VPN技術在流動地震臺網數據傳輸中的應用

陳軍輝，孫　侃，陳吉鋒，張　明

(浙江省地震局，浙江　杭州　310013)

?

VPN技術在流動地震臺網數據傳輸中的應用

陳軍輝，孫侃，陳吉鋒，張明

(浙江省地震局，浙江杭州310013)

摘要：流動地震臺站的數據傳輸主要指實現流動臺站與省局臺網中心間觀測數據的傳輸，文章主要介紹VPN技術在浙江省流動地震臺網數據傳輸過程中的主要相關配置及技術指標，并通過應用實例證明采用VPN技術進行流動地震臺的組網是安全可靠的。

關鍵詞：流動地震臺網；數據傳輸； VPN技術

0引言

流動地震臺，一方面用于震前監測，對可能發生中強地震的區域地震活動背景作臨時性的加密觀測，更好地跟蹤地震的活動動態；另一方面用于余震監測，記錄中強地震后的余震變化，為進一步研究地震震源特征及后續震情變化夯實基礎資料。目前，流動地震臺也用于對工程現場爆破而引起地動數據變化的監測，并已成為社會服務的一個窗口。在流動地震臺的地動數據傳輸過程中，因其作為連接公網的連續數據傳輸的網絡節點，易受到公網上其它無信任關系的節點的攻擊，包括病毒攻擊、黑客攻擊等，導致臺站觀測數據的丟失，甚至造成網絡系統的崩潰。這些潛在風險對流動地震臺網的安全性和數據傳輸的保密性都帶來巨大的挑戰。因此，固定地震臺現多采用SDH/MSTP等專線的方式，或采用VPN技術建立虛擬專網的方式進行數據傳輸。但流動地震臺網及其數據控制中心多為臨時搭建，SDH/MSTP等光纖有線網絡的數據傳輸方式無法快速建立， VPN技術作為一種成熟的網絡技術，在地震行業中已廣泛應用。例如一些有線網絡不能到達的觀測臺(點)、臨時觀測點和流動觀測點，在公用網絡上運用VPN技術就能實現與專線相同的效果，并在公網上實現私有化網絡[1]。本文主要對VPN技術在浙江省流動地震臺網中的運用加以論述。

1流動地震臺網的系統構成

浙江省流動地震臺網的系統構成包括：流動地震臺站、現場地震數據控制中心、省局臺網中心，具體系統構成如第28頁圖1所示。其中，流動地震臺站共7個，由3G無線路由器、BDCOM2820路由器等網絡設備及地震觀測設備構成。地震觀測設備主要包括FSS-3M短周期地震計和EDAS-24GN數據采集器；現場地震數據控制中心部署了深信服無線路由器、工作站、交換機等硬件設備及JOPENS系統和自動地震速報系統等軟件系統；省局臺網中心由博達VPN路由器4860等網絡設備以及各服務器和軟件系統構成。關于具體地址分配，現場地震數據控制中心為10.**.159.0/28網段，網關為10.**.159.1，VPN隧道地址為10.**.242.200；流動臺站1為10.**.159.16/28網段，網關為10.**.159.17，VPN隧道地址為10.**.242.201；流動臺站2為10.**.159.32/28網段，網關為10.**.159.33，VPN隧道地址為10.**.242.202；流動臺站3-流動臺站7的網絡設計以此類推。

1.1流動地震臺站的數據傳輸

流動地震臺站的數據傳輸主要是實現流動臺站與省局臺網中心的觀測數據傳輸，鑒于流動地震臺站部署地點的不確定性，采用3G無線傳輸技術或ADSL技術實現基于VPN技術的數據傳輸。流動地震臺站與省局臺網中心的組網屬于應用型小型網絡，考慮到維護路由表角度，采用了靜態路由，基于數據傳輸建立的快速可靠性，流動地震臺站采用L2TP協議的隧道技術進行數據上傳。

