VPN技术在远程视频监控系统中的应用研究

韩颖

摘要：为加强信息沟通，提高管理效率，我们利用GRE-over-IPSec VPN技术搭建虚拟专用网络，设计并建设了我单位远程视频监控系统虚拟专用网络，将异地车间的监控视频传输回段本部监控中心，实现对生产场所作业的实时监控。该方案投入成本低、安全可靠、性能稳定，是一个切实可行的解决方案。

关键词： VPN；远程视频监控；GRE

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）13-0191-02

Application of VPN Technology in Remote Video Monitoring System

HAN Ying

（Hefei rolling stock depot of Shanghai group Co.，Ltd， Hefei 230001 China）

Abstract： In order to enhance the communication and improve management efficiency， the GRE-over-IPSec VPN technology dealing virtual private network of remote video surveillance system is designed， The virtual private network could transfer the monitoring video of a foreign workshop back to the head office monitoring center， which would realize the real-time monitoring of the work place. This scheme has the advantages of low input cost， safety and reliability， stable performance， and the design is feasible.

Key words： VPN ； Remote Video Monitoring System； GRE

在铁路单位各地监控视频系统建设完成后，如何将监控视频由异地车间安全高效地传输回段本部监控中心，是我们急需解决的问题。如果在公网上传输数据，将会降低系统的安全性；如果使用运营商专线传输数据，则要花费大量费用进行网络铺设，实施的过程也很困难；如果使用铁路内部网络，则存在资源带宽不足的现实问题。

VPN是指在开放的公用网络中对异地网络实现虚拟连接的技术，解决网络通信的安全性问题，在许多企业的广泛使用。GRE over IPSec VPN技术是通过GRE与IPSec相结合，形成的一种安全性更好VPN技术，其主要借用IPSec的安全加密和GRE支持多播的优点，使得VPN网络更加安全。

1 VPN的简介

VPN（即虚拟专用网）是将专用网络建立在公共网络基础上的一种技术，即在公共网络上建立一个专用的信息连接通道进行数据传输。所谓“虚拟”，是指整个VPN网络的任意两个节点之间是动态连接的，它没有传统专网要求的端到端物理链路，仅仅是建立在公共网络平台之上，在逻辑链路中进行用户数据的传输。所谓“专用”，则是指VPN技术通过加密组件和识别组件来实现网络连接。通过加密，实现对信息实体内容的变换和隐藏，保证信息安全；在通过公共网络平台进行传输前，对节点进行标识，从而完成信息实体的识别工作。

2 VPN主要采用隧道、加密和解密、认证这三种技术

2.1 隧道技术

就是在源局域网和公用网络接口处把数据作为负载，封装到可以在公共网络中进行传输的数据格式中，在到达目的局域网和公共网络接口处时，对数据进行解封装，取出负载。“隧道”就是被封装数据在公网中传输时所经过的逻辑通路，可分为第二层隧道协议和第三层隧道协议。将数据包封装到 PPP 中，然后在隧道中传输用的是第二层隧道协议，如L2F、PPTP 协议等。也可以将数据包直接封装到隧道协议中，通过第三层隧道协议进行传输，如VTP、IPSec协议等。

2.2 加密解密技术

因为VPN的通信是在不安全的公用网络中进行的，而通信的内容则可能是一些机密的数据，所以需要对它的安全性高度重视。VPN是通过成熟的加解密技术来保证数据的安全传输。通过采用56位DES算法的ESP协议，实现IPSec的加密传输，加密和解密密钥的交换则是使用ISAKMP 密钥交换协商机制完成。

2.3 VPN认证技术

为有效防止数据被伪造和篡改，必须采用认证技术。VPN采用一种被称为“摘要”的技术进行认证。主要使用 HASH 函数，将一段长的报文通过函数，映射成为一段短的报文。在 VPN 中，摘要技术有两个作用：用户认证和数据完整性验证。IPSec由封装安全有效载荷（ESP）协议和鉴别首部（AH）协议组成，通过这两个协议实现消息源、数据完整性鉴别和数据加密功能。

3 GRE与 IPsec相关技术概述

3.1 GRE相关技术

通用路由封装（GRE），在IP头协议中该协议号是47。GRE定义了在任意一种网络层协议上封装另一个协议（或同一种协议）的协议，它是一种传统的隧道封装协议。

VPN的第三层隧道协议是GRE，通過在协议层之间采用了Tunnel（隧道）的技术来实现。

隧道是一个虚拟的点对点连接通道，通过点对点连接的虚拟接口来实现，通过这条由接口建立起来的虚拟通路，封装后的数据包实现了在通路上的传输，数据包在一条隧道的两端分别进行封装及解封。GRE可以将一种协议的报文封装在另一种协议报文中，从而实现报文在异种网络中的传输。GRE的根本功能就是将两个远程网络通过隧道技术连接起来，在两个远程网络之间模拟出直连链路，使远程网络间传输达到直连的效果。

