冬运会小微气象信息中心实现

黄丽娜

摘要：冬运会多伦赛区小微气象信息中心通过互联网链路与盟局建立VPN网络，实现赛区集中办公区气象信息网络访问，互联网链路以有线链路为主，4G接入为辅，链路故障自动切换。通过“通訊宝”手机终端，对小微气象信息中心的运行情况远程实时监控。十四冬气象服务保障中小微气象信息中心起到关键作用，它为赛场办公区各气象业务系统运行提供网络支撑。

关键词：VPN网络;网络实时监控;网络安全防护;网络拓扑结构

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2020）34-0055-03

Abstract： The small and micro meteorological information center in Duolun District of the Winter Sports Games establishes VPN network with the League Bureau through the Internet link， realizes the network access of meteorological information in the centralized office area of the competition area. Internet link is mainly cable link， 4G accessing as a supplement， link failure automatic switching. By“Tongxunbao” app， realizing real-time remote monitoring of the operation of small and micro meteorological information center. In the 14th Winter Sports Games meteorology service， the small and micro meteorological information center plays a key role， it provides network support for the operation of meteorological systems in the office area of the competition area.

Key words： VPN network; real time network monitoring; protecting the security of the network; network topology

1概述

第十四届全国冬季体育运动会在内蒙古自治区举行。冬季运动会冰上龙舟群众赛事于2020年1月11日、12日在锡林郭勒盟多伦县龙泽湖公园举行。龙泽湖公园位于县城核心区域，占地50万平方米，冰面30万平方米。冰雪项目与气象条件关系密切，气象是冬运会成功的关键因素之一。

根据冬运会气象服务实际需求，升级现有气象信息通信系统，增强气象信息传输和处理能力。盟局核心设备增加互联网VPN网关，部署在防火墙前端，为小微气象信息中心提供网络入口。通过 VPN 设备与赛场小微气象信息中心实现互联互通，提高气象信息共享能力。为重要数据交换、信息共享以及高性能运算等提供高速、稳定和可靠的网络支撑，确保各类气象信息能够通过互联网及时更新，保证各项气象业务系统正常运行。

VPN技术（virtual private network） - 虚拟私有网络技术，VPN技术是基于公共网络结合加密、身份认证等技术来在不同业务部门之间建立虚拟安全通道，让连接到虚拟安全通道的不同业务部门认为互相处于一个私有网络之中。VPN 技术具有高安全性、很强的扩展性、低成本、便于管理（虚拟非物理搭建）等特性，具有广阔的发展前景。

IPSec（Internet Protocol Security）基于一组开放的网络安全协议三层隧道加密技术，IPSec能够提供双向认证，并且为IP及其上层业务数据提供安全加密保护，能够支持数据加密（包括常见的DES、3DES、AES加密算法），数据完整性验证，数据身份验证以及防重放等功能，充分保证业务数据的安全性。Ike（Internet Key Exchange）为IPSec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。

2 VPN实现功能

冬运会期间，通过互联网链路与盟局气象内网建立VPN网络，在多伦赛区集中办公区实现气象信息网络访问，互联网链路以有线链路为主，4G接入为辅，链路故障自动切换。并利用无线接入设备向赛区气象服务工作场所提供气象内网有线/无线网络覆盖。确保赛区工作场所气象业务系统正常运行，为赛区气象服务提供有力支撑。

3 VPN网络部署方案

3.1设备信息

[项目 名称 数量 位置 网络设备 VPN网关 2 锡林郭勒盟气象局 深信服防火墙 1 锡林郭勒盟气象局 VPN接入设备 2 现场气象服务中心 三层交换机 1 现场气象服务中心 ]

3.2业务配置

（1）VPN接入

局端VPN配置启用VPN功能，配置VPN端点，添加VPN隧道及相应安全规则。终端VPN配置添加VPN隧道，配置远程连接信息及IPSEC算法配置后，连接完成与局端VPN隧道建立。

（2）防火墙

配置前完成各对象的定义，根据使用的设备接口、IP地址（段）或子网、端口增加相应的安全规则。

（3）无线接入

因网络已通过VPN路由进行了包转发，为减少路由节点，无线接入无论设备是否带有路由功能，应选择不启用，仅配置无线接入点和访问控制即可。

（4）交换机

启动三层路由功能，配置赛区局域网网关。

（5）服务器

服务器主要用途为在赛场提供数据、产品、资料等的本地存储和分发等，配置samba、ftp等常规文件服务协议，配置虚拟桌面连接。

3.3VPN网络拓扑结构

网络拓扑结构如图1所示。

在盟局VPN接入区域部署AR3260及MSR 30-11E，通过双绞线接入互联网出口路由器作为盟局VPN网关，负责与多伦赛区的接入路由器建立VPN隧道，同时VPN网关通过边界防火墙接入气象内网，实现多伦赛区的内网访问需求。

