基于VPN和DDNS技术实现嵌入式监控系统网络结构

2021-05-27 13:15黄如兵赵涟漪
卫星电视与宽带多媒体 2021年5期
关键词:通信网络安全性

黄如兵 赵涟漪

【摘要】由于局域网的IP地址为私有地址,在流媒体服务中不能作为服务端被外网直接访问,该设计基于VPN和DDNS技术实现嵌入式监控系统网络结构,实现了局域网互联的网络架构。构建数据传输的虚拟专用通道,解决了局域网因处于不同私有网络而无法访问的问题,实现了基于VPN服务器的端对端互联访问和数据的安全传输。通过对网络架构的通信响应测试及分析,证明了该方案具有较强的可靠性,对局域网项目开发具有实用价值。

【关键词】VPN;互联访问;通信网络;安全性;DDNS

【基金项目】2018年安徽省教育厅自然一般项目“基于嵌入式的智能监控系统设计与研究”(项目编号:KJ2018B0001);2017年安徽省级教研项目“现代学徒制模式在计算机应用技术专业中的探索与研究”(项目编号:2017jyxm0710);2018年安徽省重大教学改革研究项目“基于OBE理念和现代学徒制模式的计算机专业人才培养模式改革与研究”(项目编号:2018jyxm0014);4.2019年教育部职业院校文化素质教育研究课题“高职院校本域网络思政与校园文化建设联动机制研究”(项目编号:2019YB41);2017年度安徽高校自然科学研究项目重点项目“三维片上网络通信架构容错设计”(项目编号:KJ2017A478)

中图分类号:TN92                     文献标识码:A                     DOI:10.12246/j.issn.1673-0348.2021.05.010

智能家居、远程监控、移动智能终端的应用都需要对远程的终端设备进行连接访问、查看和控制,就需要各终端具备一个外网可识别的IP地址,方便网络的连接和访问。而日益紧张的IPv4地址并不能为每一个终端提供一个IP地址,所以各机构通过构建局域网的方式来减少对IP地址的消耗,局域网中通过分配私有动态的IP地址给用户,这种局域网的私有IP地址无法由外网直接访问。本文基于虚拟专用网络VPN(Virtual Private Network,VPN)和动态域名服务DDNS(Dynamic Domain Name Server,DDNS)技术建立的虚拟专用网络,通过VPN服务器的数据转发可实现局域网的相互访问。

1.通信网络组建关键技术

1.1 VPN技术

VPN通过采用隧道技术在开放的公用网络上建立专用网,通过在公网上建立一个临时、安全的连接。可以让处于不同区域、不同网段的两个或多个局域网之间建立一条专有的通信隧道,形成的隧道专线不需要真正的去铺设光缆之类的物理线路。

1.2 DDNS技术

DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供域名系统DNS(Domain Name System,DNS)服务并实现动态域名解析。本文通信网络组建过程中,为进一步降低费用,加强此组网方案的推广,VPN服务器可搭建在家庭获取动态IP的主机上。家庭主机安装了花生壳动态域名解析客户端,使用花生壳服务,均可通过固定的花生壳域名访问您的远程主机服务。

2. 通信网络

2.1 通信网络架构

图1为构建的基于VPN和DDNS技术接入局域网终端的通信网络架构图,图中计算机S(server)为中心VPN服务器,在主机S上安装了花生壳动态域名解析客户端,该服务器有两快网卡,一块连内网,一块连外网,连接外网的网卡需要指定一个公网IP地址,也可通过花生壳DDNS域名实现连接。计算机C1(client1)为第一局域网终端,计算机C2(client2)为第二局域网终端,计算机C3(client3)为第三局域网终端。C1、C2、C3和S建立VPN连接前,三者的IP地址均为不同网段的私有动态IP地址,所以无法作为服务端被访问。当通信网络建立后,基于S计算机VPN服务器可实现C1、C2、C3相互访问连接。

在实验室环境搭建网络架构的服务器及各终端IP地址如表2所示,在本次试验中服务器S上网后获得IP为39.187.160.155。终端C1拨号获得局域网私有IP地址172.22.187.73。終端C2拨号获得局域网分配的私有IP地址10.15.145.28。终端C3的IP地址未局域网192.168.49.200。可知C1、C2、C3三者的实际IP地址是私有网络地址,无法作为服务端被外网访问。

