如何在湖北省地震網絡系統中架構 VPDN平臺＊

劉 可 張亦梅 特木其勒

(湖北省地震局,武漢 430071)

如何在湖北省地震網絡系統中架構 VPDN平臺＊

劉 可 張亦梅 特木其勒

(湖北省地震局,武漢 430071)

湖北省地震系統約有 100個站點需要利用無線網絡系統進行信息傳輸,前期是利用自建的 VPN網絡,其傳輸速度受互聯網的影響較大,傳輸速度較慢,甚至出現不能對儀器進行實時監控、數據不能按時收取、無法按時向國家臺網中心報送數據的情況。而目前湖北省地震網絡系統業務的拓展,需要進一步完善覆蓋全省的數據傳輸網絡,用于承載前兆無人職守系統、流動測震系統和移動辦公系統。鑒于上述情況,湖北省地震信息網絡部門通過分析各分支點所處的地理位置及數據傳輸的要求,最終使用中國電信的無線 VPDN業務,組建湖北省地震數據監測VPDN網絡系統。從而滿足了數據傳輸的安全性、觀測數據上報的安全性和地震分析預報的及時性要求。

VPDN平臺;湖北省地震網絡系統;數據傳輸;安全性;無線網絡

1 湖北省地震無線網絡系統現狀與需求

湖北省地震網絡系統“十五”期間完成了無人值守前兆臺網及部分流動觀測測震臺網建設,全省包括前兆無人職守站點、測震流動臺和移動辦公用戶等共有約 100個站點需要實現數據回傳。前期是利用自建的VPN網絡,采用的通用方式為：在區域中心自建VPN信道、路由,各站點觀測儀器數據傳輸采用無線 CDMA+Internet+VPN傳輸方式。由于該傳輸方式是通過 Internet互聯網接入后再接入到湖北省地震行業網絡,使其傳輸速度受互聯網的影響較大,在每周星期一至星期五期間,CDMA傳輸速度較慢,從 2008年下半年開始,數據經常不能按時收取,不能對儀器進行實時監控,無法按時向國家臺網中心報送觀測數據。為此,中心值班人員需經常重新啟動湖北省地震局區域中心VPN路由器,每次重啟動造成局行業網 VPN鏈路中斷 10分鐘,嚴重影響湖北省地震前兆臺網運行管理工作質量和湖北省地震行業網的運行安全。

為解決上述問題,同時隨著湖北省地震網絡系統業務的拓展,需要進一步完善覆蓋全省的數據傳輸網絡,用于承載前兆無人職守系統、流動測震系統和移動辦公系統。監測預報中心通過調研,多次與中國電信武漢分公司進行溝通并和其他省地震局交流后,考慮各分支點所處的地理位置及數據傳輸的要求,我們選用中國電信的無線VPDN業務組建湖北省地震數據監測VPDN網絡系統。VPDN意為虛擬專用撥號網絡,技術成熟、應用廣泛,可以使用ADSL、光纖和 CDMA移動無線等方式接入。

專用湖北省地震行業VPDN平臺網絡的中心點位于湖北省地震局 6樓區域中心機房內 (圖 1),具體為：1)租用一條中國電信武漢分公司至地震局的2M數字電路 (SDH);2)各前兆臺網無人職守站點和流動測震觀測臺的數據傳輸使用北京映翰通公司InRouter700無線路由器,采用無線 CDMA+VPDN網絡接入湖北省地震行業網;3)同時在VPDN平臺運行正常后還可以用于局用戶的異地移動辦公,通過 EVDO+VPDN方式隨時隨地接入湖北省地震行業網;4)實現湖北省地震網絡系統區域中心和各站點在VPDN平臺間雙向的路由訪問(圖2)。

圖 1 湖北省地震網絡系統通信信道部署圖Fig.1 Disposition of the information channels of the seismic network system of Hubei province

圖2 湖北省地震網絡系統VPDN平臺信道部署圖Fig.2 Disposition of the VPDN platfor m channels of seismic system of Hubei province

