刘 可 张亦梅 特木其勒

(湖北省地震局,武汉 430071)

如何在湖北省地震网络系统中架构 VPDN平台＊

刘 可 张亦梅 特木其勒

(湖北省地震局,武汉 430071)

湖北省地震系统约有 100个站点需要利用无线网络系统进行信息传输,前期是利用自建的 VPN网络,其传输速度受互联网的影响较大,传输速度较慢,甚至出现不能对仪器进行实时监控、数据不能按时收取、无法按时向国家台网中心报送数据的情况。而目前湖北省地震网络系统业务的拓展,需要进一步完善覆盖全省的数据传输网络,用于承载前兆无人职守系统、流动测震系统和移动办公系统。鉴于上述情况,湖北省地震信息网络部门通过分析各分支点所处的地理位置及数据传输的要求,最终使用中国电信的无线 VPDN业务,组建湖北省地震数据监测VPDN网络系统。从而满足了数据传输的安全性、观测数据上报的安全性和地震分析预报的及时性要求。

VPDN平台;湖北省地震网络系统;数据传输;安全性;无线网络

1 湖北省地震无线网络系统现状与需求

湖北省地震网络系统“十五”期间完成了无人值守前兆台网及部分流动观测测震台网建设,全省包括前兆无人职守站点、测震流动台和移动办公用户等共有约 100个站点需要实现数据回传。前期是利用自建的VPN网络,采用的通用方式为：在区域中心自建VPN信道、路由,各站点观测仪器数据传输采用无线 CDMA+Internet+VPN传输方式。由于该传输方式是通过 Internet互联网接入后再接入到湖北省地震行业网络,使其传输速度受互联网的影响较大,在每周星期一至星期五期间,CDMA传输速度较慢,从 2008年下半年开始,数据经常不能按时收取,不能对仪器进行实时监控,无法按时向国家台网中心报送观测数据。为此,中心值班人员需经常重新启动湖北省地震局区域中心VPN路由器,每次重启动造成局行业网 VPN链路中断 10分钟,严重影响湖北省地震前兆台网运行管理工作质量和湖北省地震行业网的运行安全。

为解决上述问题,同时随着湖北省地震网络系统业务的拓展,需要进一步完善覆盖全省的数据传输网络,用于承载前兆无人职守系统、流动测震系统和移动办公系统。监测预报中心通过调研,多次与中国电信武汉分公司进行沟通并和其他省地震局交流后,考虑各分支点所处的地理位置及数据传输的要求,我们选用中国电信的无线VPDN业务组建湖北省地震数据监测VPDN网络系统。VPDN意为虚拟专用拨号网络,技术成熟、应用广泛,可以使用ADSL、光纤和 CDMA移动无线等方式接入。

专用湖北省地震行业VPDN平台网络的中心点位于湖北省地震局 6楼区域中心机房内 (图 1),具体为：1)租用一条中国电信武汉分公司至地震局的2M数字电路 (SDH);2)各前兆台网无人职守站点和流动测震观测台的数据传输使用北京映翰通公司InRouter700无线路由器,采用无线 CDMA+VPDN网络接入湖北省地震行业网;3)同时在VPDN平台运行正常后还可以用于局用户的异地移动办公,通过 EVDO+VPDN方式随时随地接入湖北省地震行业网;4)实现湖北省地震网络系统区域中心和各站点在VPDN平台间双向的路由访问(图2)。

图 1 湖北省地震网络系统通信信道部署图Fig.1 Disposition of the information channels of the seismic network system of Hubei province

图2 湖北省地震网络系统VPDN平台信道部署图Fig.2 Disposition of the VPDN platfor m channels of seismic system of Hubei province

