方 韡 張藝峰 閆 培 劉善虎 許儀西 李普春 王 筍

（廈門地震勘測研究中心，廈門 361021）

基于3G網(wǎng)絡的IPSec VPN組網(wǎng)技術在野外流動地震監(jiān)測中數(shù)據(jù)傳輸?shù)膽?

方 韡 張藝峰 閆 培 劉善虎 許儀西 李普春 王 筍

（廈門地震勘測研究中心，廈門 361021）

以2013年福建省陸海聯(lián)測炸測實驗工作為例，闡述了在野外流動地震監(jiān)測中，利用當今最為流行的3G無線網(wǎng)絡架構與IPSec VPN技術，應用其保密性高、應用靈活、價格低廉的優(yōu)點，結合福建省地震局在地震行業(yè)網(wǎng)網(wǎng)絡建設的實際情況，快速架構與地震行業(yè)網(wǎng)的數(shù)據(jù)通訊模式，使得野外采集數(shù)據(jù)能夠迅速的傳到總部指揮中心，有效的解決了野外流動地震監(jiān)測中數(shù)據(jù)實時傳輸?shù)膯栴}，保障了指揮中心的快速響應與決策作用。

3G無線 IPSec VPN 野外流動地震監(jiān)測 數(shù)據(jù)通訊

引言

近年來，隨著無線網(wǎng)絡技術和網(wǎng)絡應用的迅猛發(fā)展，地震系統(tǒng)用戶對地震行業(yè)網(wǎng)絡的需求越來越大，大量地震專業(yè)設備都同時擴展了網(wǎng)絡通訊模塊，野外流動地震測量工作在特殊情況也需要將實時監(jiān)測數(shù)據(jù)傳輸?shù)降卣鹦袠I(yè)網(wǎng)中，針對流動地震工作實施中的便攜性、環(huán)境條件限制、靈活性、安全性、經(jīng)濟性等要求，本文采用VPN應用中的IPSECVPN技術，利用公網(wǎng)的資源（電信3G網(wǎng)絡）來組建虛擬專用網(wǎng)（VPN）。以2013年福建省陸海聯(lián)測炸測實驗工作為例，闡述了陸地地噪聲觀測任務中如何在架設流動地震觀測儀器中，通過應用3G與IPSEC VPN組網(wǎng)技術，實時將觀測的數(shù)據(jù)傳送至省局指揮中心大廳，有效地起到了及時響應與決策作用，做好科技服務技術支撐保障功能。

1 IPSEC VPN技術介紹

1.1 VPN技術介紹

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義，虛擬專用網(wǎng)絡可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議，為連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。

1.2 IPSec VPN技術介紹

IPSec VPN是VPN技術的一個分支，即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術，IPSec全稱為“Internet Protocol Security”，是由Internet Engineering Task Force（IETF）定義的安全標準框架，用以提供公用和專用網(wǎng)絡的端對端加密和驗證服務。

IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構，包括網(wǎng)絡認證協(xié)議AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡認證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務，IKE協(xié)議用于密鑰交換。

IPSec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。IPSec協(xié)議中的AH協(xié)議定義了認證的應用方法，提供數(shù)據(jù)源認證和完整性保證；ESP協(xié)議定義了加密和可選認證的應用方法，提供數(shù)據(jù)可靠性保證（秦林忠等，2001）。

1.3 IPSec VPN的優(yōu)勢

當用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容時，IPSec VPN在IP傳輸上通過加密隧道，保證內(nèi)部數(shù)據(jù)的安全性，從而實現(xiàn)企業(yè)總部與各分支機構之間的數(shù)據(jù)、話音、視頻業(yè)務互通。如今，許多世界500強的企業(yè)已經(jīng)把VPN作為遠端分支和移動用戶連接的主要手段，構建企業(yè)虛擬業(yè)務網(wǎng)，而國內(nèi)大量企業(yè)也已開始考慮采用這種方式，并逐漸開始實施。在已經(jīng)成功實施IPSec VPN的企業(yè)網(wǎng)中，企業(yè)利用Internet建立自己的IPSec VPN有以下幾大優(yōu)勢（李成友等，2002）。

（1）經(jīng)濟。企業(yè)不再承擔昂貴的固定線路的租費，采用Internet作為傳輸骨干是非常便宜的，但帶寬卻可以較高。此外，VPN設備功能強勁但造價低廉。

（2）靈活。連接Internet的方式可以是任何方式，一個IPSec VPN網(wǎng)絡可以連接任意的點的分支，即使跨越大洋也毫不受限制。

（3）多業(yè)務。遠程的IP話音業(yè)務和視頻也可傳送到遠端分支和移動用戶，與數(shù)據(jù)傳送業(yè)務一起為現(xiàn)代化辦公提供便利條件，節(jié)省大量長途話費。

