云南省地震行业网备份信道设计与实现

吕 帅，李 倩，武孔春，安小伟

(云南省地震局，云南 昆明 650224)

0 引言

地震行业网作为测震、强震、地球物理场、应急、信息等业务传输的桥梁，保证其连续运行十分重要。云南省地震局(以下简称云南局)历年的地震行业网中断原因统计显示，运营商信道故障占40%左右，且一旦运营商信道故障，只能被动等待其恢复，对测震数据等实时性要求高的核心业务易造成较大影响，故备份信道建设的需求十分迫切。该文结合云南省地震行业网现状，运用现有的网络资源和成熟的4G及VPN技术，探索备份信道的解决方案。

1 地震行业网现状

云南局信息网络系统建设始于云南数字地震观测网络项目—信息分项，2008年1月正式投入使用。该系统按区域及职能分为1个省区域中心、14个地震台站信息节点、16个大中城市地震信息服务节点和18个县级地震信息服务节点。组网模式为三层树形结构，采用OSPF路由协议实现与全国地震行业网互联。县级节点至州市节点网络为2M SDH专线，州市至省区域中心为4M MSTP专线，台站节点至省区域中心为10M MSTP专线。2018年6月的地震行业网网络结构如第40页图1所示。

2 相关技术简介

VPN(Virtual Private Network，虚拟专用网络)通常指利用公用网络建立的临时、安全、可靠的网络连接，可以让移动用户、分支机构等安全、高效地接入总公司内部网络。按组网模型可分为VPDN(Virtual Private Dial Network，虚拟专用拨号网)、VPRN(Virtual Private Routing Network，虚拟专用路由网)、VPWS(Virtual Private Pseudo Service，虚拟专用线服务)和VPLS(Virtual Private LAN Service，虚拟专用局域网服务)[1]。该备份信道实现主要采用VPRN和VPDN方式，下面对VPRN中的IPSec、GRE和VPDN进行简要介绍。

2.1 VPRN简介

(1) IPSec简介。

IPSec是由IETF(国际互联网工程任务组)设计的作用在IP层上用来保护端到端之间信息传输的安全性和保密性的一种协议[2]。主要组成部分包括AH(Authentication Header，认证头)、ESP(Encapsulating Security Payload，封装安全载荷)、安全联盟SA和ISAKMP(Internet Security Association and Key Management Protocol，密钥管理协议)。IPSec工作于OSI模型第三层IP层，为IP报文提供公网传输安全服务。

(2) GRE简介。

GRE(通用路由封装)是一种Tunnel(隧道)技术，支持全部的路由协议(如RIP v2、OSPF等)，用于在IP包中封装任意协议的数据包，包括IP、IPX、NetBEUI等，封装后的数据包在另一个网络层协议中进行传输。

GRE是一种传输不安全无状态的协议，但其支持动态路由协议及允许多播和广播穿越隧道；IPSec仅支持单播通过，却能够提供安全保障。综合运用GRE和IPSec两种技术，首先利用GRE技术来对动态路由协议报文(如多播和广播报文)和用户数据进行隧道封装，提供一个点对点的隧道，然后通过IPSec VPN技术提供的安全措施保护GRE隧道中数据的安全，两种技术的结合，构成GRE over IPSec VPN技术[3]。

图1 云南地震行业网网络结构图Fig.1 Network structure of Yunnan seismological industry network

2.2 VPDN 简介

VPDN全称虚拟专用拨号网(Virtual Private Dial Network)，是利用IP网络的承载功能，结合相应的认证和授权机制建立起来的安全的虚拟专用网，其通过身份验证、数据保密性和数据完整性三个层级来保证用户数据安全[4]。客户只需关注终端及LNS入网后的内部网络结构，即可实现高效灵活的数据传输需要。

3 备份信道组网方案

利用云南局现有的IPSec VPN设备、VPDN接入平台和电子政务外网资源，依托4G无线网和电子政务外网专线，实现基于4G的IPSec VPN、基于4G的VPDN和基于电子政务外网的GRE over IPSec VPN三种备份信道组网方案。实际测试过程中以楚雄市地震局(以下简称楚雄局)为备份节点，搭建备份信道。

3.1 基于4G的IPSec VPN备份信道实现

思路为首先建立中心端VPN设备与远端4G无线路由器的IPSec隧道，使远端4G无线路由器能接入地震行业网，然后将远端4G无线路由器LAN口接入备份节点交换机，通过设置中心端网络设备路由优先值，实现主信道与无线备份信道的自动切换，网络拓扑如图2所示。

图2 基于4G的IPSec VPN备份信道组网拓扑图Fig.2 IPSec VPN backup channel topology diagram based on 4G

