云南省地震行業網備份信道設計與實現

呂 帥，李 倩，武孔春，安小偉

(云南省地震局，云南 昆明 650224)

0 引言

地震行業網作為測震、強震、地球物理場、應急、信息等業務傳輸的橋梁，保證其連續運行十分重要。云南省地震局(以下簡稱云南局)歷年的地震行業網中斷原因統計顯示，運營商信道故障占40%左右，且一旦運營商信道故障，只能被動等待其恢復，對測震數據等實時性要求高的核心業務易造成較大影響，故備份信道建設的需求十分迫切。該文結合云南省地震行業網現狀，運用現有的網絡資源和成熟的4G及VPN技術，探索備份信道的解決方案。

1 地震行業網現狀

云南局信息網絡系統建設始于云南數字地震觀測網絡項目—信息分項，2008年1月正式投入使用。該系統按區域及職能分為1個省區域中心、14個地震臺站信息節點、16個大中城市地震信息服務節點和18個縣級地震信息服務節點。組網模式為三層樹形結構，采用OSPF路由協議實現與全國地震行業網互聯。縣級節點至州市節點網絡為2M SDH專線，州市至省區域中心為4M MSTP專線，臺站節點至省區域中心為10M MSTP專線。2018年6月的地震行業網網絡結構如第40頁圖1所示。

2 相關技術簡介

VPN(Virtual Private Network，虛擬專用網絡)通常指利用公用網絡建立的臨時、安全、可靠的網絡連接，可以讓移動用戶、分支機構等安全、高效地接入總公司內部網絡。按組網模型可分為VPDN(Virtual Private Dial Network，虛擬專用撥號網)、VPRN(Virtual Private Routing Network，虛擬專用路由網)、VPWS(Virtual Private Pseudo Service，虛擬專用線服務)和VPLS(Virtual Private LAN Service，虛擬專用局域網服務)[1]。該備份信道實現主要采用VPRN和VPDN方式，下面對VPRN中的IPSec、GRE和VPDN進行簡要介紹。

2.1 VPRN簡介

(1) IPSec簡介。

IPSec是由IETF(國際互聯網工程任務組)設計的作用在IP層上用來保護端到端之間信息傳輸的安全性和保密性的一種協議[2]。主要組成部分包括AH(Authentication Header，認證頭)、ESP(Encapsulating Security Payload，封裝安全載荷)、安全聯盟SA和ISAKMP(Internet Security Association and Key Management Protocol，密鑰管理協議)。IPSec工作于OSI模型第三層IP層，為IP報文提供公網傳輸安全服務。

(2) GRE簡介。

GRE(通用路由封裝)是一種Tunnel(隧道)技術，支持全部的路由協議(如RIP v2、OSPF等)，用于在IP包中封裝任意協議的數據包，包括IP、IPX、NetBEUI等，封裝后的數據包在另一個網絡層協議中進行傳輸。

GRE是一種傳輸不安全無狀態的協議，但其支持動態路由協議及允許多播和廣播穿越隧道；IPSec僅支持單播通過，卻能夠提供安全保障。綜合運用GRE和IPSec兩種技術，首先利用GRE技術來對動態路由協議報文(如多播和廣播報文)和用戶數據進行隧道封裝，提供一個點對點的隧道，然后通過IPSec VPN技術提供的安全措施保護GRE隧道中數據的安全，兩種技術的結合，構成GRE over IPSec VPN技術[3]。

圖1 云南地震行業網網絡結構圖Fig.1 Network structure of Yunnan seismological industry network

2.2 VPDN 簡介

VPDN全稱虛擬專用撥號網(Virtual Private Dial Network)，是利用IP網絡的承載功能，結合相應的認證和授權機制建立起來的安全的虛擬專用網，其通過身份驗證、數據保密性和數據完整性三個層級來保證用戶數據安全[4]。客戶只需關注終端及LNS入網后的內部網絡結構，即可實現高效靈活的數據傳輸需要。

3 備份信道組網方案

利用云南局現有的IPSec VPN設備、VPDN接入平臺和電子政務外網資源，依托4G無線網和電子政務外網專線，實現基于4G的IPSec VPN、基于4G的VPDN和基于電子政務外網的GRE over IPSec VPN三種備份信道組網方案。實際測試過程中以楚雄市地震局(以下簡稱楚雄局)為備份節點，搭建備份信道。

3.1 基于4G的IPSec VPN備份信道實現

思路為首先建立中心端VPN設備與遠端4G無線路由器的IPSec隧道，使遠端4G無線路由器能接入地震行業網，然后將遠端4G無線路由器LAN口接入備份節點交換機，通過設置中心端網絡設備路由優先值，實現主信道與無線備份信道的自動切換，網絡拓撲如圖2所示。

圖2 基于4G的IPSec VPN備份信道組網拓撲圖Fig.2 IPSec VPN backup channel topology diagram based on 4G

