林 洋 , 張 穎

(四川省地震局，四川 成都 610041)

VPN技術(shù)在四川地震信息網(wǎng)絡(luò)中的應(yīng)用

林 洋 , 張 穎

(四川省地震局，四川 成都 610041)

通過VPN技術(shù)的應(yīng)用，使不同地區(qū)的節(jié)點(diǎn)通過Internet實(shí)現(xiàn)了專網(wǎng)通信的可能，并促進(jìn)了四川省地震信息網(wǎng)絡(luò)的建設(shè)和發(fā)展。文章介紹了VPN技術(shù)在四川地震信息網(wǎng)絡(luò)中的應(yīng)用及其實(shí)現(xiàn)。

VPN；GRE；IPSEC；應(yīng)用

四川省地震信息網(wǎng)絡(luò)經(jīng)過近10年的建設(shè)和發(fā)展，已形成以四川省地震局為區(qū)域中心，覆蓋全省17個(gè)地震臺(tái)站、60余個(gè)市(州)、縣信息節(jié)點(diǎn)的信息網(wǎng)絡(luò)，為地震監(jiān)測(cè)數(shù)據(jù)的傳輸與共享、地震應(yīng)急、市縣防震減災(zāi)信息服務(wù)等提供了通信平臺(tái)。目前，區(qū)域中心與信息節(jié)點(diǎn)之間的通信主要有專線模式和基于互聯(lián)網(wǎng)的VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))模式，由于專線的通信成本較高，近年來(lái)，市、縣信息節(jié)點(diǎn)的建設(shè)幾乎都是利用成本低廉的互聯(lián)網(wǎng)線路，與省中心組建VPN，推動(dòng)了信息節(jié)點(diǎn)的建設(shè)，也促進(jìn)了四川省防震減災(zāi)綜合信息服務(wù)的發(fā)展。

1 VPN技術(shù)簡(jiǎn)介

IETF(Internet Engineering Task Force，互聯(lián)網(wǎng)工程任務(wù)組)組織對(duì)VPN的解釋為：通過專門的隧道加密技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。VPN通常是指在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通信。VPN是在Internet上建立的能夠自我管理的專用網(wǎng)[1]，具有成本低、易用、安全等特點(diǎn)，在企業(yè)網(wǎng)絡(luò)中被廣泛應(yīng)用，能夠讓公司分支機(jī)構(gòu)、異地用戶、商業(yè)伙伴及供應(yīng)商與公司內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

四川地震信息網(wǎng)絡(luò)中VPN技術(shù)的應(yīng)用，主要包括GRE VPN和IPSEC VPN。

(1)GRE(Generic Routing Encapsulation)即通用路由封裝協(xié)議，是對(duì)某些網(wǎng)絡(luò)層協(xié)議(如IP和IPX)的數(shù)據(jù)包進(jìn)行封裝，使這些被封裝的數(shù)據(jù)包能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議中傳輸。GRE是VPN的第三層隧道協(xié)議。GRE能夠支持多種協(xié)議和多播，支持多點(diǎn)隧道，能夠用來(lái)創(chuàng)建彈性的VPN，能夠?qū)嵤㏎OS，但是缺乏加密機(jī)制。GRE隧道由兩端的源IP地址和目的IP地址來(lái)定義，允許用戶使用IP包封裝IP、IPX、 AppleTalk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)[2]。通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。

(2)IPSEC VPN是基于IPSec協(xié)議的VPN技術(shù)，其通信雙方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec協(xié)議包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH(Authentication Header，認(rèn)證頭)、ESP(Encapsulating Security Payload，封裝安全載荷)、IKE(Internet Key Exchange，因特網(wǎng)密鑰交換)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。在兩個(gè)端點(diǎn)之間通過建立SA(Security Association，安全聯(lián)盟)進(jìn)行數(shù)據(jù)傳輸，SA定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及SA的有效時(shí)間等屬性。IPSec通過AH和ESP兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)[2]。IPSec有傳輸和隧道兩種工作方式，傳輸方式只對(duì)IP有效負(fù)載進(jìn)行加密，而在隧道方式中，IPSec對(duì)IP報(bào)頭和有效負(fù)載進(jìn)行加密，通過將其當(dāng)作AH或ESP有效負(fù)載，隧道模式提供對(duì)整個(gè)IP數(shù)據(jù)包的保護(hù)，外部IP報(bào)頭的IP地址是隧道終結(jié)點(diǎn)，封裝的IP報(bào)頭的IP地址是最終源地址與目標(biāo)地址。

