常是指在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通信。VPN是在Internet上建立的能夠自我管理的專用網(wǎng)[1]，具有成本低、易用、安全等特點，在企業(yè)網(wǎng)絡(luò)中被廣泛應(yīng)用，能夠讓公司分支機構(gòu)、異地用戶、商業(yè)伙伴及供應(yīng)商與公司內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

四川地震信息網(wǎng)絡(luò)中VPN技術(shù)的應(yīng)用，主要包括GRE VPN和IPSEC VPN。

(1)GRE(Generic Routing Encapsulation)即通用路由封裝協(xié)議，是對某些網(wǎng)絡(luò)層協(xié)議(如IP和IPX)的數(shù)據(jù)包進行封裝，使這些被封裝的數(shù)據(jù)包能夠在另一個網(wǎng)絡(luò)層協(xié)議中傳輸。GRE是VPN的第三層隧道協(xié)議。GRE能夠支持多種協(xié)議和多播，支持多點隧道，能夠用來創(chuàng)建彈性的VPN，能夠?qū)嵤㏎OS，但是缺乏加密機制。GRE隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、 AppleTalk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)[2]。通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。

(2)IPSEC VPN是基于IPSec協(xié)議的VPN技術(shù)，其通信雙方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec協(xié)議包括網(wǎng)絡(luò)認證協(xié)議AH(Authentication Header，認證頭)、ESP(Encapsulating Security Payload，封裝安全載荷)、IKE(Internet Key Exchange，因特網(wǎng)密鑰交換)和用于網(wǎng)絡(luò)認證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。在兩個端點之間通過建立SA(Security Association，安全聯(lián)盟)進行數(shù)據(jù)傳輸，SA定義了數(shù)據(jù)保護中使用的協(xié)議和算法以及SA的有效時間等屬性。IPSec通過AH和ESP兩個安全協(xié)議來實現(xiàn)[2]。IPSec有傳輸和隧道兩種工作方式，傳輸方式只對IP有效負載進行加密，而在隧道方式中，IPSec對IP報頭和有效負載進行加密，通過將其當作AH或ESP有效負載，隧道模式提供對整個IP數(shù)據(jù)包的保護，外部IP報頭的IP地址是隧道終結(jié)點，封裝的IP報頭的IP地址是最終源地址與目標地址。

2 VPN在四川地震信息網(wǎng)絡(luò)中的應(yīng)用

2.1 網(wǎng)絡(luò)現(xiàn)狀

四川地震信息網(wǎng)絡(luò)目前是以四川省地震局為中心，匯接全省的臺站、市(縣)信息節(jié)點，如圖1所示。有部分信息節(jié)點采用SDH專線，其余節(jié)點均采用互聯(lián)網(wǎng)線路，通過與省中心組建VPN，實現(xiàn)行業(yè)網(wǎng)通信。省中心互聯(lián)網(wǎng)線路具備公網(wǎng)IP地址，信息節(jié)點互聯(lián)網(wǎng)線路分為兩種，一種是具有固定公網(wǎng)IP的節(jié)點，另一種是通過動態(tài)拔號或依賴其他網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的節(jié)點，不具備固定公網(wǎng)IP或者不具備公網(wǎng)IP。針對這兩種不同情況的信息節(jié)點，在VPN建設(shè)時也分別采用了GRE VPN和IPSEC VPN兩種技術(shù)。

圖1 網(wǎng)絡(luò)拓撲示意圖

2.2 GRE VPN的應(yīng)用

GRE采用tunnel(隧道)技術(shù)，實現(xiàn)點到點的連接，提供了一條通道使封裝的數(shù)據(jù)報文能夠在這個通道上傳輸，并且在一個tunnel的兩端分別對數(shù)據(jù)報文進行封裝及解封裝。以小廟地震臺與省中心通信為例，其連接情況如圖2。如小廟臺某計算機訪問省中心10.51.xx.xx段的業(yè)務(wù)，路由器A從接口Ethernet0/1收到該報文后，檢查報文目的地址需要經(jīng)過tunnel才能到達，則將此報文發(fā)到tunnel接口，tunnel接口接收此報文后進行GRE封裝，再封裝IP報頭(目的地址將會指向省中心路由器B的地址222.210.xxx.xx)，根據(jù)此IP包的目的地址及路由表對報文進行轉(zhuǎn)發(fā)，從接口Ethernet0/0發(fā)送出去。接收端路由器接收到此報文后解開IP報頭，并交GRE協(xié)議處理，然后繼續(xù)轉(zhuǎn)發(fā)，達到目的地。