1.1.1基于3G無線路由技術的數據傳輸

臺站觀測數據通過3G無線技術進行與省局臺網中心的數據傳輸，無線路由器采用映翰通公司的IR711設備，數據傳輸協議采用L2TP的VPN隧道協議。

主要相關配置及說明如下：

lan0_netmask=255.255.255.240//配置子網掩碼

圖1　流動地震臺網的系統構成Fig.1　System composition of mobile seismic network

login_timeout=500

lan0_name=lan0

lan0_ip=10.**.159.17//配置網關

language=Chinese

lan0_mtu_enable=0

lan0_iface=eth0

lan0_mode=1

lan0_server=0.0.0.0

l2tpc_tunnels=1,L2TP_TUNNEL_1,61.164.**.**,aaa,aaa,Router,0,1,0,,10.**.242.201,,10.0.0.0,255.0.0.0,60,5,0,0,1492,1492,0,,;

//設置隧道協議及其用戶名密碼，公網地址，隧道地址，遠端子網，MTU,MRU等

1.1.2基于ADSL技術的數據傳輸

關于流動地震臺站觀測數據采用ADSL技術的光纖傳輸，通常是基于動態IP組建VPN網絡，主要用于流動地震臺部署在部門單位及居民家庭中等情況。ADSL即非對稱數字信號傳送，能在現有的銅雙絞線，即普通電話線上提供8 Mbit/s的下行速率，1 Mbit/s的上行速率，遠高于ISDN速率。目前CABLE ADSL已經在普通家庭用戶中普及，且傳輸質量穩定可靠，為流動地震臺利用ADSL線路進行數據傳輸提供了基礎。ADSL撥號中PPP會話的建立有PAP認證協議和CHAP認證協議，考慮數據傳輸的安全性，由于CHAP不在線路上發送明文密碼，而是發送經過摘要算法加工過的隨機序列，也被稱為“挑戰字符串”[2]，所以CHAP認證較PAP認證來說更為安全。浙江省流動地震臺站ADSL連接省局臺網中心的鏈路通過博達路由器BDCOM2820實現，會話建立的方式為CHAP認證，數據傳輸協議同樣采用L2TP的VPN隧道協議。配置過程中，考慮到流動臺站設備上英特網的問題，配置了動態NAT。

主要相關配置及說明如下：

interface Virtual-tunnel0//配置隧道接入ADSL撥號

mtu 1492

ip address negotiated

no ip directed-broadcast

no ip unreachable

ppp chap hostname hu2041103//配置CHAP認證，以及撥號用戶名、密碼

ppp chap password 0 ********

ip nat outside//定義撥號接口為NAT外部網絡

ip nat mss 1452

interface Virtual-tunnel1//L2TP連接服務器端的隧道接入配置

ip address 10.**.242.201 255.255.255.0//指定IP，成為L2TP隧道端口地址

no ip directed-broadcast

ppp chap hostname aaa

ppp chap password 0 aaa

interface GigaEthernet0/0

no ip address

no ip directed-broadcast

interface GigaEthernet0/1//配置內網口，連接內部網絡

ip address 10.**.159.17 255.255.255.240

no ip directed-broadcast

ip nat inside//配置為NAT內部本地地址

ip route default Virtual-tunnel0//靜態路由，根據需要指定

ip route 10.**.0.0 255.255.0.0 Virtual-tunnel1 180

snmp-server community dzj-105 RO

ip access-list extended nat//配置擴展訪問列表，允許內網上Inernet

permit ip 10.**.159.0 255.255.255.240 any

vpdn enable//開啟VPDN功能

vpdn-group 1//創建VPDN策略組1

request-dialin//指定成為L2TP的接入端

port Virtual-tunnel1//關聯Virtual-tunnel1

protocol l2tp//指定協議類型

local-name default

initiate-to ip 61.164.**.** priority 0

vpdn-group poe0//創建VPDN策略組POE0

request-dialin

port Virtual-tunnel0//關聯Virtual-tunnel0

protocol pppoe//采用PPPOE撥號協議

pppoe bind GigaEthernet0/0

ip nat inside source list nat interface Virtual-tunnel0//配置臺站設備上網的動態NAT

1.2現場地震數據控制中心與省局臺網中心的數據交互

現場地震數據控制中心與省局臺網中的數據交互主要是實現其與省局臺網中心服務器網段(10.**.253.0/0)的數據傳輸，使流動地震臺站的監測數據能通過省局臺網中心實時傳輸到現場地震數據控制中心。其實現方式為采用深信服VPN路由器VPN-1250-cdma2000與位于省局臺網中心的博達VPN路由器BDCOM4860建立IPSEC隧道傳輸協議，數據加密使用ESP協議中的3DES加密算法實現，數據完整性通過MD5算法實現。

