基于3G網絡的IPSec VPN組網技術在野外流動地震監測中數據傳輸的應用1

方 韡 張藝峰 閆 培 劉善虎 許儀西 李普春 王 筍

（廈門地震勘測研究中心，廈門 361021）

基于3G網絡的IPSec VPN組網技術在野外流動地震監測中數據傳輸的應用1

方 韡 張藝峰 閆 培 劉善虎 許儀西 李普春 王 筍

（廈門地震勘測研究中心，廈門 361021）

以2013年福建省陸海聯測炸測實驗工作為例，闡述了在野外流動地震監測中，利用當今最為流行的3G無線網絡架構與IPSec VPN技術，應用其保密性高、應用靈活、價格低廉的優點，結合福建省地震局在地震行業網網絡建設的實際情況，快速架構與地震行業網的數據通訊模式，使得野外采集數據能夠迅速的傳到總部指揮中心，有效的解決了野外流動地震監測中數據實時傳輸的問題，保障了指揮中心的快速響應與決策作用。

3G無線 IPSec VPN 野外流動地震監測 數據通訊

引言

近年來，隨著無線網絡技術和網絡應用的迅猛發展，地震系統用戶對地震行業網絡的需求越來越大，大量地震專業設備都同時擴展了網絡通訊模塊，野外流動地震測量工作在特殊情況也需要將實時監測數據傳輸到地震行業網中，針對流動地震工作實施中的便攜性、環境條件限制、靈活性、安全性、經濟性等要求，本文采用VPN應用中的IPSECVPN技術，利用公網的資源（電信3G網絡）來組建虛擬專用網（VPN）。以2013年福建省陸海聯測炸測實驗工作為例，闡述了陸地地噪聲觀測任務中如何在架設流動地震觀測儀器中，通過應用3G與IPSEC VPN組網技術，實時將觀測的數據傳送至省局指揮中心大廳，有效地起到了及時響應與決策作用，做好科技服務技術支撐保障功能。

1 IPSEC VPN技術介紹

1.1 VPN技術介紹

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密通訊協議，為連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。

1.2 IPSec VPN技術介紹

IPSec VPN是VPN技術的一個分支，即指采用IPSec協議來實現遠程接入的一種VPN技術，IPSec全稱為“Internet Protocol Security”，是由Internet Engineering Task Force（IETF）定義的安全標準框架，用以提供公用和專用網絡的端對端加密和驗證服務。

IPSec協議不是一個單獨的協議，它給出了應用于IP層上網絡數據安全的一整套體系結構，包括網絡認證協議AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，因特網密鑰交換）和用于網絡認證及加密的一些算法等。其中，AH協議和ESP協議用于提供安全服務，IKE協議用于密鑰交換。

IPSec提供了兩種安全機制：認證和加密。認證機制使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭篡改。加密機制通過對數據進行加密運算來保證數據的機密性，以防數據在傳輸過程中被竊聽。IPSec協議中的AH協議定義了認證的應用方法，提供數據源認證和完整性保證；ESP協議定義了加密和可選認證的應用方法，提供數據可靠性保證（秦林忠等，2001）。

1.3 IPSec VPN的優勢

當用公網傳送內部專網的內容時，IPSec VPN在IP傳輸上通過加密隧道，保證內部數據的安全性，從而實現企業總部與各分支機構之間的數據、話音、視頻業務互通。如今，許多世界500強的企業已經把VPN作為遠端分支和移動用戶連接的主要手段，構建企業虛擬業務網，而國內大量企業也已開始考慮采用這種方式，并逐漸開始實施。在已經成功實施IPSec VPN的企業網中，企業利用Internet建立自己的IPSec VPN有以下幾大優勢（李成友等，2002）。