圖2 GRE VPN連接示意圖

GRE VPN的實現(xiàn)，在路由器上配置比較簡單，主要包括二部分：

(1)創(chuàng)建虛擬tunnel接口，并配置IP地址、源端地址、目的端地址。

(2)配置路由

小廟臺路由器A(設(shè)備型號：華為AR28-31)的主要配置如下：

interface Ethernet0/0

ip address 218.89.140.150 255.xxx.xxx.xxx(公網(wǎng)接口IP)

……

interface Ethernet0/1

ip address 10.51.174.254 255.xxx.xxx.xx (局域網(wǎng)網(wǎng)關(guān)IP)

interface Tunnel1 (創(chuàng)建tunnel，默認封裝協(xié)議為GRE)

ip address 10.51.253.118 255.xxx.xxx.xxx (tunnel接口IP，與tunnel對端IP要在一個子網(wǎng))

source 218.89.xxx.xxx (tunnel 源地址)

destination 222.210.xxx.xxx (tunnel目的地址，指向路由器B)

ip route-static 10.51.1.0 255.255.xxx.xx Tunnel 1 (指定到省局10.51.xx.xx的數(shù)據(jù)包由tunnel1轉(zhuǎn)發(fā))

省中心路由器B(設(shè)備型號：邁普vpn3030)的對應(yīng)配置如下：

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx (公網(wǎng)接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局內(nèi)網(wǎng)接口IP)

……

interface tunnel1 (創(chuàng)建tunnel)

tunnel mode gre ip (定義tunnel封裝協(xié)議為GRE)

tunnel source 222.210.xxx.xx (tunnel 源地址)

tunnel destination 218.89.xxx.xxx (tunnel目的地址，指向路由器A)

ip address 10.51.253.117 255.xxx.xxx.xxx(tunnel接口IP，與tunnel對端IP要在一個子網(wǎng))

ip route 10.51.174.0 255.xxx.xxx.xx tunnel1 (指定到小廟臺的數(shù)據(jù)包由tunnel1轉(zhuǎn)發(fā))

2.3 IPSEC VPN的應(yīng)用

在不具備固定公網(wǎng)IP或者不具備公網(wǎng)IP的信息節(jié)點，采用IPSEC VPN隧道方式組網(wǎng)時，需在兩個網(wǎng)絡(luò)節(jié)點之間建立一個虛擬鏈路通道，從而使兩個節(jié)點內(nèi)部的網(wǎng)絡(luò)能夠通過這個虛擬鏈路到達對方。IPSEC VPN的建立必須通過IKE進行協(xié)商，協(xié)商兩端所采用的加密算法，封裝技術(shù)以及密鑰，包括兩個階段：(1)第一階段，在兩個對等體設(shè)備之間建立一個安全的管理鏈接，管理鏈接用來保護第二階段協(xié)商過程，并不發(fā)生實際數(shù)據(jù)流。(2)第二階段，構(gòu)建安全數(shù)據(jù)鏈接的安全參數(shù)，協(xié)商完成后，在兩個站點間形成安全的數(shù)據(jù)鏈接，用于數(shù)據(jù)傳輸。

以天全縣和省中心的IPSEC VPN為例，其鏈接情況如圖3，路由器的主要配置如下：

圖3 IPSEC VPN連接示意圖

天全縣路由器A(設(shè)備型號：邁普MP2806)的主要配置如下：

interface fastethernet0

ip address dhcp (自動獲取IP)

……

interface fastethernet1

ip address 10.51.109.65 255.xxx.xxx.xxx (局域網(wǎng)網(wǎng)關(guān)IP)

……

crypto ike key 123456 address 222.210.xxx.xxx (定義預(yù)共享密鑰“123xxx”，須與省中心的一致)

crypto tunnel t0 (創(chuàng)建tunnel)

local interface fastethernet0 (設(shè)置tunnel本端為本地接口IP)

peer address 222.210.xxx.xxx (設(shè)備tunnel對端IP)

set sec-level basic (設(shè)定為基本安全級別，其ike驗證算法是sha1、加密算法md5，ipsec認證算法sha1，加密算法md5)

set auto-up

……

crypto policy p1

flow 10.51.109.64 255.xxx.xxx.192 10.51.1.0 xxx.xxx.xxx.0 ip tunnel t0 (定義策略路由，讓本子網(wǎng)至10.51.1.0網(wǎng)絡(luò)的數(shù)據(jù)流由tunnel t0轉(zhuǎn)發(fā))