2 湖北省地震網絡無線 VPDN組網方案

湖北省地震網絡無線VPDN組網方案使用中國電信的無線VPDN業務,組建湖北省的地震數據監測VPDN網絡系統。VPDN可以動態地建立從分支點遠端設備到湖北省地震網絡系統區域中心的電路;各分支點使用CDMA 1X或 EVDO接入,實現無線、移動連接到湖北省地震行業網內;更重要的是同時實現了區域中心和站點間通過規劃好的固定 IP來雙向訪問。由于可以對觀測儀器設備進行遠程的監控管理,集中管理某個區域的所有臺站、,遠程對各個監測點的監測設備等進行批量管理、配置、升級等操作,實時了解所有臺站的工作狀態等因而大大降低了對觀測設備的維護成本。

2.1 VPDN平臺網絡結構

根據湖北省地震無人監測站點所采用的映翰通公司 InRouter700無線路由器的特性及功能,采用的技術方案如圖3所示。

各分支站點路由器通過CDMA 1X或 EVDO網絡無線接入到就近基站,通過電信大客戶專網 CN2匯聚到湖北省地震行業網核心路由器,實現與湖北省地震行業網絡區域中心互聯。VPDN網絡平臺建成以后,各分支點可以訪問中心點,也可以互訪。

圖3 VPDN平臺網絡結構的技術方案Fig.3 Technical project of the VPDN platfor m network

2.2 湖北省地震局中心點接入方式

湖北省地震局中心點接入方式如圖 4所示。

圖4 中心點的接入方式Fig.4 Accessmode of the central point

在湖北省地震局總部機房,新裝 2M光纖專用線路 1條,連接 C3845核心路由器和就近電信局端路由器 PE。C3845作為VPDN網絡的LNS,需提供1個 FE電口,并配置好路由。

湖北省地震行業網區域中心局域網內的電腦,可以直接訪問應用服務器,不需要安裝VPDN電路。

2.3 分支點接入方式

分支點接入方式如圖 5。

圖5 分支點接入方式Fig.5 Accessmode of the brench

在各無人職守分支站點內局域網通過 InRouter700無線路由器,電信局 CDMA網絡和 CN2網互通,最終訪問到湖北省地震行業網區域中心機房。

2.4 移動辦公接入方式

對于移動辦公用戶,使用安裝有CDMA或 EVDO上網卡的筆記本電腦,可以撥號連接湖北省地震行業網區域中心。智能手機本身直接支持 CDMA1X或 EVDO,簡單設置后就可以接入到地震行業網區域中心。

2.5 域和撥號用戶名

在電信VPDN平臺上,專門為湖北省地震局建立一個域,該域和公網、其他專網相互隔離,不能互通。該域具有唯一域名,形似 company.hb等,可以和其他不同域區分。

每個分支點和移動辦公配備的U I M卡,分配有全域唯一的撥號用戶名,形似 abcdefg@company. hb,密碼為英文字母和數字串。

2.6 VPDN電路建立過程

1)設備撥號。各類終端、路由器使用專門分配的 abcdefg@company.hb用戶名撥號。

2)隧道建立。電信 IP寬帶網絡中的接入服務器(PDSN)從用戶名判別是湖北省地震局的用戶,于是建立到湖北省地震行業網 C3845核心路由器的L2TP隧道。

3)認證。隧道建立以后,接入服務器 (PDSN)將用戶名和密碼提交給LNS,LNS和AAA服務器配合進行用戶認證。

4)電路建立。認證通過后,LNS和AAA服務器配合,據分支點VPDN帳號為分支機點無線路由器分配固定 IP,打通從撥號設備到 LNS的 3層連接。這時分支點路由器、移動終端就可以訪問湖北省地震行業網區域中心了。

2.7 分支點到中心點路由的實現

在做 IP地址規劃時,為每個分支點局域網配備IP地址段,為區域中心點路由器和分支點 CDMA無線路由器配備互聯 IP地址段,并在各路由器上配置好路由表。

在VPDN電路建立過程中,區域中心點路由器為分支點路由器分配固定的互聯 IP地址。電路建立以后,湖北省地震行業網區域中心局域網內 IP就可以通過 3層路由訪問各分支站點局域網內 IP了。

3 相關技術介紹

3.1 VPDN

3.1.1 業務描述

虛擬專用撥號網絡 (VPDN)業務,是指在中國寬帶互聯網基礎上開放的基于撥號方式的虛擬專用網絡業務。VPDN業務向用戶提供以撥號方式接入中國寬帶互聯網,利用中國寬帶互聯網公共網絡資源建立虛擬鏈路,實現企業網內部數據資源的訪問。

