煤炭行业一直以来是我国税收收入的一个重要来源。然而由于煤矿地理位置普遍偏远、交通不便,管理难度较大。同时税务部门征税手段相对落后,对煤矿缺乏有效监管,造成了我国税收收入的流失。电子远程监控系统能够很好地解决以上问题。针对煤矿地理位置偏远的情况,无线通信方式是比较经济实用的远程通信系统解决方案,其中CDMA(Code Division MuIf.pIe Access)通信方式具有组网简单、覆盖范围广、抗干扰能力强、发射功率低、频谱利用率高等优点[1],能够满足煤炭产量远程监控系统对通信的远距离、高可靠性、低功耗以及图象信息传输等特殊要求。
概述
1.基本概念与原理
宁夏很多煤矿地理位置偏僻,地形复杂,采用有线通讯网络建设投资大,网络布线困难,网络维护成本高;采用微波、数传电台等载波方式进行数据传输,网络的覆盖率低,传输距离有限,用户须自己建立网络,投资较大,还需要投入人力物力进行维护。最后由于快速的通信速度、安全可靠的通信质量和布网灵活的特性,宁夏煤炭安全监察局选择了联通CDMA 1X无线数据通信网络作为“煤炭安全监控系统”的数据传输网络。
CDMA 1X无线数据网络可满足宁夏煤炭安全监控系统对于无线网络的传输要求。CDMA 1X无线数据网络符合无线网IEEE 802.11标准,符合在全球范围内免许可证的有关规定,对于所有传输到的数据、协议能毫不保留地转发到上一级网络;支持TCP/IP传输协议,支持WVPN通讯方式,具体可支持L2TP、IPSec、VR等路由方式的VPDN(虚拟专用拨号网络);传输丢包率小于1%,时延率平均为600毫秒,不大于井下安全生产监测监控系统的一个扫描周期的秒时(煤炭安全监控系统扫描周期为5秒),网络的覆盖率大于95%。
煤矿将从井下采集各种安全数据汇总到煤矿传输终端,通过CDMA 1X 无线网络传输至宁夏联通网络中心PDSN设备,再通过2M专线传输到宁夏煤炭安全监察局监控中心。为确保网络安全,在现有物理网络的基础上建立基于L2TP协议的VPDN逻辑虚拟专网,实现煤矿与宁夏煤炭安全监察局的安全通信。煤矿传输终端通过分配的专用VPDN账号以拨号方式拨入CDMA 1X网络,认证服务器(AAA)和煤炭安全监察局认证服务器(RADIus)共同完成无线拨入煤矿用户的认证和鉴权。煤矿用户通过认证和鉴权后在煤矿和煤炭安全监察局之间建立VPDN专用通讯通道。通过VPDN网络建立的虚拟专用通信通道,宁夏煤炭安全监察局监控中心可实时监控煤矿安全生产数据。
VPDN主要是采用第二层隧道协议(L2TP),采用L2TP基于以下几点原因。
其一,对于GRE(通用路由封装协议)及IPSec这些三层隧道协议,区分用户将比较困难;因为在三层(IP层),一般只能通过IP 地址来区分用户。对于VPN来说,用户的地址是可以重复的,这样,三层隧道协议不适合区分用户。
其二,L2TP 是二层(链路层)的隧道协议,是作为PPP 的扩展提出来的。PPP适合区分不同的用户,比如拨号用户、采取专线直连的对端路由器等等,因为PPP 可以得到对端的用户名和更多用户信息。对于拨号用户接入这种情况来说,需要区分不同的VPN 用户,使用L2TP进行VPDN组建是最理想的。
其三,采用L2TP隧道协议,只分配企业网内部IP地址,而PPTP等第二层的隧道协议,要求有正式的IP地址,在拨入拨号服务器时,由拨号服务器提供,再二次拨入企业网关时,由企业网关分配内部网地址。
其四,采用L2TP隧道协议的VPDN网络,通信运营商主要维护运营商和企业之间的二层隧道。不同企业之间的二层隧道是区分开来的,相互独立的二层隧道将保证各企业VPDN网的完全私有性和绝对安全性。
2.网络系统构成
VPDN服务主要由CDMA1x路由器、LAC和LNS(防火墙或者cisco接入路由器如C2600 Series)、AAA和内部服务器构成。
CDMA1x路由器: 连接在远程网络上的访问终端,是VPDN呼叫的发起者。
LAC: 是“第二层隧道协议(L2TP)访问集中器”,在CDMA1x分组网中是PDSN节点。它是L2TP隧道的其中一个端点,也是LNS的对端。LAC处于LNS和Client的中间,负责转发双方的数据包。从LAC发往LNS的数据包需要封装到L2TP隧道中,而从LAC到Client的连接则使用CDMA1x无线分组传输技术。