（1）經濟。企業不再承擔昂貴的固定線路的租費，采用Internet作為傳輸骨干是非常便宜的，但帶寬卻可以較高。此外，VPN設備功能強勁但造價低廉。

（2）靈活。連接Internet的方式可以是任何方式，一個IPSec VPN網絡可以連接任意的點的分支，即使跨越大洋也毫不受限制。

（3）多業務。遠程的IP話音業務和視頻也可傳送到遠端分支和移動用戶，與數據傳送業務一起為現代化辦公提供便利條件，節省大量長途話費。

（4）安全。IPSec VPN的顯著特點就是安全性，這是它保證內部數據安全的根本。在VPN交換機上，通過支持所有領先的通道協議、數據加密、過濾/防火墻，以及通過RADIUS、LDAP和SecurID實現授權等多種方式保證安全。同時，VPN設備提供內置防火墻功能，可以在VPN通道之外，從公網到私網的接口傳輸流量。

（5）冗余設計。VPN設備可提供冗余機制，保證鏈路和設備的可靠性。

（6）通道分離。VPN交換機的分離通道特性為，IPSec客戶端提供同時對Internet、Extranet和本地網絡訪問的支持。該技術可以設置權限，包括用戶的訪問權限。該特性使用戶在安全條件下合理方便地使用網絡資源，既安全又靈活。

（7）動、靜態路由。眾多的用戶和復雜的路由需要路由協議的支持，這使得整個網絡的地址管理方便有效。RIP和OSPF協議使得VPN設備之間像路由器一樣連接和擴展，適合網絡規模的不斷擴大，并且動態路由協議可在加密隧道中支持（張煥明，2006）。

2 3G網絡技術介紹

3G是英文the 3rd Generation的縮寫，指第三代移動通信技術。支持高速數據傳輸的蜂窩移動通信技術。3G服務能夠同時傳送聲音（通話）及數據信息（電子郵件、即時通信等）。代表特征是提供高速數據業務，它具有數據處理多樣化、數據處理高速化、通信服務廣域化等特點。

3 應用案例

3.1 項目概況與需求

以2013年福建省陸海聯測炸測實驗工作為例，沿陸上布設測線勘選15個地噪聲觀測點（圖1），地噪聲觀測儀器采用英國Guralp公司的CMG-40TD速度型數字化地震儀，觀測點位為基巖場地，相鄰測點間距約10km，有效的噪聲觀測數據長度不少于30天。對觀測期間的人工地震爆破進行觀測記錄。利用地噪聲記錄反演該測線上的地殼淺部結構，將反演結果與通過海域探測到的地殼構造作對比，并結合對臺網定位精度的改善程度改進結構模型，最終給出可靠度較高的測線上的地殼波速結構。

指揮中心要求能把野外實時觀測的數據傳輸到總部，進行分析比對與快速決策，保障指揮中心的快速響應與決策作用。現場通訊組結合福建省地震局行業網現有的網絡架構，通過應用3G與IPSEC VPN組網技術，有效的將野外15臺觀測數據即時傳輸至總指揮中心（網絡拓撲結構圖見圖2）。

圖1 野外流動地震觀測臺站布設Fig. 1 The layout of mobile seismic stations

圖2 基于3G與IPSec VPN模式架構的野外流動地震觀測網絡拓撲結構圖Fig. 2 Mobile seismic station network and topology of 3G and IPSec VPN structural models

3.2 設備描述

此次福建省陸海聯測炸測實驗流動地震觀測組，IPSec VPN網絡通訊設備服務端采用思科3825產品設備，設備系統版本為IOS12.2，IPSec VPN客戶端采用北京映翰通公司的IP605產品設備，產品定位均為中小企業接入設備，完全能滿足此次實驗的數據上傳應用需求與未來一段時間的擴展需求，產品詳細性能見表1。

表1 福建省陸海聯測IPSec VPN設備性能與功能描述Table 1 Description of the functionalities of the IPSec VPN equipment