3.1.2 業務功能

1)使用有域名后綴的撥號帳號,通過撥號接入到客戶網絡;

2)客戶授權的合法用戶可隨時隨地以撥號方式進入客戶內部網,訪問客戶內部數據資源,實現網點聯網、移動辦公;

3)方便將客戶合作伙伴遠程接入客戶內部網,大范圍組建客戶外聯網;

4)可以與專線組成的虛擬專用網進行無縫鏈結;

5)客戶可以管理用戶帳號。

3.1.3 業務特點

1)不需要安裝特殊的軟件,也不需要申請外地的賬號,在全國各地,均可接入企業內部網絡,使用方法和普通撥號上網一樣簡單方便;

2)只使用 ADSL線路或 CDMA上網卡即可接入企業內部網絡,客戶可以大大降低設備費及專線費,從而減少經營成本;

3)利用中國電信的公共網絡組建私有網,客戶可以在最大范圍內獲得其所需的私有網;

4)采用 L2TP(Layer 2 Tunneling Protocol)協議隧道技術,并對經過隧道傳輸的數據進行加密,可以充分保證客戶數據的私密性和安全性;

5)客戶可以自行規劃用戶帳號。

3.2 中國電信 3G網絡介紹

3.2.1 CDMA 1X技術

中國電信CDMA 2000 1X網絡是 3G的第一階段技術,CDMA(Code Division Multiple Access)是一種碼分多址的通信方式,它是在數字技術的分支——擴頻通信技術上發展起來的一種無線電通信技術,不同的移動臺共用一個頻率,應用擴頻通信技術,對每個移動臺分配一個獨特的、隨機的碼序列,每個碼序列與所有其他碼序列互不相同,而且彼此都不相關。因此,CDMA技術與 FDMA(頻分多址)、TDMA(時分多址)技術相比,具有很多的優越性。第三代移動通信普遍采用了這種技術。

中國電信已經建立了完善的 CDMA 2000-1X網絡,網絡部分引入了分組交換,可支持移動 IP數據傳輸業務。CDMA數據傳輸的優點在于：

1)傳輸速率高,傳輸峰值速率達到 153.6kbits,是目前公網傳輸中實測最高的,適合圖像數據傳輸;

2)永遠在線,可以實時傳輸數據;

3)基站覆蓋范圍廣,漫游性能好,高速移動時仍然能傳數據;

4)多種資費可以選擇,價格合理;

5)基于 IP協議可以訪問 Internet或VPN網絡。

3.2.2 CDMA EV-DO

CDMA2000 1x EV-DO,是CDMA2000 1x演進到3G的技術,是一種針對分組數據業務進行優化的、高頻譜利用率的CDMA無線通信技術,它向下兼容CDMA 1X。

CDMA EV-DO分為兩個版本 Rev A和 Rev B。目前 EV-DO RevA網絡已經投入商用,2010年主要城市的RevA網絡將升級到RevB。

CDMA EV-DO具有如下技術特點：

1)速率快,RevA理論下行速率最高 3.1Mbps,上行速率最高 1.8Mbps,實際速率與普通 ADSL速率相當;

2)EV-DO RevA可以通過軟件升級到 EV-DO RevB,提供高達 9.3Mbps的下行和高達 5.4Mbps的上行峰值速率;

3)全面支持 QoS,具有靈活和有效的 QoS控制機制,使系統和終端可以基于應用的不同 QoS要求,對每個高層數據流進行資源分配和調度控制,在保證系統穩定性的前提下,可以靈活而有效地滿足不同數據流的傳輸要求,從而可以同時支持實時和非實時等多種業務。

(1)低接入時延

EV-DO對接入信道和控制信道均進行了優化,使用戶可以在發起服務請求時更快地接入網絡、較快地響應來自網絡的服務請求,終端可以適配網絡服務情況的同時降低功耗,提高待機時間。