（4）安全。IPSec VPN的顯著特點就是安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN交換機上，通過支持所有領先的通道協(xié)議、數(shù)據(jù)加密、過濾/防火墻，以及通過RADIUS、LDAP和SecurID實現(xiàn)授權等多種方式保證安全。同時，VPN設備提供內(nèi)置防火墻功能，可以在VPN通道之外，從公網(wǎng)到私網(wǎng)的接口傳輸流量。

（5）冗余設計。VPN設備可提供冗余機制，保證鏈路和設備的可靠性。

（6）通道分離。VPN交換機的分離通道特性為，IPSec客戶端提供同時對Internet、Extranet和本地網(wǎng)絡訪問的支持。該技術可以設置權限，包括用戶的訪問權限。該特性使用戶在安全條件下合理方便地使用網(wǎng)絡資源，既安全又靈活。

（7）動、靜態(tài)路由。眾多的用戶和復雜的路由需要路由協(xié)議的支持，這使得整個網(wǎng)絡的地址管理方便有效。RIP和OSPF協(xié)議使得VPN設備之間像路由器一樣連接和擴展，適合網(wǎng)絡規(guī)模的不斷擴大，并且動態(tài)路由協(xié)議可在加密隧道中支持（張煥明，2006）。

2 3G網(wǎng)絡技術介紹

3G是英文the 3rd Generation的縮寫，指第三代移動通信技術。支持高速數(shù)據(jù)傳輸?shù)姆涓C移動通信技術。3G服務能夠同時傳送聲音（通話）及數(shù)據(jù)信息（電子郵件、即時通信等）。代表特征是提供高速數(shù)據(jù)業(yè)務，它具有數(shù)據(jù)處理多樣化、數(shù)據(jù)處理高速化、通信服務廣域化等特點。

3 應用案例

3.1 項目概況與需求

以2013年福建省陸海聯(lián)測炸測實驗工作為例，沿陸上布設測線勘選15個地噪聲觀測點（圖1），地噪聲觀測儀器采用英國Guralp公司的CMG-40TD速度型數(shù)字化地震儀，觀測點位為基巖場地，相鄰測點間距約10km，有效的噪聲觀測數(shù)據(jù)長度不少于30天。對觀測期間的人工地震爆破進行觀測記錄。利用地噪聲記錄反演該測線上的地殼淺部結構，將反演結果與通過海域探測到的地殼構造作對比，并結合對臺網(wǎng)定位精度的改善程度改進結構模型，最終給出可靠度較高的測線上的地殼波速結構。

指揮中心要求能把野外實時觀測的數(shù)據(jù)傳輸?shù)娇偛浚M行分析比對與快速決策，保障指揮中心的快速響應與決策作用?，F(xiàn)場通訊組結合福建省地震局行業(yè)網(wǎng)現(xiàn)有的網(wǎng)絡架構，通過應用3G與IPSEC VPN組網(wǎng)技術，有效的將野外15臺觀測數(shù)據(jù)即時傳輸至總指揮中心（網(wǎng)絡拓撲結構圖見圖2）。

圖1 野外流動地震觀測臺站布設Fig. 1 The layout of mobile seismic stations

圖2 基于3G與IPSec VPN模式架構的野外流動地震觀測網(wǎng)絡拓撲結構圖Fig. 2 Mobile seismic station network and topology of 3G and IPSec VPN structural models

3.2 設備描述

此次福建省陸海聯(lián)測炸測實驗流動地震觀測組，IPSec VPN網(wǎng)絡通訊設備服務端采用思科3825產(chǎn)品設備，設備系統(tǒng)版本為IOS12.2，IPSec VPN客戶端采用北京映翰通公司的IP605產(chǎn)品設備，產(chǎn)品定位均為中小企業(yè)接入設備，完全能滿足此次實驗的數(shù)據(jù)上傳應用需求與未來一段時間的擴展需求，產(chǎn)品詳細性能見表1。

表1 福建省陸海聯(lián)測IPSec VPN設備性能與功能描述Table 1 Description of the functionalities of the IPSec VPN equipment

