地震现场通讯集成技术研究
2016-04-01卓方瑶郝永梅王建勋贾军龚飞张美玲1中国哈尔滨150090黑龙江省地震局2中国黑河164155五大连池地震火山监测站
王 卓方 瑶郝永梅王建勋贾 军龚 飞张美玲1)中国哈尔滨 150090黑龙江省地震局2)中国黑河 164155五大连池地震火山监测站
地震现场通讯集成技术研究
王 卓1)方 瑶1)郝永梅1)王建勋1)贾 军1)龚 飞1)张美玲2)
1)中国哈尔滨 150090黑龙江省地震局2)中国黑河 164155五大连池地震火山监测站
摘要从地震应急现场工作需求出发,根据组网、编写辅助程序到硬件集成的现场通讯技术,将现场网络接入地震系统内网,并根据实际信号优化工作现场网络,为野外工作提供一定续航能力。
关键词应急;现场;网络
0 引言
地震发生后在没有应急指挥车的条件下,地震应急现场工作队携带零散的必要设备赶赴地震现场开展工作,工作地点由地震震中位置及区域烈度等因素决定,地理位置具有较大随机性。不能保证具有固定工作地点,工作条件难以保障。用于地震现场工作的电源、专业设备、通讯设施等,通讯最具有随机性,而且现场工作队未必配备专业网络通信人员,如何根据现场情况配置当地网络也是一个重要问题。
随着网络技术的快速发展,4G网络技术逐渐取代3G成为主流。但由于4G技术应用时间尚短,基站覆盖率远达不到3G基站覆盖水平。地震应急工作地点经常分布于野外和山区,而当前4G网络基站建设覆盖仅限于城区,因此采用3G作为主力通讯手段。根据3G网络应用经验,选用联通WCDMA(Wideband Code Division Multiple Access,宽带码分多址)和电信CDMA2000(Code Division Multiple Access 2000)两种标准的3G协议在路由器中做双出口配置,其中WCDMA下行带宽可达21.6 Mbps,CDMA2000下行带宽可达3.1 Mbps。随着4G基站覆盖率增加,将逐步取代3G。
以网络运营商提供的3G互联网接口为基础搭建VPN(Virtual Private Network,虚拟专用网)技术,实现地震应急现场到省地震局的虚拟专网互联。VPN虚拟专网的通讯质量取决于3G网络质量,而3G网络质量又取决于基站距离。如果运营商基站数量多密度大,那么网络覆盖率就好,无信号几率就低。现场工作地点的随机性决定了网络运营的择优使用,若两种3G网络效果均较好,还可以利用负载分担使业务分流,从而提高总带宽。
海事卫星BGAN(Broadband Global Area Network,宽带全球局域网)为另一种可选的通讯方式,不受基站位置影响,但也有诸多限制:①受天气影响,雨、雪、一定厚度的云层均会对某些波段的卫星信号产生严重干扰;②BGAN系统在中国中东部大部分地区只覆盖亚太卫星,只有西部少数地区可同时使用欧非卫星。由于卫星信号是直线传播的,在中国境内使用亚太卫星时,东南方向无遮挡才是最有利的情况,如果现场工作队的工作地点东南方仰角内正好有高大建筑、山峰、隧道或茂密森林等遮挡物,会直接影响卫星信号的传播;③价格昂贵,应作为通讯的最后手段。
将上述通讯方式整合起来,通过一个完善的逻辑智能判断,选择最优方式进行通讯,提高现场工作队的网络平台质量。现场工作队通常没有专业网络工作人员,因此简化操作智能管理也本研究的另一个主要方向。本文以黑龙江省地震局现有条件和实际应用为基础,研究如何将通讯和供电等设备集成,便于管理和操作,同时研究开发图形化界面软件,管理和配置网络设备。
1 网络方案设计
VPN在公用网络上建立专用网络实现虚拟互联。常用VPN协议有IPSec(Internet Protocol Security,互联网协议安全性)、L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)和GRE(Generic Routing Encapsulation,通用路由封装)3种。考虑到应急流动现场数据安全性,IPSec为必选协议。L2TP在移动端无法为VPN单独选择所使用的互联网出口,只能与上网出口保持一致,与本研究意愿相违背不予考虑。
为与地震系统行业网保持一致性,需要使用OSPF(Open Shortest Path First,开放最短路径优先)动态路由协议,而IPSec本身不支持OSPF所需组播协议,因此需将GRE 与IPSec搭配使用。
在IPSec over GRE方案中,两端路由器外网接口均需设置固定IP地址。而应急流动端使用3G作为互联网,获取动态IP地址。因此,选择GRE over IPSec方案,使GRE在IPSec内部通过设置一个loopback(回送地址)接口来实现VPN互联。