IPSec VPN配置采用总部—分支类型，云南局深信服VPN2150为总部VPN，楚雄局4G无线路由器MIG-1000为分支VPN。首先，保证云南局VPN2150直连Internet(即拥有固定互联网IP+端口)，设置WebAgent为云南局互联网固定IP+IPSec监听端口(220.163.xx.xx:409)。在用户管理模块配置分支用户，选择认证方式、加密算法及传输类型；其后，在楚雄局4G无线路由器上配置连接管理，设置WebAgent为云南局VPN2150配置的WebAgent，用户、认证方式、加密算法和传输类型等设置与云南局VPN2150保持一致。配置完成后，IPSec VPN隧道打通，实现楚雄局4G无线路由器接入地震行业网。

将楚雄局4G无线路由器LAN口配置楚雄局行业网地址，接入楚雄局行业网交换机，实现主信道和备份信道两条链路畅通。利用云南局HUAWEI、H3C设备OSPF路由优先级高于静态路由(CISCO设备可将静态路由管理距离值设置高于OSPF，使其优先选择OSPF协议线路)的属性，在云南局节点汇聚路由器和核心交换机上，配置访问楚雄局网段指向云南局VPN2150的静态路由。默认云南局至楚雄局路由优先选择OSPF主信道，当OSPF主信道中断时，自动切换到IPSec VPN备份信道，主信道恢复后又切换回OSPF主信道。

3.2 基于4G的 VPDN备份信道实现

利用云南局区域中心电信VPDN平台，实现中心端电信接入路由器LNS与远端4G无线路由器连接的建立，使远端4G无线路由器能接入地震行业网，再通过3.1章节中设置路由优先级的方法，实现主信道与无线备份信道的切换，网络拓扑如图3所示。

图3 基于4G 的VPDN备份信道组网拓扑图Fig.3 Topology map of VPDN backup channel network based on 4G

将使用的电信4G SIM卡与电信VPDN平台账号绑定，每张4G卡对应一个VPDN平台私有IP地址及用户名密码，既保证安全性，也方便管理。采用电信4G无线路由器作为楚雄局备份信道无线路由器，在该无线路由器中的配置连接类型、用户名、密码和APN，实现与云南局VPDN专线的对接。通过云南局VPDN接入路由器，实现楚雄局4G无线路由器接入地震行业网。在无线路由器LAN口配置备份节点地址，接入楚雄局行业网交换机，信道切换方式与上述3.1中的类似。

3.3 基于电子政务外网的GRE over IPSec VPN备份信道实现

云南省电子政务外网与云南省地震行业网相似，采用省、市、县三级结构，目前已覆盖所有州、市、县地震局。两个网络系统互相独立，当市县地震局地震行业网出现信道故障中断时，可临时使用电子政务外网专线配置基于GRE over IPSec的VPN隧道，保障市县地震局行业网的畅通，网络拓扑如第42页图4所示。

要确保楚雄局电子政务外网和云南局电子政务外网的互通，进行如下配置。第一步配置GRE通道。在云南局VPN路由器上建立一个GRE Tunnel，设置该Tunnel 的IP address为云南局地震行业网互联地址。在楚雄局行业网路由器HUAWEI NE20-S2E建立GRE Tunnel，IP address为楚雄局地震行业网互联地址，双方配置相同的gre key值，建立起GRE通道；第二步配置IPSec。在双方路由器上设置IPSec为传输模式，配置双方的IPSec协商，并将IPSec 协商应用到刚才建立的GRE Tunnel；第三步在OSPF里通告地震行业网地址段。如此，就打通了基于电子政务外网的地震行业网VPN隧道，通过设置VPN隧道的OSPF开销值大于主信道OSPF开销值，实现路由优先选择主信道，在主信道中断时自动切换至备份信道。

3.4 组网方案应用分析

三种方式的备份信道搭建方案，解决了单一实现方式对具体网络环境的依赖性，提高了类似云南等多节点省份备份信道建设的灵活性。基于4G的IPSec备份信道解决方案不依赖单一运营商4G网络，节点管理及数据传输均由省中心端控制，不需经过运营商平台。从数据源到中心端之间的数据通过IPSec加密传输，具有一定的安全性。在实际测试中，网络稳定性也较强，可应用于野外地震流动观测台的数据传输，有效解决野外地震观测环境单一运营商网络信号差、专线不可达和数据安全性等问题。

4 结语

针对云南省地震行业网现状分析和备份信道方案的设计，通过实际搭建测试，实现多种方式备份信道的解决方案，能有效应对多个节点复杂环境的备份信道建设需求。方案中使用的相关技术均已成熟，可满足地震观测数据实时传输和保障地震行业网网络连通率的要求，对野外流动观测数据传输的改进提供参考方案。

图4 基于电子政务外网的备份信道组网拓扑图Fig.4 Topology map of backup channel network based on E-government extranet