VPN技术在四川地震信息网络中的应用

林 洋 , 张 颖

(四川省地震局，四川 成都 610041)

VPN技术在四川地震信息网络中的应用

林 洋 , 张 颖

(四川省地震局，四川 成都 610041)

通过VPN技术的应用，使不同地区的节点通过Internet实现了专网通信的可能，并促进了四川省地震信息网络的建设和发展。文章介绍了VPN技术在四川地震信息网络中的应用及其实现。

VPN；GRE；IPSEC；应用

四川省地震信息网络经过近10年的建设和发展，已形成以四川省地震局为区域中心，覆盖全省17个地震台站、60余个市(州)、县信息节点的信息网络，为地震监测数据的传输与共享、地震应急、市县防震减灾信息服务等提供了通信平台。目前，区域中心与信息节点之间的通信主要有专线模式和基于互联网的VPN(Virtual Private Network，虚拟专用网络)模式，由于专线的通信成本较高，近年来，市、县信息节点的建设几乎都是利用成本低廉的互联网线路，与省中心组建VPN，推动了信息节点的建设，也促进了四川省防震减灾综合信息服务的发展。

1 VPN技术简介

IETF(Internet Engineering Task Force，互联网工程任务组)组织对VPN的解释为：通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。VPN通常是指在公用网络上建立专用网络，进行加密通信。VPN是在Internet上建立的能够自我管理的专用网[1]，具有成本低、易用、安全等特点，在企业网络中被广泛应用，能够让公司分支机构、异地用户、商业伙伴及供应商与公司内部网络建立可信的安全连接，并保证数据的安全传输。

四川地震信息网络中VPN技术的应用，主要包括GRE VPN和IPSEC VPN。

(1)GRE(Generic Routing Encapsulation)即通用路由封装协议，是对某些网络层协议(如IP和IPX)的数据包进行封装，使这些被封装的数据包能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议。GRE能够支持多种协议和多播，支持多点隧道，能够用来创建弹性的VPN，能够实施QOS，但是缺乏加密机制。GRE隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、 AppleTalk包，并支持全部的路由协议(如RIP2、OSPF等)[2]。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，对公网隐藏企业网的IP地址。

(2)IPSEC VPN是基于IPSec协议的VPN技术，其通信双方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec协议包括网络认证协议AH(Authentication Header，认证头)、ESP(Encapsulating Security Payload，封装安全载荷)、IKE(Internet Key Exchange，因特网密钥交换)和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。在两个端点之间通过建立SA(Security Association，安全联盟)进行数据传输，SA定义了数据保护中使用的协议和算法以及SA的有效时间等属性。IPSec通过AH和ESP两个安全协议来实现[2]。IPSec有传输和隧道两种工作方式，传输方式只对IP有效负载进行加密，而在隧道方式中，IPSec对IP报头和有效负载进行加密，通过将其当作AH或ESP有效负载，隧道模式提供对整个IP数据包的保护，外部IP报头的IP地址是隧道终结点，封装的IP报头的IP地址是最终源地址与目标地址。

2 VPN在四川地震信息网络中的应用

2.1 网络现状

四川地震信息网络目前是以四川省地震局为中心，汇接全省的台站、市(县)信息节点，如图1所示。有部分信息节点采用SDH专线，其余节点均采用互联网线路，通过与省中心组建VPN，实现行业网通信。省中心互联网线路具备公网IP地址，信息节点互联网线路分为两种，一种是具有固定公网IP的节点，另一种是通过动态拔号或依赖其他网络连接互联网的节点，不具备固定公网IP或者不具备公网IP。针对这两种不同情况的信息节点，在VPN建设时也分别采用了GRE VPN和IPSEC VPN两种技术。

图1 网络拓扑示意图

2.2 GRE VPN的应用

GRE采用tunnel(隧道)技术，实现点到点的连接，提供了一条通道使封装的数据报文能够在这个通道上传输，并且在一个tunnel的两端分别对数据报文进行封装及解封装。以小庙地震台与省中心通信为例，其连接情况如图2。如小庙台某计算机访问省中心10.51.xx.xx段的业务，路由器A从接口Ethernet0/1收到该报文后，检查报文目的地址需要经过tunnel才能到达，则将此报文发到tunnel接口，tunnel接口接收此报文后进行GRE封装，再封装IP报头(目的地址将会指向省中心路由器B的地址222.210.xxx.xx)，根据此IP包的目的地址及路由表对报文进行转发，从接口Ethernet0/0发送出去。接收端路由器接收到此报文后解开IP报头，并交GRE协议处理，然后继续转发，达到目的地。

图2 GRE VPN连接示意图

GRE VPN的实现，在路由器上配置比较简单，主要包括二部分：

(1)创建虚拟tunnel接口，并配置IP地址、源端地址、目的端地址。

(2)配置路由

小庙台路由器A(设备型号：华为AR28-31)的主要配置如下：

interface Ethernet0/0

ip address 218.89.140.150 255.xxx.xxx.xxx(公网接口IP)

……

interface Ethernet0/1

ip address 10.51.174.254 255.xxx.xxx.xx (局域网网关IP)

interface Tunnel1 (创建tunnel，默认封装协议为GRE)

ip address 10.51.253.118 255.xxx.xxx.xxx (tunnel接口IP，与tunnel对端IP要在一个子网)

source 218.89.xxx.xxx (tunnel 源地址)

destination 222.210.xxx.xxx (tunnel目的地址，指向路由器B)

ip route-static 10.51.1.0 255.255.xxx.xx Tunnel 1 (指定到省局10.51.xx.xx的数据包由tunnel1转发)