2 VPN在四川地震信息網(wǎng)絡(luò)中的應(yīng)用

2.1 網(wǎng)絡(luò)現(xiàn)狀

四川地震信息網(wǎng)絡(luò)目前是以四川省地震局為中心，匯接全省的臺(tái)站、市(縣)信息節(jié)點(diǎn)，如圖1所示。有部分信息節(jié)點(diǎn)采用SDH專線，其余節(jié)點(diǎn)均采用互聯(lián)網(wǎng)線路，通過與省中心組建VPN，實(shí)現(xiàn)行業(yè)網(wǎng)通信。省中心互聯(lián)網(wǎng)線路具備公網(wǎng)IP地址，信息節(jié)點(diǎn)互聯(lián)網(wǎng)線路分為兩種，一種是具有固定公網(wǎng)IP的節(jié)點(diǎn)，另一種是通過動(dòng)態(tài)拔號(hào)或依賴其他網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的節(jié)點(diǎn)，不具備固定公網(wǎng)IP或者不具備公網(wǎng)IP。針對(duì)這兩種不同情況的信息節(jié)點(diǎn)，在VPN建設(shè)時(shí)也分別采用了GRE VPN和IPSEC VPN兩種技術(shù)。

圖1 網(wǎng)絡(luò)拓?fù)涫疽鈭D

2.2 GRE VPN的應(yīng)用

GRE采用tunnel(隧道)技術(shù)，實(shí)現(xiàn)點(diǎn)到點(diǎn)的連接，提供了一條通道使封裝的數(shù)據(jù)報(bào)文能夠在這個(gè)通道上傳輸，并且在一個(gè)tunnel的兩端分別對(duì)數(shù)據(jù)報(bào)文進(jìn)行封裝及解封裝。以小廟地震臺(tái)與省中心通信為例，其連接情況如圖2。如小廟臺(tái)某計(jì)算機(jī)訪問省中心10.51.xx.xx段的業(yè)務(wù)，路由器A從接口Ethernet0/1收到該報(bào)文后，檢查報(bào)文目的地址需要經(jīng)過tunnel才能到達(dá)，則將此報(bào)文發(fā)到tunnel接口，tunnel接口接收此報(bào)文后進(jìn)行GRE封裝，再封裝IP報(bào)頭(目的地址將會(huì)指向省中心路由器B的地址222.210.xxx.xx)，根據(jù)此IP包的目的地址及路由表對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)，從接口Ethernet0/0發(fā)送出去。接收端路由器接收到此報(bào)文后解開IP報(bào)頭，并交GRE協(xié)議處理，然后繼續(xù)轉(zhuǎn)發(fā)，達(dá)到目的地。

圖2 GRE VPN連接示意圖

GRE VPN的實(shí)現(xiàn)，在路由器上配置比較簡(jiǎn)單，主要包括二部分：

(1)創(chuàng)建虛擬tunnel接口，并配置IP地址、源端地址、目的端地址。

(2)配置路由

小廟臺(tái)路由器A(設(shè)備型號(hào)：華為AR28-31)的主要配置如下：

interface Ethernet0/0

ip address 218.89.140.150 255.xxx.xxx.xxx(公網(wǎng)接口IP)

……

interface Ethernet0/1

ip address 10.51.174.254 255.xxx.xxx.xx (局域網(wǎng)網(wǎng)關(guān)IP)

interface Tunnel1 (創(chuàng)建tunnel，默認(rèn)封裝協(xié)議為GRE)

ip address 10.51.253.118 255.xxx.xxx.xxx (tunnel接口IP，與tunnel對(duì)端IP要在一個(gè)子網(wǎng))

source 218.89.xxx.xxx (tunnel 源地址)

destination 222.210.xxx.xxx (tunnel目的地址，指向路由器B)

ip route-static 10.51.1.0 255.255.xxx.xx Tunnel 1 (指定到省局10.51.xx.xx的數(shù)據(jù)包由tunnel1轉(zhuǎn)發(fā))

