黃如兵 趙漣漪

【摘要】由于局域網(wǎng)的IP地址為私有地址，在流媒體服務(wù)中不能作為服務(wù)端被外網(wǎng)直接訪問(wèn)，該設(shè)計(jì)基于VPN和DDNS技術(shù)實(shí)現(xiàn)嵌入式監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)了局域網(wǎng)互聯(lián)的網(wǎng)絡(luò)架構(gòu)。構(gòu)建數(shù)據(jù)傳輸?shù)奶摂M專用通道，解決了局域網(wǎng)因處于不同私有網(wǎng)絡(luò)而無(wú)法訪問(wèn)的問(wèn)題，實(shí)現(xiàn)了基于VPN服務(wù)器的端對(duì)端互聯(lián)訪問(wèn)和數(shù)據(jù)的安全傳輸。通過(guò)對(duì)網(wǎng)絡(luò)架構(gòu)的通信響應(yīng)測(cè)試及分析，證明了該方案具有較強(qiáng)的可靠性，對(duì)局域網(wǎng)項(xiàng)目開(kāi)發(fā)具有實(shí)用價(jià)值。

【關(guān)鍵詞】VPN;互聯(lián)訪問(wèn);通信網(wǎng)絡(luò);安全性;DDNS

【基金項(xiàng)目】2018年安徽省教育廳自然一般項(xiàng)目“基于嵌入式的智能監(jiān)控系統(tǒng)設(shè)計(jì)與研究”（項(xiàng)目編號(hào)：KJ2018B0001）;2017年安徽省級(jí)教研項(xiàng)目“現(xiàn)代學(xué)徒制模式在計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)中的探索與研究”（項(xiàng)目編號(hào)：2017jyxm0710）;2018年安徽省重大教學(xué)改革研究項(xiàng)目“基于OBE理念和現(xiàn)代學(xué)徒制模式的計(jì)算機(jī)專業(yè)人才培養(yǎng)模式改革與研究”（項(xiàng)目編號(hào)：2018jyxm0014）;4.2019年教育部職業(yè)院校文化素質(zhì)教育研究課題“高職院校本域網(wǎng)絡(luò)思政與校園文化建設(shè)聯(lián)動(dòng)機(jī)制研究”（項(xiàng)目編號(hào)：2019YB41）;2017年度安徽高校自然科學(xué)研究項(xiàng)目重點(diǎn)項(xiàng)目“三維片上網(wǎng)絡(luò)通信架構(gòu)容錯(cuò)設(shè)計(jì)”（項(xiàng)目編號(hào)：KJ2017A478）

中圖分類號(hào)：TN92? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ?DOI：10.12246/j.issn.1673-0348.2021.05.010

智能家居、遠(yuǎn)程監(jiān)控、移動(dòng)智能終端的應(yīng)用都需要對(duì)遠(yuǎn)程的終端設(shè)備進(jìn)行連接訪問(wèn)、查看和控制，就需要各終端具備一個(gè)外網(wǎng)可識(shí)別的IP地址，方便網(wǎng)絡(luò)的連接和訪問(wèn)。而日益緊張的IPv4地址并不能為每一個(gè)終端提供一個(gè)IP地址，所以各機(jī)構(gòu)通過(guò)構(gòu)建局域網(wǎng)的方式來(lái)減少對(duì)IP地址的消耗，局域網(wǎng)中通過(guò)分配私有動(dòng)態(tài)的IP地址給用戶，這種局域網(wǎng)的私有IP地址無(wú)法由外網(wǎng)直接訪問(wèn)。本文基于虛擬專用網(wǎng)絡(luò)VPN（Virtual Private Network，VPN）和動(dòng)態(tài)域名服務(wù)DDNS（Dynamic Domain Name Server，DDNS）技術(shù)建立的虛擬專用網(wǎng)絡(luò)，通過(guò)VPN服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)可實(shí)現(xiàn)局域網(wǎng)的相互訪問(wèn)。

1.通信網(wǎng)絡(luò)組建關(guān)鍵技術(shù)

1.1 VPN技術(shù)

VPN通過(guò)采用隧道技術(shù)在開(kāi)放的公用網(wǎng)絡(luò)上建立專用網(wǎng)，通過(guò)在公網(wǎng)上建立一個(gè)臨時(shí)、安全的連接?？梢宰屘幱诓煌瑓^(qū)域、不同網(wǎng)段的兩個(gè)或多個(gè)局域網(wǎng)之間建立一條專有的通信隧道，形成的隧道專線不需要真正的去鋪設(shè)光纜之類的物理線路。

