应用科技
基于
IPv6的VPN研
梁剑
究
(太原工业学院,山西太原030004)
睛要1本文介绍了TP、,6下基于IPsec的以及VpN的原理,同时给出的IPv6下VPN的方案以及实现。并时:瑟做了测试及分析。
陕键闻IPv6;VPN;IPsec
1
Sl言
随着计算机网络技术的飞速发展,i-I-算tfl,网络的应用越来越丰富,更多的计算机加入Internet,使得Internet日见匮乏,也使得下一代
互联网(即IPv6)的应用推广提到了日程上来。IPSec是在IPv4和IPv6下都能使用的一个网络层安全协议,在IPv6下要求强制执行。目
前的VPN网关大都不支持IPv6,因此对IPv6下工作的VPN的研究具
有重要意义。
2
IPsec简介
IPSec协议一组保证网络安全的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload
及加密(ESP)、密钥的一些算管理协议法等。IIPSecnterne规t定了如何KeyExcha在对等层nge(IKE)之间选择安和用于网络酬、
认证
确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加
密等网络安全服务。它既可以在IPv4下使用,又可在IPv6下使用。
IKE(Internet密钥交换)可为IPSec协议生成密钥。IKE的载荷
格式非常通用。它可为任何一种协议商拟密钥,并不仅仅限于IPSec
的密钥协商。这是通过将IKE协商的参数同仂设本身分隔开来实现的。协商的参数被归于—吟单独的文档内,名为IPSec解释域,或者IPSec
DOIo
3
VPN简介
虚拟专用网络ⅣirtualPrivateNetwork,VPM是Internet技术迅
速发展的产物,它最简单的定义就是:。在公众数据网络上建立属于自
己的私有数据网络“。
虚拟专用网络允讳远襁西诩方,公司职员和外出办公人员使用In—
ternet等公共互联网络设施以安全的方式连入公司的服务器。虚拟专用
网络对用户端透明,用户好象使用一条专用线路在客户计算胡和企业服务器之间建立点对点连接,进行数据的传输。
虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立专用网终连接,进行安全的通讯。
虽然VPN通讯建立在公共互联网络基础上的,但是用户在使用VPN时感觉如同在使用专用的局域网中进行通讯,所以得名虚拟专用网络。
4
VPN实现方案4.1实验的软硬件平台
茜~旦一案m
图1
VPN实验原理图
实验软件平台是Linu)(oLinux是一套免费使用和自由传播的类
Unix操作系统。它具有全部的Unix特性,具有多任务、多用户的能力。Linux是—个可以免费获得的操作系统,这样在一般科学研究中就
不必担心版权问题。二就是Linux是—个源码开放的软件系统,可以很容易的获得源代码,在全世界的自愿开发者的努力下,Linux成为支持
硬件平台最多的操作系统,周边的支持软件也jE常的丰富。再有Linux
是—个兼容UNIX的系统,可以
便的移殖UNIX软件。
PC采用的是P41.7G,256M内存,网卡是100M以太网。
42
Linux内核的编译
Linux是一个源码开放的操作系统,任何人只要遵循GPL,就可
以获得Linux的源代码,并对内核加以修改并发布给他人使用。因此,
Linux成为最好的科学研究的操作平台。编译内核可使Linux系统支持全部的IPsec特性。
从http'//www.kerneI.org网站上下载26版本的内核,在控制台输入makegconfig(需要相应的GTK库支{寺)配置Linux内核支持IPv6、AH、ESP等相应的IPsec组件,接着输入make编译内核,输入
makeinstall安装内核。
43配.置IPv6地址
#/sbin/_ip06addrshowdeveth0//这条命令显示当前接口的IP地
址
#/sbin/jp06addradd3eff::l/deveth0//增加一个IP地址#/sbin/route—Ainet6add3eff'J”29w3eff..94.4使用ipsec—tools工具配置IPsec
在http://ipsec-toolssourceforge.net/网站上下载并安装ipsec—tools,setkey为其中的工具
新建—个文件,testcf,文件内容如下《以PC2为例):舟建立PC2到PC3的—个隧道,使用ESP加密
spdadd3eff.:/323eff2怊2any—Poutipsecesp/tunnel/3eff:.1::1—3eff:.1:9/require
