陳軍輝，孫　侃，陳吉鋒，張　明

(浙江省地震局，浙江　杭州　310013)

?

VPN技術(shù)在流動(dòng)地震臺(tái)網(wǎng)數(shù)據(jù)傳輸中的應(yīng)用

陳軍輝，孫侃，陳吉鋒，張明

(浙江省地震局，浙江杭州310013)

摘要：流動(dòng)地震臺(tái)站的數(shù)據(jù)傳輸主要指實(shí)現(xiàn)流動(dòng)臺(tái)站與省局臺(tái)網(wǎng)中心間觀測(cè)數(shù)據(jù)的傳輸，文章主要介紹VPN技術(shù)在浙江省流動(dòng)地震臺(tái)網(wǎng)數(shù)據(jù)傳輸過(guò)程中的主要相關(guān)配置及技術(shù)指標(biāo)，并通過(guò)應(yīng)用實(shí)例證明采用VPN技術(shù)進(jìn)行流動(dòng)地震臺(tái)的組網(wǎng)是安全可靠的。

關(guān)鍵詞：流動(dòng)地震臺(tái)網(wǎng)；數(shù)據(jù)傳輸； VPN技術(shù)

0引言

流動(dòng)地震臺(tái)，一方面用于震前監(jiān)測(cè)，對(duì)可能發(fā)生中強(qiáng)地震的區(qū)域地震活動(dòng)背景作臨時(shí)性的加密觀測(cè)，更好地跟蹤地震的活動(dòng)動(dòng)態(tài)；另一方面用于余震監(jiān)測(cè)，記錄中強(qiáng)地震后的余震變化，為進(jìn)一步研究地震震源特征及后續(xù)震情變化夯實(shí)基礎(chǔ)資料。目前，流動(dòng)地震臺(tái)也用于對(duì)工程現(xiàn)場(chǎng)爆破而引起地動(dòng)數(shù)據(jù)變化的監(jiān)測(cè)，并已成為社會(huì)服務(wù)的一個(gè)窗口。在流動(dòng)地震臺(tái)的地動(dòng)數(shù)據(jù)傳輸過(guò)程中，因其作為連接公網(wǎng)的連續(xù)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)節(jié)點(diǎn)，易受到公網(wǎng)上其它無(wú)信任關(guān)系的節(jié)點(diǎn)的攻擊，包括病毒攻擊、黑客攻擊等，導(dǎo)致臺(tái)站觀測(cè)數(shù)據(jù)的丟失，甚至造成網(wǎng)絡(luò)系統(tǒng)的崩潰。這些潛在風(fēng)險(xiǎn)對(duì)流動(dòng)地震臺(tái)網(wǎng)的安全性和數(shù)據(jù)傳輸?shù)谋Ｃ苄远紟?lái)巨大的挑戰(zhàn)。因此，固定地震臺(tái)現(xiàn)多采用SDH/MSTP等專線的方式，或采用VPN技術(shù)建立虛擬專網(wǎng)的方式進(jìn)行數(shù)據(jù)傳輸。但流動(dòng)地震臺(tái)網(wǎng)及其數(shù)據(jù)控制中心多為臨時(shí)搭建，SDH/MSTP等光纖有線網(wǎng)絡(luò)的數(shù)據(jù)傳輸方式無(wú)法快速建立， VPN技術(shù)作為一種成熟的網(wǎng)絡(luò)技術(shù)，在地震行業(yè)中已廣泛應(yīng)用。例如一些有線網(wǎng)絡(luò)不能到達(dá)的觀測(cè)臺(tái)(點(diǎn))、臨時(shí)觀測(cè)點(diǎn)和流動(dòng)觀測(cè)點(diǎn)，在公用網(wǎng)絡(luò)上運(yùn)用VPN技術(shù)就能實(shí)現(xiàn)與專線相同的效果，并在公網(wǎng)上實(shí)現(xiàn)私有化網(wǎng)絡(luò)[1]。本文主要對(duì)VPN技術(shù)在浙江省流動(dòng)地震臺(tái)網(wǎng)中的運(yùn)用加以論述。

