VPN技術在四川地震信息網絡中的應用

林 洋 , 張 穎

(四川省地震局，四川 成都 610041)

VPN技術在四川地震信息網絡中的應用

林 洋 , 張 穎

(四川省地震局，四川 成都 610041)

通過VPN技術的應用，使不同地區的節點通過Internet實現了專網通信的可能，并促進了四川省地震信息網絡的建設和發展。文章介紹了VPN技術在四川地震信息網絡中的應用及其實現。

VPN；GRE；IPSEC；應用

四川省地震信息網絡經過近10年的建設和發展，已形成以四川省地震局為區域中心，覆蓋全省17個地震臺站、60余個市(州)、縣信息節點的信息網絡，為地震監測數據的傳輸與共享、地震應急、市縣防震減災信息服務等提供了通信平臺。目前，區域中心與信息節點之間的通信主要有專線模式和基于互聯網的VPN(Virtual Private Network，虛擬專用網絡)模式，由于專線的通信成本較高，近年來，市、縣信息節點的建設幾乎都是利用成本低廉的互聯網線路，與省中心組建VPN，推動了信息節點的建設，也促進了四川省防震減災綜合信息服務的發展。

1 VPN技術簡介

IETF(Internet Engineering Task Force，互聯網工程任務組)組織對VPN的解釋為：通過專門的隧道加密技術在公共數據網絡上仿真一條點到點的專線技術。VPN通常是指在公用網絡上建立專用網絡，進行加密通信。VPN是在Internet上建立的能夠自我管理的專用網[1]，具有成本低、易用、安全等特點，在企業網絡中被廣泛應用，能夠讓公司分支機構、異地用戶、商業伙伴及供應商與公司內部網絡建立可信的安全連接，并保證數據的安全傳輸。

四川地震信息網絡中VPN技術的應用，主要包括GRE VPN和IPSEC VPN。

(1)GRE(Generic Routing Encapsulation)即通用路由封裝協議，是對某些網絡層協議(如IP和IPX)的數據包進行封裝，使這些被封裝的數據包能夠在另一個網絡層協議中傳輸。GRE是VPN的第三層隧道協議。GRE能夠支持多種協議和多播，支持多點隧道，能夠用來創建彈性的VPN，能夠實施QOS，但是缺乏加密機制。GRE隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、 AppleTalk包，并支持全部的路由協議(如RIP2、OSPF等)[2]。通過GRE，用戶可以利用公共IP網絡連接IPX網絡、AppleTalk網絡，對公網隱藏企業網的IP地址。

(2)IPSEC VPN是基于IPSec協議的VPN技術，其通信雙方之間在IP層通過加密與數據源驗證，以保證數據包在Internet網上傳輸時的私有性、完整性和真實性。IPSec協議包括網絡認證協議AH(Authentication Header，認證頭)、ESP(Encapsulating Security Payload，封裝安全載荷)、IKE(Internet Key Exchange，因特網密鑰交換)和用于網絡認證及加密的一些算法等。其中，AH協議和ESP協議用于提供安全服務，IKE協議用于密鑰交換。在兩個端點之間通過建立SA(Security Association，安全聯盟)進行數據傳輸，SA定義了數據保護中使用的協議和算法以及SA的有效時間等屬性。IPSec通過AH和ESP兩個安全協議來實現[2]。IPSec有傳輸和隧道兩種工作方式，傳輸方式只對IP有效負載進行加密，而在隧道方式中，IPSec對IP報頭和有效負載進行加密，通過將其當作AH或ESP有效負載，隧道模式提供對整個IP數據包的保護，外部IP報頭的IP地址是隧道終結點，封裝的IP報頭的IP地址是最終源地址與目標地址。