多伦赛区VPN接入区域部署2台接入路由器AR3260、AR2240和1台三层交换机S5720，AR3260通过联通有线及联通4G接入互联网，AR2240通过移动4G接入互联网，以有线为主路，4G接入为辅。赛场区域的2台接入路由器分别与盟局VPN网关建立1条VPN隧道上联盟局，并在IPSec tunnel的基础上启用OSPF路由协议，实现赛场与盟局之间的动态路由学习。赛场接入交换机双上联至2台赛场接入路由器，启用OSPF实现路由学习，多伦赛场业务网关部署在赛场接入交换机上。

盟局VPN网关两台设备AR3260及MSR 30-11E，实现冷备，如果其中一台设备故障，切换另一台设备，可以重新建立VPN隧道实现赛区气象内网通信。互联网链路以联通有线为主，移动有线、联通4G、移动4G为辅。联通有线故障，自动切换联通4G，保障赛区气象内网实时通信。联通有线延时变长，手动切换移动有线，保障赛区气象内网通信畅通。

3.4路由规划

如上图所示4台设备全部使用OSPF协议同步路由信息，其中盟局VPN网关与赛场接入路由器在IPSec tunnel上层建立OSPF邻居关系。多伦赛区内的2台路由器通过OSPF实现热备，现场实施时可根据实际的线路情况和4G信号情况通过调整OSPF接口COST值等方法调整主备选路。图中计划以绿色路径作为协议优选路径，红色路径作为协议备选路径。

3.5网络监测手段

将小微气象信息中心相关设备添加至“通讯宝”平台，通过“通讯宝”手机终端，对气象广域网、气象局域网、十四冬小微气象信息中心的运行情况远程实时监控，网络故障脱离现场，能够在第一时间监控网络通断情况，并及时响应。每日定时检查小微气象信息中心联通有线互联网通信状态，如果延时变长及时联系运营商解决。

3.6故障排查手段

查看互联网连通性，登录赛场路由器（AR3260或AR2240）ping盟局互联网出口地址。能ping通说明多伦互联网访问正常，可结合tracert 202.99.224.8判断本地路由器出口选路。

查看ospf邻居关系，命令：display ospf peer brief，如果通过tunnel11或tunnel12接口到盟局VPN网关建立的ospf邻居关系状态为FULL，则为正常，否则查看接口状态和ike及IPSec协商状态。

查看接口状态，命令：display ip interface brief，观察互联网接口g/0/2、c4/0/0、tunnel11或tunnel12口的协议状态是否为up，tunnel口在建立完IPSec协商后为up状态。

查看ike协商，命令：display ike sa，类似如下结果为正常：

否则，ike协商失败，要检查ike peer相关配置和两个路由器之间端口连通性。

查看IPSec协商，命令：display ipsec sa，正常会显示内容，如果IPSec协商失败不会显示任何内容。如果IPSec协商失败重点检查两端设备用于配置的加密算法是否一致。

3.7网络安全防护

根據《关于组织做好第十四届全国冬季运动会气象服务网络安全保障工作的通知》，制定了“十四冬”冰上龙舟比赛期间的网络安全应急预案，明确应急处置流程，发生或可能发生网络安全事件时，及时启动应急预案。扎实做好网络安全防护工作。

小微气象信息中心网络安全防护工作，在VPN网关AR3260和气象内网之间配置防火墙，实现对多伦赛区集中办公区气象内网访问控制。对赛区集中办公区需要访问气象内网网段进行调查，根据需求建立相应的应用控制策略，从而有效管理控制气象内网访问，并禁止对外风险端口。

4总结

小微气象信息中心主要实现方式是通过在互联网上建立加密通信隧道，连接赛场办公区内网和锡林郭勒盟气象局内网。十四冬气象服务保障中小微气象信息中心起到关键作用，它为赛场办公区各气象业务系统运行提供网络支撑。小微气象信息中心建设关键是网络拓扑结构设计，网络安全措施，网络保障手段。小微气象信息中心运行期间不免会出现一些问题，要逐步排查故障，查找故障原因，从根本解决问题，并且总结经验，提高技术水平，提升重大气象服务保障能力。

参考文献：

[1] 肖蔚琪.IPSECVPN技术在私有虚拟专网中的应用探讨[J].信息通信，2014，27（12）：188-189.

[2] 于程杰.计算机网络安全中虚拟网络技术的应用[J].科技资讯，2019，17（28）：9-10.

[3] 窦以文，刘旭林，沈波，等.气象信息安全建设探讨[J].气象与环境学报，2011，27（2）：45-49.

[4] 胡鹏，孙伟忠，陈晓宇.广州突发预警信息发布中心网络安全的加固[J].广东气象，2018，40（3）：77-80.

[5]秦柯.Cisco IPSec VPN实战指南[M].北京：人民邮电出版社，2012.

【通联编辑：代影】