VPN技术在流动地震台网数据传输中的应用

陈军辉，孙　侃，陈吉锋，张　明

(浙江省地震局，浙江　杭州　310013)



VPN技术在流动地震台网数据传输中的应用

陈军辉，孙侃，陈吉锋，张明

(浙江省地震局，浙江杭州310013)

摘要：流动地震台站的数据传输主要指实现流动台站与省局台网中心间观测数据的传输，文章主要介绍VPN技术在浙江省流动地震台网数据传输过程中的主要相关配置及技术指标，并通过应用实例证明采用VPN技术进行流动地震台的组网是安全可靠的。

关键词：流动地震台网；数据传输； VPN技术

0引言

流动地震台，一方面用于震前监测，对可能发生中强地震的区域地震活动背景作临时性的加密观测，更好地跟踪地震的活动动态；另一方面用于余震监测，记录中强地震后的余震变化，为进一步研究地震震源特征及后续震情变化夯实基础资料。目前，流动地震台也用于对工程现场爆破而引起地动数据变化的监测，并已成为社会服务的一个窗口。在流动地震台的地动数据传输过程中，因其作为连接公网的连续数据传输的网络节点，易受到公网上其它无信任关系的节点的攻击，包括病毒攻击、黑客攻击等，导致台站观测数据的丢失，甚至造成网络系统的崩溃。这些潜在风险对流动地震台网的安全性和数据传输的保密性都带来巨大的挑战。因此，固定地震台现多采用SDH/MSTP等专线的方式，或采用VPN技术建立虚拟专网的方式进行数据传输。但流动地震台网及其数据控制中心多为临时搭建，SDH/MSTP等光纤有线网络的数据传输方式无法快速建立， VPN技术作为一种成熟的网络技术，在地震行业中已广泛应用。例如一些有线网络不能到达的观测台(点)、临时观测点和流动观测点，在公用网络上运用VPN技术就能实现与专线相同的效果，并在公网上实现私有化网络[1]。本文主要对VPN技术在浙江省流动地震台网中的运用加以论述。

1流动地震台网的系统构成

浙江省流动地震台网的系统构成包括：流动地震台站、现场地震数据控制中心、省局台网中心，具体系统构成如第28页图1所示。其中，流动地震台站共7个，由3G无线路由器、BDCOM2820路由器等网络设备及地震观测设备构成。地震观测设备主要包括FSS-3M短周期地震计和EDAS-24GN数据采集器；现场地震数据控制中心部署了深信服无线路由器、工作站、交换机等硬件设备及JOPENS系统和自动地震速报系统等软件系统；省局台网中心由博达VPN路由器4860等网络设备以及各服务器和软件系统构成。关于具体地址分配，现场地震数据控制中心为10.**.159.0/28网段，网关为10.**.159.1，VPN隧道地址为10.**.242.200；流动台站1为10.**.159.16/28网段，网关为10.**.159.17，VPN隧道地址为10.**.242.201；流动台站2为10.**.159.32/28网段，网关为10.**.159.33，VPN隧道地址为10.**.242.202；流动台站3-流动台站7的网络设计以此类推。

1.1流动地震台站的数据传输

流动地震台站的数据传输主要是实现流动台站与省局台网中心的观测数据传输，鉴于流动地震台站部署地点的不确定性，采用3G无线传输技术或ADSL技术实现基于VPN技术的数据传输。流动地震台站与省局台网中心的组网属于应用型小型网络，考虑到维护路由表角度，采用了静态路由，基于数据传输建立的快速可靠性，流动地震台站采用L2TP协议的隧道技术进行数据上传。