續表

4 搭建過程主要設備配置命令與說明

IPSec VPN配置主要分為兩個部分，第一部分是VPN服務端的配置，第二部分是客戶端的配置。

4.1 IPSec VPN Server配置

這里以中心地震行業網信息節點核心路由器思科3825型號為例，進行配置。

（1）認證方式的配置

第一步：創建本地用戶名與密碼

設備執行命令（羅蘭等著，2003）：

3825 VPN_Server(config)#username cisco password cisco //主要作用:客戶端登錄VPN服務端的身份驗證數據庫。

第二步：啟用3A認證服務

設備執行命令：

3825 VPN_Server(config)#aaa authentication login NOAU none//主要作用:定義身份驗證的方式。

第三步：應用在各登錄模式，主要作用：將身份驗證方式應用在設備各個接口，使用接口調用該種方式的身份驗證。

設備執行命令（Todd Lammle著，2012）：

第四步：配置采用本地認證模式進行3A認證，主要作用：定義客戶端身份驗證采用的方式。

設備執行命令：

（2）VPN ISAKMP階段的配置

主要作用是定義ipsec vpn第一階段的isakmp策略，定義采用何種加密方式與認證方式。設備執行命令：

（3）VPN group策略配置

主要作用：定義撥入VPN客戶的策略，如撥號組名、密碼、地址池、訪問控制列表等內容。

設備執行命令：

（4）配置isakmp profile

設備執行命令：

（5）IPSEC階段的配置

設備執行命令：

（6）配置動態MAP

設備執行命令：

（7）配置靜態MAP

4.2 IPSec VPN Client配置

此次炸測試驗，中心野外流動地震觀測組IPSec VPN Client采用北京映翰通網絡技術有限公司的映翰通InRouter 605多網口系列3G工業路由器，它具有配置簡單、攜帶方便、性能穩定、經濟簡約等優點。主要配置分兩個步驟，均采用圖形化配置界面即可以完成配置。

第一步：IPSec隧道相關參數設置，如圖3所示。

第二步：IPSec VPN第一階段、XAUTH、第二階段相關參數的配置，如圖4所示。

圖3 映翰通IP605路由器IPSec隧道相關參數設置示意圖Fig.3 Schematic of related IPSec tunneling parameters of Inhand IP605 wireless router modem

圖4 映翰通IP605路由器IPSec各階段參數設置示意圖Fig.4 Default parameters of IPSec tunnelingin related Inhand IP605 wireless router modem

5 應用測試

5.1 服務端測試

通過在中心IPSec VPN服務器上敲入以下命令驗證鏈路是否建立。

（1）IPSec VPN第一階段協商驗證

敲入命令：Cisco3825(config)# show crypto isakmp sa

信息顯示：

如果出現上述顯示則表示第一階段協商成功

（2）IPSec VPN第二階段協商驗證

敲入命令：Cisco3825(config)# show crypto ipsec sa

信息顯示：

如出現上述顯示則表示第二階段協商成功，IPsec VPN建立成功。

5.2 客戶端測試

如果IPSec VPN建立成功，則在映翰通IP605路由器的WEB界面則會顯示出隧道相關信息（圖5）。

圖5 映翰通IP605路由器IPSec VPN隧道信息示意圖Fig.5 Default parameters set up at each progress for IPSec tunneling in related Inhand IP605 wireless router modem

5.3 數據接收分析

本次項目為了得到更好更穩定的數據采集信號，野外采用聯通的WCDMA3G信號卡網絡，聯通的3G網絡應該說是3個運營商里速度最快、技術最成熟的，它的下行帶寬速率可達7.2Mbps。通過對野外連入VPN的PC對地震行業網進行長PING（網段是10.35.*.*/255. 255.255.0），來對數據包的延遲和丟包率進行測試（圖6），從測試結果可以看出聯通的3G網絡第一次PING包的延遲較大，之后的延遲平均在200—400ms之間，基本無丟包率，再通過流動臺站數據接收軟件查看數據接收情況（圖7），其數據也沒有出現斷計現象，完全滿足此次數據傳輸通訊的需求。

圖6 PING包測試截圖Fig. 6 The IPSec VPN tunnel information of Inhand IP605 wireless router modem

