黎珠博

(廣東省地震局， 廣東 廣州 510070）

0 引言

最近十幾年來， 廣東地震前兆觀測建設經歷了 “九五”、 “十五”、 “十一五” 三個階段的建設改造。 將網絡信息技術應用到臺網數據傳輸中是此次臺站改造中的其中一項重要內容。 尤其是對于測項比較少的臺點， 考慮其臺站的通信資源和運行成本， 通過調研和實踐表明， 使用VPN 技術進行數據傳輸具有良好的效果。

1 VPN 的概述

VPN 就是虛擬專用網絡， 虛擬專用網不是真的專用網絡， 但卻能夠實現專用網絡的功能。 虛擬專用網指的是依靠ISP（Internet 服務提供商）和其它NSP（網絡服務提供商）， 在公用網絡中建立專用的數據通信網絡的技術。 在虛擬專用網中， 任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網所需的端到端的物理鏈路， 而是利用某種公眾網的資源動態(tài)組成的。 IETF草案理解基于IP 的VPN 為： “使用IP 機制仿真出一個私有的廣域網” 是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。 所謂虛擬， 是指用戶不再需要擁有實際的長途數據線路， 而是使用Internet 公眾數據網絡的長途數據線路。 所謂專用網絡， 是指用戶可以為自己制定一個最符合自己需求的網絡。

用戶現在在電信部門租用的幀中繼（Frame Relay）與ATM 等數據網絡提供固定虛擬線路（PVC-Permanent Virtual Circuit）來連接需要通訊的單位， 所有的權限掌握在別人的手中。 如果用戶需要一些別的服務， 需要填寫許多的單據， 再等上相當一段時間， 才能享受到新的服務。 更為重要的是兩端的終端設備不但價格昂貴， 而且管理也需要一定的專業(yè)技術人員， 無疑增加了成本， 而且?guī)欣^、 ATM 數據網絡也不會像Internet 那樣， 可立即與世界上任何一個使用Internet 網絡的單位連接。 而在Internet 上， VPN 使用者可以控制自己與其他使用者的聯系， 同時支持撥號的用戶。

虛擬專用網一般指的是建筑在Internet 上能夠自我管理的專用網絡， 而不是Frame Relay 或ATM 等提供虛擬固定線路（PVC）服務的網絡。 以IP 為主要通訊協(xié)議的VPN， 也可稱之為IP-VPN。

由于VPN 是在Internet 上臨時建立的安全專用虛擬網絡， 用戶就節(jié)省了租用專線的費用， 在運行的資金支出上， 除了購買VPN 設備， 企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網費用， 也節(jié)省了長途電話費。 這就是VPN 價格低廉的原因。

2 VPN 的特點

2.1 安全保障

雖然實現VPN 的技術和方式很多， 但所有的VPN 均應保證通過公用網絡平臺傳輸數據的專用性和安全性。 在非面向連接的公用IP 網絡上建立一個邏輯的、 點對點的連接， 稱之為建立一個隧道， 可以利用加密技術對經過隧道傳輸的數據進行加密， 以保證數據僅被指定的發(fā)送者和接收者了解， 從而保證了數據的私有性和安全性。 在安全性方面， 由于VPN直接構建在公用網上， 實現簡單、 方便、 靈活， 但同時其安全問題也更為突出。 企業(yè)必須確保其VPN 上傳送的數據不被攻擊者窺視和篡改， 并且要防止非法用戶對網絡資源或私有信息的訪問。 ExtranetVPN 將企業(yè)網擴展到合作伙伴和客戶， 對安全性提出了更高的要求。

2.2 服務質量保證（QoS）

VPN 網應當為企業(yè)數據提供不同等級的服務質量保證。 不同的用戶和業(yè)務對服務質量保證的要求差別較大。 如移動辦公用戶， 提供廣泛的連接和覆蓋性是保證VPN 服務的一個主要因素； 而對于擁有眾多分支機構的專線VPN 網絡， 交互式的內部企業(yè)網應用則要求網絡能提供良好的穩(wěn)定性； 對于其它應用（如視頻等）則對網絡提出了更明確的要求， 如網絡時延及誤碼率等。 所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。 在網絡優(yōu)化方面， 構建VPN 的另一重要需求是充分有效地利用有限的廣域網資源， 為重要數據提供可靠的帶寬。 廣域網流量的不確定性使其帶寬的利用率很低， 在流量高峰時引起網絡阻塞， 產生網絡瓶頸， 使實時性要求高的數據得不到及時發(fā)送； 而在流量低谷時又造成大量的網絡帶寬空閑。 QoS 通過流量預測與流量控制策略， 可以按照優(yōu)先級分配帶寬資源，實現帶寬管理， 使得各類數據能夠被合理地先后發(fā)送， 并預防阻塞的發(fā)生。

2.3 可擴充性和靈活性

VPN 必須能夠支持通過Intranet 和Extranet 的任何類型的數據流， 方便增加新的節(jié)點，支持多種類型的傳輸媒介， 可以滿足同時傳輸語音、 圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