主要相關配置及說明如下：

crypto nat//開啟IPSec VPN nat穿透，支持在nat環境下使用

crypto identification sangfor//配置本端fqdn為“1.1.1.2” fqdn ″1.1.1.2″

crypto isakmp key sangfor 0.0.0.0 0.0.0.0//創建預共享密鑰為“sangfor”，以及對端野蠻模式身份ID為“任意值”

crypto isakmp policy 10//創建預共享密鑰，以及對端野蠻模式身份ID

Encryption 3des//配置加密算法為3DES

Hash md5//配置加密算法為MD5

Lifetime 3600//配置存活時間為3600秒

crypto ipsec transform-set sangforvpn//創建變換集及策略名sangforvpn

transform-type esp-3des esp-md5-hmac//具體的認證算法及加法

crypto dynamic-map sangfor//創建動態映射圖

id sangfor//配置引用identification為“sangfor”

set transform-set sangforvpn//綁定名稱為“snagforvpn”的變換集到映射圖

match address sangfor//匹配名稱為“sangfor”ACL策略

ip access-list extended sangfor//把本地是 10.**.253.0網段的去訪問10.**.159.0網段的數據引流到vpn

permit ip 10.**.253.0 255.255.255.0 10.**.159.0 255.255.255.240

2系統實際使用

浙江省流動地震臺網在杭州、臨安、湖州等多地舉行的應急演練中均無故障運行。特別是2014年10月至2015年初在溫州文成、泰順交界處地震應急期間，此流動臺網進行了現場實地運行，流動臺網段中有3個網段劃分給由BBAS-2地震計與24GN數采組成的強震臺，進行基于L2TP的3G無線數據傳輸，均取得了很好的觀測效果。2015年，浙江省應急演練隊伍在南京舉辦的年度華東片區地震演練中，在演練基地搭建了流動地震臺及現場地震數據控制中心。演練過程中，我省局現場地震數據控制中心實時成功地獲取了現場江蘇局用震源車通過連續震動激發出的地震波。

3結論

基于VPN技術進行流動地震臺網的數據傳輸，通過了在浙江省內及2015年華東區年度演練的多次實踐應用，證明采用VPN技術進行流動地震臺的組網是可行的。VPN技術中的隧道技術、數據封裝、加密解密等技術用于流動地震臺組網安全可靠，但在一些極端條件下，比如大震后地區網絡基站受到大面積破壞，VPN技術的流動臺網進行數據傳輸將受到限制，應選擇衛星通訊等其他方式。

參考文獻：

[1]孫海軍，趙瑞勝，魏斌，等.VPN技術在新疆地磁臺陣中的應用[J].內陸地震,2010,24(3):253-258.

[2]楊文利，王億.交換機/路由器的配置與管理[M].北京:中國電力出版社,2008:202-203.

文章編號：1000-6265(2016)02-0027-04

收稿日期：2016-03-03

基金項目：浙江省地震背景場探測項目(5-2013-31-0021)。

第一作者簡介：陳軍輝(1984—)，男，浙江省東陽人。2009年畢業于廣西大學，碩士研究生，工程師。

中圖分類號：P315.09

文獻標志碼：A

Application of VPN Technology in Data Transmission of Mobile Seismic Network

CHEN Jun-hui, SUN Kan, CHEN Ji-feng, ZHANG Ming

(Earthquake Administration of Zhejiang Province, Hangzhou, Zhejiang 310013, China)

Abstract:The data transmission of mobile seismic stations is mainly between mobile stations and provincial network center. Related configurations and technical indexes of VPN technology in the data transmission process of mobile seismic network in Zhejiang province are introduces. By application examples it is proved that the networking is reliable and feasible by using VPN technology.

Key words:Mobile seismic network; Data transmission; VPN technology