2 湖北省地震网络无线 VPDN组网方案

湖北省地震网络无线VPDN组网方案使用中国电信的无线VPDN业务,组建湖北省的地震数据监测VPDN网络系统。VPDN可以动态地建立从分支点远端设备到湖北省地震网络系统区域中心的电路;各分支点使用CDMA 1X或 EVDO接入,实现无线、移动连接到湖北省地震行业网内;更重要的是同时实现了区域中心和站点间通过规划好的固定 IP来双向访问。由于可以对观测仪器设备进行远程的监控管理,集中管理某个区域的所有台站、,远程对各个监测点的监测设备等进行批量管理、配置、升级等操作,实时了解所有台站的工作状态等因而大大降低了对观测设备的维护成本。

2.1 VPDN平台网络结构

根据湖北省地震无人监测站点所采用的映翰通公司 InRouter700无线路由器的特性及功能,采用的技术方案如图3所示。

各分支站点路由器通过CDMA 1X或 EVDO网络无线接入到就近基站,通过电信大客户专网 CN2汇聚到湖北省地震行业网核心路由器,实现与湖北省地震行业网络区域中心互联。VPDN网络平台建成以后,各分支点可以访问中心点,也可以互访。

图3 VPDN平台网络结构的技术方案Fig.3 Technical project of the VPDN platfor m network

2.2 湖北省地震局中心点接入方式

湖北省地震局中心点接入方式如图 4所示。

图4 中心点的接入方式Fig.4 Accessmode of the central point

在湖北省地震局总部机房,新装 2M光纤专用线路 1条,连接 C3845核心路由器和就近电信局端路由器 PE。C3845作为VPDN网络的LNS,需提供1个 FE电口,并配置好路由。

湖北省地震行业网区域中心局域网内的电脑,可以直接访问应用服务器,不需要安装VPDN电路。

2.3 分支点接入方式

分支点接入方式如图 5。

图5 分支点接入方式Fig.5 Accessmode of the brench

在各无人职守分支站点内局域网通过 InRouter700无线路由器,电信局 CDMA网络和 CN2网互通,最终访问到湖北省地震行业网区域中心机房。

2.4 移动办公接入方式

对于移动办公用户,使用安装有CDMA或 EVDO上网卡的笔记本电脑,可以拨号连接湖北省地震行业网区域中心。智能手机本身直接支持 CDMA1X或 EVDO,简单设置后就可以接入到地震行业网区域中心。

2.5 域和拨号用户名

在电信VPDN平台上,专门为湖北省地震局建立一个域,该域和公网、其他专网相互隔离,不能互通。该域具有唯一域名,形似 company.hb等,可以和其他不同域区分。

每个分支点和移动办公配备的U I M卡,分配有全域唯一的拨号用户名,形似 abcdefg@company. hb,密码为英文字母和数字串。

2.6 VPDN电路建立过程

1)设备拨号。各类终端、路由器使用专门分配的 abcdefg@company.hb用户名拨号。

2)隧道建立。电信 IP宽带网络中的接入服务器(PDSN)从用户名判别是湖北省地震局的用户,于是建立到湖北省地震行业网 C3845核心路由器的L2TP隧道。

3)认证。隧道建立以后,接入服务器 (PDSN)将用户名和密码提交给LNS,LNS和AAA服务器配合进行用户认证。

4)电路建立。认证通过后,LNS和AAA服务器配合,据分支点VPDN帐号为分支机点无线路由器分配固定 IP,打通从拨号设备到 LNS的 3层连接。这时分支点路由器、移动终端就可以访问湖北省地震行业网区域中心了。

2.7 分支点到中心点路由的实现

在做 IP地址规划时,为每个分支点局域网配备IP地址段,为区域中心点路由器和分支点 CDMA无线路由器配备互联 IP地址段,并在各路由器上配置好路由表。

在VPDN电路建立过程中,区域中心点路由器为分支点路由器分配固定的互联 IP地址。电路建立以后,湖北省地震行业网区域中心局域网内 IP就可以通过 3层路由访问各分支站点局域网内 IP了。

3 相关技术介绍

3.1 VPDN

3.1.1 业务描述

虚拟专用拨号网络 (VPDN)业务,是指在中国宽带互联网基础上开放的基于拨号方式的虚拟专用网络业务。VPDN业务向用户提供以拨号方式接入中国宽带互联网,利用中国宽带互联网公共网络资源建立虚拟链路,实现企业网内部数据资源的访问。

