近来,黑龙江省陆续安装了许多小型无线电监测系统,小型无线电监测系统可以进行远程实时无线电信号的监测分析,具备包括单频点测量、频段扫描、离散扫描、中频分析等基本的监测功能,并具有视频信号解码功能、远程开关机、环境参数查询、视频监控等功能,基本上能够满足日常的基本监测工作。
1 系统结构
小型无线电监测系统的中心站与遥控站之间采用VPN(Virtual Private Networking)虚拟专用网络,它主要使用了隧道传输技术和加密技术,定义了两个网点的路由之间通过Internet的一个隧道,并使用IP-in-IP封装,通过隧道转发数据报。为了确保保密性,内层数据经过加密,对使用者来说,就像使用一条专用线路在远程计算机和中心站之间建立点对点连接,进行数据的传输。并且使用了两台VPN设备,在一个平台上集成了所有必要的VPN技术,提供路由、防火墙、加密、鉴权和数据完整性,从而确保了通过互联网进行安全的隧道传输。在每个VPN设备之后各是一个局域网,每个终端都可将信息通过VPN隧道进行实时传输,由于局域网内的终端可以直接连接到Internet,难免不出现问题,遥控站距离中心站大部分都有上百公里的路程,去一次很不方便,因此,了解一些系统的简单的配置维护,有助于保障监测工作正常的开展。
2 系统的配置过程
2.1 系统的连接
在配置SnapGear设备之前,需要把该设备连接到PC机上(注:如与计算机直接相连,则使用交叉网线;如连接到HUB上则使用直连线)。由于SnapGear设备初始有一个静态的IP地址:192.168.0.1,子网掩码:255.255.255.0,因此需将PC机的IP地址设置为图1所示。配置此IP的目的是使SnapGear与计算机处于同一个网段,能够与计算机进行通信。设置完成后,在IE地址栏中输入:192.168.0.1,即可进入到SnapGear设备的管理控制台。
在系统控制台界面上点击任何菜单,都要求输入用户名和密码,可以使用如下用户名和密码:用户名:root,密码:default。如果是第一次配置这SnapGear设备,则会要求你更改密码,根据提示输入新密码确认即可。(如果在此没有进入SnapGear设备的管理控制台界面,可快速连续按两次设备后面的Reset按钮,然后等待30秒钟的时间,再重复前面的步骤)。
2.2 系统网络连接的配置
在SnapGear管理控制台的界面上点击快速安装向导,即开始配置SnapGear设备的网络连接。第一个界面是设置本机的主机名和IP地址的获得方法。主机名用以标志本设备在网络上的名称,没有特殊规定,IP地址获得方法有两个选项,一个是从DHCP服务器获得IP地址,另一个是手动配置。我们在向ISP申请线路时,已要求获得一个静态的IP地址,因此我们选择手动配置。
进入本地网络配置界面后输入IP地址和子网掩码,我们配置的是SnapGear设备在局域网中的IP地址。根据本地网络的IP地址段分配一个没有使用的即可。(此IP地址在以后进入SnapGear设备管理控制台也需要用到)。
在选择ISP连接方式界面中,有Cable Modem、Modem、ADSL等选项,由于我们申请的是具有静态IP 地址的ADSL线路,因此我们选择Direct Connection直接连接。
在配置WAN界面中有两个选项,一个是从DHCP服务器获得IP地址,另一个是手动配置,我们选择手动配置。然后输入IP地址和子网掩码,(IP地址和子网掩码由ISP服务商提供,如不清楚,可向运营商咨询),启动网关,启动DNS。同样,网关地址与DNS服务都由ISP服务商提供。输入完成后单击下一步,进入网络配置完成界面。