IPSec VPN配置采用總部—分支類型，云南局深信服VPN2150為總部VPN，楚雄局4G無線路由器MIG-1000為分支VPN。首先，保證云南局VPN2150直連Internet(即擁有固定互聯網IP+端口)，設置WebAgent為云南局互聯網固定IP+IPSec監聽端口(220.163.xx.xx:409)。在用戶管理模塊配置分支用戶，選擇認證方式、加密算法及傳輸類型；其后，在楚雄局4G無線路由器上配置連接管理，設置WebAgent為云南局VPN2150配置的WebAgent，用戶、認證方式、加密算法和傳輸類型等設置與云南局VPN2150保持一致。配置完成后，IPSec VPN隧道打通，實現楚雄局4G無線路由器接入地震行業網。

將楚雄局4G無線路由器LAN口配置楚雄局行業網地址，接入楚雄局行業網交換機，實現主信道和備份信道兩條鏈路暢通。利用云南局HUAWEI、H3C設備OSPF路由優先級高于靜態路由(CISCO設備可將靜態路由管理距離值設置高于OSPF，使其優先選擇OSPF協議線路)的屬性，在云南局節點匯聚路由器和核心交換機上，配置訪問楚雄局網段指向云南局VPN2150的靜態路由。默認云南局至楚雄局路由優先選擇OSPF主信道，當OSPF主信道中斷時，自動切換到IPSec VPN備份信道，主信道恢復后又切換回OSPF主信道。

3.2 基于4G的 VPDN備份信道實現

利用云南局區域中心電信VPDN平臺，實現中心端電信接入路由器LNS與遠端4G無線路由器連接的建立，使遠端4G無線路由器能接入地震行業網，再通過3.1章節中設置路由優先級的方法，實現主信道與無線備份信道的切換，網絡拓撲如圖3所示。

圖3 基于4G 的VPDN備份信道組網拓撲圖Fig.3 Topology map of VPDN backup channel network based on 4G

將使用的電信4G SIM卡與電信VPDN平臺賬號綁定，每張4G卡對應一個VPDN平臺私有IP地址及用戶名密碼，既保證安全性，也方便管理。采用電信4G無線路由器作為楚雄局備份信道無線路由器，在該無線路由器中的配置連接類型、用戶名、密碼和APN，實現與云南局VPDN專線的對接。通過云南局VPDN接入路由器，實現楚雄局4G無線路由器接入地震行業網。在無線路由器LAN口配置備份節點地址，接入楚雄局行業網交換機，信道切換方式與上述3.1中的類似。

3.3 基于電子政務外網的GRE over IPSec VPN備份信道實現

云南省電子政務外網與云南省地震行業網相似，采用省、市、縣三級結構，目前已覆蓋所有州、市、縣地震局。兩個網絡系統互相獨立，當市縣地震局地震行業網出現信道故障中斷時，可臨時使用電子政務外網專線配置基于GRE over IPSec的VPN隧道，保障市縣地震局行業網的暢通，網絡拓撲如第42頁圖4所示。

要確保楚雄局電子政務外網和云南局電子政務外網的互通，進行如下配置。第一步配置GRE通道。在云南局VPN路由器上建立一個GRE Tunnel，設置該Tunnel 的IP address為云南局地震行業網互聯地址。在楚雄局行業網路由器HUAWEI NE20-S2E建立GRE Tunnel，IP address為楚雄局地震行業網互聯地址，雙方配置相同的gre key值，建立起GRE通道；第二步配置IPSec。在雙方路由器上設置IPSec為傳輸模式，配置雙方的IPSec協商，并將IPSec 協商應用到剛才建立的GRE Tunnel；第三步在OSPF里通告地震行業網地址段。如此，就打通了基于電子政務外網的地震行業網VPN隧道，通過設置VPN隧道的OSPF開銷值大于主信道OSPF開銷值，實現路由優先選擇主信道，在主信道中斷時自動切換至備份信道。

3.4 組網方案應用分析

三種方式的備份信道搭建方案，解決了單一實現方式對具體網絡環境的依賴性，提高了類似云南等多節點省份備份信道建設的靈活性。基于4G的IPSec備份信道解決方案不依賴單一運營商4G網絡，節點管理及數據傳輸均由省中心端控制，不需經過運營商平臺。從數據源到中心端之間的數據通過IPSec加密傳輸，具有一定的安全性。在實際測試中，網絡穩定性也較強，可應用于野外地震流動觀測臺的數據傳輸，有效解決野外地震觀測環境單一運營商網絡信號差、專線不可達和數據安全性等問題。

4 結語

針對云南省地震行業網現狀分析和備份信道方案的設計，通過實際搭建測試，實現多種方式備份信道的解決方案，能有效應對多個節點復雜環境的備份信道建設需求。方案中使用的相關技術均已成熟，可滿足地震觀測數據實時傳輸和保障地震行業網網絡連通率的要求，對野外流動觀測數據傳輸的改進提供參考方案。

圖4 基于電子政務外網的備份信道組網拓撲圖Fig.4 Topology map of backup channel network based on E-government extranet