3.1.2 业务功能

1)使用有域名后缀的拨号帐号,通过拨号接入到客户网络;

2)客户授权的合法用户可随时随地以拨号方式进入客户内部网,访问客户内部数据资源,实现网点联网、移动办公;

3)方便将客户合作伙伴远程接入客户内部网,大范围组建客户外联网;

4)可以与专线组成的虚拟专用网进行无缝链结;

5)客户可以管理用户帐号。

3.1.3 业务特点

1)不需要安装特殊的软件,也不需要申请外地的账号,在全国各地,均可接入企业内部网络,使用方法和普通拨号上网一样简单方便;

2)只使用 ADSL线路或 CDMA上网卡即可接入企业内部网络,客户可以大大降低设备费及专线费,从而减少经营成本;

3)利用中国电信的公共网络组建私有网,客户可以在最大范围内获得其所需的私有网;

4)采用 L2TP(Layer 2 Tunneling Protocol)协议隧道技术,并对经过隧道传输的数据进行加密,可以充分保证客户数据的私密性和安全性;

5)客户可以自行规划用户帐号。

3.2 中国电信 3G网络介绍

3.2.1 CDMA 1X技术

中国电信CDMA 2000 1X网络是 3G的第一阶段技术,CDMA(Code Division Multiple Access)是一种码分多址的通信方式,它是在数字技术的分支——扩频通信技术上发展起来的一种无线电通信技术,不同的移动台共用一个频率,应用扩频通信技术,对每个移动台分配一个独特的、随机的码序列,每个码序列与所有其他码序列互不相同,而且彼此都不相关。因此,CDMA技术与 FDMA(频分多址)、TDMA(时分多址)技术相比,具有很多的优越性。第三代移动通信普遍采用了这种技术。

中国电信已经建立了完善的 CDMA 2000-1X网络,网络部分引入了分组交换,可支持移动 IP数据传输业务。CDMA数据传输的优点在于：

1)传输速率高,传输峰值速率达到 153.6kbits,是目前公网传输中实测最高的,适合图像数据传输;

2)永远在线,可以实时传输数据;

3)基站覆盖范围广,漫游性能好,高速移动时仍然能传数据;

4)多种资费可以选择,价格合理;

5)基于 IP协议可以访问 Internet或VPN网络。

3.2.2 CDMA EV-DO

CDMA2000 1x EV-DO,是CDMA2000 1x演进到3G的技术,是一种针对分组数据业务进行优化的、高频谱利用率的CDMA无线通信技术,它向下兼容CDMA 1X。

CDMA EV-DO分为两个版本 Rev A和 Rev B。目前 EV-DO RevA网络已经投入商用,2010年主要城市的RevA网络将升级到RevB。

CDMA EV-DO具有如下技术特点：

1)速率快,RevA理论下行速率最高 3.1Mbps,上行速率最高 1.8Mbps,实际速率与普通 ADSL速率相当;

2)EV-DO RevA可以通过软件升级到 EV-DO RevB,提供高达 9.3Mbps的下行和高达 5.4Mbps的上行峰值速率;

3)全面支持 QoS,具有灵活和有效的 QoS控制机制,使系统和终端可以基于应用的不同 QoS要求,对每个高层数据流进行资源分配和调度控制,在保证系统稳定性的前提下,可以灵活而有效地满足不同数据流的传输要求,从而可以同时支持实时和非实时等多种业务。

(1)低接入时延

EV-DO对接入信道和控制信道均进行了优化,使用户可以在发起服务请求时更快地接入网络、较快地响应来自网络的服务请求,终端可以适配网络服务情况的同时降低功耗,提高待机时间。

