韓穎

摘要：為加強(qiáng)信息溝通，提高管理效率，我們利用GRE-over-IPSec VPN技術(shù)搭建虛擬專用網(wǎng)絡(luò)，設(shè)計(jì)并建設(shè)了我單位遠(yuǎn)程視頻監(jiān)控系統(tǒng)虛擬專用網(wǎng)絡(luò)，將異地車間的監(jiān)控視頻傳輸回段本部監(jiān)控中心，實(shí)現(xiàn)對生產(chǎn)場所作業(yè)的實(shí)時監(jiān)控。該方案投入成本低、安全可靠、性能穩(wěn)定，是一個切實(shí)可行的解決方案。

關(guān)鍵詞： VPN；遠(yuǎn)程視頻監(jiān)控；GRE

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）13-0191-02

Application of VPN Technology in Remote Video Monitoring System

HAN Ying

（Hefei rolling stock depot of Shanghai group Co.，Ltd， Hefei 230001 China）

Abstract： In order to enhance the communication and improve management efficiency， the GRE-over-IPSec VPN technology dealing virtual private network of remote video surveillance system is designed， The virtual private network could transfer the monitoring video of a foreign workshop back to the head office monitoring center， which would realize the real-time monitoring of the work place. This scheme has the advantages of low input cost， safety and reliability， stable performance， and the design is feasible.

Key words： VPN ； Remote Video Monitoring System； GRE

在鐵路單位各地監(jiān)控視頻系統(tǒng)建設(shè)完成后，如何將監(jiān)控視頻由異地車間安全高效地傳輸回段本部監(jiān)控中心，是我們急需解決的問題。如果在公網(wǎng)上傳輸數(shù)據(jù)，將會降低系統(tǒng)的安全性；如果使用運(yùn)營商專線傳輸數(shù)據(jù)，則要花費(fèi)大量費(fèi)用進(jìn)行網(wǎng)絡(luò)鋪設(shè)，實(shí)施的過程也很困難；如果使用鐵路內(nèi)部網(wǎng)絡(luò)，則存在資源帶寬不足的現(xiàn)實(shí)問題。

VPN是指在開放的公用網(wǎng)絡(luò)中對異地網(wǎng)絡(luò)實(shí)現(xiàn)虛擬連接的技術(shù)，解決網(wǎng)絡(luò)通信的安全性問題，在許多企業(yè)的廣泛使用。GRE over IPSec VPN技術(shù)是通過GRE與IPSec相結(jié)合，形成的一種安全性更好VPN技術(shù)，其主要借用IPSec的安全加密和GRE支持多播的優(yōu)點(diǎn)，使得VPN網(wǎng)絡(luò)更加安全。

1 VPN的簡介

VPN（即虛擬專用網(wǎng)）是將專用網(wǎng)絡(luò)建立在公共網(wǎng)絡(luò)基礎(chǔ)上的一種技術(shù)，即在公共網(wǎng)絡(luò)上建立一個專用的信息連接通道進(jìn)行數(shù)據(jù)傳輸。所謂“虛擬”，是指整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間是動態(tài)連接的，它沒有傳統(tǒng)專網(wǎng)要求的端到端物理鏈路，僅僅是建立在公共網(wǎng)絡(luò)平臺之上，在邏輯鏈路中進(jìn)行用戶數(shù)據(jù)的傳輸。所謂“專用”，則是指VPN技術(shù)通過加密組件和識別組件來實(shí)現(xiàn)網(wǎng)絡(luò)連接。通過加密，實(shí)現(xiàn)對信息實(shí)體內(nèi)容的變換和隱藏，保證信息安全；在通過公共網(wǎng)絡(luò)平臺進(jìn)行傳輸前，對節(jié)點(diǎn)進(jìn)行標(biāo)識，從而完成信息實(shí)體的識別工作。

2 VPN主要采用隧道、加密和解密、認(rèn)證這三種技術(shù)

2.1 隧道技術(shù)