LNS: 是“第二层隧道协议网络服务器”。它是L2TP隧道的另一个端点,也是LAC的对端。它是PPP会话的逻辑终点,而PPP会话被LAC封装成隧道形式,是从Client端开始的。
AAA server:AAA是认证、授权和记帐的缩写。AAA服务器负责对Client的身份进行验证。
3.实现过程
远程无线CDMA1x路由器通过CDMA1x网络连入拜访地LAC。LAC服务器通过用户名或接入号码识别出该用户为VPDN用户后,就和用户的目的VPDN服务器(企业内部服务器)建立一条连接,这条连接称为隧道,然后将用户数据包封装成IP报文后从该隧道传送给VPDN服务器,VPDN服务器收到数据包并拆封后就可以读到真正有意义的报文了。具体流程如图1。
瓦斯数据无线传输网络的实现
1.网络建设的主要内容
瓦斯无线数据传输网络重点解决各矿井瓦斯数据传输集中的难题,实现由分布在各市、县级的矿井节点汇聚到区级集中节点构成无线数据传输网络。
煤矿瓦斯采集数据无线传输过程包括:煤矿瓦斯数据通过专用设备(采集终端)进行采集,采集的数据包括矿井瓦斯浓度、温度、通风情况、风扇工作情况等。采集到的数据通过矿井监控网络传输到井上系统计算机,安装在计算机上的协议转换软件进行数据格式和协议转换,转换后的数据通过接口(如RS232接口模块等)接到无线数据通讯终端,并完成数据在无线通信网络上的数据传输。
2、无线数据传输网络
煤炭瓦斯监控系统在CDMA网络服务承载上主要有两个部分:CDMA无线数传部分和短信告警服务部分。
数字专线部分:租用2M光纤线路,与煤矿安全监察网络组建的VPDN网络相连,通过CDMA无线网络完成自治区煤矿安全监察局与各煤矿之间的信息上传下达。
矿井数据采集线路及传输部分:煤矿将从井下采集各种安全数据汇总到煤矿传输终端,通过CDMA无线网络传输至电信公司网络中心PDSN设备,再通过2M专线传输到宁夏煤矿安全监察局监控中心。
3.矿井层面的无线传输网络实施
(1)网络规范
煤矿监测监控系统地面主机与现场实时数据采集机之间的数据传输,采用串行口接口方式;从现场数据采集机到上行各节点采用TCP/IP方式传输。
其体系结构为:实时数据采集节点与现场接口层节点之间监测,构成分布式体系结构,网络拓扑结构采用总线形及星形。
访问方式采用主从方式。主从方式就是一个高级别的节点控制所有的信号传输,顺序和时间。除非主节点要求,其他节点不能通信。
实时数据采集通信规范包括:采用RS-232串行数据接口标准;接口支持MODEM通讯方式,支持主动拨号和被动拨号方式;支持CDMA方式数据传输,自动适应厂家数据通过CDMA方式透明数据传输。
(2)瓦斯监控采集设备连接
在煤矿矿井现场,井上、下数据采集通过Super KJ系列井下数据采集设备进行采集,其中采集设备采集到的数据通过协议转换器进行协议转换,转换后的数据通过串口(RS232)接到RW2000-DTU(CDMA无线路由器),RW2000-DTU完成数据在CDMA无线数据分组网络中透明的数据传输,如图3所示。瓦斯数据无线传输网络配置方法
1.网络设备连接
瓦斯数据无线传输网络依托CDMA无线数据分组网络,建立基于L2TP协议VPDN方式的无线传输网络接入。
其中,CDMA ROUTER与CDMA专网认证服务器均采用的是成都中联信通科技有限公司生产的CDMA无线互联设备。
2.网络分配说明
客户侧中心CISCO路由器、CDMA专网认证服务器、防火墙在同一网段172.15.241.0/24,特别注意CDMA专网认证服务器的INTERFACE 1接口缺省路由指向防火墙172.15.241.1
运营商光纤的网段为10.150.0.24/30,注意LNS CISCO 28路由器的缺省路由指向联通光纤端10.150.0.25
CDMA ROUTER WAN:为CDMA认证服务器配合LNS固定分配的IP:189.18.20.1/32,它是LNS的虚拟接口。
CDMA ROUTER LAN在网段182.39.228.0/28,井下数据采集服务工作站的缺省路由指向CDMA ROUTER LAN。
3.LNS配置说明
Router#sh run
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius //认证方式为RADIUS
