4G无线VPN

4G无线VPN（共4篇）

4G无线VPN 篇1

0 引言

目前民航空管业务以光纤等地面线路为主用传输线路, 以民航C波段TES、KU波段卫星链路为空侧应急传输线路, 民航C波段TES网络使用年限已久, 同时TES和KU卫星地面站设备昂贵, 设备体积庞大, 建站难度大, 维护成本高, 以及中继转发器带宽资源有限, 故卫星地面站站点布局比率远小于空管业务站点, 只能为关键空管业务站点提供应急传输通道, 另外卫星链路容易受天气影响和干扰, 故民航空管业务的空侧传输保障一直较为薄弱。

4G/3G无线VPN专网是依托运营商的4G或3G网络构建的虚拟专用网, 无需进行拉线、埋线等工作, 设备价格低廉, 组网方便便捷, 并只在传输数据时才占用信道才计费, 支持丰富的接入协议, 可与各种数据网的无缝连接, 本文以下研究无线VPN专网为空管业务提供空侧传输通道的可行性, 评估其能否用于弥补民航空管业务空侧传输保障的不足。

1 4G无线VPN技术介绍

4G无线VPN也即4G VPDN (Virtual Private Dial-up Network, 虚拟私有拨号网) , 是指远端用户用4G无线接入终端通过拨号功能接入Internet公网, 以公用网络 (Internet) 作为传输媒体, 通过加密、封装、认证等技术在公网上开辟一条安全的隧道, 而进行安全通信的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的, 是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟, 是指用户不再需要拥有实际的长途数据线路, 而是使用Internet公众数据网络的长途数据线路。所谓专用网络, 是指用户可以为自己制定一个最符合自己需求的网络。

电信4G无线VPN采用L2TP隧道协议构建专网, L2TP (Layer Two Tunneling Protocol, 第二层通道协议) 是VPDN (虚拟专用拨号网络) 技术的一种, 专门用来进行第二层数据的通道传送, 即将第二层数据单元, 如点到点协议 (PPP) 数据单元, 封装在IP或UDP载荷内, 以顺利通过包交换网络 (如internet) , 抵达目的地。

其网络模型如图一:

其中无线接入终端通过4G网络拨号入网后与LAC建立PPP连接。

LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备, 主要负责至LNS的L2TP隧道的发起和建立。

LNS设备是负责无线宽带VPDN客户接入的网络设备 (如路由器) , 和LAC一起完成L2TP隧道的建立。LNS设备可部署在电信机房中, 也可部署在客户网络中。

第一层AAA radius主要完成业务终端的VPDN业务接入认证、授权、计费。第二层AAA radius主要完成业务终端访问客户网络的认证、授权。

L2TP隧道建立过程如下:

(1) 无线接入终端发起与LAC之间的PPP连接;

(2) LAC通过Radius对用户进行第一层Radius认证, 对域名进行认证;

(3) Radius根据域名返回对应的隧道属性, 包括LNS IP、隧道类型、隧道密码等;

(4) LAC根据隧道属性向LNS发起建立隧道请求;

(5) LAC与LNS间建立L2TP隧道;

(6) 在隧道中为用户建立Session, LAC把和用户协商得到的LCP选项和验证信息送给LNS;

(7) LNS向二层Radius发起对用户帐号/密码的认证, 并为用户分配IP地址;

(8) Radius认证通过返回相关信息给LNS;

(9) LNS为用户反馈IP地址及相关信息

电信4G无线VPN专网示意图如图2:

有线接入终端通过有线方式接入公网, 无线终端通过无线4G接入公网, 与专线服务器平台建立链路连接, 链路两端逻辑上分为Server端和Client端, 其中Client端部署在无线/有线终端侧, Server端部署在专线服务器平台侧, 它们运行相同的软件, 仅有模式配置的不同, 由Client主动通过IP协议寻找Server申请建立连接, 而Server平常处于守护IP服务端口等待连接请求的状态。多个Client可以连接到同一个Server, 形成逻辑上的星形连接, 并完成点对多点的业务汇聚, 而完成这些功能Server仅需要占用一个IP服务端口。在同一个物理服务器上, 可以通过运行多个SERVER实例实现多个交换汇聚组, 每个SERVER实例需要占用一个IP服务端口。可以通过对服务器上SERVER实例进行配置选择采用全通模式还是点对点互通模式。如果配置一个SERVER实例, 并使该SERVER实例为直接互通使能的情况下, 此SERVER实例下的所有无线/有线终端设备通过4G无线VPN专网形成了一个虚拟的二层交换机, 从而实现各地业务的直通, 即全通模式。如果关闭直接互通, SERVER实例内的远端设备的业务数据可以汇聚到有线终端侧的指定的LAN口, 如果实例内只有一个无线终端对应有线终端侧的一个LAN口, 则形成一条无线端到有线端的点对点通道, 如果配置多个SERVER实例, 则可以形成多条无线端到有线端的点对点独立通道, 即点对点互通模式。