在GRE over IPSec方案中,应急流动工作队与省地震局之间交互数据,利用GRE通用路由封装协议,建立一个非安全的隧道据,利用其支持组播协议特性来支持隧道使用OSPF动态路由协议传递私网数据。GRE协议自身无法保障数据安全性,需要利用IPSec保护数据流安全,保证数据不被篡改、偷换和非法读取。数据流经过路由器先分装为GRE数据包,再分装为IPSec数据包,通过物理接口监控是否有需要加密的GRE数据,两端GRE数据流被加密分装为IPSec包进行传递,保证数据包经过IPSec加密和认证,包括隧道建立、路由建立和传递。
综上所述,选择使用GRE over IPSec VPN进行NAT(Network Address Translation,网络地址转换)穿越,同时运行OSPF动态路由协议交互内网数据,使用静态路由建立VPN为最终方案,见图1。
图1 网络接入方案Fig.1 Network access scheme
1.1 配置GRE
GRE协议在两端路由器中分别创建一个虚拟tunnel接口,用来支持组播协议,以便运行OSPF动态路由协议。文中VPN方案采用GRE协议在内、IPSec协议在外的方式,需首先将数据分装为GRE数据包。
试验发现,若GRE tunnel接口源和目的地址使用实际业务地址,将会造成OSPF路由震荡,进而造成数据包丢失。因此,采用以下做法,建立一个loopback接口,以此为基础建立GRE隧道。
interface LoopBack0 //创建loopback 0接口
ip address 2.2.2.1 255.255.255.255 //配置loopback接口ip
之后再创建tunnel接口,其地址设置为行业网的接口互联地址,源地址和目的地址分别设置为上述创建的本地和对端LoopBack接口地址。
interface Tunnel30 //创建GRE tunnel30接口
ip address 192.168.251.186 255.255.255.252 //配置tunnel接口ip
source 2.2.2.1 //指定本端tunnel接口的源地址
destination 1.1.1.1 //指定对端地址
1.2 配置IPSec
本文VPN方案的IPSec协议在GRE外部,在物理接口上监控需要加密的GRE数据流,两端GRE数据将被分装成IPSec数据包进行加密再传递,所加密数据更全面。
IPSec协议需要创建访问控制列表来定义其要保护的数据流,源地址和目的地址需要为两端路由器loopback接口配置地址,即GRE协议中tunnel接口的源和目的地址。
acl number 3000
rule 0 permit ip source 2.2.2.1 0.0.0.0 destination 1.1.1.1 0.0.0.0
在本端IP地址不固定,IPSec必须使用野蛮模式,并通过两端名称的方式进行协商。同时配置NAT穿越,用于解决运营商级NAT的问题。全球ipv4公网地址目前分配殆尽,运营商无法为每个3G用户分配一个实际的ipv4公网地址,为了向ipv6平稳过渡,运营商普遍采用DS-lite或NAT444技术,为用户分配虚拟公网地址,并映射实际公网地址,目前联通和电信运营商均采取此技术。利用display ipsec sa查看IPSec隧道建立,本端显示虚拟公网地址,从对端可以看到真实公网地址。
ike peer center //配置ike对端邻居名称
exchange-mode aggressive //设置为野蛮模式
pre-shared-key cipher //设置预共享密钥
id-type name //配置通过名称的方式进行协商
remote-name center //指定ike邻居名称
remote-address 111.111.111.111 //指定对端地址
nat traversal //开启NAT穿越
ipsec的报文封装需要设置为隧道模式,esp认证用于验证数据完整性,保证数据不被篡改和偷换,加密则保证数据不被非法读取。
ipsec transform-set hljyj //创建ipsec安全提议
encapsulation-mode tunnel //报文封装形式采用隧道模式
transform esp //配置采用esp安全协议
esp authentication-algorithm md5 //配置esp认证算法为md5
esp encryption-algorithm des //配置esp加密算法为des
做完上述几项配置后创建一个IPSec安全策略,在策略中引用访问控制列表、IKE对等体和IPSec安全提议,在IPSec的承载接口处使用ipsec policy hljdzj命令下发IPSec安全策略。
ipsec policy hljdzj 1 isakmp //配置ipsec安全策略
security acl 3000 //引入访问控制列表
ike-peer center //引用ike对等体
transform-set hljyj //引用ipsec安全提议
