L2TP VPN在无人值守子台无线备份链路中的应用

付 琦，郑国栋，陈 卓，魏美璇

（吉林省地震局，吉林 长春 130117）

0 引言

由于地震监测无人值守子台是测震、强震、地球物理场观测等业务手段的运行载体，因此保证其网络的连续运行十分重要。据吉林省地震局（以下简称吉林局）台站每年链路中断原因统计显示，运营商设备及链路故障占50%左右，一旦中心链路出现故障，中心台下属所有子台到省局链路都会中断，这将对测震、强震等实时性要求高的核心业务造成较大影响，因此为无人值守子台建设备份链路非常必要。笔者结合吉林局数字地震观测网络现状，利用省局现有网络资源依托移动运营商4G传输及L2TP VPN技术，设计了无人值守子台备份链路方案。

1 地震行业网现状

“十五”项目时期，吉林局建设了数字地震观测网络系统，整个网络系统设有一个区域中心、15个二级节点、10个市州局以及29个三级节点即无人值守子台。吉林局数字地震观测网络系统为三层树形拓扑结构，采用OSPF动态路由协议与全国地震行业网互联互通。二级节点至区域中心采用10M PTN链路，三级节点至二级节点采用2M PTN链路。整个观测网络系统没有冗余备份链路。2020年10月的数字观测网络系统结构如图1所示。

2 相关技术简介

吉林局无人值守子台备份链路的建设思路是应用4G网络及L2TP VPN隧道技术搭建无线备份链路，并利用OSPF动态路由协议和STATIC静态路由协议的优先级不同，达到主备链路切换的效果。

2.1 L2TP VPN简介

2.1.1 基础介绍

L2TP（Layer 2 Tunneling Protocol数据链路层隧道协议）VPN是一种国际标准隧道协议，它通过在互联网上建立点对点的数据链路层隧道，将PPP（Point-to-Point Protocol，点对点协议）数据帧封装后通过L2TP隧道传输，使得远端用户（如企业驻外机构和出差人员）利用PPP接入到互联网后，可以通过L2TP隧道进入到企业内部网络，并访问企业内部网络资源，从而为远端用户接入私有的企业网络提供了一种安全、经济且有效的方式。L2TP VPN结合了PPTP（Point to Point Tunneling Protocol点对点隧道协议）以及数据链路层转发协议的优点，不受NAT限制穿越，能以隧道方式使点对点的数据包通过各种网络协议，包括帧中继、ATM和sonet等。且L2TP支持点对点，针对不同业务需求建立多个隧道。

2.1.2 功能组件

L2TP VPN由LAC（L2TP Access Concentrator接入汇聚点）和LNS（L2TP Network Server网络服务器）两个功能组件组成。

LAC是作为隧道端点的一端的LNS的对等点。LAC终止了远程的点对点协议连接，并位于远程服务器和LNS之间。数据包通过点对点协议连接被转发到或从远程连接发送。通过L2TP隧道转发与LNS之间的数据包。

LNS是作为隧道端点的一端的LAC的对等点。LNS是LAC点对点协议隧道会话的终止点。被用来聚合多个通过LCA隧道的点对点协议会话并进入私有网络。

天瓦蓝瓦蓝的，风吹过来，惬意极了，水也惬意，展露出了笑容，波纹荡漾。别呦呦蹲在船尾，不紧不慢，船晃，她白生生的屁股也跟着晃。

2.1.3 L2TP消息类型

控制消息:L2TP通过单独的控制和数据通道传递控制和数据消息。带内控制通道通过顺序控制连接管理，呼叫管理，错误报告，和会话控制消息。控制连接的启动不是特定于LAC或LNS，而是与控制连接建立相关的隧道发起者和接收者。隧道端点之间使用共享秘密质询身份验证方法。

数据消息:数据消息被用来封装发送到L2TP隧道的PPP帧。

2.1.4 L2TP VPN工作流程

（1）远程访问用户向LAC发出LCP（Link Control Protocol链路控制协议）协商，以及部分身份验证。

（2）LAC继续建立L2TP隧道和隧道内的会话。在LAC和LNS之间为每一个PPP连接建立一个会话。L2TP在所有传出消息中使用对等隧道（tunnel id）和会话标识符（session id），以便多路复用PPP连接。这些标识符在各自的控制连接和会话建立阶段被分配和交换。隧道和会话id仅具有本地意义。隧道端点对同一隧道和会话具有不同的标识符。