省中心路由器B(設(shè)備型號(hào)：邁普vpn3030)的對(duì)應(yīng)配置如下：

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx (公網(wǎng)接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局內(nèi)網(wǎng)接口IP)

……

interface tunnel1 (創(chuàng)建tunnel)

tunnel mode gre ip (定義tunnel封裝協(xié)議為GRE)

tunnel source 222.210.xxx.xx (tunnel 源地址)

tunnel destination 218.89.xxx.xxx (tunnel目的地址，指向路由器A)

ip address 10.51.253.117 255.xxx.xxx.xxx(tunnel接口IP，與tunnel對(duì)端IP要在一個(gè)子網(wǎng))

ip route 10.51.174.0 255.xxx.xxx.xx tunnel1 (指定到小廟臺(tái)的數(shù)據(jù)包由tunnel1轉(zhuǎn)發(fā))

2.3 IPSEC VPN的應(yīng)用

在不具備固定公網(wǎng)IP或者不具備公網(wǎng)IP的信息節(jié)點(diǎn)，采用IPSEC VPN隧道方式組網(wǎng)時(shí)，需在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間建立一個(gè)虛擬鏈路通道，從而使兩個(gè)節(jié)點(diǎn)內(nèi)部的網(wǎng)絡(luò)能夠通過這個(gè)虛擬鏈路到達(dá)對(duì)方。IPSEC VPN的建立必須通過IKE進(jìn)行協(xié)商，協(xié)商兩端所采用的加密算法，封裝技術(shù)以及密鑰，包括兩個(gè)階段：(1)第一階段，在兩個(gè)對(duì)等體設(shè)備之間建立一個(gè)安全的管理鏈接，管理鏈接用來(lái)保護(hù)第二階段協(xié)商過程，并不發(fā)生實(shí)際數(shù)據(jù)流。(2)第二階段，構(gòu)建安全數(shù)據(jù)鏈接的安全參數(shù)，協(xié)商完成后，在兩個(gè)站點(diǎn)間形成安全的數(shù)據(jù)鏈接，用于數(shù)據(jù)傳輸。

以天全縣和省中心的IPSEC VPN為例，其鏈接情況如圖3，路由器的主要配置如下：

圖3 IPSEC VPN連接示意圖

天全縣路由器A(設(shè)備型號(hào)：邁普MP2806)的主要配置如下：

interface fastethernet0

ip address dhcp (自動(dòng)獲取IP)

……

interface fastethernet1

ip address 10.51.109.65 255.xxx.xxx.xxx (局域網(wǎng)網(wǎng)關(guān)IP)

……

crypto ike key 123456 address 222.210.xxx.xxx (定義預(yù)共享密鑰“123xxx”，須與省中心的一致)

crypto tunnel t0 (創(chuàng)建tunnel)

local interface fastethernet0 (設(shè)置tunnel本端為本地接口IP)

peer address 222.210.xxx.xxx (設(shè)備tunnel對(duì)端IP)

set sec-level basic (設(shè)定為基本安全級(jí)別，其ike驗(yàn)證算法是sha1、加密算法md5，ipsec認(rèn)證算法sha1，加密算法md5)

set auto-up

……

crypto policy p1

flow 10.51.109.64 255.xxx.xxx.192 10.51.1.0 xxx.xxx.xxx.0 ip tunnel t0 (定義策略路由，讓本子網(wǎng)至10.51.1.0網(wǎng)絡(luò)的數(shù)據(jù)流由tunnel t0轉(zhuǎn)發(fā))

……

省中心路由器B(設(shè)備型號(hào)：邁普vpn3030)的對(duì)應(yīng)配置如下

interface Ethernet0/0

ip address 222.210.117.2 255.xxx.xxx.xxx(公網(wǎng)接口IP)

……

interface Ethernet0/1

ip address 10.51.254.5 255.xxx.xxx.xxx (局內(nèi)網(wǎng)接口IP)

