前言:
现在大家对“二层透传是什么意思”可能比较注意,兄弟们都想要剖析一些“二层透传是什么意思”的相关资讯。那么小编也在网上搜集了一些关于“二层透传是什么意思””的相关内容,希望大家能喜欢,同学们快快来了解一下吧!当前,电力通过公网传送的业务,目前全部采用了3G的GPRS传送,一方面因电力业务的特殊性,通过公网的VPN存在安全风险,另外还需要通过公网实现IP地址转换,实际部署非常麻烦,不利于电力业务的应用。另外一方面,随着电力业务的增加,以及系统的增加,目前面临带宽、安全和运维量的问题。因此急需解决电力公网传送业务带宽和采用二层透传问题,以及提高数据的可靠性,同时降低维护难度和运维成本。因此,利用公网的VPDN方式建立安全隧道,终端和系统之间采用的是三层VPN的技术互联,不但浪费大量的流量同时还为运维带来巨大困难。
针对以上情况,在不利于有线网络覆盖环境下以无线的方式实现数据回传的业务,采用3G /4G高速无线网络作为数据承载网络,为远程设备和站点之间的联网提供安全高速的无线连接。同时无线回传的备份功能应与光纤网络互为链路备份应用,实现有线网络和无线网络的无缝融合,保证数据传输的可靠运行。
1 无线VPDN技术概要
无线VPDN是一种新兴的、基于无线网络并结合当前主流VPN技术的安全无线接入技术,是运营商在当前大网运营环境下独立划分出来的、专门针对行业应用提供的与公众互联网隔离的虚拟专用拨号网络,该网络并入运营商的骨干,简化传输节点,能够提供最优路由。其利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网,用户可使用移动终端通过无线宽带VPDN网络安全地访问客户网络或应用系统,从而满足移动办公、移动数据采集、无线数据传输等需求。
4G专线接入终端支持运营商的无线VPDN平台,为客户提供更放心、更方便的数据传输服务。4G专线接入终端接入VPDN以后,可以带来如下的优势:
(1)从无线接入层面就进入电信级的专用网络,与普通互联网业务隔离;可以提供更安全更稳定的服务。
(2)可以从无线网络获得固定的IP地址,两台4G专线接入终端可以实现点对点直连互通,无需中心服务器的参与。
4G专线接入终端基于TLS技术提供网络安全保障,可以有效防范非法接入和数据篡改,给用户提供基于公共互联网的私有安全传输通道。如果客户希望传输通道与公共互联网隔离,以获取进一步的数据安全和性能稳定保障,可以通过设置4G专线终端接入电信的VPDN网络来实现。
2 无线VPDN技术在电力通信中分析和研究
2.1 技术适应性分析
4G专线接入设备通过4G无线网络接入Internet,通过IP 隧道技术建立点对点或者点对多点的VPN连接,从而实现虚拟的以太网专线互联和汇聚。本产品基于嵌入式Linux实现,充分考虑了网络安全因素,采用TLS技术实现接入设备的双向认证以及业务数据的加密和验证,有效预防非法接入和数据中途篡改,给用户提供一个基于互联网的私有安全通道。
4G专线接入产品采用国际标准的TLS协议实现传输通道的数据安全,具体体现在下面五个方面:
(1)服务器和每台远端设备都需要分发数字证书,以在后续的TLS通信中协助完成身份认证和密钥交换;
(2)控制通道采用2 048 bit RSA架构,使用SHA1算法作为hash函数,RSA作为身份认证,256位AES加密来实现 Diffie-Hellman密钥交换;
(3)数据通道采用对称加密技术,支持160 bit BLOWFISH,以及AES 128/256算法;
(4)数据通道采用动态密钥机制,密钥每小时进行重新协商和更新;
(5)服务器和远端设备进行双向认证。服务器只接收合法的远端设备连接;同时远端设备也认证服务器,保证只连接到正确的服务器。
2.2 需求分析
针对电力通信系统的需要,本文设计和实现了一套4G无线移动终端,用于电力业务的传送,该设备需要达到以下要求:
(1)要求无线终端为工业化设备,设备至少能够提供4个以太网端口;
(2)基于二层协议的VPN隧道协议;
(3)设备支持内置4G模块,支持各运营商移动制式网络;
(4)APN/VPDN,支持各运营商移动制式网络以及VPDN业务,并可进行无线网络的自动切换,APN参数可修改;
