云南省地震行業(yè)網(wǎng)備份信道設(shè)計(jì)與實(shí)現(xiàn)

呂 帥，李 倩，武孔春，安小偉

(云南省地震局，云南 昆明 650224)

0 引言

地震行業(yè)網(wǎng)作為測震、強(qiáng)震、地球物理場、應(yīng)急、信息等業(yè)務(wù)傳輸?shù)臉蛄海ＷC其連續(xù)運(yùn)行十分重要。云南省地震局(以下簡稱云南局)歷年的地震行業(yè)網(wǎng)中斷原因統(tǒng)計(jì)顯示，運(yùn)營商信道故障占40%左右，且一旦運(yùn)營商信道故障，只能被動等待其恢復(fù)，對測震數(shù)據(jù)等實(shí)時性要求高的核心業(yè)務(wù)易造成較大影響，故備份信道建設(shè)的需求十分迫切。該文結(jié)合云南省地震行業(yè)網(wǎng)現(xiàn)狀，運(yùn)用現(xiàn)有的網(wǎng)絡(luò)資源和成熟的4G及VPN技術(shù)，探索備份信道的解決方案。

1 地震行業(yè)網(wǎng)現(xiàn)狀

云南局信息網(wǎng)絡(luò)系統(tǒng)建設(shè)始于云南數(shù)字地震觀測網(wǎng)絡(luò)項(xiàng)目—信息分項(xiàng)，2008年1月正式投入使用。該系統(tǒng)按區(qū)域及職能分為1個省區(qū)域中心、14個地震臺站信息節(jié)點(diǎn)、16個大中城市地震信息服務(wù)節(jié)點(diǎn)和18個縣級地震信息服務(wù)節(jié)點(diǎn)。組網(wǎng)模式為三層樹形結(jié)構(gòu)，采用OSPF路由協(xié)議實(shí)現(xiàn)與全國地震行業(yè)網(wǎng)互聯(lián)。縣級節(jié)點(diǎn)至州市節(jié)點(diǎn)網(wǎng)絡(luò)為2M SDH專線，州市至省區(qū)域中心為4M MSTP專線，臺站節(jié)點(diǎn)至省區(qū)域中心為10M MSTP專線。2018年6月的地震行業(yè)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)如第40頁圖1所示。

2 相關(guān)技術(shù)簡介

VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))通常指利用公用網(wǎng)絡(luò)建立的臨時、安全、可靠的網(wǎng)絡(luò)連接，可以讓移動用戶、分支機(jī)構(gòu)等安全、高效地接入總公司內(nèi)部網(wǎng)絡(luò)。按組網(wǎng)模型可分為VPDN(Virtual Private Dial Network，虛擬專用撥號網(wǎng))、VPRN(Virtual Private Routing Network，虛擬專用路由網(wǎng))、VPWS(Virtual Private Pseudo Service，虛擬專用線服務(wù))和VPLS(Virtual Private LAN Service，虛擬專用局域網(wǎng)服務(wù))[1]。該備份信道實(shí)現(xiàn)主要采用VPRN和VPDN方式，下面對VPRN中的IPSec、GRE和VPDN進(jìn)行簡要介紹。

2.1 VPRN簡介

(1) IPSec簡介。

IPSec是由IETF(國際互聯(lián)網(wǎng)工程任務(wù)組)設(shè)計(jì)的作用在IP層上用來保護(hù)端到端之間信息傳輸?shù)陌踩院捅Ｃ苄缘囊环N協(xié)議[2]。主要組成部分包括AH(Authentication Header，認(rèn)證頭)、ESP(Encapsulating Security Payload，封裝安全載荷)、安全聯(lián)盟SA和ISAKMP(Internet Security Association and Key Management Protocol，密鑰管理協(xié)議)。IPSec工作于OSI模型第三層IP層，為IP報文提供公網(wǎng)傳輸安全服務(wù)。

(2) GRE簡介。

GRE(通用路由封裝)是一種Tunnel(隧道)技術(shù)，支持全部的路由協(xié)議(如RIP v2、OSPF等)，用于在IP包中封裝任意協(xié)議的數(shù)據(jù)包，包括IP、IPX、NetBEUI等，封裝后的數(shù)據(jù)包在另一個網(wǎng)絡(luò)層協(xié)議中進(jìn)行傳輸。

GRE是一種傳輸不安全無狀態(tài)的協(xié)議，但其支持動態(tài)路由協(xié)議及允許多播和廣播穿越隧道；IPSec僅支持單播通過，卻能夠提供安全保障。綜合運(yùn)用GRE和IPSec兩種技術(shù)，首先利用GRE技術(shù)來對動態(tài)路由協(xié)議報文(如多播和廣播報文)和用戶數(shù)據(jù)進(jìn)行隧道封裝，提供一個點(diǎn)對點(diǎn)的隧道，然后通過IPSec VPN技術(shù)提供的安全措施保護(hù)GRE隧道中數(shù)據(jù)的安全，兩種技術(shù)的結(jié)合，構(gòu)成GRE over IPSec VPN技術(shù)[3]。