aaa accounting network default start-stop group radius //计费为RADIUS
aaa session-id common //以上aaa配置
ip dhcp-server 172.15.241.41 //IP地址交给RADIUS 172.15.241.41
vpdn enable
vpdn-group vpdn
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1 // 指定到虚接口
lcp renegotiation always // 总是重新协商
l2tp tunnel password 0 Jt&*3bk //有关l2TP VPDN的配置
interface FastEthernet0/0
description "link to local area
ip address 172.15.241.40 255.255.255.0
duplex auto
speed auto // 网络接口F0/0配置
interface FastEthernet0/1
description link-to-Unicom
ip address 10.150.0.26 255.255.255.252
ip mtu 800 // 为防止L2TP包过大设置该值
duplex auto
speed auto //网络接口F0/1配置
interface Virtual-Template1 // 虚接口配置
ip unnumbered FastEthernet0/0
peer default ip address dhcp //地址方式为RADIUS分配
compress mppc //重要,MPPC协议支持
ppp authentication chap pap //认证口令方式
ip classless
ip route 0.0.0.0 0.0.0.0 10.150.0.25 //LNS路由器缺省指向运营商光纤端
ip route 182.39.7.115 255.255.255.255 172.15.241.1
ip route 182.39.7.136 255.255.255.255 172.15.241.1
ip route 182.39.11.4 255.255.255.255 172.15.241.1
ip route 182.39.161.3 255.255.255.255 172.15.241.1
ip route 182.39.228.0 255.255.255.240 189.18.20.1 //精确路由
radius-server host 172.15.241.41 auth-port 1812 acct-port 1813 key cdmacdma
radius-server retransmit 0
以上是有关RADIUS的主要配置。host 172.15.241.41表示RADIUS的IP地址; auth-port 1812表示认证端口;acct-port 1813表示计费端口;key cdmacdma 表示LNS和RADIUS之间的认证口令,也是CDMA认证服务器要用到的LNS密码。
4、CDMA认证服务器配置说明
本应用中采用的CDMA认证服务器是成都中联信通科技有限公司的CDMA专用认证服务器,具体配置部分如下。
接口1配置:在“端口配置”的“Interface 1地址”菜单里配置IP地址为172.15.241.41,子网掩码为255.255.255.0,默认网关为172.15.241.1;
Radius服务配置:LNS密码主要保证和LNS互相协商的密码,这里是cdmacdma。和CISCO路由器保持一致;认证端口缺省为1812;计费端口缺省为1813。
RADIUS用户配置:主要有IMSI、用户名、密码及IP地址四个部分构成。其中IMSI 是全球移动网络中惟一的客户识别码,也是CDMA认证服务器无线身份识别的ID;用户名及密码为每个无线终端分配一个登录名及密码,并且要求用户名惟一;IP地址为每个无线终端分配惟一的IP地址,该地址是由服务端中心强制分配下去的,无线终端无权协商或者要求。