2 VPN在四川地震信息網絡中的應用

2.1 網絡現狀

四川地震信息網絡目前是以四川省地震局為中心，匯接全省的臺站、市(縣)信息節點，如圖1所示。有部分信息節點采用SDH專線，其余節點均采用互聯網線路，通過與省中心組建VPN，實現行業網通信。省中心互聯網線路具備公網IP地址，信息節點互聯網線路分為兩種，一種是具有固定公網IP的節點，另一種是通過動態拔號或依賴其他網絡連接互聯網的節點，不具備固定公網IP或者不具備公網IP。針對這兩種不同情況的信息節點，在VPN建設時也分別采用了GRE VPN和IPSEC VPN兩種技術。

圖1 網絡拓撲示意圖

2.2 GRE VPN的應用

GRE采用tunnel(隧道)技術，實現點到點的連接，提供了一條通道使封裝的數據報文能夠在這個通道上傳輸，并且在一個tunnel的兩端分別對數據報文進行封裝及解封裝。以小廟地震臺與省中心通信為例，其連接情況如圖2。如小廟臺某計算機訪問省中心10.51.xx.xx段的業務，路由器A從接口Ethernet0/1收到該報文后，檢查報文目的地址需要經過tunnel才能到達，則將此報文發到tunnel接口，tunnel接口接收此報文后進行GRE封裝，再封裝IP報頭(目的地址將會指向省中心路由器B的地址222.210.xxx.xx)，根據此IP包的目的地址及路由表對報文進行轉發，從接口Ethernet0/0發送出去。接收端路由器接收到此報文后解開IP報頭，并交GRE協議處理，然后繼續轉發，達到目的地。

圖2 GRE VPN連接示意圖

GRE VPN的實現，在路由器上配置比較簡單，主要包括二部分：

(1)創建虛擬tunnel接口，并配置IP地址、源端地址、目的端地址。

(2)配置路由

小廟臺路由器A(設備型號：華為AR28-31)的主要配置如下：

interface Ethernet0/0

ip address 218.89.140.150 255.xxx.xxx.xxx(公網接口IP)

……

interface Ethernet0/1

ip address 10.51.174.254 255.xxx.xxx.xx (局域網網關IP)

interface Tunnel1 (創建tunnel，默認封裝協議為GRE)

ip address 10.51.253.118 255.xxx.xxx.xxx (tunnel接口IP，與tunnel對端IP要在一個子網)

source 218.89.xxx.xxx (tunnel 源地址)

destination 222.210.xxx.xxx (tunnel目的地址，指向路由器B)

ip route-static 10.51.1.0 255.255.xxx.xx Tunnel 1 (指定到省局10.51.xx.xx的數據包由tunnel1轉發)

省中心路由器B(設備型號：邁普vpn3030)的對應配置如下：

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx (公網接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局內網接口IP)

……

interface tunnel1 (創建tunnel)

tunnel mode gre ip (定義tunnel封裝協議為GRE)

tunnel source 222.210.xxx.xx (tunnel 源地址)

tunnel destination 218.89.xxx.xxx (tunnel目的地址，指向路由器A)

ip address 10.51.253.117 255.xxx.xxx.xxx(tunnel接口IP，與tunnel對端IP要在一個子網)

ip route 10.51.174.0 255.xxx.xxx.xx tunnel1 (指定到小廟臺的數據包由tunnel1轉發)

2.3 IPSEC VPN的應用

在不具備固定公網IP或者不具備公網IP的信息節點，采用IPSEC VPN隧道方式組網時，需在兩個網絡節點之間建立一個虛擬鏈路通道，從而使兩個節點內部的網絡能夠通過這個虛擬鏈路到達對方。IPSEC VPN的建立必須通過IKE進行協商，協商兩端所采用的加密算法，封裝技術以及密鑰，包括兩個階段：(1)第一階段，在兩個對等體設備之間建立一個安全的管理鏈接，管理鏈接用來保護第二階段協商過程，并不發生實際數據流。(2)第二階段，構建安全數據鏈接的安全參數，協商完成后，在兩個站點間形成安全的數據鏈接，用于數據傳輸。

以天全縣和省中心的IPSEC VPN為例，其鏈接情況如圖3，路由器的主要配置如下：

圖3 IPSEC VPN連接示意圖

天全縣路由器A(設備型號：邁普MP2806)的主要配置如下：

interface fastethernet0

ip address dhcp (自動獲取IP)

