1大连市气象局 辽宁大连 116001
摘要:文章首先介绍了大连气象业务内网的网络结构。在此基础上介绍了IPSec VPN技术在完成大连气象应急车与指挥中心联网从而实现气象数据、语音和视频信号的实时传输中的具体应用。
关键词:IPSec VPN;气象应急车;联网
Abstract:Firstly,this paper introduces the structure of Dalian Meteorological Bureau internal network.On this basis,then introduces the realization of IPSec VPN technology used in the real-time transmission of meteorological data,voice and video signal between Dalian meteorological emergency vehicle and command center.
Key words:IPSec VPN;meteorological emergency vehicle;networking
近年来,为了适应日益严峻的气象防灾减灾形势,应对频发的灾害性天气和突发公共事件,满足日益增长的气象灾害预警监测需求,大连市气象局引进了气象应急保障车,用于在现场提供实时的气象保障和气象服务。气象应急保障车配备有移动气象站、高清摄像头及视频会议系统。应急车可以实时采集现场气象数据和现场画面并传回指挥中心,此外,现场应急服务人员也可以通过视频会议系统和指挥中心人员进行天气会商和现场情况汇报。
但由于气象应急保障车通常工作于服务保障现场,受物理条件限制,无法使用传统的有线通讯方式进行数据传输。目前,各大通信运营商的3G/4G蜂窝无线网络信号覆盖范围已经非常广泛,其通信带宽速率也已能满足气象资料传输的需要,所以建立一套基于3G/4G网络的VPN通信线路作为气象应急保障车的车载通信系统是可行的。
1 网络结构
应急保障车车载有一台车载交换机(TP-Link,非网管型)及一台支持IPSec VPN拨号功能的迈普路由器(MP1800-40,支持3G/4G蜂窝网络广域网接入)。气象局指挥中心在外网出口区域部署有一台支持IPSec VPN接入功能的深信服防火墙(NGAF-1820)连接至业务内网核心交换机,气象局指挥中心所有气象数据资源服务器和用于组织视频会议的MCU也均位于气象业务内网。其网络架构如下图1所示:
图1 应急保障车与指挥中心网络结构示意图
应急保障车VPN路由器先通过3G/4G移动网络连接至Internet网络,在此基础上通过IPSec协议完成至防火墙的VPN拨号连接,建立从车载局域网至气象局指挥中心业务内网的VPN隧道,使得车载网络在逻辑上成为气象局业务专网的一个拓展。
2 VPN协议的选择
2.1 VPN技术
VPN,即虚拟专用网(Virtual Private Network),是一种利用在Internet或其他公共互联网络上构建专有私网的网络安全技术,通过对网络数据的封装和加密,为用户在公共网络上建立一个临时、安全的传输隧道,以达到专用网络的安全级别。用户数据通过端点上的VPN设备建立的逻辑隧道,采用相应的加密和认证技术来保证用户内部网络数据在公网上的安全传输,从而实现网络数据的专有性。
目前,主要广泛采用的VPN主要有两种:基于IPSec协议的VPN(IPSec VPN)和基于SSL协议(安全套接层协议)的VPN(SSL VPN)。
2.2IPSec VPN与SSL VPN
IPSec VPN指采用IPSec协议(Internet Protocol Security,因特网安全协议)来实现远程接入的一种VPN技术。
IPSec协议是网络层协议,它是为保障IP通信安全而提供的一系列协议族。它针对数据在通过公共网络时的数据完整性、安全性和合法性等问题,设计了一整套隧道、加密和认证方案。它独立于应用,也就是说,IPSec VPN的客户端支持所有IP层协议,任何IP应用都可以通过它,对于应用程序来说是透明的。并且在访问内网资源时,远程用户与本地局域网内的用户几乎一样。
SSL(安全套接层协议)是网景公司提出的基于Web应用的安全协议,是一种基于应用层的虚拟专网技术。它利用SSL技术和代理技术,向终端用户提供安全访问HTTP资源、C/S资源以及文件共享资源等的功能。SSL VPN传递用户层的认证,确保只有通过安全策略认证的用户可以访问指定的资源。SSL VPN保障Web浏览器和Web服务器之间的信息安全。每个SSL会话一次只服务于一个应用程序,它提供的是应用程序的安全服务,而不是网络的安全服务,因此也被称为“应用程序的VPN”。