1.1.1基于3G无线路由技术的数据传输

台站观测数据通过3G无线技术进行与省局台网中心的数据传输，无线路由器采用映翰通公司的IR711设备，数据传输协议采用L2TP的VPN隧道协议。

主要相关配置及说明如下：

lan0_netmask=255.255.255.240//配置子网掩码

图1　流动地震台网的系统构成Fig.1　System composition of mobile seismic network

login_timeout=500

lan0_name=lan0

lan0_ip=10.**.159.17//配置网关

language=Chinese

lan0_mtu_enable=0

lan0_iface=eth0

lan0_mode=1

lan0_server=0.0.0.0

l2tpc_tunnels=1,L2TP_TUNNEL_1,61.164.**.**,aaa,aaa,Router,0,1,0,,10.**.242.201,,10.0.0.0,255.0.0.0,60,5,0,0,1492,1492,0,,;

//设置隧道协议及其用户名密码，公网地址，隧道地址，远端子网，MTU,MRU等

1.1.2基于ADSL技术的数据传输

关于流动地震台站观测数据采用ADSL技术的光纤传输，通常是基于动态IP组建VPN网络，主要用于流动地震台部署在部门单位及居民家庭中等情况。ADSL即非对称数字信号传送，能在现有的铜双绞线，即普通电话线上提供8 Mbit/s的下行速率，1 Mbit/s的上行速率，远高于ISDN速率。目前CABLE ADSL已经在普通家庭用户中普及，且传输质量稳定可靠，为流动地震台利用ADSL线路进行数据传输提供了基础。ADSL拨号中PPP会话的建立有PAP认证协议和CHAP认证协议，考虑数据传输的安全性，由于CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”[2]，所以CHAP认证较PAP认证来说更为安全。浙江省流动地震台站ADSL连接省局台网中心的链路通过博达路由器BDCOM2820实现，会话建立的方式为CHAP认证，数据传输协议同样采用L2TP的VPN隧道协议。配置过程中，考虑到流动台站设备上英特网的问题，配置了动态NAT。

主要相关配置及说明如下：

interface Virtual-tunnel0//配置隧道接入ADSL拨号

mtu 1492

ip address negotiated

no ip directed-broadcast

no ip unreachable

ppp chap hostname hu2041103//配置CHAP认证，以及拨号用户名、密码

ppp chap password 0 ********

ip nat outside//定义拨号接口为NAT外部网络

ip nat mss 1452

interface Virtual-tunnel1//L2TP连接服务器端的隧道接入配置

ip address 10.**.242.201 255.255.255.0//指定IP，成为L2TP隧道端口地址

no ip directed-broadcast

ppp chap hostname aaa

ppp chap password 0 aaa

interface GigaEthernet0/0

no ip address

no ip directed-broadcast

interface GigaEthernet0/1//配置内网口，连接内部网络

ip address 10.**.159.17 255.255.255.240

no ip directed-broadcast

ip nat inside//配置为NAT内部本地地址

ip route default Virtual-tunnel0//静态路由，根据需要指定

ip route 10.**.0.0 255.255.0.0 Virtual-tunnel1 180

snmp-server community dzj-105 RO

ip access-list extended nat//配置扩展访问列表，允许内网上Inernet

permit ip 10.**.159.0 255.255.255.240 any

vpdn enable//开启VPDN功能

vpdn-group 1//创建VPDN策略组1

request-dialin//指定成为L2TP的接入端

port Virtual-tunnel1//关联Virtual-tunnel1

protocol l2tp//指定协议类型

local-name default

initiate-to ip 61.164.**.** priority 0

vpdn-group poe0//创建VPDN策略组POE0

request-dialin

port Virtual-tunnel0//关联Virtual-tunnel0

protocol pppoe//采用PPPOE拨号协议

pppoe bind GigaEthernet0/0

ip nat inside source list nat interface Virtual-tunnel0//配置台站设备上网的动态NAT

1.2现场地震数据控制中心与省局台网中心的数据交互

现场地震数据控制中心与省局台网中的数据交互主要是实现其与省局台网中心服务器网段(10.**.253.0/0)的数据传输，使流动地震台站的监测数据能通过省局台网中心实时传输到现场地震数据控制中心。其实现方式为采用深信服VPN路由器VPN-1250-cdma2000与位于省局台网中心的博达VPN路由器BDCOM4860建立IPSEC隧道传输协议，数据加密使用ESP协议中的3DES加密算法实现，数据完整性通过MD5算法实现。