本文使用路由器是H3C MSR 930-DG,共有3个3G接口,其中Cellular 0/0为usb (Universal Serial Bus,通用串行总线)扩展接口,需要连接独立3G或4G调制解调器;Cellular 1/0为电信接口,Cellular 2/0为联通接口。配置路由器时需要在电信和联通两个接口同时设置NAT和下发IPSec安全策略,保证两个接口均能上网和连接VPN。
1.3 路由设置
路由设置中同时使用静态和动态两种路由协议。本地互联网和VPN业务的路由采用静态方式选择出口,IPSec隧道和GRE隧道的路由路径必须相同才能协商成功。当需要更改上网业务或者VPN的承载链路时,只需更改静态路由出口Cellular 1/0和Cellular 2/0即可。
ip route-static 0.0.0.0 0.0.0.0 Cellular2/0 //默认路由用来设置互联网出口
ip route-static 1.1.1.1 255.255.255.255 Cellular1/0 //指向对端GRE隧道地址的路由
ip route-static 111.43.134.192 255.255.255.248 Cellular1/0
//ipsec与对端设备协商的路由
为与中国地震系统专网保持一致,应用数据采用OSPF动态路由协议进行传输。开启OSPF进程,将应急现场工作队的IP地址段及GRE tunnel接口地址段发布到相应区域。
ospf 1 //创建ospf进程
area 0.0.0.23 //设定ospf区域
network 192.168.151.0 0.0.0.31 //发布路由器本地直连地址段
network 192.168.251.184 0.0.0.3 //发布GRE tunnel接口地址段
至此,应急现场路由器VPN关键配置完成,省地震局端路由器也需做上述相应配置,对端和本段接口地址需做相应修改和匹配。
2 网络管理软件研究
由于更改网络设置需要修改路由器配置参数,对于非网络专业工作人员操作难度比较大,而且一旦执行错误修改可能导致整体网络瘫痪,因此本文在设计网络方案的同时还开发了网络管理软件,利用socket协议与路由器建立基于23端口的tcp连接,远程登录到路由器中发送配置和查询命令,读取和修改路由器内部参数,实现非网络专业人员也能轻松掌握网络状态和优化现场网络配置。本软件运用多线程技术,使socket连接在后台线程运行,以此保障UI线程的流畅性。
网络管理软件以图形化界面显示路由器内部信息,并具备改写路由器配置功能,用户无需手动配置路由器命令即可使用相关功能。网络管理软件主界面(图2)设置查询3G信号强度、为互联网和VPN业务选择承载出口的功能,可配置用户手动选择和自动优化两种模式。
图2 网络管理软件主界面Fig.2 Main interface of network management software
点击“互联网启用”和“VPN启用”按钮,分别可以将互联网业务和VPN承载链路切换到对应出口,按钮分别做锁死功能,不会出现快速连点造成连续写入命令的情况。
主界面显示本机IP地址、当前互联网和VPN承载出口以及联通和电信双3G的信号强度数值。网络管理软件采用类似于手机和Wi-Fi信号的图形,直观显示信号强度,图形与信号状态文字描述及强度数值相对应,见表1。
表1 信号强度与质量对应关系Table1 The relationship between signal strength and quality corresponding
网络管理软件配置信息保存在config.ini文件中,与主程序放置在同一目录下。每次开启软件预读取配置文件内容,修改的内容重新写入配置文件并保存等待下次读取。文件主要配置信息如下
[路由器地址]192.168.151.1 //设置路由器ip地址
[用户名]admin //设置路由器用户名
[密码]admin //设置路由器密码
[网络选择]手动 //网络设置模式
[自动更改提示]否 //自动设置的更改提示[自动扫描时间]300 //自动轮询时间
2.1 3G信号强度和路由器配置信息读取
网络管理软件使用telnet命令登录到路由器中,再依靠display cellular 1/0 all命令查询3G接口状态,电信接口在正常使用3G业务时的返回值如下。
Modem State:
Hardware Information
====================
Model = EM660
Manufacturer = HUAWEI TECHNOLOGIES CO., LTD
Modem Firmware Version = 11.002.05.00.45
Hardware Version = CE66TCPUVer A
Electronic Serial Number (ESN) = 804d0f51
Preferred Roaming List (PRL) Version = 0
International Mobile Subscriber Identity (IMSI) = 460030360045559 Modem Status = Online