（3）隧道建立后，远程访问用户与LNS之间的PPP认证过程完成。链路帧和循环冗余校验（CRC）被删除，封装到L2TP中，并转发到隧道的LNS中。

（4）LNS对L2TP包进行接收和处理，PPP NCP（Network Control Protocol网络控制协议）谈判开始后，宣布隧道连接关闭。

L2TP VPN组网灵活、配置简单，还可根据不同业务需求采用隧道加密技术提高链路的数据安全性，通常与IPSEC协议结合使用。L2TP VPN的技术特点非常契合吉林局无人值守子台备份链路的业务需求。

2.2 路由优先级

路由优先级是链路衡量路由协议的优先程度，即路由表中路由协议的cost值，cost值越低该路由协议的优先级越高。到达同一个目标有多个路由，此时链路会优先选择路由表中cost值较小的路由协议。吉林局备份链路就是利用链路路由优先级的不同，在中心台行业网链路发生故障，主路由协议OSPF失效的情况下，链路优先选择路由表中的静态路由STATIC承担数据转发任务，以此激活备份链路工作。路由协议优先级一览表如表1所示。

表1 路由协议优先级一览表

3 备份链路方案

利用吉林局现有的锐捷VPN路由器，再依托运营商的4G网络，制定基于4G的L2TP VPN备份链路组网方案。在实施和测试过程中以四平中心地震台（以下简称四平中心台）的梨树无人值守子台（以下简称梨树台）和双辽无人值守子台（以下简称双辽台）为备份点，建立备份链路。

3.1 四平台原有网络结构

四平中心台通过10M PTN链路上联省局，通过两个2M PTN链路分别下连梨树台和双辽台两个无人值守子台，四平中心台路由器为两个无人值守子台的数据汇聚点及网关。整个四平子网通过OSPF路由协议接入到全国地震行业网。一旦四平中心台本地网络发生故障，整个四平子网将彻底瘫痪，双辽台和梨树台的观测数据也无法汇聚到省局。四平台原有拓扑结构如图2所示。

图2 四平台原有拓扑结构Fig.2 Original topology of Siping Seismic Station

3.2 四平台备份链路建设思路及具体配置

根据四平台的拓扑特点和实际需求，笔者按照如下方案及步骤进行四平台备份链路的建设:

（1）将梨树和双辽两个子台的H3C二层交换机S3100替换为H3C三层交换机S5500，并在两个三层交换之前各部署一个计讯TR320 4G路由器，并同省局锐捷VPN路由器建立L2TP VPN隧道。4G路由器L2TP VPN信息如表2所示。

表2 4G路由器L2TP VPN信息表

将两个子台的网关从四平台分别移至各自的三层交换机，并在两个三层交换机上配置OSPF路由协议，让两个子台通过OSPF协议接入到四平台，动态获取链路信息。

（2）梨树台三层交换机相关配置如下:

表3 梨树子台交换机配置信息

（3）双辽台三层交换机相关配置如表4所示。

表4 双辽子台交换机配置信息

（4）当四平中心台主链路发生故障时，链路的OSPF协议将失效。两个子台的三层交换机会选择优先级第二高的静态路由，并寻找下一跳地址，即4G路由器的接口地址。这样备份链路将被激活，数据传输重新恢复。整个过程不超过30秒钟。

而当主链路恢复时，根据路由协议的优先级，OSPF路由将重新被链路选择启用，备份链路主动失效。整个过程不超过10秒。

图3 四平台备份链路拓扑结构Fig.3 Topology of backup link of Siping Seismic Station

4 实际应用效果

四平台备份链路于2020年9月份建设并投入使用，对四平地区双辽、梨树两个子台2020年7—12月的测震数据连续率进行了统计（表5）。通过表5可以看出，因四平中心台移动链路故障导致2020年7—9月期间双辽和梨树两个子台的数据连续率处于一个较低的水平，在10月份四平台备份链路投入使用后，2020年10—12月双辽和梨树子台的连续率都达到99.90以上。子台测震数据连续率得到了明显的提升。基于L2TP VPN技术在无人值守子台备份链路中的应用，完全达到了预期的效果。

表5 双辽、梨树子台2020年7—12月测震数据连续率

5 结语

四平台备份链路于2020年9月份建设完毕，经过数月测试效果显著，可以有效解决因中心台站故障或运营商有线链路故障造成的子台断记，满足地震观测数据实时传输和保障地震行业网网络连通率的要求。这种基于L2TP VPN技术的备份链路会在今后的应用中不断优化，让移动网络在应急通信中发挥重要作用。