(2)低传输时延

在进行数据传输时,EV-DO引入了高容量模式和低时延模式。

(3)低切换时延

EV-DO Rev A通过网络切换预先指示,可以大大降低前向切换时延。

3.3 无线 VPDN安全性分析

1)空中无线安全保障系统

在无线上,由于 CDMA技术源于美国军用抗干扰技术,CDMA码址是个伪随机码,而且共有 4.4万亿种可能的排列,因此,窃听或解码只存在理论上的可能性,但在实际中不可能做到,目前也尚无关于CDMA系统被窃听或解码的新闻报道。采用其他的无线通信方式如 GPRS,对无线接入侧信号安全性较差,信号易被截取和窃听。

2)接入侧L2TP二层隧道协议

CDMA数据网络内包括无线接入服务器 PDSN、VPDN网关等设备只完成对用户的接入功能(完成物理层、链路层、网络层功能),对用户的应用数据不做任何处理,用户的私密性和安全性可以得到充分的保证。同时设备自身也处在一个相对安全的内部网络环境中,避免了从外部网络入侵的可能。无线终端通过接入交换机与VPDN服务器的链接是通过L2TP隧道协议。L2TP隧道协议保证了 VPN在 IP网络上的安全性,是目前技术成熟,运用广泛的VPN技术。

3)两层认证保障和私有 IP地址

无线接入侧的AAA认证服务器对用户 I MSI号和域名进行初步认证,VPDN接入侧的 RAD I US认证服务器对其用户名及密码进行再次认证。多层认证系统充分保证了系统的安全性和保密性。此外无线接入帐号 (用户名、密码等)采用了MD5 CHAP加密认证方式,密码采用密文传输,避免了传输过程中密码被窃取的可能性。分配给每个无线用户的 IP地址是经过客户许可且分配的是客户内部网络中合法的 IP地址,保证了无线终端与任何外部网络的隔离。VPDN平台的 AAA服务器除了完成无线接入用户的身份认证外,还可以根据需要对 CDMAU I M卡内部的 I MSI号进行识别,识别出U I M卡使用人是否有权使用指定的无线接入帐号。分配给无线用户的内部 IP地址也可以根据需要采用动态分配和静态指定方式,这样做到了IP地址、I MSI、无线接入帐号三者的唯一确定性,实现了从物理层到网络层的统一。

4 湖北省地震网络 VPDN平台建设的成效

湖北省地震网络VPDN平台的建设实现了地震台网建设的数字化、无线化,大大降低了建设成本,由于实现了多种观测设备的统一接入管理,可以对各种观测设备进行远程的监控管理,因而大大降低了对地震设备的维护成本。远端观测设备的监控管理方便快捷。观测数据的实时性上报,保证了地震预报的及时性,提高了预测效率。针对地震设备布设环境的恶劣性,无线VPDN平台的建设可以满足野外无人职守观测环境的需求。专网接入方式可以保证数据传输的安全性。

HOW TO CONSTRACT VPDN PLATFORM IN EARTHQUAKE NETWORK SYSTEM OF HUBEI PROVINCE

Liu Ke,Zhang Yi mei and Temuqile
(Earthquake Adm inistration of Hubei Province,W uhan 430071)

There is a great need for about 100 stations of the earthquake administration of Hubei province to transmit information by use of the wireless network system.Early,the home-made VPN network was used,bywhich the transmission velocity ismuch affected by internet,so the velocity was very slow,even we could not moniter the instruments in real time,could not often receive the data on ti me,and thus could not report the data to state station network center on time.At present,the business of the seis mic network system of Hubei province has extended and it needs improving the data trans mission network to cover the whole Hubei and to support the anmared precursor system,mobile seismometry system and mobile office system.Seeing that,the department of earthquake information network of Hubei province,after analyzing the geographic location of each brouch point and their demands,decided to constract the VPDN network system formonitoring the seismic data of Hubei province by use of the wirelessVPDN of China Telecom.Thereby,the sofety of data trans mission,reporting the observations in real time and the analysis and prediction of earthquake on time can be guaranted.

platfor m VPDN;seismic network system of Hubei province;data transmission;safety;wireless network

1671-5942(2010)Supp.(Ⅰ)-0157-05

2010-05-13

刘可,男,1973年生,工程师,主要从事网络管理工作.E-mail：liuke@eqhb.gov.cn

TN919.2

A