Modem Setup Information //以上一段显示modem的各项信息
===================
Diagnostics Monitor: Close
Network Information
===================
Current Service Status = Service available
Current Roaming Status = Home
Network Connection Mode = HYBRID
Current Network Connection = 1xRTT/EVDO HYBRID
Base Station ID = Unknown
System ID = Unknown
Network ID = Unknown
Sub-net ID of EVDO = Unknown
Downstream Bandwidth = 3100000 bps //下行带宽
Radio Information
=================
Current RSSI(1xRTT) = -119 dBm //1xRTT网络信号强度
Current RSSI(EVDO) = -60 dBm //EVDO也就是3G的信号强度Current Voltage = 3275 mV
Modem Security Information
==========================
PIN Verification = Disabled
PIN Status = Ready
Number of Retries remaining = 3
UIM Status = OK
在以上信息中检索Current RSSI(EVDO)后的数值即为电信EVDO(CDMA2000 1xEV-DO)网络的信号强度。联通接口的返回信息略有不同,需要检索的关键字为Current RSSI。
查询互联网业务和VPN承载链路的方法为发送display current-configuration configuration命令显示路由器当前生效的配置信息,在信息中检索静态路由关键字,通过查询静态路由的出口信息来确定当前业务的承载关系。
2.2 网络切换控制
网络管理软件通过路由器中的写入命令达到网络切换的目的。下面一段代码为将互联网切换为电信的方法,首先用undo删除当前通往联通出口的静态路由,再添加一条通往电信出口的静态路由。
private void SetInternetDXThread(Utils.CSocket cSocket, bool IsClose)
{
cSocket.SendTextWaitResponse("undo ip route-static 0.0.0.0 0.0.0.0 Cellular2/0 ", "]", 10); //删除当前联通的默认路由cSocket.SendTextWaitResponse("ip route-static 0.0.0.0 0.0.0.0 Cellular1/0 ", "]", 10); //添加一条从电信出口的默认路由
if (Program.Config_AutoMsg && lbInternet.Text != "电信")
{
MessageBox.Show("Internet已切换到电信"); //提示信息
}
LoadInfoThread(cSocket, false);
if (IsClose)
{
cSocket.TcpClose();
bLock = false;
}
}
切换VPN承载链路的实现方法类似,通过先删除后添加的方式改变静态路由达到切换网络的目的。与切换互联网不同之处在于,重写完静态路由后还需要用quit命令从系统视图退出到路由器的用户模式,再利用reset ipsec sa和reset ike sa两条命令重启IPSec和IKE(Internet key exchange,互联网密钥交换)的进程,等待IKE和IPSec重新协商并建立隧道,即可完成VPN切换。
软件除支持手动切换网络外还支持自动切换,按照每次轮询结果,将业务只能切换到更好的链路上。根据表1信号强度与质量对应关系,制订网络自动切换规则(表2),在每次轮询是按照此切换规则来改变网络。
表2 网络自动切换规则Table2 Automatic network switching rules
3 整体集成方案
针对地震应急工作小队为目标,将路由器、供电主板、锂电池、AP(Wireless Access Point,无线访问接入点)、太阳能供电控制器、天线等设备整合到一个箱体内,同时设计整套集成方案,供电与连接关系见图3。