圖1 云南地震行業(yè)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)圖Fig.1 Network structure of Yunnan seismological industry network

2.2 VPDN 簡介

VPDN全稱虛擬專用撥號網(wǎng)(Virtual Private Dial Network)，是利用IP網(wǎng)絡(luò)的承載功能，結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來的安全的虛擬專用網(wǎng)，其通過身份驗(yàn)證、數(shù)據(jù)保密性和數(shù)據(jù)完整性三個層級來保證用戶數(shù)據(jù)安全[4]?？蛻糁恍桕P(guān)注終端及LNS入網(wǎng)后的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，即可實(shí)現(xiàn)高效靈活的數(shù)據(jù)傳輸需要。

3 備份信道組網(wǎng)方案

利用云南局現(xiàn)有的IPSec VPN設(shè)備、VPDN接入平臺和電子政務(wù)外網(wǎng)資源，依托4G無線網(wǎng)和電子政務(wù)外網(wǎng)專線，實(shí)現(xiàn)基于4G的IPSec VPN、基于4G的VPDN和基于電子政務(wù)外網(wǎng)的GRE over IPSec VPN三種備份信道組網(wǎng)方案。實(shí)際測試過程中以楚雄市地震局(以下簡稱楚雄局)為備份節(jié)點(diǎn)，搭建備份信道。

3.1 基于4G的IPSec VPN備份信道實(shí)現(xiàn)

思路為首先建立中心端VPN設(shè)備與遠(yuǎn)端4G無線路由器的IPSec隧道，使遠(yuǎn)端4G無線路由器能接入地震行業(yè)網(wǎng)，然后將遠(yuǎn)端4G無線路由器LAN口接入備份節(jié)點(diǎn)交換機(jī)，通過設(shè)置中心端網(wǎng)絡(luò)設(shè)備路由優(yōu)先值，實(shí)現(xiàn)主信道與無線備份信道的自動切換，網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 基于4G的IPSec VPN備份信道組網(wǎng)拓?fù)鋱DFig.2 IPSec VPN backup channel topology diagram based on 4G

IPSec VPN配置采用總部—分支類型，云南局深信服VPN2150為總部VPN，楚雄局4G無線路由器MIG-1000為分支VPN。首先，保證云南局VPN2150直連Internet(即擁有固定互聯(lián)網(wǎng)IP+端口)，設(shè)置WebAgent為云南局互聯(lián)網(wǎng)固定IP+IPSec監(jiān)聽端口(220.163.xx.xx:409)。在用戶管理模塊配置分支用戶，選擇認(rèn)證方式、加密算法及傳輸類型；其后，在楚雄局4G無線路由器上配置連接管理，設(shè)置WebAgent為云南局VPN2150配置的WebAgent，用戶、認(rèn)證方式、加密算法和傳輸類型等設(shè)置與云南局VPN2150保持一致。配置完成后，IPSec VPN隧道打通，實(shí)現(xiàn)楚雄局4G無線路由器接入地震行業(yè)網(wǎng)。

將楚雄局4G無線路由器LAN口配置楚雄局行業(yè)網(wǎng)地址，接入楚雄局行業(yè)網(wǎng)交換機(jī)，實(shí)現(xiàn)主信道和備份信道兩條鏈路暢通。利用云南局HUAWEI、H3C設(shè)備OSPF路由優(yōu)先級高于靜態(tài)路由(CISCO設(shè)備可將靜態(tài)路由管理距離值設(shè)置高于OSPF，使其優(yōu)先選擇OSPF協(xié)議線路)的屬性，在云南局節(jié)點(diǎn)匯聚路由器和核心交換機(jī)上，配置訪問楚雄局網(wǎng)段指向云南局VPN2150的靜態(tài)路由。默認(rèn)云南局至楚雄局路由優(yōu)先選擇OSPF主信道，當(dāng)OSPF主信道中斷時，自動切換到IPSec VPN備份信道，主信道恢復(fù)后又切換回OSPF主信道。

3.2 基于4G的 VPDN備份信道實(shí)現(xiàn)

利用云南局區(qū)域中心電信VPDN平臺，實(shí)現(xiàn)中心端電信接入路由器LNS與遠(yuǎn)端4G無線路由器連接的建立，使遠(yuǎn)端4G無線路由器能接入地震行業(yè)網(wǎng)，再通過3.1章節(jié)中設(shè)置路由優(yōu)先級的方法，實(shí)現(xiàn)主信道與無線備份信道的切換，網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

圖3 基于4G 的VPDN備份信道組網(wǎng)拓?fù)鋱DFig.3 Topology map of VPDN backup channel network based on 4G