就是在源局域網(wǎng)和公用網(wǎng)絡(luò)接口處把數(shù)據(jù)作為負(fù)載，封裝到可以在公共網(wǎng)絡(luò)中進(jìn)行傳輸?shù)臄?shù)據(jù)格式中，在到達(dá)目的局域網(wǎng)和公共網(wǎng)絡(luò)接口處時，對數(shù)據(jù)進(jìn)行解封裝，取出負(fù)載?！八淼馈本褪潜环庋b數(shù)據(jù)在公網(wǎng)中傳輸時所經(jīng)過的邏輯通路，可分為第二層隧道協(xié)議和第三層隧道協(xié)議。將數(shù)據(jù)包封裝到 PPP 中，然后在隧道中傳輸用的是第二層隧道協(xié)議，如L2F、PPTP 協(xié)議等。也可以將數(shù)據(jù)包直接封裝到隧道協(xié)議中，通過第三層隧道協(xié)議進(jìn)行傳輸，如VTP、IPSec協(xié)議等。

2.2 加密解密技術(shù)

因?yàn)閂PN的通信是在不安全的公用網(wǎng)絡(luò)中進(jìn)行的，而通信的內(nèi)容則可能是一些機(jī)密的數(shù)據(jù)，所以需要對它的安全性高度重視。VPN是通過成熟的加解密技術(shù)來保證數(shù)據(jù)的安全傳輸。通過采用56位DES算法的ESP協(xié)議，實(shí)現(xiàn)IPSec的加密傳輸，加密和解密密鑰的交換則是使用ISAKMP 密鑰交換協(xié)商機(jī)制完成。

2.3 VPN認(rèn)證技術(shù)

為有效防止數(shù)據(jù)被偽造和篡改，必須采用認(rèn)證技術(shù)。VPN采用一種被稱為“摘要”的技術(shù)進(jìn)行認(rèn)證。主要使用 HASH 函數(shù)，將一段長的報(bào)文通過函數(shù)，映射成為一段短的報(bào)文。在 VPN 中，摘要技術(shù)有兩個作用：用戶認(rèn)證和數(shù)據(jù)完整性驗(yàn)證。IPSec由封裝安全有效載荷（ESP）協(xié)議和鑒別首部（AH）協(xié)議組成，通過這兩個協(xié)議實(shí)現(xiàn)消息源、數(shù)據(jù)完整性鑒別和數(shù)據(jù)加密功能。

3 GRE與 IPsec相關(guān)技術(shù)概述

3.1 GRE相關(guān)技術(shù)

通用路由封裝（GRE），在IP頭協(xié)議中該協(xié)議號是47。GRE定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝另一個協(xié)議（或同一種協(xié)議）的協(xié)議，它是一種傳統(tǒng)的隧道封裝協(xié)議。

VPN的第三層隧道協(xié)議是GRE，通過在協(xié)議層之間采用了Tunnel（隧道）的技術(shù)來實(shí)現(xiàn)。

隧道是一個虛擬的點(diǎn)對點(diǎn)連接通道，通過點(diǎn)對點(diǎn)連接的虛擬接口來實(shí)現(xiàn)，通過這條由接口建立起來的虛擬通路，封裝后的數(shù)據(jù)包實(shí)現(xiàn)了在通路上的傳輸，數(shù)據(jù)包在一條隧道的兩端分別進(jìn)行封裝及解封。GRE可以將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中，從而實(shí)現(xiàn)報(bào)文在異種網(wǎng)絡(luò)中的傳輸。GRE的根本功能就是將兩個遠(yuǎn)程網(wǎng)絡(luò)通過隧道技術(shù)連接起來，在兩個遠(yuǎn)程網(wǎng)絡(luò)之間模擬出直連鏈路，使遠(yuǎn)程網(wǎng)絡(luò)間傳輸達(dá)到直連的效果。