1流動(dòng)地震臺(tái)網(wǎng)的系統(tǒng)構(gòu)成

浙江省流動(dòng)地震臺(tái)網(wǎng)的系統(tǒng)構(gòu)成包括：流動(dòng)地震臺(tái)站、現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心、省局臺(tái)網(wǎng)中心，具體系統(tǒng)構(gòu)成如第28頁(yè)圖1所示。其中，流動(dòng)地震臺(tái)站共7個(gè)，由3G無(wú)線路由器、BDCOM2820路由器等網(wǎng)絡(luò)設(shè)備及地震觀測(cè)設(shè)備構(gòu)成。地震觀測(cè)設(shè)備主要包括FSS-3M短周期地震計(jì)和EDAS-24GN數(shù)據(jù)采集器；現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心部署了深信服無(wú)線路由器、工作站、交換機(jī)等硬件設(shè)備及JOPENS系統(tǒng)和自動(dòng)地震速報(bào)系統(tǒng)等軟件系統(tǒng)；省局臺(tái)網(wǎng)中心由博達(dá)VPN路由器4860等網(wǎng)絡(luò)設(shè)備以及各服務(wù)器和軟件系統(tǒng)構(gòu)成。關(guān)于具體地址分配，現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心為10.**.159.0/28網(wǎng)段，網(wǎng)關(guān)為10.**.159.1，VPN隧道地址為10.**.242.200；流動(dòng)臺(tái)站1為10.**.159.16/28網(wǎng)段，網(wǎng)關(guān)為10.**.159.17，VPN隧道地址為10.**.242.201；流動(dòng)臺(tái)站2為10.**.159.32/28網(wǎng)段，網(wǎng)關(guān)為10.**.159.33，VPN隧道地址為10.**.242.202；流動(dòng)臺(tái)站3-流動(dòng)臺(tái)站7的網(wǎng)絡(luò)設(shè)計(jì)以此類推。

1.1流動(dòng)地震臺(tái)站的數(shù)據(jù)傳輸

流動(dòng)地震臺(tái)站的數(shù)據(jù)傳輸主要是實(shí)現(xiàn)流動(dòng)臺(tái)站與省局臺(tái)網(wǎng)中心的觀測(cè)數(shù)據(jù)傳輸，鑒于流動(dòng)地震臺(tái)站部署地點(diǎn)的不確定性，采用3G無(wú)線傳輸技術(shù)或ADSL技術(shù)實(shí)現(xiàn)基于VPN技術(shù)的數(shù)據(jù)傳輸。流動(dòng)地震臺(tái)站與省局臺(tái)網(wǎng)中心的組網(wǎng)屬于應(yīng)用型小型網(wǎng)絡(luò)，考慮到維護(hù)路由表角度，采用了靜態(tài)路由，基于數(shù)據(jù)傳輸建立的快速可靠性，流動(dòng)地震臺(tái)站采用L2TP協(xié)議的隧道技術(shù)進(jìn)行數(shù)據(jù)上傳。

1.1.1基于3G無(wú)線路由技術(shù)的數(shù)據(jù)傳輸

臺(tái)站觀測(cè)數(shù)據(jù)通過(guò)3G無(wú)線技術(shù)進(jìn)行與省局臺(tái)網(wǎng)中心的數(shù)據(jù)傳輸，無(wú)線路由器采用映翰通公司的IR711設(shè)備，數(shù)據(jù)傳輸協(xié)議采用L2TP的VPN隧道協(xié)議。

主要相關(guān)配置及說(shuō)明如下：

lan0_netmask=255.255.255.240//配置子網(wǎng)掩碼

圖1　流動(dòng)地震臺(tái)網(wǎng)的系統(tǒng)構(gòu)成Fig.1　System composition of mobile seismic network

login_timeout=500

lan0_name=lan0

lan0_ip=10.**.159.17//配置網(wǎng)關(guān)

language=Chinese

lan0_mtu_enable=0

lan0_iface=eth0

lan0_mode=1

lan0_server=0.0.0.0

l2tpc_tunnels=1,L2TP_TUNNEL_1,61.164.**.**,aaa,aaa,Router,0,1,0,,10.**.242.201,,10.0.0.0,255.0.0.0,60,5,0,0,1492,1492,0,,;

//設(shè)置隧道協(xié)議及其用戶名密碼，公網(wǎng)地址，隧道地址，遠(yuǎn)端子網(wǎng)，MTU,MRU等

1.1.2基于ADSL技術(shù)的數(shù)據(jù)傳輸

關(guān)于流動(dòng)地震臺(tái)站觀測(cè)數(shù)據(jù)采用ADSL技術(shù)的光纖傳輸，通常是基于動(dòng)態(tài)IP組建VPN網(wǎng)絡(luò)，主要用于流動(dòng)地震臺(tái)部署在部門單位及居民家庭中等情況。ADSL即非對(duì)稱數(shù)字信號(hào)傳送，能在現(xiàn)有的銅雙絞線，即普通電話線上提供8 Mbit/s的下行速率，1 Mbit/s的上行速率，遠(yuǎn)高于ISDN速率。目前CABLE ADSL已經(jīng)在普通家庭用戶中普及，且傳輸質(zhì)量穩(wěn)定可靠，為流動(dòng)地震臺(tái)利用ADSL線路進(jìn)行數(shù)據(jù)傳輸提供了基礎(chǔ)。ADSL撥號(hào)中PPP會(huì)話的建立有PAP認(rèn)證協(xié)議和CHAP認(rèn)證協(xié)議，考慮數(shù)據(jù)傳輸?shù)陌踩?，由于CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列，也被稱為“挑戰(zhàn)字符串”[2]，所以CHAP認(rèn)證較PAP認(rèn)證來(lái)說(shuō)更為安全。浙江省流動(dòng)地震臺(tái)站ADSL連接省局臺(tái)網(wǎng)中心的鏈路通過(guò)博達(dá)路由器BDCOM2820實(shí)現(xiàn)，會(huì)話建立的方式為CHAP認(rèn)證，數(shù)據(jù)傳輸協(xié)議同樣采用L2TP的VPN隧道協(xié)議。配置過(guò)程中，考慮到流動(dòng)臺(tái)站設(shè)備上英特網(wǎng)的問(wèn)題，配置了動(dòng)態(tài)NAT。