2.3 选择IPSec VPN
相比较而言,SSL VPN工作于应用层,只能访问那些支持SSL或者Web浏览器的资源。更多应用于点对网(Site-to-LAN)间基于Web应用的远程安全接入方面,主要用于普通员工在移动终端上的电子邮件系统、文件共享和Web应用程序等移动办公需求,无法实现双向访问和复杂应用;而IPSec VPN工作于网络层,支持所有IP层协议。它并不局限于Web应用,而是构建了网对网(LAN-to-LAN)间的虚拟专用网络,它几乎适用于一切应用程序,并且在访问本地资源时,远程用户与本地局域网内的用户感觉完全一样,提供了两个网络之间不间断连接的能力,功能和应用的扩展性更强。
应急指挥车车载有多台工作电脑和一整套视频会商设备。其中工作电脑安装有需要与气象局指挥中心实时连接通讯接收数据的micaps系统,如若采用SSL VPN则需在每台工作电脑上使用不同的账号登录VPN服务器,且可能出现运行不稳定等情况;而视频会商设备则由于其本身系统的封闭性,无法支持SSL VPN的登录方式,只能依靠其上游设备登录至VPN服务器完成网对网的虚拟专用网络才能实现与指挥中心的通讯。所以,采用专门的IPSec VPN客户端硬件设备连接至指挥中心VPN服务器以将整个车载网络接入指挥中心业务内网是合理和可行的方案。
3 实施方案
IPSec VPN配置主要分为两个部分,第一部分是VPN服务端(即深信服防火墙 NGAF-1820)的配置,第二部分是客户端(即迈普路由器MP1800-40)的配置。
实施部署的深信服防火墙和迈普路由器均提供图形化配置界面,简单操作即可完成配置。
3.1VPN服务端的配置
由于VPN服务端和VPN客户端硬件产品型号不一致,经过多方技术咨询和测试,需要使用深信服防火墙的VPN功能的第三方对接模块来完成。
IPSec VPN的协商分为两个阶段实现,下面以深信服防火墙 NGAF-1820为例说明具体的配置:
1.第一阶段,主要定义IPSec VPN第一阶段的设备名称、ISAKMP策略、加密方式与认证方式等。
这里需要注意的是,由于车载设备为3G/4G拨号连接,这里选择设备地址类型选择“对端是动态IP”,支持模式需选择匹配和穿透能力更强的“野蛮模式”(aggressive mode,在对应迈普路由器上显示为积极模式)。ISAKMP认证和加密算法分别设为MD5和3DES。
2.第二阶段,配置出入站策略。通过配置具体的VPN设备出入站策略实现网络的互访。其中入站策略为允许车载网络(子网192.168.4.0/24)的所有服务入站,出站策略为允许气象业务网段(子网172.19.38.0/24和172.19.38.40/24)的所有服务出站。
3.2VPN客户端的配置
迈普路由器MP1800-40上的VPN配置在Web网页中实现,具体的配置只需按照上述VPN服务端两个阶段配置,注意与服务器的参数保持一致。其中要注意的是“协商模式”选项由于不同翻译的问题注意要选择“积极模式”即可,在这里不再赘述。
3.3应用情况
设备配置完毕后,只需设备加电,一系列的3G/4G上网以及VPN拨号动作全部由硬件自动完成。对于气象应急人员来说是透明的。我们在野外做了几次通讯测试,下载气象业务内网数据速率可达1MB/S,进行视频会商时图像稳定清晰,没有卡顿和花屏,语音几乎没有延时现象,可以满足气象应急业务的需求。
参考文献:
[1]方韡,张艺峰,闰培等,基于3G网络的IPSec VPN组网技术在野外流动地震监测中数据[J].震灾防御技术2014,9(3):496-507
[2]冯国标,张锋,姚菊祥等.应急指挥车系统在浙江气象应急服务中的应用[J].浙江气象,2009,30(z1):84-89
[3]徐家臻,陈莘萌.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,25(4):586-588
[4]白会民,郭海平,高鸿飞等.VPN技术在应急指挥车中的应用[J].内蒙古气象,2013(2):45-47
[5]赵殿国.IPSec VPN与SSL VPN在统计联网中的不同应用[J].统计研究2008(7):106-108
论文作者:刘卫华1,夏葳1,曹旭1,周丽丽1
论文发表刊物:《基层建设》2015年25期供稿
论文发表时间:2016/3/25
标签:气象论文; 网络论文; 气象局论文; 协议论文; 指挥中心论文; 数据论文; 设备论文; 《基层建设》2015年25期供稿论文;