(2)低傳輸時延

在進行數據傳輸時,EV-DO引入了高容量模式和低時延模式。

(3)低切換時延

EV-DO Rev A通過網絡切換預先指示,可以大大降低前向切換時延。

3.3 無線 VPDN安全性分析

1)空中無線安全保障系統

在無線上,由于 CDMA技術源于美國軍用抗干擾技術,CDMA碼址是個偽隨機碼,而且共有 4.4萬億種可能的排列,因此,竊聽或解碼只存在理論上的可能性,但在實際中不可能做到,目前也尚無關于CDMA系統被竊聽或解碼的新聞報道。采用其他的無線通信方式如 GPRS,對無線接入側信號安全性較差,信號易被截取和竊聽。

2)接入側L2TP二層隧道協議

CDMA數據網絡內包括無線接入服務器 PDSN、VPDN網關等設備只完成對用戶的接入功能(完成物理層、鏈路層、網絡層功能),對用戶的應用數據不做任何處理,用戶的私密性和安全性可以得到充分的保證。同時設備自身也處在一個相對安全的內部網絡環境中,避免了從外部網絡入侵的可能。無線終端通過接入交換機與VPDN服務器的鏈接是通過L2TP隧道協議。L2TP隧道協議保證了 VPN在 IP網絡上的安全性,是目前技術成熟,運用廣泛的VPN技術。

3)兩層認證保障和私有 IP地址

無線接入側的AAA認證服務器對用戶 I MSI號和域名進行初步認證,VPDN接入側的 RAD I US認證服務器對其用戶名及密碼進行再次認證。多層認證系統充分保證了系統的安全性和保密性。此外無線接入帳號 (用戶名、密碼等)采用了MD5 CHAP加密認證方式,密碼采用密文傳輸,避免了傳輸過程中密碼被竊取的可能性。分配給每個無線用戶的 IP地址是經過客戶許可且分配的是客戶內部網絡中合法的 IP地址,保證了無線終端與任何外部網絡的隔離。VPDN平臺的 AAA服務器除了完成無線接入用戶的身份認證外,還可以根據需要對 CDMAU I M卡內部的 I MSI號進行識別,識別出U I M卡使用人是否有權使用指定的無線接入帳號。分配給無線用戶的內部 IP地址也可以根據需要采用動態分配和靜態指定方式,這樣做到了IP地址、I MSI、無線接入帳號三者的唯一確定性,實現了從物理層到網絡層的統一。

4 湖北省地震網絡 VPDN平臺建設的成效

湖北省地震網絡VPDN平臺的建設實現了地震臺網建設的數字化、無線化,大大降低了建設成本,由于實現了多種觀測設備的統一接入管理,可以對各種觀測設備進行遠程的監控管理,因而大大降低了對地震設備的維護成本。遠端觀測設備的監控管理方便快捷。觀測數據的實時性上報,保證了地震預報的及時性,提高了預測效率。針對地震設備布設環境的惡劣性,無線VPDN平臺的建設可以滿足野外無人職守觀測環境的需求。專網接入方式可以保證數據傳輸的安全性。

HOW TO CONSTRACT VPDN PLATFORM IN EARTHQUAKE NETWORK SYSTEM OF HUBEI PROVINCE

Liu Ke,Zhang Yi mei and Temuqile
(Earthquake Adm inistration of Hubei Province,W uhan 430071)

There is a great need for about 100 stations of the earthquake administration of Hubei province to transmit information by use of the wireless network system.Early,the home-made VPN network was used,bywhich the transmission velocity ismuch affected by internet,so the velocity was very slow,even we could not moniter the instruments in real time,could not often receive the data on ti me,and thus could not report the data to state station network center on time.At present,the business of the seis mic network system of Hubei province has extended and it needs improving the data trans mission network to cover the whole Hubei and to support the anmared precursor system,mobile seismometry system and mobile office system.Seeing that,the department of earthquake information network of Hubei province,after analyzing the geographic location of each brouch point and their demands,decided to constract the VPDN network system formonitoring the seismic data of Hubei province by use of the wirelessVPDN of China Telecom.Thereby,the sofety of data trans mission,reporting the observations in real time and the analysis and prediction of earthquake on time can be guaranted.

platfor m VPDN;seismic network system of Hubei province;data transmission;safety;wireless network

1671-5942(2010)Supp.(Ⅰ)-0157-05

2010-05-13

劉可,男,1973年生,工程師,主要從事網絡管理工作.E-mail：liuke@eqhb.gov.cn

TN919.2

A