主要相關(guān)配置及說(shuō)明如下：

interface Virtual-tunnel0//配置隧道接入ADSL撥號(hào)

mtu 1492

ip address negotiated

no ip directed-broadcast

no ip unreachable

ppp chap hostname hu2041103//配置CHAP認(rèn)證，以及撥號(hào)用戶名、密碼

ppp chap password 0 ********

ip nat outside//定義撥號(hào)接口為NAT外部網(wǎng)絡(luò)

ip nat mss 1452

interface Virtual-tunnel1//L2TP連接服務(wù)器端的隧道接入配置

ip address 10.**.242.201 255.255.255.0//指定IP，成為L(zhǎng)2TP隧道端口地址

no ip directed-broadcast

ppp chap hostname aaa

ppp chap password 0 aaa

interface GigaEthernet0/0

no ip address

no ip directed-broadcast

interface GigaEthernet0/1//配置內(nèi)網(wǎng)口，連接內(nèi)部網(wǎng)絡(luò)

ip address 10.**.159.17 255.255.255.240

no ip directed-broadcast

ip nat inside//配置為NAT內(nèi)部本地地址

ip route default Virtual-tunnel0//靜態(tài)路由，根據(jù)需要指定

ip route 10.**.0.0 255.255.0.0 Virtual-tunnel1 180

snmp-server community dzj-105 RO

ip access-list extended nat//配置擴(kuò)展訪問(wèn)列表，允許內(nèi)網(wǎng)上Inernet

permit ip 10.**.159.0 255.255.255.240 any

vpdn enable//開(kāi)啟VPDN功能

vpdn-group 1//創(chuàng)建VPDN策略組1

request-dialin//指定成為L(zhǎng)2TP的接入端

port Virtual-tunnel1//關(guān)聯(lián)Virtual-tunnel1

protocol l2tp//指定協(xié)議類型

local-name default

initiate-to ip 61.164.**.** priority 0

vpdn-group poe0//創(chuàng)建VPDN策略組POE0

request-dialin

port Virtual-tunnel0//關(guān)聯(lián)Virtual-tunnel0

protocol pppoe//采用PPPOE撥號(hào)協(xié)議

pppoe bind GigaEthernet0/0

ip nat inside source list nat interface Virtual-tunnel0//配置臺(tái)站設(shè)備上網(wǎng)的動(dòng)態(tài)NAT

1.2現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心與省局臺(tái)網(wǎng)中心的數(shù)據(jù)交互

現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心與省局臺(tái)網(wǎng)中的數(shù)據(jù)交互主要是實(shí)現(xiàn)其與省局臺(tái)網(wǎng)中心服務(wù)器網(wǎng)段(10.**.253.0/0)的數(shù)據(jù)傳輸，使流動(dòng)地震臺(tái)站的監(jiān)測(cè)數(shù)據(jù)能通過(guò)省局臺(tái)網(wǎng)中心實(shí)時(shí)傳輸?shù)浆F(xiàn)場(chǎng)地震數(shù)據(jù)控制中心。其實(shí)現(xiàn)方式為采用深信服VPN路由器VPN-1250-cdma2000與位于省局臺(tái)網(wǎng)中心的博達(dá)VPN路由器BDCOM4860建立IPSEC隧道傳輸協(xié)議，數(shù)據(jù)加密使用ESP協(xié)議中的3DES加密算法實(shí)現(xiàn)，數(shù)據(jù)完整性通過(guò)MD5算法實(shí)現(xiàn)。