下面来了解一下GRE的封装过程。当IP数据报到达连接内部网络的接口时，由IP协议首先作路由处理，如何路由此报文则是通过检查IP报头中目的地址域来确定。如果发现报文目的地址是需要从路由器的隧道端口出去时，就启用GRE封装，依据端口定义的目的地址，封装这个原始数据报文，经过GRE封装后的协议类型为47的IP数据报文，它的目的地址一般是远端路由器上某个端口地址，由Tunnel X所定义；源地址通常是本地路由器上的某个端口地址，也是由Tunnel X来定义。再由IP模块对经过封装后的IP数据报文进行处理，根据路由表项和相应目的地址决定从哪一个端口将报文发送出去，并将IP数据报文交给相应网络接口进行处理。

GRE的解封过程：和加封装过程恰恰相反的是解封装过程。当IP数据报文到达目的路由器的某个接口时，路由器首先分析接收到的这个IP数据报文的目的地址是否为本路由器的一个接口，路由器开始检查本地是否有Tunnel端口源IP和IP报文目的地址能够匹配，如果有，就交给GRE模块处理，进行校验密钥，校验报文序列号等操作。在校检通过后，剥离GRE报头，就得到了原始的IP数据报文，然后由路由器IP模块根据它的目的地址交给相应网络接口处理。

GRE具有以下主要特点：支持IP协议及非IP协议；原始数据包包裹在外层协议之内；支持组播、广播和单播；原IP报头之外增加新IP报头；支持IP协议及非IP协议；同时，GRE不具备安全加密的功能；是一种无状态协议，不能提供可靠的流控传输机制。

3.2 IPSec（IP Security）的相关技术

IPSec是框架协议，是一种三层隧道加密协议，能够在Internet上安全保密地进行数据传输。

IPsec包括认证头协议AH、封装安全载荷（ESP）、安全关联SA、密钥管理协议IKE。是把几种安全技术结合在了一起，具备灵活性较好和成本较低的优点。它可以保证IP报文的机密性、完整性和原发性。确保了在IP网络中传输的IP报文安全。

IPSec协议的体系结构：

3.2 IPSec与GER两种协议的优缺点

1）IPSec优点是通过源认证和防重放功能保证数据的完整性和加密性。但仅能够用单播传输IP数据流。

2）GRE优点是支持以单播、广播或组播的方式传输IP数据流和非IP数据流。但不能够对数据进行加密，安全性差。

通过分析GRE的优缺点和IPSec的优缺点，我们知道IPsec（IP security）是由IETF制定的一系列协议族，用密码学的安全机制保证IP数据报的高质量和互操作性。通过加密技术和数据源验证等方法，保证特定通信方之间的数据包在IP层上完整、真实、私有和防重放地传输。

某些网络层协议数据报经过GRE协议的封装后，能够在另一个网络层协议中进行传输。作为VPN的第三层隧道协议，GRE是在协议层之间采用隧道（Tunnel）技术建立起来的。隧道是一个虚拟点对点连接，通过点对点连接的虚拟接口来实现。建立隧道后，数据报首先在源端口封装好，封装好的数据包就可安全地在通路上传输，当数据包到达目的端口后进行解封。数据报在两个远程网络之间传输，仿佛网络是直连在一起的。

IPsec不能传输RIP和OSPF等路由协议和AppleTalk及IPX这样的非IP数据流，必须借助于GRE协议对路由协议报文等进行封装后，才能在IPsec构建的VPN网络中传输这些数据，则让其成为IPsec可以处理的IP报文，从而在IPsec VPN网络中实现不同网络的路由。

针对GRE协议与IPSec协议的互补性，为满足业务需求要，我们可以将GRE和IPSec相结合来满足动态路由协议支持与安全加密认证需要。即采用GRE over IPSec VPN方式进行数据传输。

4 VPN的应用实例

我单位异地车间主要分布在徐州、阜阳、南京、泰州、南通五个城市，单位本部在合肥市，利用VPN技术，通过网关到网关的形式，把各异地车间与单位本部联系起来，建立企业内部虚拟专用网络，形成网络内部传输系统。各地均使用私有的IP地址，地址分配如表1所示。

实际实施时，在各地接入电信20M固定IP地址专线，选用H3C路由器，G1口接入internet网络，G0接入私有网段，供VPN用户使用。

配置信息如下：

acl number 3000

rule 0 permit ip source 192.168.2.1 0 destination 192.168.2.2 0

interface Ethernet0/0

port link-mode route

description connects to RTB

ip address 192.168.0.1 255.255.255.252

ipsec policy rtbc

interface Ethernet0/1

port link-mode route

description connects to 1.0.40.0/24 subnet

ip address 1.0.40.1 255.255.255.0

interface Tunne9

ip address 1.0.10.1 255.255.255.252

source 192.168.0.1

destination 192.168.0.2

5 结束语

GRE over IPSec技术克服了单独使用IPSec只支持单播流量，不支持组播和广播流量的问题，在设计过程中，涉及VPN加密是通过IPSec技術实现。该方案将GRE技术多播的特性与IPSec技术支持单播和加密的特性相结合，在费用及网络维护上也节省了大量的人力、财力。该系统在我单位已投入使用近半年，传输速度<20ms图像清晰不卡滞，效果良好。

参考文献：

[1] 郑士基.VPN技术在企业网络中的应用[J].中国新技术新产品种，2012（8）.

[2] 张友国.GRE-over-IPsec VPN工程设计及实现——基于合肥百大集团网络的VPN应用[J].电脑知识与技术，2013（9）.