(5)支持VPN隧道协议,EOIP/VxLAN;
(6)支持端口限速和防火墙等功能。
2.3 方案设计
本文设计了4G无线终端设备3套,其中一套具备汇聚功能,如图1所示。4G专线接入终端设备利用4G无线网络接入运营商的IP网络,通过IP 隧道技术建立点对点或者点对多点的VPN连接,从而实现虚拟的以太网专线互联和汇聚。本产品基于嵌入式Linux实现,充分考虑了网络安全因素,采用SSL/TLS技术实现接入设备的双向认证以及业务数据的加密和验证,有效预防非法接入和数据中途篡改,给用户提供一个基于互联网的私有安全通道。
本方案主要提供两个相距较远节点间的点对点数据传输,在两个节点间各放置一台4G无线接入设备,两个节点间利用运营商4G/3G/2G无线网络实现通信,无需光纤或有线电路资源,业务开通快捷,非常适合各类应急通信业务。
本方案所建立的隧道是基于TLS协议实现的,服务器实现对远端设备的接入认证和鉴权;在隧道建立的过程中,双方根据RSA架构协商数据加密算法和密钥,并在后续的传输过程中对数据进行加密,以保障用户数据的安全。
(1)无线通道基于TLS技术建立安全连接:无线通道通过TLS协议完成通信双方的身份验证和动态密钥交换,并对通信数据进行处理防止中途篡改和泄露。设备通过数字证书机制实现安全接入和通信;设备开通业务前需要导入合法的数字证书。
(2)严格的设备防火墙设置:设备采用了严格的防火墙配置,无线网络则仅开通一个用于数据连接的UDP端口,拒绝其他任何访问。
(3)支持运营商VPDN/APN专网接入:设备支持接入运营商的VPDN/APN专网,以使传输通道与公共互联网隔离,以获取进一步的数据安全和性能稳定保障。
3 实际测试和应用
本论文所设计和实现的方案,在北京电力公司进行了部署和实施,测试环境和过程如图2所示。
本测试需要的设备包括:(1)4G专线接入服务器1台;(2)4G专线终端2台。本测试需要的其他资源(由联通公司提供):4G VPDN 功能 SIM卡3个(终端和远端使用,实际使用SIM卡的通道为4G)。
测试过程如下:
(1)把 4G SIM卡插入到3台设备中去,配置并配置好业务;
(2)指挥控制中心IP地址PING DUT设备IP地址-1,看是否能ping通对端IP地址;
(3)指挥控制中心IP地址PING DUT设备IP地址-2,看是否能ping通对端IP地址;
目前实现的功能包括:公司通过公网传送的业务,目前全部采用了3G的GPRS传送,利用公网的VPDN方式建立安全隧道,终端和系统之间采用的是三层VPN的技术互联,不但浪费大量的流量同时还为运维带来巨大困难。随着电力业务的增加,以及系统的增加,目前面临带宽、安全和运维量的问题。因此急需解决电力公网传送业务带宽和采用二层透传问题,以及提高数据的可靠性,同时降低维护难度和运维成本。
4 结束语
针对目前电力公网传送业务带宽和采用二层透传问题,本文提出了一种以基于无线VPDN的方案,可利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网,用户可使用移动终端通过无线宽带VPDN网络安全的访问客户网络或应用系统,经过在北京电力公司等单位的部署和实施,表明该方案不仅能够满足移动办公、移动数据采集、无线数据传输等需求,而且能够提供数据安全和性能稳定的保障。
参考文献
[1]3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.
[2]电力系统通信设计技术规定,2016年DL/T 5391-2007.
[3]电力监控系统安全防护总体方案等安全防护方案和评估规范,(国能安全〔2015〕36号).
[4]电力监控系统安全防护规定,(国家发改委发布〔2014〕第14号).
作者信息:
康福填1,上官甲天1,王登政1,栗红照1,安 冲1,马 凯2,王 磊3
(1.国网北京市电力公司房山供电公司,北京102401;2.国网北京市电力公司客户服务中心,北京100031;
3.国网北京市电力公司信息通信分公司,北京100031)
标签: #二层透传是什么意思