主要相关配置及说明如下：

crypto nat//开启IPSec VPN nat穿透，支持在nat环境下使用

crypto identification sangfor//配置本端fqdn为“1.1.1.2” fqdn ″1.1.1.2″

crypto isakmp key sangfor 0.0.0.0 0.0.0.0//创建预共享密钥为“sangfor”，以及对端野蛮模式身份ID为“任意值”

crypto isakmp policy 10//创建预共享密钥，以及对端野蛮模式身份ID

Encryption 3des//配置加密算法为3DES

Hash md5//配置加密算法为MD5

Lifetime 3600//配置存活时间为3600秒

crypto ipsec transform-set sangforvpn//创建变换集及策略名sangforvpn

transform-type esp-3des esp-md5-hmac//具体的认证算法及加法

crypto dynamic-map sangfor//创建动态映射图

id sangfor//配置引用identification为“sangfor”

set transform-set sangforvpn//绑定名称为“snagforvpn”的变换集到映射图

match address sangfor//匹配名称为“sangfor”ACL策略

ip access-list extended sangfor//把本地是 10.**.253.0网段的去访问10.**.159.0网段的数据引流到vpn

permit ip 10.**.253.0 255.255.255.0 10.**.159.0 255.255.255.240

2系统实际使用

浙江省流动地震台网在杭州、临安、湖州等多地举行的应急演练中均无故障运行。特别是2014年10月至2015年初在温州文成、泰顺交界处地震应急期间，此流动台网进行了现场实地运行，流动台网段中有3个网段划分给由BBAS-2地震计与24GN数采组成的强震台，进行基于L2TP的3G无线数据传输，均取得了很好的观测效果。2015年，浙江省应急演练队伍在南京举办的年度华东片区地震演练中，在演练基地搭建了流动地震台及现场地震数据控制中心。演练过程中，我省局现场地震数据控制中心实时成功地获取了现场江苏局用震源车通过连续震动激发出的地震波。

3结论

基于VPN技术进行流动地震台网的数据传输，通过了在浙江省内及2015年华东区年度演练的多次实践应用，证明采用VPN技术进行流动地震台的组网是可行的。VPN技术中的隧道技术、数据封装、加密解密等技术用于流动地震台组网安全可靠，但在一些极端条件下，比如大震后地区网络基站受到大面积破坏，VPN技术的流动台网进行数据传输将受到限制，应选择卫星通讯等其他方式。

参考文献：

[1]孙海军，赵瑞胜，魏斌，等.VPN技术在新疆地磁台阵中的应用[J].内陆地震,2010,24(3):253-258.

[2]杨文利，王亿.交换机/路由器的配置与管理[M].北京:中国电力出版社,2008:202-203.

文章编号：1000-6265(2016)02-0027-04

收稿日期：2016-03-03

基金项目：浙江省地震背景场探测项目(5-2013-31-0021)。

第一作者简介：陈军辉(1984—)，男，浙江省东阳人。2009年毕业于广西大学，硕士研究生，工程师。

中图分类号：P315.09

文献标志码：A

Application of VPN Technology in Data Transmission of Mobile Seismic Network

CHEN Jun-hui, SUN Kan, CHEN Ji-feng, ZHANG Ming

(Earthquake Administration of Zhejiang Province, Hangzhou, Zhejiang 310013, China)

Abstract:The data transmission of mobile seismic stations is mainly between mobile stations and provincial network center. Related configurations and technical indexes of VPN technology in the data transmission process of mobile seismic network in Zhejiang province are introduces. By application examples it is proved that the networking is reliable and feasible by using VPN technology.

Key words:Mobile seismic network; Data transmission; VPN technology