省中心路由器B(设备型号：迈普vpn3030)的对应配置如下：

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx (公网接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局内网接口IP)

……

interface tunnel1 (创建tunnel)

tunnel mode gre ip (定义tunnel封装协议为GRE)

tunnel source 222.210.xxx.xx (tunnel 源地址)

tunnel destination 218.89.xxx.xxx (tunnel目的地址，指向路由器A)

ip address 10.51.253.117 255.xxx.xxx.xxx(tunnel接口IP，与tunnel对端IP要在一个子网)

ip route 10.51.174.0 255.xxx.xxx.xx tunnel1 (指定到小庙台的数据包由tunnel1转发)

2.3 IPSEC VPN的应用

在不具备固定公网IP或者不具备公网IP的信息节点，采用IPSEC VPN隧道方式组网时，需在两个网络节点之间建立一个虚拟链路通道，从而使两个节点内部的网络能够通过这个虚拟链路到达对方。IPSEC VPN的建立必须通过IKE进行协商，协商两端所采用的加密算法，封装技术以及密钥，包括两个阶段：(1)第一阶段，在两个对等体设备之间建立一个安全的管理链接，管理链接用来保护第二阶段协商过程，并不发生实际数据流。(2)第二阶段，构建安全数据链接的安全参数，协商完成后，在两个站点间形成安全的数据链接，用于数据传输。

以天全县和省中心的IPSEC VPN为例，其链接情况如图3，路由器的主要配置如下：

图3 IPSEC VPN连接示意图

天全县路由器A(设备型号：迈普MP2806)的主要配置如下：

interface fastethernet0

ip address dhcp (自动获取IP)

……

interface fastethernet1

ip address 10.51.109.65 255.xxx.xxx.xxx (局域网网关IP)

……

crypto ike key 123456 address 222.210.xxx.xxx (定义预共享密钥“123xxx”，须与省中心的一致)

crypto tunnel t0 (创建tunnel)

local interface fastethernet0 (设置tunnel本端为本地接口IP)

peer address 222.210.xxx.xxx (设备tunnel对端IP)

set sec-level basic (设定为基本安全级别，其ike验证算法是sha1、加密算法md5，ipsec认证算法sha1，加密算法md5)

set auto-up

……

crypto policy p1

flow 10.51.109.64 255.xxx.xxx.192 10.51.1.0 xxx.xxx.xxx.0 ip tunnel t0 (定义策略路由，让本子网至10.51.1.0网络的数据流由tunnel t0转发)

……

省中心路由器B(设备型号：迈普vpn3030)的对应配置如下

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx(公网接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局内网接口IP)

……

crypto ike key 123456 any (定义预共享密钥，须与节点的一致，由于节点IP不确定，any用于匹配任意IP)

crypto tunnel DX (创建tunnel)

local address 222.210.xxx.xx (本端IP) peer any (对端IP，any是匹配任意IP)

set sec-level basic (应与对端设定的安全协议、算法一致)

……

crypto policy DX

flow 10.51.1.0 255.255.255.0 10.51.109.64 255.xxx.xxx.xxx ip tunnel DX bypass(定义策略路由，让四川省地震局到天全县的数据流由tunnel t0转发)

3 结束语

由于VPN技术的应用，使分布在各地的节点通过Internet实现了专网通信的可能，极大的促进了四川地震信息网络的建设和发展。四川地震信息网络经过四川省防震减灾综合能力建设、汶川地震灾后恢复重建项目以及部分市县自有项目的建设，先后建设了50余个市(县)信息节点，均采用了VPN技术组网。在这些信息节点上开展了防震减灾综合信息服务系统应用、地震应急指挥技术系统、视频会议等应用，实现了测震、前兆、应急等数据的及时共享和交换，也为今后各项业务的顺利开展提供了通信条件。

当然，VPN的应用有其优势，也有其缺点，由于信息节点大多基于普通互联网线路(如ADSL)，这种线路的稳定性较差，因此VPN连接质量不高，时常发生中断，不适于实时性、连续性要求较高的应用。另外，信息节点的技术人员对网络的运维能力比较低，运维工作很大程度上需要省中心人员的支持，尤其是不具备公网IP的节点，再加上存在多种不同品牌设备的情况，从而导致省中心远程运维难度较大。总之，网络的建设，既要考虑业务的需求，也要考虑长期运维经费的保障，从而选择适宜的组网技术和方式，更好的服务于防震减灾工作。

[1] 黎珠博.VPN技术及在地震前兆观测台站中的应用[J].华南地震.2013，33(1):81-85.

[2] 杭州华三通信技术有限公司.COMWARE V3 操作手册-RELEASE0201(V3.11).[EB/OL].[2015-8-25].http://www.h3c.com.cn/Service/Document_Center/Routers/Catalog/AR_46/AR_46/Configure/Operation_Manual/AR_46_OM(V3.11)/.

Introduction to VPN technique used in Seismic Information Network of Sichuan

Lin Yang，Zhang Ying

(Earthquake Administration of Sichuan Province, Sichuan Chengdu 610041, Chinaa)

The VPN technique makes it possible to communicate the seismic messages of the specific network through the different regions nodes. We introduce the VPN technique some of details used in Sichuan Seismic Information Network.

VPN technique; GRE; IPSEC; application

2015-09-21

林洋(1979-)，男，四川省西昌市人，工程师.

TP317

B

1001-8115(2015)04-0020-04

10.13716/j.cnki.1001-8115.2015.04.005