1.2 DDNS技術(shù)

DDNS是將用戶的動(dòng)態(tài)IP地址映射到一個(gè)固定的域名解析服務(wù)上，用戶每次連接網(wǎng)絡(luò)的時(shí)候客戶端程序就會(huì)通過(guò)信息傳遞把該主機(jī)的動(dòng)態(tài)IP地址傳送給位于服務(wù)商主機(jī)上的服務(wù)器程序，服務(wù)器程序負(fù)責(zé)提供域名系統(tǒng)DNS（Domain Name System，DNS）服務(wù)并實(shí)現(xiàn)動(dòng)態(tài)域名解析。本文通信網(wǎng)絡(luò)組建過(guò)程中，為進(jìn)一步降低費(fèi)用，加強(qiáng)此組網(wǎng)方案的推廣，VPN服務(wù)器可搭建在家庭獲取動(dòng)態(tài)IP的主機(jī)上。家庭主機(jī)安裝了花生殼動(dòng)態(tài)域名解析客戶端，使用花生殼服務(wù)，均可通過(guò)固定的花生殼域名訪問(wèn)您的遠(yuǎn)程主機(jī)服務(wù)。

2. 通信網(wǎng)絡(luò)

2.1 通信網(wǎng)絡(luò)架構(gòu)

圖1為構(gòu)建的基于VPN和DDNS技術(shù)接入局域網(wǎng)終端的通信網(wǎng)絡(luò)架構(gòu)圖，圖中計(jì)算機(jī)S（server）為中心VPN服務(wù)器，在主機(jī)S上安裝了花生殼動(dòng)態(tài)域名解析客戶端，該服務(wù)器有兩快網(wǎng)卡，一塊連內(nèi)網(wǎng)，一塊連外網(wǎng)，連接外網(wǎng)的網(wǎng)卡需要指定一個(gè)公網(wǎng)IP地址，也可通過(guò)花生殼DDNS域名實(shí)現(xiàn)連接。計(jì)算機(jī)C1（client1）為第一局域網(wǎng)終端，計(jì)算機(jī)C2（client2）為第二局域網(wǎng)終端，計(jì)算機(jī)C3（client3）為第三局域網(wǎng)終端。C1、C2、C3和S建立VPN連接前，三者的IP地址均為不同網(wǎng)段的私有動(dòng)態(tài)IP地址，所以無(wú)法作為服務(wù)端被訪問(wèn)。當(dāng)通信網(wǎng)絡(luò)建立后，基于S計(jì)算機(jī)VPN服務(wù)器可實(shí)現(xiàn)C1、C2、C3相互訪問(wèn)連接。

在實(shí)驗(yàn)室環(huán)境搭建網(wǎng)絡(luò)架構(gòu)的服務(wù)器及各終端IP地址如表2所示，在本次試驗(yàn)中服務(wù)器S上網(wǎng)后獲得IP為39.187.160.155。終端C1撥號(hào)獲得局域網(wǎng)私有IP地址172.22.187.73。終端C2撥號(hào)獲得局域網(wǎng)分配的私有IP地址10.15.145.28。終端C3的IP地址未局域網(wǎng)192.168.49.200?？芍狢1、C2、C3三者的實(shí)際IP地址是私有網(wǎng)絡(luò)地址，無(wú)法作為服務(wù)端被外網(wǎng)訪問(wèn)。

VPN是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上虛擬一個(gè)局域網(wǎng)，網(wǎng)絡(luò)里面的設(shè)備或者服務(wù)器都具有兩個(gè)IP地址，一個(gè)是原先聯(lián)網(wǎng)獲得的IP地址，比如服務(wù)器IP地址39.187.160.155是對(duì)外的公網(wǎng)IP地址，我們規(guī)劃的VPN網(wǎng)絡(luò)段地址范圍為192.168.1.1～100，通過(guò)服務(wù)器和客戶端的配置，分別為C1、C2、C3設(shè)置相應(yīng)撥號(hào)驗(yàn)證用戶并綁定如表2中所示的虛擬子網(wǎng)IP地址。VPN服務(wù)器內(nèi)網(wǎng)將占用192.168.1.1的IP地址，當(dāng)C1、C2、C3設(shè)備通過(guò)內(nèi)置的VPN客戶端利用已綁定IP地址的賬號(hào)建立到VPN服務(wù)器的虛擬連接，就好像設(shè)備有兩塊網(wǎng)卡一樣，C1、C2、C3分別建立和服務(wù)器直接連接的網(wǎng)絡(luò)，并獲得分配的虛擬專用局域網(wǎng)子IP地址。如在本通信網(wǎng)絡(luò)架構(gòu)中給C1、C2、C3虛擬鏈接分別分配192.168.1.2、192.168.1.3、192.168.1.4的IP地址，這樣VPN服務(wù)器S、客戶端C1、客戶端C2以及客戶端C3四者就可以通過(guò)虛擬IP地址192.168.1.1～192.168.1.4進(jìn)行設(shè)備之間的相互連接和訪問(wèn)。

2.2 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程

在本系統(tǒng)中采用L2TP和IPSec協(xié)議相結(jié)合的VPN技術(shù)，VPN的建立由客戶端發(fā)起，通過(guò)L2TP訪問(wèn)集中器LAC（L2TP Access Concentrator，LAC），VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN 服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密?；贚2TP和IPSec的VPN虛擬專用隧道建立過(guò)程如圖2所示。