锂电池通过主板向其他各硬件设备供电,充电需要利用箱体表面的航空插头。2个充电和3个12 V负载航空插头连接在供电主板上,3个网络接口其中一个连接在路由器GigabitEthernet 0/0接口,用以将路由器直连到其他网络,另外两个接口连接在路由器LAN接口。2个野外3G信号增强天线固定于集成箱箱体外侧,AP用于提供Wi-Fi (WIreless-FIdelity,无线网络)网络。前面板带有开关、显示屏、充电选择旋钮及路由器指示灯和USB接口。系统提供220 V交流和太阳能两种充电方式以保障续航能力,供电主板上连接的旋钮可控制充电方式,经测试,一块20 A·h的锂电池约可为整套系统供电约10 h。路由器面板的指示灯可粗略查看当前网络状态。3D设计图纸见图4。
整体集成方案中,设备装箱时彼此间不能挤压,还要保证每台设备的散热,基于上述考虑,需要在箱体内部做好框架并固定,将各种设备固定在框架上以螺丝扣紧,即保证稳固和间距散热,又具有灵活性,可插拔,便于维护和调整。箱体两侧各悬挂固定一个天线,箱体附带拉杆,为用户提供便携移动能力。
图3 设备供电和连接Fig.3 Power supply and connection
图4 3D设计图纸Fig.4 3D design drawings
4 结束语
硬件集成方案对路由器供电和天线部分进行改造,等同于放弃路由器采购中的质保条款,一旦出现损坏将增加设备更换成本。本研究设计的通讯集成箱仅包含通讯和供电功能,若增加箱体体积,可加入视频会议等具体应用设备,可按照实际需求订制。
网络管理软件可开发更多功能用来管理和配置路由器,并可移植到安卓系统,方便用户更改网络设置。随着4G、智能设备和无线充电等技术的快速发展,集成方案具有更多升级和扩充空间。
参考文献
郝永梅,邓阳,龚飞. 智能化台网运维技术设计与应用[J]. 地震监测,2012,(4):61-65.
郝永梅,王卓,方瑶,贾军. 台站运行率自动检测系统的应用和技术要点[J]. 防震减灾学报,2014,30(2):40-43.
贾军,王卓,邓阳,常征. 智能电源系统在测震台网远程维护中的应用[J]. 地震地磁观测与研究,2012,33(5/6):285-291.
史勇军,陈述新. 新疆防震减灾中心通讯网络系统集成与应用. 西北地震学报,2010,4:399-404.
宋立军,兰陵,王宏彬. 车载地震现场应急通讯技术系统[J]. 内陆地震,2009,2:233-241.
王卓,郝永梅,方瑶,贾军. 彩信智能发布系统在测震台网运行中的应用[J]. 防震减灾学报,2013,29(1):45-49.
Research on communication integration technology of earthquake site
Wang Zhuo1),Fang Yao1),Hao Yongmei1),Wang Jianxun1),Jia Jun1),Gong Fei1)and Zhang Meiling2)
1) Earthquake Administration of Heilongjiang Province, Harbin 150090, China 2) Wudalianchi Earthquake and Volcano Observatory Station, Heilongjiang Province 164155, China
Abstract
From the application and the requirement of earthquake emergency fi eldwork team, a method including composition network, development assistant program and hardware integration is presented in this paper. With this method, the signal from the network of fieldwork team can access the earthquake information network in a safe way. And according to the signal intensity of work site, it helps the non-network professionals to select the optimal network. In addition, this method can provide power endurance support for emergency fi eldwork team.
Key words:emergency, fi eldwork,network
doi:10. 3969/j. issn. 1003-3246. 2016. 01. 029
基金项目:中国地震局地震应急青年重点任务(CEA_EDEM-201406)资助
作者简介:王卓(1983—),男,哈尔滨市人,2006年毕业于哈尔滨理工大学,本科,工程师,现主要从事地震监测、信息网络和地震应急工作。E-mail:wangzhuo1111@sina.com
本文收到日期:2015-06-08