……

interface fastethernet1

ip address 10.51.109.65 255.xxx.xxx.xxx (局域網網關IP)

……

crypto ike key 123456 address 222.210.xxx.xxx (定義預共享密鑰“123xxx”，須與省中心的一致)

crypto tunnel t0 (創建tunnel)

local interface fastethernet0 (設置tunnel本端為本地接口IP)

peer address 222.210.xxx.xxx (設備tunnel對端IP)

set sec-level basic (設定為基本安全級別，其ike驗證算法是sha1、加密算法md5，ipsec認證算法sha1，加密算法md5)

set auto-up

……

crypto policy p1

flow 10.51.109.64 255.xxx.xxx.192 10.51.1.0 xxx.xxx.xxx.0 ip tunnel t0 (定義策略路由，讓本子網至10.51.1.0網絡的數據流由tunnel t0轉發)

……

省中心路由器B(設備型號：邁普vpn3030)的對應配置如下

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx(公網接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局內網接口IP)

……

crypto ike key 123456 any (定義預共享密鑰，須與節點的一致，由于節點IP不確定，any用于匹配任意IP)

crypto tunnel DX (創建tunnel)

local address 222.210.xxx.xx (本端IP) peer any (對端IP，any是匹配任意IP)

set sec-level basic (應與對端設定的安全協議、算法一致)

……

crypto policy DX

flow 10.51.1.0 255.255.255.0 10.51.109.64 255.xxx.xxx.xxx ip tunnel DX bypass(定義策略路由，讓四川省地震局到天全縣的數據流由tunnel t0轉發)

3 結束語

由于VPN技術的應用，使分布在各地的節點通過Internet實現了專網通信的可能，極大的促進了四川地震信息網絡的建設和發展。四川地震信息網絡經過四川省防震減災綜合能力建設、汶川地震災后恢復重建項目以及部分市縣自有項目的建設，先后建設了50余個市(縣)信息節點，均采用了VPN技術組網。在這些信息節點上開展了防震減災綜合信息服務系統應用、地震應急指揮技術系統、視頻會議等應用，實現了測震、前兆、應急等數據的及時共享和交換，也為今后各項業務的順利開展提供了通信條件。

當然，VPN的應用有其優勢，也有其缺點，由于信息節點大多基于普通互聯網線路(如ADSL)，這種線路的穩定性較差，因此VPN連接質量不高，時常發生中斷，不適于實時性、連續性要求較高的應用。另外，信息節點的技術人員對網絡的運維能力比較低，運維工作很大程度上需要省中心人員的支持，尤其是不具備公網IP的節點，再加上存在多種不同品牌設備的情況，從而導致省中心遠程運維難度較大?？傊?，網絡的建設，既要考慮業務的需求，也要考慮長期運維經費的保障，從而選擇適宜的組網技術和方式，更好的服務于防震減災工作。

[1] 黎珠博.VPN技術及在地震前兆觀測臺站中的應用[J].華南地震.2013，33(1):81-85.

[2] 杭州華三通信技術有限公司.COMWARE V3 操作手冊-RELEASE0201(V3.11).[EB/OL].[2015-8-25].http://www.h3c.com.cn/Service/Document_Center/Routers/Catalog/AR_46/AR_46/Configure/Operation_Manual/AR_46_OM(V3.11)/.

Introduction to VPN technique used in Seismic Information Network of Sichuan

Lin Yang，Zhang Ying

(Earthquake Administration of Sichuan Province, Sichuan Chengdu 610041, Chinaa)

The VPN technique makes it possible to communicate the seismic messages of the specific network through the different regions nodes. We introduce the VPN technique some of details used in Sichuan Seismic Information Network.

VPN technique; GRE; IPSEC; application

2015-09-21

林洋(1979-)，男，四川省西昌市人，工程師.

TP317

B

1001-8115(2015)04-0020-04

10.13716/j.cnki.1001-8115.2015.04.005