主要相關(guān)配置及說(shuō)明如下：

crypto nat//開(kāi)啟IPSec VPN nat穿透，支持在nat環(huán)境下使用

crypto identification sangfor//配置本端fqdn為“1.1.1.2” fqdn ″1.1.1.2″

crypto isakmp key sangfor 0.0.0.0 0.0.0.0//創(chuàng)建預(yù)共享密鑰為“sangfor”，以及對(duì)端野蠻模式身份ID為“任意值”

crypto isakmp policy 10//創(chuàng)建預(yù)共享密鑰，以及對(duì)端野蠻模式身份ID

Encryption 3des//配置加密算法為3DES

Hash md5//配置加密算法為MD5

Lifetime 3600//配置存活時(shí)間為3600秒

crypto ipsec transform-set sangforvpn//創(chuàng)建變換集及策略名sangforvpn

transform-type esp-3des esp-md5-hmac//具體的認(rèn)證算法及加法

crypto dynamic-map sangfor//創(chuàng)建動(dòng)態(tài)映射圖

id sangfor//配置引用identification為“sangfor”

set transform-set sangforvpn//綁定名稱為“snagforvpn”的變換集到映射圖

match address sangfor//匹配名稱為“sangfor”ACL策略

ip access-list extended sangfor//把本地是 10.**.253.0網(wǎng)段的去訪問(wèn)10.**.159.0網(wǎng)段的數(shù)據(jù)引流到vpn

permit ip 10.**.253.0 255.255.255.0 10.**.159.0 255.255.255.240

2系統(tǒng)實(shí)際使用

浙江省流動(dòng)地震臺(tái)網(wǎng)在杭州、臨安、湖州等多地舉行的應(yīng)急演練中均無(wú)故障運(yùn)行。特別是2014年10月至2015年初在溫州文成、泰順交界處地震應(yīng)急期間，此流動(dòng)臺(tái)網(wǎng)進(jìn)行了現(xiàn)場(chǎng)實(shí)地運(yùn)行，流動(dòng)臺(tái)網(wǎng)段中有3個(gè)網(wǎng)段劃分給由BBAS-2地震計(jì)與24GN數(shù)采組成的強(qiáng)震臺(tái)，進(jìn)行基于L2TP的3G無(wú)線數(shù)據(jù)傳輸，均取得了很好的觀測(cè)效果。2015年，浙江省應(yīng)急演練隊(duì)伍在南京舉辦的年度華東片區(qū)地震演練中，在演練基地搭建了流動(dòng)地震臺(tái)及現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心。演練過(guò)程中，我省局現(xiàn)場(chǎng)地震數(shù)據(jù)控制中心實(shí)時(shí)成功地獲取了現(xiàn)場(chǎng)江蘇局用震源車通過(guò)連續(xù)震動(dòng)激發(fā)出的地震波。

3結(jié)論

基于VPN技術(shù)進(jìn)行流動(dòng)地震臺(tái)網(wǎng)的數(shù)據(jù)傳輸，通過(guò)了在浙江省內(nèi)及2015年華東區(qū)年度演練的多次實(shí)踐應(yīng)用，證明采用VPN技術(shù)進(jìn)行流動(dòng)地震臺(tái)的組網(wǎng)是可行的。VPN技術(shù)中的隧道技術(shù)、數(shù)據(jù)封裝、加密解密等技術(shù)用于流動(dòng)地震臺(tái)組網(wǎng)安全可靠，但在一些極端條件下，比如大震后地區(qū)網(wǎng)絡(luò)基站受到大面積破壞，VPN技術(shù)的流動(dòng)臺(tái)網(wǎng)進(jìn)行數(shù)據(jù)傳輸將受到限制，應(yīng)選擇衛(wèi)星通訊等其他方式。

參考文獻(xiàn)：

[1]孫海軍，趙瑞勝，魏斌，等.VPN技術(shù)在新疆地磁臺(tái)陣中的應(yīng)用[J].內(nèi)陸地震,2010,24(3):253-258.

[2]楊文利，王億.交換機(jī)/路由器的配置與管理[M].北京:中國(guó)電力出版社,2008:202-203.

文章編號(hào)：1000-6265(2016)02-0027-04

收稿日期：2016-03-03

基金項(xiàng)目：浙江省地震背景場(chǎng)探測(cè)項(xiàng)目(5-2013-31-0021)。

第一作者簡(jiǎn)介：陳軍輝(1984—)，男，浙江省東陽(yáng)人。2009年畢業(yè)于廣西大學(xué)，碩士研究生，工程師。

中圖分類號(hào)：P315.09

文獻(xiàn)標(biāo)志碼：A

Application of VPN Technology in Data Transmission of Mobile Seismic Network

CHEN Jun-hui, SUN Kan, CHEN Ji-feng, ZHANG Ming

(Earthquake Administration of Zhejiang Province, Hangzhou, Zhejiang 310013, China)

Abstract:The data transmission of mobile seismic stations is mainly between mobile stations and provincial network center. Related configurations and technical indexes of VPN technology in the data transmission process of mobile seismic network in Zhejiang province are introduces. By application examples it is proved that the networking is reliable and feasible by using VPN technology.

Key words:Mobile seismic network; Data transmission; VPN technology