2 电信4G无线VPN专网传输性能测试

2.1 测试项目

目前空管业务主要为VHF、雷达、电报、话音、IP类业务, 带宽从数K至数M, 对传输误码、时延、抖动率有一定的要求。

故需做如下几方面的测试:

(1) 无线VPN专网基本性能测试, 测试内容包括传输误码率、传输带宽、传输时延、传输抖动率四项内容。其中传输带宽通过Iperf软件来测量, 另外三项内容通过PING的方法来统计和测量。

测算方法:

平均传输带宽=传输文件大小 (M) /传输时间 (SEC) ;

误码率=丢包数量/PING包总数量;

平均时延=所有PING包时延之和/PING包总数量;

抖动率= (每个PING包时延—所有包平均时延) 的绝对值之和/ PING包总数量;

(2) 全通模式与点对点互通模式测试, 配置为全通模式时, 所有无线终端和有线接入终端设备能够全部互通, 实现虚拟的二层交换机功能。配置为点对点互通模式时, 无线终端之间不能够互通, 每个无线终端对应有线接入终端其中一个LAN口能够互通。

(3) 无线VNP承转实际业务测试, 即通过接入设备承转实际业务, 再通过仪器仪表分析业务质量。

(4) 网络安全性评估, 评估业务数据信息在传输过程中的网络安全性。

2.2 测试设备和仪表工具

所需硬件测试设备和仪表工具如表1:

2.3 无线VPN专网基本性能测试结果

无线VPN专网基本性能测试设备连接如图3:

测试结果:测试地 (区管、航管楼) 4G信号强度级别大于3格 (满格为5 格) 时, 误码率为0;AB和AC之间的平均时延64ms;传输带宽1.6Mbits/sec (注:上传方向带宽小于下传方向, 此为上传方向带宽) ;抖动率为31ms。

2.4 全通模式与点对点互通模式测试

服务器SERVER实例配置为直接互通, 笔记本A、B、C、D设置为同网段IP可以互通, 所有无线终端和有线接入交换机能够全部互通, 实现虚拟的二层交换机功能, 全通模式正常。

服务器SERVER实例配置为不能互通, 每个无线终端对应有线接入终端其中一个LAN口配置为互通, 无线终端之间不互通时, AB之间、CD之间能通, AB与CD之间不通, 点对点互通模式正常。

以上任何一种模式私网IP和公网IP都不会互通。

2.5 无线VPN承转实际业务测试结果

无线VPN承转实际业务测试设备连接如图4:

测试结果:当测试地 (区管、航管楼) 4G信号强度级别大于3 格时, 误码率为0;AB之间的平均时延100ms;传输带宽1.4Mbits/sec (注:上传方向带宽小于下传方向, 此为上传方向带宽) ;无线VPN专线支持高速网上的MPLS L2/L3VPN业务透传, 笔记本AB之间IP业务正常;FA36 设备之间能够正常ping通;FA36 设备上承载的雷达、电报业务, 用数据分析仪测试正常, 误码率0;FA36 承载的电话业务通话正常;FA36 承载的甚高频业务用音频表和示波器测试正常。

当测试地 (雷达站) 4G信号强度级别小于2 时, 无线VPN能建链, 但FA36 承载的甚高频业务无需经过仪表检测, 人直接耳听即可听到甚高频话音延时大, 杂音大, 无法正常使用。

测试地4G信号强度级别小于1 时, 无线VPN无法建链。

2.6 网络安全性评估

电信无线VPN专线的无线终端自带的128 位加密封装用户的账号及密码信息登录L2TP私有网络。电信核心机房专线服务器平台可以对账号密码进行管理及根据账号分配固定IP地址功能, 专线服务器平台根据储存的账号、密码以及IP地址清单判断识别是否提供连接服务, 从而防止非法终端的连接。专线服务器平台和无线终端都有严格的防火墙配置, 仅允许必要的业务端口通过, 其它服务端口全部禁止。

L2TP本质上是一种隧道传输协议, 它使用两种类型的消息:控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道, 而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP, 可以进行用户身份认证, 具备PPP的所有安全特性。

但L2TP仅定义了控制消息的加密传输方式, 对传输中的数据并不加密。如需进一步加强数据传输过程中的安全, L2TP常和IPsec结合使用, 先使用L2TP封装第二层数据, 再使用IPsec封装对数据进行加密和提供完整性保护, 由此保证通信数据安全传送到目的地。