下面來了解一下GRE的封裝過程。當(dāng)IP數(shù)據(jù)報(bào)到達(dá)連接內(nèi)部網(wǎng)絡(luò)的接口時，由IP協(xié)議首先作路由處理，如何路由此報(bào)文則是通過檢查IP報(bào)頭中目的地址域來確定。如果發(fā)現(xiàn)報(bào)文目的地址是需要從路由器的隧道端口出去時，就啟用GRE封裝，依據(jù)端口定義的目的地址，封裝這個原始數(shù)據(jù)報(bào)文，經(jīng)過GRE封裝后的協(xié)議類型為47的IP數(shù)據(jù)報(bào)文，它的目的地址一般是遠(yuǎn)端路由器上某個端口地址，由Tunnel X所定義；源地址通常是本地路由器上的某個端口地址，也是由Tunnel X來定義。再由IP模塊對經(jīng)過封裝后的IP數(shù)據(jù)報(bào)文進(jìn)行處理，根據(jù)路由表項(xiàng)和相應(yīng)目的地址決定從哪一個端口將報(bào)文發(fā)送出去，并將IP數(shù)據(jù)報(bào)文交給相應(yīng)網(wǎng)絡(luò)接口進(jìn)行處理。

GRE的解封過程：和加封裝過程恰恰相反的是解封裝過程。當(dāng)IP數(shù)據(jù)報(bào)文到達(dá)目的路由器的某個接口時，路由器首先分析接收到的這個IP數(shù)據(jù)報(bào)文的目的地址是否為本路由器的一個接口，路由器開始檢查本地是否有Tunnel端口源IP和IP報(bào)文目的地址能夠匹配，如果有，就交給GRE模塊處理，進(jìn)行校驗(yàn)密鑰，校驗(yàn)報(bào)文序列號等操作。在校檢通過后，剝離GRE報(bào)頭，就得到了原始的IP數(shù)據(jù)報(bào)文，然后由路由器IP模塊根據(jù)它的目的地址交給相應(yīng)網(wǎng)絡(luò)接口處理。

GRE具有以下主要特點(diǎn)：支持IP協(xié)議及非IP協(xié)議；原始數(shù)據(jù)包包裹在外層協(xié)議之內(nèi)；支持組播、廣播和單播；原IP報(bào)頭之外增加新IP報(bào)頭；支持IP協(xié)議及非IP協(xié)議；同時，GRE不具備安全加密的功能；是一種無狀態(tài)協(xié)議，不能提供可靠的流控傳輸機(jī)制。

3.2 IPSec（IP Security）的相關(guān)技術(shù)

IPSec是框架協(xié)議，是一種三層隧道加密協(xié)議，能夠在Internet上安全保密地進(jìn)行數(shù)據(jù)傳輸。

IPsec包括認(rèn)證頭協(xié)議AH、封裝安全載荷（ESP）、安全關(guān)聯(lián)SA、密鑰管理協(xié)議IKE。是把幾種安全技術(shù)結(jié)合在了一起，具備靈活性較好和成本較低的優(yōu)點(diǎn)。它可以保證IP報(bào)文的機(jī)密性、完整性和原發(fā)性。確保了在IP網(wǎng)絡(luò)中傳輸?shù)腎P報(bào)文安全。

IPSec協(xié)議的體系結(jié)構(gòu)：

3.2 IPSec與GER兩種協(xié)議的優(yōu)缺點(diǎn)

1）IPSec優(yōu)點(diǎn)是通過源認(rèn)證和防重放功能保證數(shù)據(jù)的完整性和加密性。但僅能夠用單播傳輸IP數(shù)據(jù)流。

2）GRE優(yōu)點(diǎn)是支持以單播、廣播或組播的方式傳輸IP數(shù)據(jù)流和非IP數(shù)據(jù)流。但不能夠?qū)?shù)據(jù)進(jìn)行加密，安全性差。

通過分析GRE的優(yōu)缺點(diǎn)和IPSec的優(yōu)缺點(diǎn)，我們知道IPsec（IP security）是由IETF制定的一系列協(xié)議族，用密碼學(xué)的安全機(jī)制保證IP數(shù)據(jù)報(bào)的高質(zhì)量和互操作性。通過加密技術(shù)和數(shù)據(jù)源驗(yàn)證等方法，保證特定通信方之間的數(shù)據(jù)包在IP層上完整、真實(shí)、私有和防重放地傳輸。