續(xù)表

4 搭建過程主要設備配置命令與說明

IPSec VPN配置主要分為兩個部分，第一部分是VPN服務端的配置，第二部分是客戶端的配置。

4.1 IPSec VPN Server配置

這里以中心地震行業(yè)網(wǎng)信息節(jié)點核心路由器思科3825型號為例，進行配置。

（1）認證方式的配置

第一步：創(chuàng)建本地用戶名與密碼

設備執(zhí)行命令（羅蘭等著，2003）：

3825 VPN_Server(config)#username cisco password cisco //主要作用:客戶端登錄VPN服務端的身份驗證數(shù)據(jù)庫。

第二步：啟用3A認證服務

設備執(zhí)行命令：

3825 VPN_Server(config)#aaa authentication login NOAU none//主要作用:定義身份驗證的方式。

第三步：應用在各登錄模式，主要作用：將身份驗證方式應用在設備各個接口，使用接口調(diào)用該種方式的身份驗證。

設備執(zhí)行命令（Todd Lammle著，2012）：

第四步：配置采用本地認證模式進行3A認證，主要作用：定義客戶端身份驗證采用的方式。

設備執(zhí)行命令：

（2）VPN ISAKMP階段的配置

主要作用是定義ipsec vpn第一階段的isakmp策略，定義采用何種加密方式與認證方式。設備執(zhí)行命令：

（3）VPN group策略配置

主要作用：定義撥入VPN客戶的策略，如撥號組名、密碼、地址池、訪問控制列表等內(nèi)容。

設備執(zhí)行命令：

（4）配置isakmp profile

設備執(zhí)行命令：

（5）IPSEC階段的配置

設備執(zhí)行命令：

（6）配置動態(tài)MAP

設備執(zhí)行命令：

（7）配置靜態(tài)MAP

4.2 IPSec VPN Client配置

此次炸測試驗，中心野外流動地震觀測組IPSec VPN Client采用北京映翰通網(wǎng)絡技術有限公司的映翰通InRouter 605多網(wǎng)口系列3G工業(yè)路由器，它具有配置簡單、攜帶方便、性能穩(wěn)定、經(jīng)濟簡約等優(yōu)點。主要配置分兩個步驟，均采用圖形化配置界面即可以完成配置。

第一步：IPSec隧道相關參數(shù)設置，如圖3所示。

第二步：IPSec VPN第一階段、XAUTH、第二階段相關參數(shù)的配置，如圖4所示。

圖3 映翰通IP605路由器IPSec隧道相關參數(shù)設置示意圖Fig.3 Schematic of related IPSec tunneling parameters of Inhand IP605 wireless router modem

圖4 映翰通IP605路由器IPSec各階段參數(shù)設置示意圖Fig.4 Default parameters of IPSec tunnelingin related Inhand IP605 wireless router modem

5 應用測試

5.1 服務端測試

通過在中心IPSec VPN服務器上敲入以下命令驗證鏈路是否建立。

（1）IPSec VPN第一階段協(xié)商驗證

敲入命令：Cisco3825(config)# show crypto isakmp sa

信息顯示：

如果出現(xiàn)上述顯示則表示第一階段協(xié)商成功

（2）IPSec VPN第二階段協(xié)商驗證

敲入命令：Cisco3825(config)# show crypto ipsec sa

信息顯示：

如出現(xiàn)上述顯示則表示第二階段協(xié)商成功，IPsec VPN建立成功。

5.2 客戶端測試

如果IPSec VPN建立成功，則在映翰通IP605路由器的WEB界面則會顯示出隧道相關信息（圖5）。

圖5 映翰通IP605路由器IPSec VPN隧道信息示意圖Fig.5 Default parameters set up at each progress for IPSec tunneling in related Inhand IP605 wireless router modem

5.3 數(shù)據(jù)接收分析

本次項目為了得到更好更穩(wěn)定的數(shù)據(jù)采集信號，野外采用聯(lián)通的WCDMA3G信號卡網(wǎng)絡，聯(lián)通的3G網(wǎng)絡應該說是3個運營商里速度最快、技術最成熟的，它的下行帶寬速率可達7.2Mbps。通過對野外連入VPN的PC對地震行業(yè)網(wǎng)進行長PING（網(wǎng)段是10.35.*.*/255. 255.255.0），來對數(shù)據(jù)包的延遲和丟包率進行測試（圖6），從測試結果可以看出聯(lián)通的3G網(wǎng)絡第一次PING包的延遲較大，之后的延遲平均在200—400ms之間，基本無丟包率，再通過流動臺站數(shù)據(jù)接收軟件查看數(shù)據(jù)接收情況（圖7），其數(shù)據(jù)也沒有出現(xiàn)斷計現(xiàn)象，完全滿足此次數(shù)據(jù)傳輸通訊的需求。

圖6 PING包測試截圖Fig. 6 The IPSec VPN tunnel information of Inhand IP605 wireless router modem