IPsec封装的是IP层数据, 或是IP上层协议载荷, 因此可以认为是一种构建L3VPN (第三层VPN) 的技术。其最大的特点是为数据传输过程提供了机密性、完整性保护和数据源验证, 从而确保承载于公共网络的VPN的安全性和可靠性。但同时由于对数据进行了层层封装, 这样难免影响效率, 导致性能不高。

2.7 存在问题及原因分析

从测试结果看4G无线VPN存在两个问题, 一是传输带宽只有约1.5M, 二是雷达站测试VHF业务传输质量差。

电信4G传输速率理论值为上行40Mbits/sec下行100Mbits/sec, 城域网中LAC和LNC之间的传输带宽也应远大于1.5M, 无线VPN实际端到端传输带宽只有1.5M, 原因主要是终端和服务器需要处理多个封装、解封以及数据包交换等协议, 导致数据包传输效率降低, 同时无线信号强度和周围手机上网人数也会对传输带宽有影响。L2TP报文封装结构图如图5:

雷达站测试VHF业务杂音大、延时大, 杂音大原因是雷达站4G信号弱 (级别不到2 格) , 延时大原因是由于无线VPN造成的时延约100ms, FA36 接入设备也是基于IP技术, 其数据封装解封也会对VHF业务造成约400ms的时延, VHF业务时延问题可通过在FA36 的VHF端口增加华为音频静噪设备解决。

2.8 电信4G无线VPN测试结论汇总

测试地4G信号强度良好的情况下 (强度级别大于3) , 电信4G无线VPN在误码率、传输时延、抖动率方面可以提供较为良好的传输质量, 能够承转空管业务。

当强度级别小于2 时, 影响承转业务特别是VHF业务受影响大。

受限于采用的隧道、封装技术, 传输带宽不到2M, 承转宽带业务受到制约。

3 民航中南地区空管通信传输网络的现状和空管业务的分布情况

目前中南地区空管业务分为窄带业务和宽带业务。

窄带业务为VHF、雷达、电报、话音业务, 窄带业务分布在各地雷达站、甚高频台、航管楼, 中南窄带业务的接入网主要有FA16 网和FA36 网, 接入设备分别采用华为HONET FA16设备和H3C FA36 设备, FA16 只支持SDH E1 2M中继链路, FA36 支持E1 2M和TCP/IP通道等各种中继链路。

宽带业务为各种IP类业务, 主要分布在各地航管楼, 中南宽带业务承载网有ATM网和中南宽带数据网, ATM接入设备采用MGX8850 和8830, 中南宽带数据网接入设备采用H3C75 系列交换机。

4 电信4G无线VPN在中南空管业务保障的应用建议

从测试结果看, 需在4G信号强度3 以上的地方才适合使用无线VPN承载空管业务, 依据电信提供的信息建议, 各地航管楼都在候机楼楼附近, 处于人流密集的地方, 4G基站布局多, 4G信号强度预计都可达到3 以上, 各地雷达站、甚高频台大多处于人流不密集的地方, 4G基站布局少, 4G信号强度预计大多为2 以下。

故雷达站点和甚高频台目前无法大面积应用4G无线VPN, 但不排除有些站点信号强度能达到3 以上, 这些站点通过FA36 接入设备和音频静噪设备, 可以单独实施应用。

各地航管楼4G信号良好, 具备大面积应用4G无线VPN的条件, 目前IP类业务分布在ATM和中南宽带数据网两张网, 后续会把中南地区的IP类业务逐步迁移到中南宽带数据网。

目前中南宽带数据网以广州为核心的星型拓扑结构, 采用联通MSTP单中继链路, 中继链路无冗余, 可以利用电信4G无线VPN提供应急中继链路, 支持目前中南宽带数据网的MPLS L2/L3 VPN业务, 电信4G无线VPN的两种模式都可以提供应用, 点对点互通模式具有更好的隔离性, 故采用点对点互通模式, 有线接入终端每一个端口对应一个无线接入终端, 提供一条二层透传通道, 有线接入终端安装在广州, 无线接入终端安装在各地分局站, 每条二层透传通道作为广州和一个分局站的应急链路。以广州至其中一个中南分局站为例, 连接图如图6:

当广州至中南各地空管分局 (站) 的联通MSTP干线正常时, 电信无线VPN专线作为备份干线, 不进行业务数据的传输, 仅进行链路状态的检测;当广州至中南各地空管分局 (站) 的联通MSTP干线中断时, 电信无线VPN专线能够及时承载广州至中南各地空管分局 (站) 的重要业务, 保障重要业务不会因联通MSTP干线中断的影响。

考虑到无线VPN目前传输带宽的局限, 仅能作为中南宽带数据网上部分重要业务的应急路由。可通过在中南宽带数据网上配置访问控制列表 (ACL) 的方式来确保应急情况下只有指定的重要业务可以绕转到无线VPN上。

