L2TP VPN在無人值守子臺無線備份鏈路中的應用

付 琦，鄭國棟，陳 卓，魏美璇

（吉林省地震局，吉林 長春 130117）

0 引言

由于地震監(jiān)測無人值守子臺是測震、強震、地球物理場觀測等業(yè)務手段的運行載體，因此保證其網(wǎng)絡的連續(xù)運行十分重要。據(jù)吉林省地震局（以下簡稱吉林局）臺站每年鏈路中斷原因統(tǒng)計顯示，運營商設備及鏈路故障占50%左右，一旦中心鏈路出現(xiàn)故障，中心臺下屬所有子臺到省局鏈路都會中斷，這將對測震、強震等實時性要求高的核心業(yè)務造成較大影響，因此為無人值守子臺建設備份鏈路非常必要。筆者結合吉林局數(shù)字地震觀測網(wǎng)絡現(xiàn)狀，利用省局現(xiàn)有網(wǎng)絡資源依托移動運營商4G傳輸及L2TP VPN技術，設計了無人值守子臺備份鏈路方案。

1 地震行業(yè)網(wǎng)現(xiàn)狀

“十五”項目時期，吉林局建設了數(shù)字地震觀測網(wǎng)絡系統(tǒng)，整個網(wǎng)絡系統(tǒng)設有一個區(qū)域中心、15個二級節(jié)點、10個市州局以及29個三級節(jié)點即無人值守子臺。吉林局數(shù)字地震觀測網(wǎng)絡系統(tǒng)為三層樹形拓撲結構，采用OSPF動態(tài)路由協(xié)議與全國地震行業(yè)網(wǎng)互聯(lián)互通。二級節(jié)點至區(qū)域中心采用10M PTN鏈路，三級節(jié)點至二級節(jié)點采用2M PTN鏈路。整個觀測網(wǎng)絡系統(tǒng)沒有冗余備份鏈路。2020年10月的數(shù)字觀測網(wǎng)絡系統(tǒng)結構如圖1所示。

2 相關技術簡介

吉林局無人值守子臺備份鏈路的建設思路是應用4G網(wǎng)絡及L2TP VPN隧道技術搭建無線備份鏈路，并利用OSPF動態(tài)路由協(xié)議和STATIC靜態(tài)路由協(xié)議的優(yōu)先級不同，達到主備鏈路切換的效果。

2.1 L2TP VPN簡介

2.1.1 基礎介紹

L2TP（Layer 2 Tunneling Protocol數(shù)據(jù)鏈路層隧道協(xié)議）VPN是一種國際標準隧道協(xié)議，它通過在互聯(lián)網(wǎng)上建立點對點的數(shù)據(jù)鏈路層隧道，將PPP（Point-to-Point Protocol，點對點協(xié)議）數(shù)據(jù)幀封裝后通過L2TP隧道傳輸，使得遠端用戶（如企業(yè)駐外機構和出差人員）利用PPP接入到互聯(lián)網(wǎng)后，可以通過L2TP隧道進入到企業(yè)內部網(wǎng)絡，并訪問企業(yè)內部網(wǎng)絡資源，從而為遠端用戶接入私有的企業(yè)網(wǎng)絡提供了一種安全、經(jīng)濟且有效的方式。L2TP VPN結合了PPTP（Point to Point Tunneling Protocol點對點隧道協(xié)議）以及數(shù)據(jù)鏈路層轉發(fā)協(xié)議的優(yōu)點，不受NAT限制穿越，能以隧道方式使點對點的數(shù)據(jù)包通過各種網(wǎng)絡協(xié)議，包括幀中繼、ATM和sonet等。且L2TP支持點對點，針對不同業(yè)務需求建立多個隧道。

2.1.2 功能組件

L2TP VPN由LAC（L2TP Access Concentrator接入?yún)R聚點）和LNS（L2TP Network Server網(wǎng)絡服務器）兩個功能組件組成。