2.4 可管理性

從用戶角度和運營商角度應可方便地進行管理、 維護。 在VPN 管理方面， VPN 要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網， 甚至是客戶和合作伙伴。 雖然可以將一些次要的網絡管理任務交給服務提供商去完成， 企業(yè)自己仍需要完成許多網絡管理任務。 所以， 一個完善的VPN 管理系統(tǒng)是必不可少的。 VPN 管理的目標為： 減小網絡風險、 具有高擴展性、 經濟性、 高可靠性等優(yōu)點。 事實上， VPN 管理主要包括安全管理、 設備管理、 配置管理、 訪問控制列表管理、 QoS 管理等內容。

3 VPN 安全技術[1]

由于傳輸的是私有信息， VPN 用戶對數據的安全性都比較關心。

目前VPN 主要采用四項技術來保證安全， 這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、 密鑰管理技術（Key Management）、 使用者與設備身份認證技術（Authentication）。

3.1 隧道技術

隧道技術是VPN 的基本技術類似于點對點連接技術， 它在公用網建立一條數據通道（隧道）， 讓數據包通過這條隧道傳輸。 隧道是由隧道協(xié)議形成的， 分為第二、 三層隧道協(xié)議。 第二層隧道協(xié)議是先把各種網絡協(xié)議封裝到PPP 中， 再把整個數據包裝入隧道協(xié)議中。這種雙層封裝方法形成的數據包靠第二層協(xié)議進行傳輸。 第二層隧道協(xié)議有L2F、 PPTP、L2TP 等。 L2TP 協(xié)議是目前IETF 的標準， 由IETF 融合PPTP 與L2F 而形成。

第三層隧道協(xié)議是把各種網絡協(xié)議直接裝入隧道協(xié)議中， 形成的數據包依靠第三層協(xié)議進行傳輸。 第三層隧道協(xié)議有VTP、 IPSec 等。 IPSec（IP Security）是由一組RFC 文檔組成， 定義了一個系統(tǒng)來提供安全協(xié)議選擇、 安全算法， 確定服務所使用密鑰等服務， 從而在IP 層提供安全保障。

3.2 加解密技術

加解密技術是數據通信中一項較成熟的技術， VPN 可直接利用現有技術。

3.3 密鑰管理技術

密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。 現行密鑰管理技術又分為SKIP 與ISAKMP/OAKLEY 兩種。 SKIP 主要是利用Diffie-Hellman 的演算法則， 在網絡上傳輸密鑰； 在ISAKMP 中， 雙方都有兩把密鑰， 分別用于公用、 私用。

3.4 使用者與設備身份認證技術

使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

4 地震前兆觀測臺站VPN 技術網絡架構

地震前兆數據的傳輸必須確保數據的穩(wěn)定安全傳輸， 防止外部通過網路進入儀器對數據及相關參數進行修改， VPN 技術在這兩方面都具有很大的優(yōu)越性， 都有較高的安全性及可管理性， 因此適合臺站的數據傳輸。 現在一般地區(qū)都有電話線路， 因此采用電信寬帶及VPN 設備進行傳輸可滿足我們的要求， 對于在山區(qū)布設在山上的觀測點， 則通過CDMA 網絡， 利用VPN 技術進行傳輸（圖1）。 只需在VPN 設備進行簡易的配置即可完成通信。

圖1 VPN 技術在前兆觀測中的應用網絡架構Fig.1 Network architecture of application of VPN in precursor observation

目前在廣東前兆數據傳輸采用VPN 傳輸的臺點分別有梅州臺、 河源黃子洞水氡觀測點、 河源雙塘地磁臺、 廣州五山臺[2]。 梅州臺共有水位儀、 水溫儀、 氣象三要素儀三套前兆觀測設備， 而且當地早已使用寬帶上網交換信息， 在這個基礎上， 只需簡單的增加一臺VPN 設備， 即可滿足要求。 河源黃子洞水氡觀測點只有水氡觀測一個測項， 周圍有一些農居， 電話線路已到達， 申請電信寬帶用于訪問INTETNET 信息， 增加VPN 設備進到局數據庫。 河源雙塘FHD 地磁觀測也只有地磁一個設備， 觀測房建在雙塘地區(qū)一座海拔高80 m的半山上， 通往附近的民居都是彎彎曲曲的泥路， 長達5 km， 拉個電話線路成本太高， 但聯通CDMA 信號已覆蓋當地， 我們就采用CDMA 網絡進行數據傳輸。 廣州五山臺雖然地處廣州市區(qū)， 但當地的電話線路信號一直都不是太好， 最后也是選用CDMA 進行傳輸。

5 結束語

廣東前兆觀測建設中， 采用VPN 技術傳輸的臺站， 基本上都運轉了五年， 數據傳輸正常， 我們認為在VPN 技術應用中， 可根據臺站的實踐情況， 因地制宜， 選擇有線或者類似于CDMA 之類的移動通信技術架構網絡信息傳輸， 具有很強的靈活性和可操作性。 而且由于在VPN 技術應用中采用隧道技術、 加解密技術、 密鑰管理技術和使用者與設備身份認證技術等四項技術， 對數據文件的安全可靠提供了保障， 儀器內部參數及數據沒有遭到人為的網絡破壞修改， 整體上運轉良好， 證明VPN 技術用于臺站觀測還是可行和可靠的。

[1] 申普兵. 計算機網絡與通信(第2 版)[M]. 北京： 人民郵電出版社， 2012.

[2] 楊恒廣， 賈曉飛主編. 高等職業(yè)教育 “十二五” 規(guī)劃教材： 交換機/路由器的管理與配置[M]. 北京： 清華大學出版社， 2012.