参考文献

[1]H3C L2TP操作手册-VPN分册

[2]HUWEI中低端路由器终端接入特性用户手册VRP3.4RT-0106 extened for Sync RTC (ATC)

[3]基于L2TP的隧道协议技术在VPN中的应用研究-邵然

[4]联通无线VPN组网技术和方法研究_胡方浩

[5]电信vpdn业务指导手册v2.3

4G无线VPN 篇2

关键词：4G,监控系统,VPN,H.264

0引言

视频监控,作为一种有效的技术手段,在商场、 交通、居家安全等领域发挥着日益重要的作用。传统的有线视频监控,必须要铺设网线或电缆,成本较高,架设线路受环境的限制较大,而且维护费用高, 故障排除麻烦[1]。随着信息技术的飞速发展,无线网络通信技术不断成熟,以4G为代表的无线网络视频监控技术能够很好地解决有线方式的弊端。自2013年12月工信部发放4G牌照以来,TDD-LTE的4G通信技术日渐成熟。相比于3G网络,4G网络的传输速率 可达到20 Mbps,最高甚至 可以达到100 Mbps,传输速度是3G时代的50倍[2],能够更好的支持高清视频监控。

1系统设计

1.1系统硬件结构

系统所使用的硬件平台为友善之臂的Tiny6410开发板。该开发板的核心芯片为三星的S3C6410处理器,该处理器具有低功率、高性价比、高性能的优点。内部集成有硬件编解码器,支持MPEG4、 H. 263以及H. 264格式的编解码。 开发板有3路USB Host的USB口,可以满足本设计所需。摄像头使用罗技的一款C270高清USB摄像头,采集的图片有YUV和MJPEG格式。4G无线网卡使用中兴的一款ME3760V2上网卡模块。系统硬件结构如图1所示。

1.2系统软件设计

系统采用的操作系统为Linux系统。Linux操作系统具有体积小、系统开源、移植方便的优点,被广泛应用在移动设备上。本设计采用的Linux内核版本为Linux - 2. 6. 38。为了调试方便,测试阶段采用宿主机挂载根文件的形式。宿主机为装有Fedora14的PC机,通过网线、串口和开发板连接。通过裁剪移植完成了针对于开发板工作的最小u-boot、 kernel和根文件系统。在裁剪内核时,需要添加对UVC格式的USB摄像头的驱动支持以及4G上网模块的驱动及通信协议支持[3]。

2视频的采集及编码

视频采集程序调用Linux内核提供的V4L2接口,通过内存映射的方法,调用mmap函数把保存在内核空间的采集的视频数据所在的缓冲区映射到用户空间,这样可以有效地减少数据的交互。同时定义2个队列,视频输入和视频输出队列,用来存放帧缓冲刚取到的和应用程序已处理的数据。采集流程如图2所示。

视频采集流程如下:

1打开视频设备,fd = open ( video0,O _ RDWR) ; 获得设备 属性,调用ioctl ( fd,VIDIOC _ QUERYCAP,&v4l2_def) ,将设备参数保存在v4l2 _ def结构体中;

2调用ioctl( fd,VIDIOC_S_FMT,&format) 设置视频采集的参数如帧格式、图片大小等;

3调用ioctl( fd,VIDIOC_REQBUFS,&reqbuf) 申请帧缓冲区存放视频数据,并通过mmap函数将其映射到用户空间以便应用程序操作;

4开始视频数据的采集。调用ioctl( fd,VIDIO_ STR-EAMON,&way) 命令获取一帧数据,应用程序处理后,帧缓存区的数据再次刷新载入,这样实现了视频数据的循环采集;

5视频采集结束,停止采集,调用close函数关闭视频设备。

系统在设计时还要完成一步图像格式的转换, 因为硬件 编码器要 求的标准 输入格式 为YUV420[4],而本设计采用的摄像头采集的格式为YUV422。两者的区别在于,YUV422采样是每两个Y共用一组UV分量,而YUV420是每4个Y共用一组UV分量,所以在采集之后需要软件方法进行格式转换。这里编写YUV422转YUV420的转换函数YUV422to420( unsigned char * p YUV,unsigned int * yuv,int Width,int Height) 。

视频压缩编码部分使用的是硬件编码法,利用S3C6410芯片内置的MFC进行H. 264格式的硬件编码。S3C6410芯片内部集成有硬件编解码器MFC模块,能够支持30 fps的标清H. 264、H. 263、MPEG4视频格式的编解码[5]。H. 264是新一代的一种视频压缩的标准,在同等图像质量下,它的压缩比是上一代的压缩标准MPEG2的2 ~ 3倍,相比于MPEG4, 也平均减少39% 的传输码流,具有较高的图片压缩效率和较高的网络传输效率,容错能力强[6]。因此,H. 264编码格式常被用在高清录像机和实时监控领域。

