方 韡 张艺峰 闫 培 刘善虎 许仪西 李普春 王 笋

（厦门地震勘测研究中心，厦门 361021）

基于3G网络的IPSec VPN组网技术在野外流动地震监测中数据传输的应用1

方 韡 张艺峰 闫 培 刘善虎 许仪西 李普春 王 笋

（厦门地震勘测研究中心，厦门 361021）

以2013年福建省陆海联测炸测实验工作为例，阐述了在野外流动地震监测中，利用当今最为流行的3G无线网络架构与IPSec VPN技术，应用其保密性高、应用灵活、价格低廉的优点，结合福建省地震局在地震行业网网络建设的实际情况，快速架构与地震行业网的数据通讯模式，使得野外采集数据能够迅速的传到总部指挥中心，有效的解决了野外流动地震监测中数据实时传输的问题，保障了指挥中心的快速响应与决策作用。

3G无线 IPSec VPN 野外流动地震监测 数据通讯

引言

近年来，随着无线网络技术和网络应用的迅猛发展，地震系统用户对地震行业网络的需求越来越大，大量地震专业设备都同时扩展了网络通讯模块，野外流动地震测量工作在特殊情况也需要将实时监测数据传输到地震行业网中，针对流动地震工作实施中的便携性、环境条件限制、灵活性、安全性、经济性等要求，本文采用VPN应用中的IPSECVPN技术，利用公网的资源（电信3G网络）来组建虚拟专用网（VPN）。以2013年福建省陆海联测炸测实验工作为例，阐述了陆地地噪声观测任务中如何在架设流动地震观测仪器中，通过应用3G与IPSEC VPN组网技术，实时将观测的数据传送至省局指挥中心大厅，有效地起到了及时响应与决策作用，做好科技服务技术支撑保障功能。

1 IPSEC VPN技术介绍

1.1 VPN技术介绍

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议，为连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。

1.2 IPSec VPN技术介绍

IPSec VPN是VPN技术的一个分支，即指采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为“Internet Protocol Security”，是由Internet Engineering Task Force（IETF）定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。

IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。IPSec协议中的AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供数据可靠性保证（秦林忠等，2001）。

1.3 IPSec VPN的优势

当用公网传送内部专网的内容时，IPSec VPN在IP传输上通过加密隧道，保证内部数据的安全性，从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。如今，许多世界500强的企业已经把VPN作为远端分支和移动用户连接的主要手段，构建企业虚拟业务网，而国内大量企业也已开始考虑采用这种方式，并逐渐开始实施。在已经成功实施IPSec VPN的企业网中，企业利用Internet建立自己的IPSec VPN有以下几大优势（李成友等，2002）。

（1）经济。企业不再承担昂贵的固定线路的租费，采用Internet作为传输骨干是非常便宜的，但带宽却可以较高。此外，VPN设备功能强劲但造价低廉。

（2）灵活。连接Internet的方式可以是任何方式，一个IPSec VPN网络可以连接任意的点的分支，即使跨越大洋也毫不受限制。

（3）多业务。远程的IP话音业务和视频也可传送到远端分支和移动用户，与数据传送业务一起为现代化办公提供便利条件，节省大量长途话费。

（4）安全。IPSec VPN的显著特点就是安全性，这是它保证内部数据安全的根本。在VPN交换机上，通过支持所有领先的通道协议、数据加密、过滤/防火墙，以及通过RADIUS、LDAP和SecurID实现授权等多种方式保证安全。同时，VPN设备提供内置防火墙功能，可以在VPN通道之外，从公网到私网的接口传输流量。

（5）冗余设计。VPN设备可提供冗余机制，保证链路和设备的可靠性。

（6）通道分离。VPN交换机的分离通道特性为，IPSec客户端提供同时对Internet、Extranet和本地网络访问的支持。该技术可以设置权限，包括用户的访问权限。该特性使用户在安全条件下合理方便地使用网络资源，既安全又灵活。

（7）动、静态路由。众多的用户和复杂的路由需要路由协议的支持，这使得整个网络的地址管理方便有效。RIP和OSPF协议使得VPN设备之间像路由器一样连接和扩展，适合网络规模的不断扩大，并且动态路由协议可在加密隧道中支持（张焕明，2006）。

2 3G网络技术介绍

3G是英文the 3rd Generation的缩写，指第三代移动通信技术。支持高速数据传输的蜂窝移动通信技术。3G服务能够同时传送声音（通话）及数据信息（电子邮件、即时通信等）。代表特征是提供高速数据业务，它具有数据处理多样化、数据处理高速化、通信服务广域化等特点。