圖7 流動地震觀測臺站數(shù)據(jù)接收波形圖Fig. 7 Screenshot of PING packet testing results

6 結論

地震行業(yè)內(nèi)存在大量的野外工作內(nèi)容，如：流動地震觀測、地震應急、海洋地震觀測，需要隨時隨地的將大容量數(shù)據(jù)傳送至總部。本文基于3G網(wǎng)絡應用的普及，尋找到一種高效便捷的野外流動地震觀測數(shù)據(jù)傳輸?shù)耐ㄓ嵞Ｊ?，加上IPSec VPN原有成熟的組網(wǎng)技術，使得野外流動地震觀測數(shù)據(jù)通訊需求得到了充分的解決，其主要有以下幾個特點。

（1）應用的突破

傳統(tǒng)地震行業(yè)數(shù)據(jù)傳輸中IPSec VPN技術是基于固定臺站的應用，該技術對于野外流動地震觀測應用的案例比較少，作者于2003年以來一直從事野外地震觀測工作，針對野外流動地震觀測業(yè)務本身的特點，如：設備需要攜帶輕便、設備配置靈活、IP地址不固定、隨時隨地的接入、快速搭建等，本文根據(jù)其新的應用需求的特點，對設備選型及配置都做了比較好的推薦與說明，并對3G網(wǎng)絡在工程實踐做了數(shù)據(jù)傳輸性能測試與比較，提出了在野外流動地震數(shù)據(jù)傳輸中性價比較好的方法。

（2）技術改進

傳統(tǒng)的IPSec VPN技術配置是基于命令行模式，對地震現(xiàn)場工作人員技術要求比較高，本文推薦選型設備是基于WEB配置方式，工作人員只需要在配置表單中簡單輸入相應的參數(shù)即可輕松調(diào)試設備，更快的為現(xiàn)場搭建出一條加密遂道數(shù)據(jù)傳輸模式，對于地震野外工作現(xiàn)場，可大大提高工作人員的效率。

（3）經(jīng)濟簡約

傳統(tǒng)的LAN to LAN組網(wǎng)需要租用專有的網(wǎng)絡，費用較高，通過3G網(wǎng)絡，可以隨時隨地方便的利于互聯(lián)網(wǎng)原有的架構輕松的接入地震行業(yè)網(wǎng)內(nèi)，節(jié)省了昂貴的專線租用投入，且數(shù)據(jù)安全性也是有保證的。

本方法通過在野外流動地震監(jiān)測中的應用，可以充分保證地震信息業(yè)務安全、高速、可靠傳輸，有效的解決了野外流動地震監(jiān)測中數(shù)據(jù)實時傳輸?shù)膯栴}，保障了指揮中心的快速響應與決策作用。通過測試使用，本方法適于在整個地震行業(yè)內(nèi)有相同野外性質(zhì)的業(yè)務中進行推廣與借鑒。

參考文獻

李成友，曹偉，2002．IPSec研究與虛擬專用網(wǎng)技術．計算機工程，（2）：246—248．

羅蘭，紐坎博著，白建軍，王寶生譯，2003．CCSP Cisco安全VPN認證考試指南．北京：人民郵電出版社，58—96．

秦林忠，黃本雄，2001．IPSec設計與實現(xiàn)．計算機應用，（21）：25—27．

張煥明，2006．基于IPSec的VPN關鍵技術研究．微計算機信息，（3）：56—58．

Todd Lammle著，2012．CCNA學習指南（640-802）（第7版）．北京：人民郵電出版社．

3G Network-based IPSec VPN Networking Technology for Data Transmission for Mobile Earthquake Monitoring

Fang Wei, Zhang Yifeng, Yan Pei, Liu Shanhu, Xu Yixi, Li Puchun and Wang Sun

(Xiamen Research Centre of Seismologic Surveying, Xiamen 361021, China)

Taking surveying experiment in the land and ocean of Fujian province in 2013 as an example, we investigate the most popular 3G wireless networking build up and IPSEC VPN technology mobile earthquake monitoring. The advantages of high security, flexible application, lower cost, combined with the realistic earthquake precursory network setting conditions in Fujian province, allow us to build up data communication modes rapidly in seismic industry network. Thus the data collected at outdoors can be immediately transmitted to headquarters command center. This technology is useful to solve the problem of live transmission of data for outdoor portable earthquake precursory, and to guarantee the rapid response and decision making from command center.

3G wireless; IPSEC VPN; Mobile earthquake monitoring; Data communication

方韡，張藝峰，閆培，劉善虎，許儀西，李普春，王筍，2014．基于3G網(wǎng)絡的IPSec VPN組網(wǎng)技術在野外流動地震監(jiān)測中數(shù)據(jù)

的應用．震災防御技術，9（3）：496—507．

10.11899/zzfy20140317

1 課題項目 臺灣海峽西部地殼深部結構探測

2013-11-12

方韡，男，生于1982年。工程師。主要從事地震監(jiān)測與地震信息網(wǎng)絡維護與應用工作。E-mail：258279496@qq.com