系统的视频硬件编码流程如图3所示。

硬件编码步骤如下:

1调用函数Ssb Sip H264Encode Init ( width, height,frame _ rate,bitrate,gop ) 进行编码器的初始化。包括对每一帧图像的长宽、帧速率、比特率及编码质量系数设定;

2调用函数Ssb Sip H264 Encode Get In Buf( handle,size) 获取前面采集程序中图像数据的buffer地址;

3第一次编码需要传入设置的参数,调用函数Ssb Sip H264Encode Get Config( handle,H264_ENC_GETCONF_HEADER_SIZE,&cofi_size) ;

4调用Ssb Sip H264 Encode Exe ( handle) 执行H. 264格式编码;

5调用Ssb Sip H264 Encode Get Out Buf Addr( handle,size) 获取编码输出后的数据地址;

6编码结束,调用Ssb Sip H264Encode De Init( handle) 解除内存映射,释放并关闭编码器。

这样经过S3C6410芯片的硬件编码器压缩编码后,得到了采集图像的H. 264格式的视频流,经压缩后的数据,相比于原始图片格式,图像内存减少了很多,网络传输效果更佳。

3视频的传输

3.1流媒体传输协议

系统采用的是专门应用在流媒体音视频传输的实时传输协议( Real-time Transport Protocol,RTP) , 此协议用来传输视频数据,提供了具有实时性特征、 一对一或一对多的数据传输服务。但是此协议无法提供可靠的传输机制,视频传输质量无法保障。这里配合使用控制协议RTCP( RTP Control Protocol) , 通过RTCP的报文信息,根据接收端接收数据包的丢包、延时及网络带宽情况作出反馈,动态自适应调整视频流 的包发送,从而保证 了视频的 传输质量[7]。网络协议基于UDP协议,相比于TCP协议的三次握手和四次挥手机制,UDP协议是一个非面向连接的通信协议,传输的报头信息简短,传递效率高,因此,非常适合用来实时视频的传输服务[8,9]。

ARM平台移植一个JRTPLIB的C + + 库,该库是根据RTP标准RFC3550而编写的。用户只需要修改调用相应的API函数,就可以配置网络,通过RTP协议发送数据了。移植的步骤如下: 1获取源码,解压缩; 2配置安装选项,选择编译环境为armlinux-gcc; 3运行make命令完成 编译; 4运行make install完成安装,注意库文件和头文件的安装目录。

在经过编码后的数据分为一个个的NAL单元结构,包括了NAL的起始码,NAL头部以及编码的视频数据。建立RTP会话时,会加上RTP的头部报文,包含了头部单元格式、RTP载荷类型等信息。在UDP传输时,又需要打上UDP头部信息,包括了端口号、UDP数据长度等信息[10]。传输时要注意RTP包长度要小于MTU( 最大传输单元) 。

基于RTP的会话传输主要步骤如下:

1初始化RTP会话

RTPSession sesses;

Sesses. Create( 1230) ; / / 对话端口

Sesses. Set Timestamp Uint ( 1. 0 /100. 0 ) ; / / 设置时间戳单元

2发送数据流

Unsigned long IPaddr = inet_addr( “192. 168. 1.30”) ;/ / 客户端IP地址

Sesses. Add Destination( IPaddr,1240) ; / / 对方信息

Sesses. Send Packet( buffers,1000) ; / / 发送数据

3接收数据

调用RTPsession类的函数遍历所有源,检测到有效数据源后,调用Get Next Packet( ) 提取其中的RTP数据报文,然后进行处理工作。

3.2网卡的驱动加载

本系统的4G上网卡选 用的是中 兴的ME3760V2的一款上网模块,该模块支持TDD-LTE的band38、band39、band40、band41频段,同时向下兼容TD-SCDMA及GSM频段,支持最大的150 Mbps的上行数据传输速率。该模块支持Linux操作系统。

在内核文件drivers/usb /serial/options. c中添加该网卡的ID号,添加cdc_encap和cdc_ether的源码文件,通过make menuconfig命令,添加内核对usbnet驱动的支持。

device drivers - - >

Network device support - - - >

usb Network Adapters

< * > Mutil-purpose USB Networking Frame-

work

< * > CDC Ethernet support( smarted-

vices such as cable modems)