3 应用案例

3.1 项目概况与需求

以2013年福建省陆海联测炸测实验工作为例，沿陆上布设测线勘选15个地噪声观测点（图1），地噪声观测仪器采用英国Guralp公司的CMG-40TD速度型数字化地震仪，观测点位为基岩场地，相邻测点间距约10km，有效的噪声观测数据长度不少于30天。对观测期间的人工地震爆破进行观测记录。利用地噪声记录反演该测线上的地壳浅部结构，将反演结果与通过海域探测到的地壳构造作对比，并结合对台网定位精度的改善程度改进结构模型，最终给出可靠度较高的测线上的地壳波速结构。

指挥中心要求能把野外实时观测的数据传输到总部，进行分析比对与快速决策，保障指挥中心的快速响应与决策作用。现场通讯组结合福建省地震局行业网现有的网络架构，通过应用3G与IPSEC VPN组网技术，有效的将野外15台观测数据即时传输至总指挥中心（网络拓扑结构图见图2）。

图1 野外流动地震观测台站布设Fig. 1 The layout of mobile seismic stations

图2 基于3G与IPSec VPN模式架构的野外流动地震观测网络拓扑结构图Fig. 2 Mobile seismic station network and topology of 3G and IPSec VPN structural models

3.2 设备描述

此次福建省陆海联测炸测实验流动地震观测组，IPSec VPN网络通讯设备服务端采用思科3825产品设备，设备系统版本为IOS12.2，IPSec VPN客户端采用北京映翰通公司的IP605产品设备，产品定位均为中小企业接入设备，完全能满足此次实验的数据上传应用需求与未来一段时间的扩展需求，产品详细性能见表1。

表1 福建省陆海联测IPSec VPN设备性能与功能描述Table 1 Description of the functionalities of the IPSec VPN equipment

续表

4 搭建过程主要设备配置命令与说明

IPSec VPN配置主要分为两个部分，第一部分是VPN服务端的配置，第二部分是客户端的配置。

4.1 IPSec VPN Server配置

这里以中心地震行业网信息节点核心路由器思科3825型号为例，进行配置。

（1）认证方式的配置

第一步：创建本地用户名与密码

设备执行命令（罗兰等著，2003）：

3825 VPN_Server(config)#username cisco password cisco //主要作用:客户端登录VPN服务端的身份验证数据库。

第二步：启用3A认证服务

设备执行命令：

3825 VPN_Server(config)#aaa authentication login NOAU none//主要作用:定义身份验证的方式。

第三步：应用在各登录模式，主要作用：将身份验证方式应用在设备各个接口，使用接口调用该种方式的身份验证。

设备执行命令（Todd Lammle著，2012）：

第四步：配置采用本地认证模式进行3A认证，主要作用：定义客户端身份验证采用的方式。

设备执行命令：

（2）VPN ISAKMP阶段的配置

主要作用是定义ipsec vpn第一阶段的isakmp策略，定义采用何种加密方式与认证方式。设备执行命令：

（3）VPN group策略配置

主要作用：定义拨入VPN客户的策略，如拨号组名、密码、地址池、访问控制列表等内容。

设备执行命令：

（4）配置isakmp profile

设备执行命令：

（5）IPSEC阶段的配置

设备执行命令：

（6）配置动态MAP

设备执行命令：

（7）配置静态MAP

4.2 IPSec VPN Client配置

此次炸测试验，中心野外流动地震观测组IPSec VPN Client采用北京映翰通网络技术有限公司的映翰通InRouter 605多网口系列3G工业路由器，它具有配置简单、携带方便、性能稳定、经济简约等优点。主要配置分两个步骤，均采用图形化配置界面即可以完成配置。

第一步：IPSec隧道相关参数设置，如图3所示。

第二步：IPSec VPN第一阶段、XAUTH、第二阶段相关参数的配置，如图4所示。

图3 映翰通IP605路由器IPSec隧道相关参数设置示意图Fig.3 Schematic of related IPSec tunneling parameters of Inhand IP605 wireless router modem

图4 映翰通IP605路由器IPSec各阶段参数设置示意图Fig.4 Default parameters of IPSec tunnelingin related Inhand IP605 wireless router modem

5 应用测试

5.1 服务端测试

通过在中心IPSec VPN服务器上敲入以下命令验证链路是否建立。

（1）IPSec VPN第一阶段协商验证

敲入命令：Cisco3825(config)# show crypto isakmp sa

信息显示：

如果出现上述显示则表示第一阶段协商成功

（2）IPSec VPN第二阶段协商验证

敲入命令：Cisco3825(config)# show crypto ipsec sa

信息显示：

如出现上述显示则表示第二阶段协商成功，IPsec VPN建立成功。

5.2 客户端测试

如果IPSec VPN建立成功，则在映翰通IP605路由器的WEB界面则会显示出隧道相关信息（图5）。

图5 映翰通IP605路由器IPSec VPN隧道信息示意图Fig.5 Default parameters set up at each progress for IPSec tunneling in related Inhand IP605 wireless router modem