至此,SnapGear VPN的网络连接配置完成。选中Reboot选项,点击下一步,SnapGear设备会自动重新启动。此时,我们需要重新配置PC机的IP地址,才能重新与SnapGear设备进行通信,继续配置与使用SnapGear设备。由于此时SnapGear设备的IP地址已处在我们局域网的地址段中,因此,我们只要将此设备连入局域网中,将PC机更改为局域网段中的IP地址,网关和DNS都指向SnapGear。如上配置完成后,我们在IE地址栏中输入分配给本SnapGear设备的IP地址(使用的是172.16.215.1),即可重新进入SnapGear设备的管理控制台界面。
2.3 建立VPN隧道
建立VPN隧道有多种方式,包括L2TP(第二层隧道协议)、IPSEC、PPTP(点对点隧道协议)、GRE (Generic Routing Encapsulation通用路由封装技术)、SSL(Secure socket layer)隧道,本机一共提供了四种建立隧道的方式,分别是PPTP、L2TP、IPSEC、GRE。由于我们两端SnapGear VPN设备后各是一个局域网,在LAN-TO-LAN模式下推荐使用Ipsec方式,此方式可工作在两端都是静态或动态公网IP地址的模式下,所以我们选择建立IPSEC(Internet Portocol Security 因特网安全协议)隧道。
选择左侧的IPSEC菜单,即进入 Ipsec VPN 设置界面.在Ipsec一般设置中选择启动Ipsec(见图2),第二项选择有一个静态的IP地址。设置Ipsec 的MTU为1400。(注:MTU:Maxitum Transmission Unit最大传输单元。由于以太网传输电气方面的限制,每个以太网都有最小64bytes、最大不能超过1518bytes的限制,小于或大于这个限制的以太网数据帧都被视之为错误的数据帧,一般的以太网转发设备会丢弃这些数据帧。由于Ethernetll最大的数据帧是1518Bytes,这样,去除帧头14 Bytes和帧尾4 Bytes,承载上层协议的地方即Data域,最大就只能有1500 Bytes,即MTU最大值只能有1500 Bytes,为了安全起见,建议比最大值小一些为好。)
点击添加新隧道(图3),在Tunnel name中输入描述本条隧道的隧道名,选择启用这隧道,将这隧道将使用主模式改为进取模式密钥交换。选择远程网关有一个静态的IP地址。认证方式使用共享秘钥。本地网络是SnapGear后面的一个局域网,远程网络是VPN网关后的一个局域网。这条隧道是作为远程网络的一个路由。
在本地末端设置界面中选择由这端初始隧道,在隧道末端标志(ID)中输入本隧道末端标志,用@隔开,输入一个标志本隧道末端的分支名。数据压缩不启用。启用失效同层检测(DPD),延时和超时默认即可,选择允许这端初始第一和第二阶段密钥交换。
在远程末端设定的界面中远程VPN网关的公网IP地址框中输入申请的公网IP,在隧道末端标志(ID)中输入远程末端的标志。
在第一阶段设定界面中,密钥生命期、更新密钥时间间隔、随机更新参数选项用默认的即可,但在共享秘钥中必须输入一个密码短语用以鉴别连接的隧道。这个短语最少由24个字符组成,可包括空格,但在一条隧道的两端必须使用相同的密码短语。
在第二阶段设置中,密钥的生命时间与第二阶段方案用默认的即可,在本地网络框中输入分配给本地网的IP地址段。同样,在远程网络框中输入分配给远程网络的IP地址段。(注:这个IP地址根据你的网络所用的IP地址段来输入,例如你的网络的IP地址从172.16.215.1开始,子网掩码为255.255.255.0,那么在此就要输入172.16.215.0,子网掩码输入255.255.255.0。但一条Ipsec隧道两端的局域网必须有不同的IP地址段,如中心站用172.16.215.0,那么远程站用172.16.221.0。地址段不同,并且在一条隧道的两端的IP地址是相反的)。
应用后即返回通用设定界面,一个Ipsec隧道建立完成。在隧道名单中会显示刚建立的隧道,选择这条隧道点启用即可。可以建立多条隧道,实现多点通信。