执行make z Image命令,编译通过后,将生成的内核镜像下载到开发板上。上电启动后,会看到内核打印信息,通过lsusb会看到/dev目录下出现三个串口。通过AT指令方式拨号后,可连接至Internet,并返回动态IP地址[11]。查询IP的指令为“AT + CGPADDR = 1 ”,返回 “ + CGPADDR: 1, “10. 62. 154. 254””。通过udhcpc指令可动态获取IP配置,此时,开发板已具有上网功能,可以用于视频数据的网络传输。连接成功后udhcpc命令输出如下所示。

4VPN局域网的搭建

4G上网卡产生的IP为移动运营商分配的私网,由于网络NAT技术的存在,用户在PC端的另一局域网内是无法实现与开发板的网络互访的。这里,采用搭建VPN虚拟专用网络的方法,通过组建VPN网络,使得开发板和客户端处于同一局域网内,从而实现两端的访问。VPN的实现基于隧道协议,通过既定的隧道协议,可以把一种协议以外的一种协议或者相同的协议进行封装,还可以给用户提供加密等安全服务。VPN服务器必须和客户端使用相同的隧道协议,这样才能实现VPN的连接。目前常用的隧道协议有以下3种: PPTP、L2TP和IPSec[12]。本设计选 择的协议 是点对点 隧道协议 ( Point - to-Point Tunneling Protocol,PPTP) 。

VPN服务器选择具有双网卡的PC机,安装Windows Server2008,搭建VPN的服务器。这台PC机具有公网IP,可被访问。用于视频监控的客户端PC同样安装客户端程序,接入的网络为局域网。该客户机被设定为user1,接入VPN网络后,会被分配一个VPN局域网内的虚拟IP地址,如表1所示。

在开发板上需要添加对PPTP协议的支持,宿主机下载Linux系统下的PPTP客户端程序后,解压缩编译,将可执行 文件拷贝 到开发板。在配置iptable防火墙放行和转发规则后,建立一个VPN连接脚本文件,写入本机的用户名、带有公网的VPN服务器的IP地址等信息。配置执行成功后,可以查看到本机被分配的同监视端同一网段的虚拟IP地址。这样,客户端PC机就可以同开发板处在了同一局域网环境内,就可以IP互访,实现视频的传输了。

5系统测试

在PC端,使用VLC播放器来播放实时视频流。 VLC不仅可以播放本地多媒体文件,还可以播放网络视频,既能用作媒体流服务器,又可以当成客户端接收网络流。在开发板端,连接网络后,PC机打开VLC软件,打开“媒体”,选择“打开网络串流”,输入网络的URL,这里输入在VPN局域网内开发板端获得的虚 拟IP地址及端 口号:rtp / / 192. 168. 1. 20: 1240,同时导入名为h. 264_live的sdp文件,内容为“m = video 1240 RTP/AVP 96 a = rtpmap: 96 H264a = framerate: 26c = IN IP4 192. 168. 1. 30”经过测试,视频播放流畅,画面清晰。

6结束语

4G无线VPN 篇3

无线网络的安全防护主要有两个层次。第一层是基础框架层, 通过加密和网络认证技术来实现, 第二层是无线电频率层, 通过入侵探测和预防来实现。本文利用不同的无线局域网安全保护技术, 通过虚拟私人网络在成本上的影响和主要与延迟、负载有关的性能指标的测量, 研究了使用虚拟私人网络技术对保护无线局域网安全性能的影响。

1 VPN技术及其在无线局域网中的应用

1.1 VPN技术概述

VPN (Virtual Private Network, 虚拟专用网) 是专用网络在公共网络如Internet上的扩展。VPN通过隧道技术在公共网络上仿真一条点到点的专线, 达到安全的数据传输目的。基于Internet网络的VPN称为IP-VPN。从本质上说, 虚拟专用网 (VPN) 是一种能够通过公用网络安全地对内部专用网进行远程访问的技术, 其核心是在远程用户和VPN服务器之间建立一条加密隧道, 将原始数据包加密, 并在外面封装新的协议包头, 只有知道密钥的通信双方才能解开数据包, 保证了数据包在公共媒质上传输的安全性。

1.2 VPN技术在无线局域网中的应用分析

无线局域网因其传输介质、访问方式等原因, 使得其很容易受到攻击。无线局域网常用的安全方式, 如MAC地址过滤、服务区标识符 (SSID) 匹配等存在很多明显的弊端, 而且在大型无线网络中维护管理工作站和AP的WEP密钥、MAC地址列表是非常艰巨的任务。对于高安全要求或大型的无线网络, 利用VPN技术能够提供更可靠的安全解决方案。VPN在无线局域网中应用实现方式主要有两种, 一种是基于IPSec的无线VPN设计, 一种是基于SSL的无线VPN设计。虽然IPSec VPN出现得较早, 商用化程度较高, 技术较成熟, 安全性较优越, 但缺点是设备成本支出较多, 分部和移动人员需要硬件IPSec VPN客户端设备和软件IPSec VPN客户端, 设置工作较复杂, 维护工作较多, 需要专业网管支持。SSL VPN是一项近两年才发展起来新的VPN技术, 由于无须安装VPN客户端的便捷性和大幅降低的实施管理成本, 在国内外得到了迅速的应用和发展, 使得基于SSL的无线局域网技术成为主流, 本文重点探讨基于SSL VPN技术在无线局域网中的应用及安全性分析。