某些網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)報(bào)經(jīng)過GRE協(xié)議的封裝后，能夠在另一個網(wǎng)絡(luò)層協(xié)議中進(jìn)行傳輸。作為VPN的第三層隧道協(xié)議，GRE是在協(xié)議層之間采用隧道（Tunnel）技術(shù)建立起來的。隧道是一個虛擬點(diǎn)對點(diǎn)連接，通過點(diǎn)對點(diǎn)連接的虛擬接口來實(shí)現(xiàn)。建立隧道后，數(shù)據(jù)報(bào)首先在源端口封裝好，封裝好的數(shù)據(jù)包就可安全地在通路上傳輸，當(dāng)數(shù)據(jù)包到達(dá)目的端口后進(jìn)行解封。數(shù)據(jù)報(bào)在兩個遠(yuǎn)程網(wǎng)絡(luò)之間傳輸，仿佛網(wǎng)絡(luò)是直連在一起的。

IPsec不能傳輸RIP和OSPF等路由協(xié)議和AppleTalk及IPX這樣的非IP數(shù)據(jù)流，必須借助于GRE協(xié)議對路由協(xié)議報(bào)文等進(jìn)行封裝后，才能在IPsec構(gòu)建的VPN網(wǎng)絡(luò)中傳輸這些數(shù)據(jù)，則讓其成為IPsec可以處理的IP報(bào)文，從而在IPsec VPN網(wǎng)絡(luò)中實(shí)現(xiàn)不同網(wǎng)絡(luò)的路由。

針對GRE協(xié)議與IPSec協(xié)議的互補(bǔ)性，為滿足業(yè)務(wù)需求要，我們可以將GRE和IPSec相結(jié)合來滿足動態(tài)路由協(xié)議支持與安全加密認(rèn)證需要。即采用GRE over IPSec VPN方式進(jìn)行數(shù)據(jù)傳輸。

4 VPN的應(yīng)用實(shí)例

我單位異地車間主要分布在徐州、阜陽、南京、泰州、南通五個城市，單位本部在合肥市，利用VPN技術(shù)，通過網(wǎng)關(guān)到網(wǎng)關(guān)的形式，把各異地車間與單位本部聯(lián)系起來，建立企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)，形成網(wǎng)絡(luò)內(nèi)部傳輸系統(tǒng)。各地均使用私有的IP地址，地址分配如表1所示。

實(shí)際實(shí)施時，在各地接入電信20M固定IP地址專線，選用H3C路由器，G1口接入internet網(wǎng)絡(luò)，G0接入私有網(wǎng)段，供VPN用戶使用。

配置信息如下：

acl number 3000

rule 0 permit ip source 192.168.2.1 0 destination 192.168.2.2 0

interface Ethernet0/0

port link-mode route

description connects to RTB

ip address 192.168.0.1 255.255.255.252

ipsec policy rtbc

interface Ethernet0/1

port link-mode route

description connects to 1.0.40.0/24 subnet

ip address 1.0.40.1 255.255.255.0

interface Tunne9

ip address 1.0.10.1 255.255.255.252

source 192.168.0.1

destination 192.168.0.2

5 結(jié)束語

GRE over IPSec技術(shù)克服了單獨(dú)使用IPSec只支持單播流量，不支持組播和廣播流量的問題，在設(shè)計(jì)過程中，涉及VPN加密是通過IPSec技術(shù)實(shí)現(xiàn)。該方案將GRE技術(shù)多播的特性與IPSec技術(shù)支持單播和加密的特性相結(jié)合，在費(fèi)用及網(wǎng)絡(luò)維護(hù)上也節(jié)省了大量的人力、財(cái)力。該系統(tǒng)在我單位已投入使用近半年，傳輸速度<20ms圖像清晰不卡滯，效果良好。

參考文獻(xiàn)：

[1] 鄭士基.VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用[J].中國新技術(shù)新產(chǎn)品種，2012（8）.

[2] 張友國.GRE-over-IPsec VPN工程設(shè)計(jì)及實(shí)現(xiàn)——基于合肥百大集團(tuán)網(wǎng)絡(luò)的VPN應(yīng)用[J].電腦知識與技術(shù)，2013（9）.