LAC是作為隧道端點的一端的LNS的對等點。LAC終止了遠程的點對點協(xié)議連接，并位于遠程服務器和LNS之間。數(shù)據(jù)包通過點對點協(xié)議連接被轉發(fā)到或從遠程連接發(fā)送。通過L2TP隧道轉發(fā)與LNS之間的數(shù)據(jù)包。

LNS是作為隧道端點的一端的LAC的對等點。LNS是LAC點對點協(xié)議隧道會話的終止點。被用來聚合多個通過LCA隧道的點對點協(xié)議會話并進入私有網(wǎng)絡。

天瓦藍瓦藍的，風吹過來，愜意極了，水也愜意，展露出了笑容，波紋蕩漾。別呦呦蹲在船尾，不緊不慢，船晃，她白生生的屁股也跟著晃。

2.1.3 L2TP消息類型

控制消息:L2TP通過單獨的控制和數(shù)據(jù)通道傳遞控制和數(shù)據(jù)消息。帶內控制通道通過順序控制連接管理，呼叫管理，錯誤報告，和會話控制消息?？刂七B接的啟動不是特定于LAC或LNS，而是與控制連接建立相關的隧道發(fā)起者和接收者。隧道端點之間使用共享秘密質詢身份驗證方法。

數(shù)據(jù)消息:數(shù)據(jù)消息被用來封裝發(fā)送到L2TP隧道的PPP幀。

2.1.4 L2TP VPN工作流程

（1）遠程訪問用戶向LAC發(fā)出LCP（Link Control Protocol鏈路控制協(xié)議）協(xié)商，以及部分身份驗證。

（2）LAC繼續(xù)建立L2TP隧道和隧道內的會話。在LAC和LNS之間為每一個PPP連接建立一個會話。L2TP在所有傳出消息中使用對等隧道（tunnel id）和會話標識符（session id），以便多路復用PPP連接。這些標識符在各自的控制連接和會話建立階段被分配和交換。隧道和會話id僅具有本地意義。隧道端點對同一隧道和會話具有不同的標識符。

（3）隧道建立后，遠程訪問用戶與LNS之間的PPP認證過程完成。鏈路幀和循環(huán)冗余校驗（CRC）被刪除，封裝到L2TP中，并轉發(fā)到隧道的LNS中。

（4）LNS對L2TP包進行接收和處理，PPP NCP（Network Control Protocol網(wǎng)絡控制協(xié)議）談判開始后，宣布隧道連接關閉。

L2TP VPN組網(wǎng)靈活、配置簡單，還可根據(jù)不同業(yè)務需求采用隧道加密技術提高鏈路的數(shù)據(jù)安全性，通常與IPSEC協(xié)議結合使用。L2TP VPN的技術特點非常契合吉林局無人值守子臺備份鏈路的業(yè)務需求。

2.2 路由優(yōu)先級

路由優(yōu)先級是鏈路衡量路由協(xié)議的優(yōu)先程度，即路由表中路由協(xié)議的cost值，cost值越低該路由協(xié)議的優(yōu)先級越高。到達同一個目標有多個路由，此時鏈路會優(yōu)先選擇路由表中cost值較小的路由協(xié)議。吉林局備份鏈路就是利用鏈路路由優(yōu)先級的不同，在中心臺行業(yè)網(wǎng)鏈路發(fā)生故障，主路由協(xié)議OSPF失效的情況下，鏈路優(yōu)先選擇路由表中的靜態(tài)路由STATIC承擔數(shù)據(jù)轉發(fā)任務，以此激活備份鏈路工作。路由協(xié)議優(yōu)先級一覽表如表1所示。

表1 路由協(xié)議優(yōu)先級一覽表

3 備份鏈路方案

利用吉林局現(xiàn)有的銳捷VPN路由器，再依托運營商的4G網(wǎng)絡，制定基于4G的L2TP VPN備份鏈路組網(wǎng)方案。在實施和測試過程中以四平中心地震臺（以下簡稱四平中心臺）的梨樹無人值守子臺（以下簡稱梨樹臺）和雙遼無人值守子臺（以下簡稱雙遼臺）為備份點，建立備份鏈路。