圖7 流動地震觀測臺站數據接收波形圖Fig. 7 Screenshot of PING packet testing results

6 結論

地震行業內存在大量的野外工作內容，如：流動地震觀測、地震應急、海洋地震觀測，需要隨時隨地的將大容量數據傳送至總部。本文基于3G網絡應用的普及，尋找到一種高效便捷的野外流動地震觀測數據傳輸的通訊模式，加上IPSec VPN原有成熟的組網技術，使得野外流動地震觀測數據通訊需求得到了充分的解決，其主要有以下幾個特點。

（1）應用的突破

傳統地震行業數據傳輸中IPSec VPN技術是基于固定臺站的應用，該技術對于野外流動地震觀測應用的案例比較少，作者于2003年以來一直從事野外地震觀測工作，針對野外流動地震觀測業務本身的特點，如：設備需要攜帶輕便、設備配置靈活、IP地址不固定、隨時隨地的接入、快速搭建等，本文根據其新的應用需求的特點，對設備選型及配置都做了比較好的推薦與說明，并對3G網絡在工程實踐做了數據傳輸性能測試與比較，提出了在野外流動地震數據傳輸中性價比較好的方法。

（2）技術改進

傳統的IPSec VPN技術配置是基于命令行模式，對地震現場工作人員技術要求比較高，本文推薦選型設備是基于WEB配置方式，工作人員只需要在配置表單中簡單輸入相應的參數即可輕松調試設備，更快的為現場搭建出一條加密遂道數據傳輸模式，對于地震野外工作現場，可大大提高工作人員的效率。

（3）經濟簡約

傳統的LAN to LAN組網需要租用專有的網絡，費用較高，通過3G網絡，可以隨時隨地方便的利于互聯網原有的架構輕松的接入地震行業網內，節省了昂貴的專線租用投入，且數據安全性也是有保證的。

本方法通過在野外流動地震監測中的應用，可以充分保證地震信息業務安全、高速、可靠傳輸，有效的解決了野外流動地震監測中數據實時傳輸的問題，保障了指揮中心的快速響應與決策作用。通過測試使用，本方法適于在整個地震行業內有相同野外性質的業務中進行推廣與借鑒。

參考文獻

李成友，曹偉，2002．IPSec研究與虛擬專用網技術．計算機工程，（2）：246—248．

羅蘭，紐坎博著，白建軍，王寶生譯，2003．CCSP Cisco安全VPN認證考試指南．北京：人民郵電出版社，58—96．

秦林忠，黃本雄，2001．IPSec設計與實現．計算機應用，（21）：25—27．

張煥明，2006．基于IPSec的VPN關鍵技術研究．微計算機信息，（3）：56—58．

Todd Lammle著，2012．CCNA學習指南（640-802）（第7版）．北京：人民郵電出版社．

3G Network-based IPSec VPN Networking Technology for Data Transmission for Mobile Earthquake Monitoring

Fang Wei, Zhang Yifeng, Yan Pei, Liu Shanhu, Xu Yixi, Li Puchun and Wang Sun

(Xiamen Research Centre of Seismologic Surveying, Xiamen 361021, China)

Taking surveying experiment in the land and ocean of Fujian province in 2013 as an example, we investigate the most popular 3G wireless networking build up and IPSEC VPN technology mobile earthquake monitoring. The advantages of high security, flexible application, lower cost, combined with the realistic earthquake precursory network setting conditions in Fujian province, allow us to build up data communication modes rapidly in seismic industry network. Thus the data collected at outdoors can be immediately transmitted to headquarters command center. This technology is useful to solve the problem of live transmission of data for outdoor portable earthquake precursory, and to guarantee the rapid response and decision making from command center.

3G wireless; IPSEC VPN; Mobile earthquake monitoring; Data communication

方韡，張藝峰，閆培，劉善虎，許儀西，李普春，王筍，2014．基于3G網絡的IPSec VPN組網技術在野外流動地震監測中數據

的應用．震災防御技術，9（3）：496—507．

10.11899/zzfy20140317

1 課題項目 臺灣海峽西部地殼深部結構探測

2013-11-12

方韡，男，生于1982年。工程師。主要從事地震監測與地震信息網絡維護與應用工作。E-mail：258279496@qq.com