將使用的電信4G SIM卡與電信VPDN平臺賬號綁定，每張4G卡對應(yīng)一個VPDN平臺私有IP地址及用戶名密碼，既保證安全性，也方便管理。采用電信4G無線路由器作為楚雄局備份信道無線路由器，在該無線路由器中的配置連接類型、用戶名、密碼和APN，實(shí)現(xiàn)與云南局VPDN專線的對接。通過云南局VPDN接入路由器，實(shí)現(xiàn)楚雄局4G無線路由器接入地震行業(yè)網(wǎng)。在無線路由器LAN口配置備份節(jié)點(diǎn)地址，接入楚雄局行業(yè)網(wǎng)交換機(jī)，信道切換方式與上述3.1中的類似。

3.3 基于電子政務(wù)外網(wǎng)的GRE over IPSec VPN備份信道實(shí)現(xiàn)

云南省電子政務(wù)外網(wǎng)與云南省地震行業(yè)網(wǎng)相似，采用省、市、縣三級結(jié)構(gòu)，目前已覆蓋所有州、市、縣地震局。兩個網(wǎng)絡(luò)系統(tǒng)互相獨(dú)立，當(dāng)市縣地震局地震行業(yè)網(wǎng)出現(xiàn)信道故障中斷時，可臨時使用電子政務(wù)外網(wǎng)專線配置基于GRE over IPSec的VPN隧道，保障市縣地震局行業(yè)網(wǎng)的暢通，網(wǎng)絡(luò)拓?fù)淙绲?2頁圖4所示。

要確保楚雄局電子政務(wù)外網(wǎng)和云南局電子政務(wù)外網(wǎng)的互通，進(jìn)行如下配置。第一步配置GRE通道。在云南局VPN路由器上建立一個GRE Tunnel，設(shè)置該Tunnel 的IP address為云南局地震行業(yè)網(wǎng)互聯(lián)地址。在楚雄局行業(yè)網(wǎng)路由器HUAWEI NE20-S2E建立GRE Tunnel，IP address為楚雄局地震行業(yè)網(wǎng)互聯(lián)地址，雙方配置相同的gre key值，建立起GRE通道；第二步配置IPSec。在雙方路由器上設(shè)置IPSec為傳輸模式，配置雙方的IPSec協(xié)商，并將IPSec 協(xié)商應(yīng)用到剛才建立的GRE Tunnel；第三步在OSPF里通告地震行業(yè)網(wǎng)地址段。如此，就打通了基于電子政務(wù)外網(wǎng)的地震行業(yè)網(wǎng)VPN隧道，通過設(shè)置VPN隧道的OSPF開銷值大于主信道OSPF開銷值，實(shí)現(xiàn)路由優(yōu)先選擇主信道，在主信道中斷時自動切換至備份信道。

3.4 組網(wǎng)方案應(yīng)用分析

三種方式的備份信道搭建方案，解決了單一實(shí)現(xiàn)方式對具體網(wǎng)絡(luò)環(huán)境的依賴性，提高了類似云南等多節(jié)點(diǎn)省份備份信道建設(shè)的靈活性?；?G的IPSec備份信道解決方案不依賴單一運(yùn)營商4G網(wǎng)絡(luò)，節(jié)點(diǎn)管理及數(shù)據(jù)傳輸均由省中心端控制，不需經(jīng)過運(yùn)營商平臺。從數(shù)據(jù)源到中心端之間的數(shù)據(jù)通過IPSec加密傳輸，具有一定的安全性。在實(shí)際測試中，網(wǎng)絡(luò)穩(wěn)定性也較強(qiáng)，可應(yīng)用于野外地震流動觀測臺的數(shù)據(jù)傳輸，有效解決野外地震觀測環(huán)境單一運(yùn)營商網(wǎng)絡(luò)信號差、專線不可達(dá)和數(shù)據(jù)安全性等問題。

4 結(jié)語

針對云南省地震行業(yè)網(wǎng)現(xiàn)狀分析和備份信道方案的設(shè)計(jì)，通過實(shí)際搭建測試，實(shí)現(xiàn)多種方式備份信道的解決方案，能有效應(yīng)對多個節(jié)點(diǎn)復(fù)雜環(huán)境的備份信道建設(shè)需求。方案中使用的相關(guān)技術(shù)均已成熟，可滿足地震觀測數(shù)據(jù)實(shí)時傳輸和保障地震行業(yè)網(wǎng)網(wǎng)絡(luò)連通率的要求，對野外流動觀測數(shù)據(jù)傳輸?shù)母倪M(jìn)提供參考方案。

圖4 基于電子政務(wù)外網(wǎng)的備份信道組網(wǎng)拓?fù)鋱DFig.4 Topology map of backup channel network based on E-government extranet