VPN是在现有网络的基础上虚拟一个局域网,网络里面的设备或者服务器都具有两个IP地址,一个是原先联网获得的IP地址,比如服务器IP地址39.187.160.155是对外的公网IP地址,我们规划的VPN网络段地址范围为192.168.1.1~100,通过服务器和客户端的配置,分别为C1、C2、C3设置相应拨号验证用户并绑定如表2中所示的虚拟子网IP地址。VPN服务器内网将占用192.168.1.1的IP地址,当C1、C2、C3设备通过内置的VPN客户端利用已绑定IP地址的账号建立到VPN服务器的虚拟连接,就好像设备有两块网卡一样,C1、C2、C3分别建立和服务器直接连接的网络,并获得分配的虚拟专用局域网子IP地址。如在本通信网络架构中给C1、C2、C3虚拟链接分别分配192.168.1.2、192.168.1.3、192.168.1.4的IP地址,这样VPN服务器S、客户端C1、客户端C2以及客户端C3四者就可以通过虚拟IP地址192.168.1.1~192.168.1.4进行设备之间的相互连接和访问。

2.2 通信网络数据传输过程

在本系统中采用L2TP和IPSec协议相结合的VPN技术,VPN的建立由客户端发起,通过L2TP访问集中器LAC(L2TP Access Concentrator,LAC),VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN 服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。基于L2TP和IPSec的VPN虚拟专用隧道建立过程如图2所示。

VPN建立后,服务器即可通过IP地址访问终端,各终端之间基于VPN服务器可实现相互访问,各端可以构建和FTP服务实现数据的上传下载,或者telnet远程控制。数据的传输是通过基于L2TP和IPSec的VPN隧道来进行传输,首先要对数据进行L2TP封装,再进行IPSec封装。“L2TP”封装是使用L2TP头文件和UDP头数据包装PPP帧(包含一个IP数据包或一个IPX数据包);而“IPSec封装”则是使用IPSec封装安全措施负载量ESP头文件和尾文件、提供消息完整性和身份验证的IPSec身份验证尾文件,以及最后的IP头数据包装L2TP结果消息。在IP头文件中,是VPN客户端和VPN服务器对应的源和目标IP地址。

在隧道的接收方,解析过程则相反,先进行IPSec的解密和认证处理,然后依次去除L2TP头和PPP头,最后根据内部IP头中目的地址发往相应的接收端,完成数据的加密传输及接受。

3. 网络测试

建立高效、稳定、可靠、安全的通信网络是最终目标,网络的响应性能响应性能是指在网络内,计算各节点间的进行信应答时间。

在实验室环境通过ping操作检测网络的响应性能,实验结果如表3所示。

由响应时间表数据可知:(1)C1、C2、C3建立隧道前分别ping服务器S公网IP地址响应时间与建立隧道后ping服务器S虚拟IP地址响应时间基本一致,说明数据包封装的报头对数据传输没有明显的延时影响。(2)各客户端相互之间通过虚拟通道的数据传输要经过服务器进行解报头转发,相互通信时响应时间略长,在响应速度上有一定的延时现象。

4. 结束语

局域网内部服务端难以被直接访问,采用DDNS和VPN相结合的技术实现接入局域网互联,解决了对私有网络不能访问的难题,同时此方案适用于任何私有动态IP地址的设备,实现了处于不同局域网内部设备均可作为服务端被直接访问。通过对基于VPN和DDNS技术的网络系统具有较高的响应速度及可靠性。VPN技術和DDNS技术的结合运用,为智能家居、智能监控、智能终端的互联和访问提供了一种安全、方便的解决方案。

参考文献:

[1]陈霞,黄志付,姚云委.嵌入式Linux远程监控系统的设计与开发[J].科技风,2020,(12):121.

[2]黄如兵,姚茂群,赵武锋.基于3G技术的移动监控系统研究与实现[J].杭州师范大学学报(自然科学版),2014,(4):423-428.

[3]刘谦,唐俊涛.物联网技术在楼宇智能化系统中的应用[J].神州,2019,(26):284.

[4]谢红,原博,解武.一种基于改进三帧差分和ViBe算法的运动目标检测算法[J].应用科技,2016,43(06):46-52.

猜你喜欢
通信网络安全性
长效胰岛素联合口服降糖药治疗2型糖尿病的疗效与安全性
西药临床应用中合理用药对其安全性的影响
关于桥梁设计中的安全性与耐久性问题的几点思考
空间激光通信研究及发展趋势
物联网关键技术的发展对通信网络的影响
全氢罩式炉的安全性