S省地震局信息通信网络项目

　　一、 用户需求分析

　　S省地震局信息网络分为省台震中心，二级台站和测震台共二级网络建设。二级台站属于有人值守台站，测震台部分属于无人值守台站。所有台站均采用的是ADSL线路接入互联网，利用互联网和省台震中心通信。台站在不断电的情况下，将采集到的数据利用网络实时传送到省台震中心，再由省台震中心将数据送往国家地震局数据中心。

　　二、组网设备：

　　本次组网采用了H3C设备：AR18-21A、MSR20-20、S7506、S3100、Secpath V1000等交换机、路由器以及VPN产品。

　　三、 网络建设方案

　　考虑到地震信息数据的安全、可靠，要求信息中心及各台站具备较高的网络安全和可靠性设计，充分满足全网业务的要求。省台震中心中位于整个省数字地震观测网络的核心层，主要完成全省地震观测数据相关数据汇聚、交换、处理等功能，对数据的处理和网络安全、可靠具备很高的要求，二级台站和测震台网络则主要完成本区域数据的采集和可靠上传省中心的功能，同时提供本地数据和业务的交换、转发功能。

　　网络拓扑图如下所示：

　　如图所示：省局中心网络作为台震网络一级网主要提供全网数据和业务的高速转发。VPN网关Secpath V1000主要提供二级台站以及测震台站的VPN接入。由于二级台站和测震台采用的都是ADSL线路，只能采用L2TP的VPN接入方式和省中心互联。为了保证客户端接入的安全性和数据传输的安全性，采用了L2TP+IPSEC这种VPN接入方式，这样一来，既保证了接入客户端的安全性，同时保证了数据在互联网上传输的安全性。

　　采用L2TP+IPSEC这种组网方式时，存在一个问题：远端和中心机房的VPN设备(Secpath V1000)之间建立VPN隧道后，一旦中心机房的VPN设备(Secpath V1000)工作异常导致VPN隧道断开，远端在无人值守的情况下无法自动建立VPN隧道。客户的测震设备不会自动向放置在省中心的数据服务器发送数据，位于省台震中心的数据服务器定期向各个二级台站以及测震台站收集数据。

　　为了解决这一问题，采取了如下几种解决方案：

　　1、利用路由器日志功能。在省中心机房放置一台日志服务器，在远端路由器中配置日志服务器的地址，利用向日志服务器发送日志来触发建立VPN隧道。经过现场测试后，发现远端路由器在工作异常后无日志产生，当中心机房的VPN设备(Secpath V1000)宕机重起后，远端路由器不向日志服务器发送日志信息，致使VPN隧道无法建立。因此，该方案被排除。

　　2、利用网管软件BIMS。客户在项目立项时为了管理方便，购买了一套BIMS。BIMS分为BIMS中心侧和BIMS设备侧两部分。路由器配置了BIMS服务后，每隔一定时间会向BIMS中心侧发送特定信息请求。BIMS 中心侧根据管理员下达的策略指示不同设备进行信息交互。在中心侧和设备侧的信息交互过程中，管理员可以对设备进行管理。利用设备的该特性很容易实现VPN断掉后的重建。但是本项目中所使用的路由器除了AR18-21A之外还有很多MSR20-20。而MSR20-20当时所有的版本都不支持BIMS。如果采用该种方案，那么有很多采用MSR20-20作为接入路由器的测震台站在中心VPN设备故障恢复后无法建立VPN隧道。采用该解决方案不够完善。

　　3、利用网络时间协议(NTP)。将中心机房一台网络设备作为时间服务器。根据NTP的工作模式，将远端路由器工作在client 模式。在这种工作模式下，只能是本地客户机同步到远程服务器，而远程服务器不会同步到本地客户机。在Client向服务器同步时间时，向时间服务器发送请求报文，从而触发VPN建立请求。通过反复测试，该解决方案成为最终解决方案。

2016年01月