IPSecVPN技术在大连气象应急车中的应用

IPSecVPN技术在大连气象应急车中的应用

刘卫华1夏葳1曹旭1周丽丽1

刘卫华1夏葳1曹旭1周丽丽1

1大连市气象局辽宁大连116001

摘要：文章首先介绍了大连气象业务内网的网络结构。在此基础上介绍了IPSecVPN技术在完成大连气象应急车与指挥中心联网从而实现气象数据、语音和视频信号的实时传输中的具体应用。

关键词：IPSecVPN；气象应急车；联网

Abstract：Firstly，thispaperintroducesthestructureofDalianMeteorologicalBureauinternalnetwork.Onthisbasis，thenintroducestherealizationofIPSecVPNtechnologyusedinthereal-timetransmissionofmeteorologicaldata，voiceandvideosignalbetweenDalianmeteorologicalemergencyvehicleandcommandcenter.

Keywords：IPSecVPN；meteorologicalemergencyvehicle；networking

近年来，为了适应日益严峻的气象防灾减灾形势，应对频发的灾害性天气和突发公共事件，满足日益增长的气象灾害预警监测需求，大连市气象局引进了气象应急保障车，用于在现场提供实时的气象保障和气象服务。气象应急保障车配备有移动气象站、高清摄像头及视频会议系统。应急车可以实时采集现场气象数据和现场画面并传回指挥中心，此外，现场应急服务人员也可以通过视频会议系统和指挥中心人员进行天气会商和现场情况汇报。

但由于气象应急保障车通常工作于服务保障现场，受物理条件限制，无法使用传统的有线通讯方式进行数据传输。目前，各大通信运营商的3G/4G蜂窝无线网络信号覆盖范围已经非常广泛，其通信带宽速率也已能满足气象资料传输的需要，所以建立一套基于3G/4G网络的VPN通信线路作为气象应急保障车的车载通信系统是可行的。

1网络结构

应急保障车车载有一台车载交换机（TP-Link，非网管型）及一台支持IPSecVPN拨号功能的迈普路由器（MP1800-40，支持3G/4G蜂窝网络广域网接入）。气象局指挥中心在外网出口区域部署有一台支持IPSecVPN接入功能的深信服防火墙（NGAF-1820）连接至业务内网核心交换机，气象局指挥中心所有气象数据资源服务器和用于组织视频会议的MCU也均位于气象业务内网。其网络架构如下图1所示：

图1应急保障车与指挥中心网络结构示意图

应急保障车VPN路由器先通过3G/4G移动网络连接至Internet网络，在此基础上通过IPSec协议完成至防火墙的VPN拨号连接，建立从车载局域网至气象局指挥中心业务内网的VPN隧道，使得车载网络在逻辑上成为气象局业务专网的一个拓展。

2VPN协议的选择

2.1VPN技术

VPN，即虚拟专用网（VirtualPrivateNetwork），是一种利用在Internet或其他公共互联网络上构建专有私网的网络安全技术，通过对网络数据的封装和加密，为用户在公共网络上建立一个临时、安全的传输隧道，以达到专用网络的安全级别。用户数据通过端点上的VPN设备建立的逻辑隧道，采用相应的加密和认证技术来保证用户内部网络数据在公网上的安全传输，从而实现网络数据的专有性。

目前，主要广泛采用的VPN主要有两种：基于IPSec协议的VPN（IPSecVPN）和基于SSL协议（安全套接层协议）的VPN（SSLVPN）。

2.2IPSecVPN与SSLVPN

IPSecVPN指采用IPSec协议（InternetProtocolSecurity，因特网安全协议）来实现远程接入的一种VPN技术。

IPSec协议是网络层协议，它是为保障IP通信安全而提供的一系列协议族。它针对数据在通过公共网络时的数据完整性、安全性和合法性等问题，设计了一整套隧道、加密和认证方案。它独立于应用，也就是说，IPSecVPN的客户端支持所有IP层协议，任何IP应用都可以通过它，对于应用程序来说是透明的。并且在访问内网资源时，远程用户与本地局域网内的用户几乎一样。

SSL（安全套接层协议）是网景公司提出的基于Web应用的安全协议，是一种基于应用层的虚拟专网技术。它利用SSL技术和代理技术，向终端用户提供安全访问HTTP资源、C/S资源以及文件共享资源等的功能。SSLVPN传递用户层的认证，确保只有通过安全策略认证的用户可以访问指定的资源。SSLVPN保障Web浏览器和Web服务器之间的信息安全。每个SSL会话一次只服务于一个应用程序，它提供的是应用程序的安全服务，而不是网络的安全服务，因此也被称为“应用程序的VPN”。