……

省中心路由器B(設(shè)備型號：邁普vpn3030)的對應(yīng)配置如下

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx(公網(wǎng)接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局內(nèi)網(wǎng)接口IP)

……

crypto ike key 123456 any (定義預(yù)共享密鑰，須與節(jié)點的一致，由于節(jié)點IP不確定，any用于匹配任意IP)

crypto tunnel DX (創(chuàng)建tunnel)

local address 222.210.xxx.xx (本端IP) peer any (對端IP，any是匹配任意IP)

set sec-level basic (應(yīng)與對端設(shè)定的安全協(xié)議、算法一致)

……

crypto policy DX

flow 10.51.1.0 255.255.255.0 10.51.109.64 255.xxx.xxx.xxx ip tunnel DX bypass(定義策略路由，讓四川省地震局到天全縣的數(shù)據(jù)流由tunnel t0轉(zhuǎn)發(fā))

3 結(jié)束語

由于VPN技術(shù)的應(yīng)用，使分布在各地的節(jié)點通過Internet實現(xiàn)了專網(wǎng)通信的可能，極大的促進了四川地震信息網(wǎng)絡(luò)的建設(shè)和發(fā)展。四川地震信息網(wǎng)絡(luò)經(jīng)過四川省防震減災(zāi)綜合能力建設(shè)、汶川地震災(zāi)后恢復(fù)重建項目以及部分市縣自有項目的建設(shè)，先后建設(shè)了50余個市(縣)信息節(jié)點，均采用了VPN技術(shù)組網(wǎng)。在這些信息節(jié)點上開展了防震減災(zāi)綜合信息服務(wù)系統(tǒng)應(yīng)用、地震應(yīng)急指揮技術(shù)系統(tǒng)、視頻會議等應(yīng)用，實現(xiàn)了測震、前兆、應(yīng)急等數(shù)據(jù)的及時共享和交換，也為今后各項業(yè)務(wù)的順利開展提供了通信條件。

當然，VPN的應(yīng)用有其優(yōu)勢，也有其缺點，由于信息節(jié)點大多基于普通互聯(lián)網(wǎng)線路(如ADSL)，這種線路的穩(wěn)定性較差，因此VPN連接質(zhì)量不高，時常發(fā)生中斷，不適于實時性、連續(xù)性要求較高的應(yīng)用。另外，信息節(jié)點的技術(shù)人員對網(wǎng)絡(luò)的運維能力比較低，運維工作很大程度上需要省中心人員的支持，尤其是不具備公網(wǎng)IP的節(jié)點，再加上存在多種不同品牌設(shè)備的情況，從而導(dǎo)致省中心遠程運維難度較大。總之，網(wǎng)絡(luò)的建設(shè)，既要考慮業(yè)務(wù)的需求，也要考慮長期運維經(jīng)費的保障，從而選擇適宜的組網(wǎng)技術(shù)和方式，更好的服務(wù)于防震減災(zāi)工作。

[1] 黎珠博.VPN技術(shù)及在地震前兆觀測臺站中的應(yīng)用[J].華南地震.2013，33(1):81-85.

[2] 杭州華三通信技術(shù)有限公司.COMWARE V3 操作手冊-RELEASE0201(V3.11).[EB/OL].[2015-8-25].http://www.h3c.com.cn/Service/Document_Center/Routers/Catalog/AR_46/AR_46/Configure/Operation_Manual/AR_46_OM(V3.11)/.

Introduction to VPN technique used in Seismic Information Network of Sichuan

Lin Yang，Zhang Ying

(Earthquake Administration of Sichuan Province, Sichuan Chengdu 610041, Chinaa)

The VPN technique makes it possible to communicate the seismic messages of the specific network through the different regions nodes. We introduce the VPN technique some of details used in Sichuan Seismic Information Network.

VPN technique; GRE; IPSEC; application

2015-09-21

林洋(1979-)，男，四川省西昌市人，工程師.

TP317

B

1001-8115(2015)04-0020-04

10.13716/j.cnki.1001-8115.2015.04.005