1.2.1 SSL VPN在无线局域网中应用原理及功能特点

SSL (Secure Socket Layer, 安全套接层) VPN是在两台机器间提供安全通道的协议, 具有保护传输数据和识别通信机器的功能。SSL VPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。SSL VPN使用SSL协议为终端用户提供基于HTTP、C/S和共享文件资源的认证和安全访问。与复杂的IPSeC VPN相比, SSL通过简单易用的方法实现信息远程连通, 任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL内嵌在浏览器中, 它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN的工作原理如图1所示:

SSL VPN是在不破坏已有网络拓扑的前提下进行安全远程访问的技术, SSL VPN在OSI模型的会话层传递, 只支持某些特定的IP应用, 通过因特网进行加密传输保护, 图2显示了SSL VPN的方案实施图。

SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件, 只需使用标准Web浏览器即可访问到企业内部的网络资源。二是适用于大多数设备及系统。由于Web方式的开放性, 支持标准浏览器的任何设备都可以使用SSL VPN进行远程访问。三是适用于大多数操作系统。任何支持标准Web浏览器的操作系统都可以作为SSL VPN的客户端进行远程访问。

1.2.2 SSL VPN在无线局域网中的部署

如图1所示, SSL VPN在无线局域网中应用的整个系统由SSL网关和Web服务器以及AP组成, 其中最重要的是SSL网关。该网关由多个服务器组成, LDAP服务器负责证书以及证书吊销列表的保存, RADIUS服务器负责访问控制策略, DHCP服务器负责为接入网关的局域网计算机分配IP地址, AD是证书验证服务器。

对于SSL VPN来说, 要保证通信的安全, 必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密, 消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过, 端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。SSL协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密, 在握手期间通过公钥技术对双方进行认证, 并用密钥交换技术交换通信使用的对称密钥, 然后使用对称密钥加密通信数据。SSL的安全依赖于所使用的加密套件, 每个加密套件使用四种算法, 即:数字签名算法, 消息摘要算法, 密钥确立算法以及数据加密算法。SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说, 有效地保证自身的安全和对客户端接入的控制是最重要的;二是有效的访问控制策略, 当用户通过了系统的认证之后, 有效而灵活控制客户的访问权限, 实施用户的集中化管理, 更加有效的监控用户使用权限;三是传输性能问题, 对于一个SSL VPN服务器来说, 在整个SSL VPN系统中安全传输是整体性能的关键点。

2 OPNET仿真结果

利用OPNET对采用SSL VPN技术的无线局域网进行建模仿真, 利用OP-NET无线局域网仿真工具, 建立典型的802.11g协议在无线局域网中的应用场景[5], 对仿真的参数和场景作了进一步讨论, 分析了虚拟专用网络技术对本地网络中客户端和服务器之间网络流量负载以及相关安全性能指标的影响。

本文主要研究的统计数据主要有:

Vpn延迟:其给出了通过vpn传输的所有端对端延迟。这种延迟是测量流量从进入网络到离开网络所用的时间。

Vpn吞吐量:测量vpn-流量离开网络的数量。统计数据以每秒的bit数来测量。

Wlan延迟:描述端到端所有收到的由网络中的所有无线节点转发或到更高一层的包延迟。

Wlan吞吐量:描述了无线局域网中通过端到端节点数据包离开网络的数量。统计数据以每秒的bit数来测量。

下面对两个场景进行了模拟仿真, 一是对常规的无线局域网, 二是对实施SSL Vpn的无线局域网, 无线局域网的拓扑结构如图3所示:

如图4所示, 对比了两个场景无线节点间发送和接收数据包的延迟:

结果表明, 两个场景的无线局域网节点间接收或发送数据包的延迟反应几乎相同, 在标准延迟之间平均相差约20%, 在模拟仿真的第一小时, 采用SSL VPN的无线局域网得出的延迟为0.39毫秒, 典型的无线局域网延迟为0.31毫秒。

链路吞吐量是描述网络接收和发送的数据包能力。利用模拟场景在AP1和路由器A之间点对点的连接 (参考图5所示) , 显示了使用连接的仿真结果。

如图5所示, 采用SSL VPN连接的场景入站吞吐量利用率总体平均差异约50%, 在仿真第20分钟采用VPN的场景网络吞吐量为212 Kbit/s, 典型的无线局域网的网络吞吐量为101Kbit/s。