2.3选择IPSecVPN

相比较而言，SSLVPN工作于应用层，只能访问那些支持SSL或者Web浏览器的资源。更多应用于点对网（Site-to-LAN）间基于Web应用的远程安全接入方面，主要用于普通员工在移动终端上的电子邮件系统、文件共享和Web应用程序等移动办公需求，无法实现双向访问和复杂应用；而IPSecVPN工作于网络层，支持所有IP层协议。它并不局限于Web应用，而是构建了网对网（LAN-to-LAN）间的虚拟专用网络，它几乎适用于一切应用程序，并且在访问本地资源时，远程用户与本地局域网内的用户感觉完全一样，提供了两个网络之间不间断连接的能力，功能和应用的扩展性更强。

应急指挥车车载有多台工作电脑和一整套视频会商设备。其中工作电脑安装有需要与气象局指挥中心实时连接通讯接收数据的micaps系统，如若采用SSLVPN则需在每台工作电脑上使用不同的账号登录VPN服务器，且可能出现运行不稳定等情况；而视频会商设备则由于其本身系统的封闭性，无法支持SSLVPN的登录方式，只能依靠其上游设备登录至VPN服务器完成网对网的虚拟专用网络才能实现与指挥中心的通讯。所以，采用专门的IPSecVPN客户端硬件设备连接至指挥中心VPN服务器以将整个车载网络接入指挥中心业务内网是合理和可行的方案。

3实施方案

IPSecVPN配置主要分为两个部分，第一部分是VPN服务端（即深信服防火墙NGAF-1820）的配置，第二部分是客户端（即迈普路由器MP1800-40）的配置。

实施部署的深信服防火墙和迈普路由器均提供图形化配置界面，简单操作即可完成配置。

3.1VPN服务端的配置

由于VPN服务端和VPN客户端硬件产品型号不一致，经过多方技术咨询和测试，需要使用深信服防火墙的VPN功能的第三方对接模块来完成。

IPSecVPN的协商分为两个阶段实现，下面以深信服防火墙NGAF-1820为例说明具体的配置：

1.第一阶段，主要定义IPSecVPN第一阶段的设备名称、ISAKMP策略、加密方式与认证方式等。

这里需要注意的是，由于车载设备为3G/4G拨号连接，这里选择设备地址类型选择“对端是动态IP”，支持模式需选择匹配和穿透能力更强的“野蛮模式”（aggressivemode，在对应迈普路由器上显示为积极模式）。ISAKMP认证和加密算法分别设为MD5和3DES。

2.第二阶段，配置出入站策略。通过配置具体的VPN设备出入站策略实现网络的互访。其中入站策略为允许车载网络（子网192.168.4.0/24）的所有服务入站，出站策略为允许气象业务网段（子网172.19.38.0/24和172.19.38.40/24）的所有服务出站。

3.2VPN客户端的配置

迈普路由器MP1800-40上的VPN配置在Web网页中实现，具体的配置只需按照上述VPN服务端两个阶段配置，注意与服务器的参数保持一致。其中要注意的是“协商模式”选项由于不同翻译的问题注意要选择“积极模式”即可，在这里不再赘述。

3.3应用情况

设备配置完毕后，只需设备加电，一系列的3G/4G上网以及VPN拨号动作全部由硬件自动完成。对于气象应急人员来说是透明的。我们在野外做了几次通讯测试，下载气象业务内网数据速率可达1MB/S，进行视频会商时图像稳定清晰，没有卡顿和花屏，语音几乎没有延时现象，可以满足气象应急业务的需求。

参考文献：

[1]方韡，张艺峰，闰培等，基于3G网络的IPSecVPN组网技术在野外流动地震监测中数据[J]．震灾防御技术2014，9（3）：496-507

[2]冯国标，张锋，姚菊祥等．应急指挥车系统在浙江气象应急服务中的应用[J]．浙江气象，2009，30（z1）：84-89

[3]徐家臻，陈莘萌．基于IPSec与基于SSL的VPN的比较与分析[J]．计算机工程与设计，2004，25（4）：586-588

[4]白会民，郭海平，高鸿飞等．VPN技术在应急指挥车中的应用[J]．内蒙古气象，2013（2）：45-47

[5]赵殿国．IPSecVPN与SSLVPN在统计联网中的不同应用[J].统计研究2008（7）：106-108