撑建立PC3到PC2的—个隧道,使用ESP加密
spdadd3eff2:/323eff=;/32any—Pinipsec
esp/tunnel/3eff:.1:2-3eff..1::1/require
#设置PC2到PC3隧道的参数,SPI为OX3001,加密方式为
3DES,同时还有密钥
add3eff:l::13e仟1:2espox3001
一mtunneI
—E3des—cbc。123412341234123412341234。
#设置PC3到PC2的隧道的参数,SPI为0x3000,加密方式为3DES,同时还有密钥
add3e仟1:23eff:.1::1espox3000
-mtunnef
—E3des—cbc’12341234123412341234123‘
45用pin96来翘慵涟通】生
实验中作IPsec处理的主机一台是P417GHz/256M内存,另一
台是P3800MHz/128M内存。
表1PING包响应时间
PING包的大小
有[Psex'时的平均有IPsee时的平均值无Ih”时值(ESP一3DES--CBC)(AH-HMAC—SHAI)
的平均值
100oJ3240,230
0.5l
3000.5630.2880.223
10()01.3l0.5670.4593f)f)03,25J|Jlo.810000
9.822.742.1330000
28.4
7.44
5.70
4.6用Ipe删试教传输速度
(下转第245页)
应用科技
voltage=33KVo
比例差动保护的整定为:㈨础,=max(川l
I)
则在W2侧F斤;bn电流计算值和测量值如下表所示
W2低压绕组
A
%sLoPE-㈩×,00%,PICKUP=0.1cT;SLOPl=25%;拐
点KNEEPOINT=ICT:SLOP2=50%。
计算值
1556A£18伊
实际测量值
1555£18俨
2)再做制动量lr-1.01CT点,以WI侧电流为制动电流,0=1
01
实际中进行高低压侧加单相电流的方法校验时的计算公式为如下:
CT/0.667=7,57,按下表加电流
WlA相
L=IL+I(1乙I×k制动电流:I=ma×(}■,I,Il(!乙》×l(o
差动电流
其中为绕组2的CT绕组1的电流失配系数;k为撤除琴序量后导
致差流和制动电流变化的系数0.6670
所加电流
757A£护
差动动作电流Io=1.01。50%=0.505CT,l乙+|(1kl’k=
(7.57—036+k)。0.667=0505CT=2.525
则在W2侧所加电流计算值和测量值如下表所示
W2A相
计算值
10L5lA£18俨
其中K,为绕组2的CT绕组1的电流失配系数,K,=毛寻。诗=
可1
实际测量值
1Q52£18俨
2丽0矿0。13百3=036;k为撤除零序量后导致差流和制动电流变化的系
为了验证上述公式的正确,对保护装置进行了比例差动拐点的实
数0.667。验:
1)先做制动量I,=0996CT点,以w1侧电流为制动电流,i。,=0996CT/0.667=7A7,按下表加电流:
WI高压绕组
AB
从上述测试结果可以看出上面给出的高低压侧加单相电流校验时的计算公式完全正确。
所加电流
747A£伊
O
,
[参考文献】
【1】I吴国炎韩桢祥.电力系统分析.杭州:浙江大学出版社.2003.
【2】SK745变压器控制继电器技术手册.南京恒星自动化没备有限公司
2002.
CO
差动动作电流=0.996‘25%=0249CT,
h+I(1乙I。k=U.47—036’iw2).0.667=0249CT=12.5--*iw2=15.
(上接第243页)
表2
IPsec性能分析
广泛性,最适合于下—代互联网应用。同时我1门也应看到使用IPsec极
消耗CPU资源,特别是在一些计算能力差的移动设备上部署较为困难,
用日懒
传输的文件大小
舢B蚋
lQ6
速度帅i鹕
1.792,4
也容易受到DoS攻击。
无IPsee
310
328
llO992320108280854285
[参考文献]
flNaganandDoraswamy,DanHarkim,IPSec:新一代因特网安全标准。机械工
业出版祉.1999.
有IP.ee
nH—HMAC—
310310
829
59Q5232238239
SHAl)有IPsee正;SP-3DES-CB0
f2l戴宗坤庸三平,VPN与网络安全.电子工业出版社,2(X)2.
5结语
针对IPv6下VPN的研究与实现,说明在IPv6下实现VPN是可行的。在未来的IPv6下,使用基于IPsec的VPN有安全性、可靠性、
245