3.1 四平臺原有網(wǎng)絡結構

四平中心臺通過10M PTN鏈路上聯(lián)省局，通過兩個2M PTN鏈路分別下連梨樹臺和雙遼臺兩個無人值守子臺，四平中心臺路由器為兩個無人值守子臺的數(shù)據(jù)匯聚點及網(wǎng)關。整個四平子網(wǎng)通過OSPF路由協(xié)議接入到全國地震行業(yè)網(wǎng)。一旦四平中心臺本地網(wǎng)絡發(fā)生故障，整個四平子網(wǎng)將徹底癱瘓，雙遼臺和梨樹臺的觀測數(shù)據(jù)也無法匯聚到省局。四平臺原有拓撲結構如圖2所示。

圖2 四平臺原有拓撲結構Fig.2 Original topology of Siping Seismic Station

3.2 四平臺備份鏈路建設思路及具體配置

根據(jù)四平臺的拓撲特點和實際需求，筆者按照如下方案及步驟進行四平臺備份鏈路的建設:

（1）將梨樹和雙遼兩個子臺的H3C二層交換機S3100替換為H3C三層交換機S5500，并在兩個三層交換之前各部署一個計訊TR320 4G路由器，并同省局銳捷VPN路由器建立L2TP VPN隧道。4G路由器L2TP VPN信息如表2所示。

表2 4G路由器L2TP VPN信息表

將兩個子臺的網(wǎng)關從四平臺分別移至各自的三層交換機，并在兩個三層交換機上配置OSPF路由協(xié)議，讓兩個子臺通過OSPF協(xié)議接入到四平臺，動態(tài)獲取鏈路信息。

（2）梨樹臺三層交換機相關配置如下:

表3 梨樹子臺交換機配置信息

（3）雙遼臺三層交換機相關配置如表4所示。

表4 雙遼子臺交換機配置信息

（4）當四平中心臺主鏈路發(fā)生故障時，鏈路的OSPF協(xié)議將失效。兩個子臺的三層交換機會選擇優(yōu)先級第二高的靜態(tài)路由，并尋找下一跳地址，即4G路由器的接口地址。這樣備份鏈路將被激活，數(shù)據(jù)傳輸重新恢復。整個過程不超過30秒鐘。

而當主鏈路恢復時，根據(jù)路由協(xié)議的優(yōu)先級，OSPF路由將重新被鏈路選擇啟用，備份鏈路主動失效。整個過程不超過10秒。

圖3 四平臺備份鏈路拓撲結構Fig.3 Topology of backup link of Siping Seismic Station

4 實際應用效果

四平臺備份鏈路于2020年9月份建設并投入使用，對四平地區(qū)雙遼、梨樹兩個子臺2020年7—12月的測震數(shù)據(jù)連續(xù)率進行了統(tǒng)計（表5）。通過表5可以看出，因四平中心臺移動鏈路故障導致2020年7—9月期間雙遼和梨樹兩個子臺的數(shù)據(jù)連續(xù)率處于一個較低的水平，在10月份四平臺備份鏈路投入使用后，2020年10—12月雙遼和梨樹子臺的連續(xù)率都達到99.90以上。子臺測震數(shù)據(jù)連續(xù)率得到了明顯的提升?；贚2TP VPN技術在無人值守子臺備份鏈路中的應用，完全達到了預期的效果。

表5 雙遼、梨樹子臺2020年7—12月測震數(shù)據(jù)連續(xù)率

5 結語

四平臺備份鏈路于2020年9月份建設完畢，經(jīng)過數(shù)月測試效果顯著，可以有效解決因中心臺站故障或運營商有線鏈路故障造成的子臺斷記，滿足地震觀測數(shù)據(jù)實時傳輸和保障地震行業(yè)網(wǎng)網(wǎng)絡連通率的要求。這種基于L2TP VPN技術的備份鏈路會在今后的應用中不斷優(yōu)化，讓移動網(wǎng)絡在應急通信中發(fā)揮重要作用。