3 结论

VPN技术在无线局域网中的应用 篇4

1 VPN技术概述

VPN (Virtual Private Network, 虚拟专用网) 是专用网络在公共网络如Internet上的扩展。V P N通过隧道技术在公共网络上仿真一条点到点的专线, 从而达到安全的数据传输目的, 基于Internet的VPN也称为I P-V P N。所以从本质上说, 虚拟专用网 (VPN) 是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和V P N服务器之间建立一条加密隧道, 将原始数据包加密, 并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包, 保证了数据包在公共媒质上传送的时候, 不会被非V P N用户截取。

2 V PN技术在无线局域网中的应用分析

无线局域网因其传输介质、访问方式等原因, 使得其很容易受到攻击。无线局域网常用的安全方式, 如M A C地址过滤、服务区标识符 (SSID) 匹配等存在很多明显的弊端。利用VPN技术可以为无线局域网提供更可靠的安全解决方案。但是从目前现状来看, V P N在无线局域网中应用实现方式主要有两种, 一种是基于IPSec的无线VPN设计, 另外一种是基于SSL的无线VPN设计。但是IPSec的无线VPN设计是较早时期V P N在无线局域网中的实现方式, 随着近年来无线局域网以及VPN技术的逐渐成熟, 基于SSL的无线局域网实现技术已经成为主流, 本文将重点探讨基于SSL的VPN技术在无线局域网中的应用。

2.1 SSL V PN在无线局域网中应用原理及功能特点

SSL (Secure Socket Layer, 安全套接层) 是一种在两台机器间提供安全通道的协议, 它具有保护传输数据以及识别通信机器的功能。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。SSL VPN使用SSL协议和代理为终端用户提供基于HTTP, C/S和共享文件资源的认证和安全访问。与复杂的I P S e c V P N相比, S S L通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL内嵌在浏览器中, 它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSLVPN的工作原理如图1所示:

SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件, 只需使用标准Web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上, 还是从维护、管理成本上都可以节省一大笔资金, 从而大幅降低VPN网络的实施成本。二是适用于大多数设备及系统。由于Web方式的开放性, 支持标准浏览器的任何设备都可以使用SSL VPN进行远程访问, 包括非传统设备, 如PDA等。三是适用于大多数操作系统。任何支持标准W e b浏览器的操作系统都可以作为SS L VPN的客户端进行远程访问。不管用户使用的操作系统是W i n d o w s、M a c i n t o s h、UNIX还是Linux。都可以非常容易地访问到企业内部网站的资源。

2.2 SSL V PN在无线局域网中的具体应用

通过图1的示意图可以看出, S S L VPN在无线局域网网中应用的整个系统由SSL网关和Web服务器以及AP组成, 其中最重要的是SSL网关。网关由多个服务器组成, LDAP服务器负责证书以及证书吊销列表的保存, R A D I U S服务器负责访问控制策略, DHCP服务器负责为接入网关的局域网计算机分配IP地址, AD是证书验证服务器。

对于SSL VPN来说, 要保证通信的安全, 必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密, 消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过, 端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。S S L协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证, 并用密钥交换技术交换通信使用的对称密钥, 然后使用对称密钥加密通信数据。S S L的安全依赖于所使用的加密套件, 每个加密套件使用四种算法, 即:数字签名算法, 消息摘要算法, 密钥确立算法以及数据加密算法。

SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说, 有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证, 它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后, 如何有效而灵活控制客户的访问权限, 是非常重要的问题, 同时也是SSL VPN系统最具特色的特点之一。如何实施用户的集中化管理, 通过SSL VPN控制台进行管理, 更加有效的监控用户使用权限, 如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个S S L VPN服务器来说, 传输在整个SSL VPN系统中是一个性能的瓶颈点。

总之, 随着我国网络用户的快速增长, 无线网络作为有效网络的有效补充, 在人们的网络生活中将会占据更加重要的地位。而VPN技术作为无线局域网的一种有效安全措施, 在无线局域网中具有非常广泛的应用。

摘要：随着无线局域网在我国企业、校园以及公共区域应用范围的越来越广泛, VPN技术在无线局域网中的应用也得到了前所未有的关注。本文试图在介绍VPN技术及其应用原理基础上对VPN技术在无线局域网中的应用做出了一定探讨。

关键词：VPN技术,无线局域网,SSL,VPN

参考文献

[1]刘乃安.无线局域网 (WLAN) ——原理、技术与应用[M].西安:电子科技大学出版社, 2004.

[2]周明.SSL VPN体系结构在无线局域网中的应用与设计[J].电子科技大学.2006 (4) .