……

crypto ike key 123456 any (定義預(yù)共享密鑰，須與節(jié)點(diǎn)的一致，由于節(jié)點(diǎn)IP不確定，any用于匹配任意IP)

crypto tunnel DX (創(chuàng)建tunnel)

local address 222.210.xxx.xx (本端IP) peer any (對(duì)端IP，any是匹配任意IP)

set sec-level basic (應(yīng)與對(duì)端設(shè)定的安全協(xié)議、算法一致)

……

crypto policy DX

flow 10.51.1.0 255.255.255.0 10.51.109.64 255.xxx.xxx.xxx ip tunnel DX bypass(定義策略路由，讓四川省地震局到天全縣的數(shù)據(jù)流由tunnel t0轉(zhuǎn)發(fā))

3 結(jié)束語(yǔ)

由于VPN技術(shù)的應(yīng)用，使分布在各地的節(jié)點(diǎn)通過Internet實(shí)現(xiàn)了專網(wǎng)通信的可能，極大的促進(jìn)了四川地震信息網(wǎng)絡(luò)的建設(shè)和發(fā)展。四川地震信息網(wǎng)絡(luò)經(jīng)過四川省防震減災(zāi)綜合能力建設(shè)、汶川地震災(zāi)后恢復(fù)重建項(xiàng)目以及部分市縣自有項(xiàng)目的建設(shè)，先后建設(shè)了50余個(gè)市(縣)信息節(jié)點(diǎn)，均采用了VPN技術(shù)組網(wǎng)。在這些信息節(jié)點(diǎn)上開展了防震減災(zāi)綜合信息服務(wù)系統(tǒng)應(yīng)用、地震應(yīng)急指揮技術(shù)系統(tǒng)、視頻會(huì)議等應(yīng)用，實(shí)現(xiàn)了測(cè)震、前兆、應(yīng)急等數(shù)據(jù)的及時(shí)共享和交換，也為今后各項(xiàng)業(yè)務(wù)的順利開展提供了通信條件。

當(dāng)然，VPN的應(yīng)用有其優(yōu)勢(shì)，也有其缺點(diǎn)，由于信息節(jié)點(diǎn)大多基于普通互聯(lián)網(wǎng)線路(如ADSL)，這種線路的穩(wěn)定性較差，因此VPN連接質(zhì)量不高，時(shí)常發(fā)生中斷，不適于實(shí)時(shí)性、連續(xù)性要求較高的應(yīng)用。另外，信息節(jié)點(diǎn)的技術(shù)人員對(duì)網(wǎng)絡(luò)的運(yùn)維能力比較低，運(yùn)維工作很大程度上需要省中心人員的支持，尤其是不具備公網(wǎng)IP的節(jié)點(diǎn)，再加上存在多種不同品牌設(shè)備的情況，從而導(dǎo)致省中心遠(yuǎn)程運(yùn)維難度較大?？傊W(wǎng)絡(luò)的建設(shè)，既要考慮業(yè)務(wù)的需求，也要考慮長(zhǎng)期運(yùn)維經(jīng)費(fèi)的保障，從而選擇適宜的組網(wǎng)技術(shù)和方式，更好的服務(wù)于防震減災(zāi)工作。

[1] 黎珠博.VPN技術(shù)及在地震前兆觀測(cè)臺(tái)站中的應(yīng)用[J].華南地震.2013，33(1):81-85.

[2] 杭州華三通信技術(shù)有限公司.COMWARE V3 操作手冊(cè)-RELEASE0201(V3.11).[EB/OL].[2015-8-25].http://www.h3c.com.cn/Service/Document_Center/Routers/Catalog/AR_46/AR_46/Configure/Operation_Manual/AR_46_OM(V3.11)/.

Introduction to VPN technique used in Seismic Information Network of Sichuan

Lin Yang，Zhang Ying

(Earthquake Administration of Sichuan Province, Sichuan Chengdu 610041, Chinaa)

The VPN technique makes it possible to communicate the seismic messages of the specific network through the different regions nodes. We introduce the VPN technique some of details used in Sichuan Seismic Information Network.

VPN technique; GRE; IPSEC; application

2015-09-21

林洋(1979-)，男，四川省西昌市人，工程師.

TP317

B

1001-8115(2015)04-0020-04

10.13716/j.cnki.1001-8115.2015.04.005