VPN建立后，服務(wù)器即可通過(guò)IP地址訪問(wèn)終端，各終端之間基于VPN服務(wù)器可實(shí)現(xiàn)相互訪問(wèn)，各端可以構(gòu)建和FTP服務(wù)實(shí)現(xiàn)數(shù)據(jù)的上傳下載，或者telnet遠(yuǎn)程控制。數(shù)據(jù)的傳輸是通過(guò)基于L2TP和IPSec的VPN隧道來(lái)進(jìn)行傳輸，首先要對(duì)數(shù)據(jù)進(jìn)行L2TP封裝，再進(jìn)行IPSec封裝?！癓2TP”封裝是使用L2TP頭文件和UDP頭數(shù)據(jù)包裝PPP幀（包含一個(gè)IP數(shù)據(jù)包或一個(gè)IPX數(shù)據(jù)包）;而“IPSec封裝”則是使用IPSec封裝安全措施負(fù)載量ESP頭文件和尾文件、提供消息完整性和身份驗(yàn)證的IPSec身份驗(yàn)證尾文件，以及最后的IP頭數(shù)據(jù)包裝L2TP結(jié)果消息。在IP頭文件中，是VPN客戶端和VPN服務(wù)器對(duì)應(yīng)的源和目標(biāo)IP地址。

在隧道的接收方，解析過(guò)程則相反，先進(jìn)行IPSec的解密和認(rèn)證處理，然后依次去除L2TP頭和PPP頭，最后根據(jù)內(nèi)部IP頭中目的地址發(fā)往相應(yīng)的接收端，完成數(shù)據(jù)的加密傳輸及接受。

3. 網(wǎng)絡(luò)測(cè)試

建立高效、穩(wěn)定、可靠、安全的通信網(wǎng)絡(luò)是最終目標(biāo)，網(wǎng)絡(luò)的響應(yīng)性能響應(yīng)性能是指在網(wǎng)絡(luò)內(nèi)，計(jì)算各節(jié)點(diǎn)間的進(jìn)行信應(yīng)答時(shí)間。

在實(shí)驗(yàn)室環(huán)境通過(guò)ping操作檢測(cè)網(wǎng)絡(luò)的響應(yīng)性能，實(shí)驗(yàn)結(jié)果如表3所示。

由響應(yīng)時(shí)間表數(shù)據(jù)可知：（1）C1、C2、C3建立隧道前分別ping服務(wù)器S公網(wǎng)IP地址響應(yīng)時(shí)間與建立隧道后ping服務(wù)器S虛擬IP地址響應(yīng)時(shí)間基本一致，說(shuō)明數(shù)據(jù)包封裝的報(bào)頭對(duì)數(shù)據(jù)傳輸沒(méi)有明顯的延時(shí)影響。（2）各客戶端相互之間通過(guò)虛擬通道的數(shù)據(jù)傳輸要經(jīng)過(guò)服務(wù)器進(jìn)行解報(bào)頭轉(zhuǎn)發(fā)，相互通信時(shí)響應(yīng)時(shí)間略長(zhǎng)，在響應(yīng)速度上有一定的延時(shí)現(xiàn)象。

4. 結(jié)束語(yǔ)

局域網(wǎng)內(nèi)部服務(wù)端難以被直接訪問(wèn)，采用DDNS和VPN相結(jié)合的技術(shù)實(shí)現(xiàn)接入局域網(wǎng)互聯(lián)，解決了對(duì)私有網(wǎng)絡(luò)不能訪問(wèn)的難題，同時(shí)此方案適用于任何私有動(dòng)態(tài)IP地址的設(shè)備，實(shí)現(xiàn)了處于不同局域網(wǎng)內(nèi)部設(shè)備均可作為服務(wù)端被直接訪問(wèn)。通過(guò)對(duì)基于VPN和DDNS技術(shù)的網(wǎng)絡(luò)系統(tǒng)具有較高的響應(yīng)速度及可靠性。VPN技術(shù)和DDNS技術(shù)的結(jié)合運(yùn)用，為智能家居、智能監(jiān)控、智能終端的互聯(lián)和訪問(wèn)提供了一種安全、方便的解決方案。

參考文獻(xiàn)：

[1]陳霞，黃志付，姚云委.嵌入式Linux遠(yuǎn)程監(jiān)控系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)[J].科技風(fēng)，2020，（12）：121.

[2]黃如兵，姚茂群，趙武鋒.基于3G技術(shù)的移動(dòng)監(jiān)控系統(tǒng)研究與實(shí)現(xiàn)[J].杭州師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，（4）：423-428.

[3]劉謙，唐俊濤.物聯(lián)網(wǎng)技術(shù)在樓宇智能化系統(tǒng)中的應(yīng)用[J].神州，2019，（26）：284.

[4]謝紅，原博，解武.一種基于改進(jìn)三幀差分和ViBe算法的運(yùn)動(dòng)目標(biāo)檢測(cè)算法[J].應(yīng)用科技，2016，43（06）：46-52.