5.3 数据接收分析

本次项目为了得到更好更稳定的数据采集信号，野外采用联通的WCDMA3G信号卡网络，联通的3G网络应该说是3个运营商里速度最快、技术最成熟的，它的下行带宽速率可达7.2Mbps。通过对野外连入VPN的PC对地震行业网进行长PING（网段是10.35.*.*/255. 255.255.0），来对数据包的延迟和丢包率进行测试（图6），从测试结果可以看出联通的3G网络第一次PING包的延迟较大，之后的延迟平均在200—400ms之间，基本无丢包率，再通过流动台站数据接收软件查看数据接收情况（图7），其数据也没有出现断计现象，完全满足此次数据传输通讯的需求。

图6 PING包测试截图Fig. 6 The IPSec VPN tunnel information of Inhand IP605 wireless router modem

图7 流动地震观测台站数据接收波形图Fig. 7 Screenshot of PING packet testing results

6 结论

地震行业内存在大量的野外工作内容，如：流动地震观测、地震应急、海洋地震观测，需要随时随地的将大容量数据传送至总部。本文基于3G网络应用的普及，寻找到一种高效便捷的野外流动地震观测数据传输的通讯模式，加上IPSec VPN原有成熟的组网技术，使得野外流动地震观测数据通讯需求得到了充分的解决，其主要有以下几个特点。

（1）应用的突破

传统地震行业数据传输中IPSec VPN技术是基于固定台站的应用，该技术对于野外流动地震观测应用的案例比较少，作者于2003年以来一直从事野外地震观测工作，针对野外流动地震观测业务本身的特点，如：设备需要携带轻便、设备配置灵活、IP地址不固定、随时随地的接入、快速搭建等，本文根据其新的应用需求的特点，对设备选型及配置都做了比较好的推荐与说明，并对3G网络在工程实践做了数据传输性能测试与比较，提出了在野外流动地震数据传输中性价比较好的方法。

（2）技术改进

传统的IPSec VPN技术配置是基于命令行模式，对地震现场工作人员技术要求比较高，本文推荐选型设备是基于WEB配置方式，工作人员只需要在配置表单中简单输入相应的参数即可轻松调试设备，更快的为现场搭建出一条加密遂道数据传输模式，对于地震野外工作现场，可大大提高工作人员的效率。

（3）经济简约

传统的LAN to LAN组网需要租用专有的网络，费用较高，通过3G网络，可以随时随地方便的利于互联网原有的架构轻松的接入地震行业网内，节省了昂贵的专线租用投入，且数据安全性也是有保证的。

本方法通过在野外流动地震监测中的应用，可以充分保证地震信息业务安全、高速、可靠传输，有效的解决了野外流动地震监测中数据实时传输的问题，保障了指挥中心的快速响应与决策作用。通过测试使用，本方法适于在整个地震行业内有相同野外性质的业务中进行推广与借鉴。

参考文献

李成友，曹伟，2002．IPSec研究与虚拟专用网技术．计算机工程，（2）：246—248．

罗兰，纽坎博著，白建军，王宝生译，2003．CCSP Cisco安全VPN认证考试指南．北京：人民邮电出版社，58—96．

秦林忠，黄本雄，2001．IPSec设计与实现．计算机应用，（21）：25—27．

张焕明，2006．基于IPSec的VPN关键技术研究．微计算机信息，（3）：56—58．

Todd Lammle著，2012．CCNA学习指南（640-802）（第7版）．北京：人民邮电出版社．

3G Network-based IPSec VPN Networking Technology for Data Transmission for Mobile Earthquake Monitoring

Fang Wei, Zhang Yifeng, Yan Pei, Liu Shanhu, Xu Yixi, Li Puchun and Wang Sun

(Xiamen Research Centre of Seismologic Surveying, Xiamen 361021, China)

Taking surveying experiment in the land and ocean of Fujian province in 2013 as an example, we investigate the most popular 3G wireless networking build up and IPSEC VPN technology mobile earthquake monitoring. The advantages of high security, flexible application, lower cost, combined with the realistic earthquake precursory network setting conditions in Fujian province, allow us to build up data communication modes rapidly in seismic industry network. Thus the data collected at outdoors can be immediately transmitted to headquarters command center. This technology is useful to solve the problem of live transmission of data for outdoor portable earthquake precursory, and to guarantee the rapid response and decision making from command center.

3G wireless; IPSEC VPN; Mobile earthquake monitoring; Data communication

方韡，张艺峰，闫培，刘善虎，许仪西，李普春，王笋，2014．基于3G网络的IPSec VPN组网技术在野外流动地震监测中数据

的应用．震灾防御技术，9（3）：496—507．

10.11899/zzfy20140317

1 课题项目 台湾海峡西部地壳深部结构探测

2013-11-12

方韡，男，生于1982年。工程师。主要从事地震监测与地震信息网络维护与应用工作。E-mail：258279496@qq.com