vpn(virtual private network, 虚拟专用网络)是一个建立在公用网(通常是因特网)上的专用网络,但因为这个专用网络只是逻辑存在并没有实际物理线路,故称为虚拟专用网。

随着因特网的发展壮大,越来越多的数据需要在因特网上进行传输共享,当企业将自身网络接入因特网时,各地的办事处等外部站点可以很方便地访问企业网络,但同时也把企业内部的私有数据暴露给因特网上的其他用户。于是在这种开放的网络环境上搭建专用线路的需求日益强烈,vpn应运而生。

vpn通过隧道技术在两个站点间建立一条虚拟的专用线路

典型拓扑如下图所示:

 

封装与隧道:

封装是指将一种协议承载在另一种协议中进行传输的技术,如pptp就是将ppp报文封装在gre协议中。协议b为被承载协议,gre为承载协议。

隧道指被承载协议的传输通道。

4g模块

pptp

点对点隧道协议,是在ppp协议的基础上开发的一种新的增强型安全协议,4g路由器与4g模块可以使远程用户安全方便的访问企业网络。pptp属于二层隧道协议。

l2tp

二层隧道协议(l2tp(layer 2 tunneling protocol),是由ietf起草,微软、cisco等公司参予制定的二层隧道协议。

pptp与l2tp区别:

 

pptp与l2tp适用于经常有流动人员远程办公的环境,出差员工利用internet可以很方便的和公司的vpn网关建立私有的隧道连接。pptp、l2tp提供认证加密功能,可提高网络的安全性。如下图所示,出差员工通过pptp vpn连接至总部网络。

 

ipsec vpn

ipsec(ip安全)是一系列服务和协议的集合,是由ietf制定的三层隧道加密协议,4g路由器与4g模块它为internet上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在ip层通过加密与数据源认证等方式,可以保证双方数据的完整性与机密性。

数据完整性:ipsec接收方对发送方发送来的包进行认证,以确保数据的完整性。

数据机密性:ipsec发送方在通过网络传输包前对数据包进行加密,可以保证数据的安全性。

数据来源认证:ipsec接收方可以认证ipsec报文的发送方是否合法。

为了实现安全的通信,通信双方的ipsec协议必须协商用于编码数据的具体算法,4g路由器与4g模块数据格式的安全提议,并通过ike交换解密编码数据所需的密钥。

ipsec中有两个重要的安全协议,ah(authentication header)和esp(encapsulating security payload)。

ah

ah是认证头协议,主要提供的功能有数据源认证、数据完整性校验和防报文重放功能,可选择的认证算法有md5、sha-1等。ah报文头插在标准ip包头后面,保证数据包的完整性和真实性,防止黑客截获数据包或向网络中插入伪造的数据包。

esp

esp是报文安全封装协议,与ah协议不同的是,esp将需要保护的用户数据进行加密后封装到ip包中,可以保证数据的机密性。

常见的加密算法有des、3des、aes等。

可以选择md5、sha-1算法保证报文的完整性和真实性。

ah和esp可以单独使用,也可以配合使用。设备支持的ah和esp联合使用的方式为:先对报文进行esp封装,再对报文进行ah封装,封装之后的报文从内到外依次是原始ip报文、esp头、ah头和外部ip头。

目前tl-er6120支持ah或者esp,不支持“ah esp”。

验证算法

ah和 esp都能够对 ip报文的完整性进行验证, 以判别报文在传输过程中是否被篡改。验证算法是通过 hash函数。hash函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。ipsec 对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。ipsec 使用两种验证算法:

md5:md5通过输入任意长度的消息,产生 128bit的消息摘要。

sha-1:sha-1通过输入长度小于 2的 64次方比特的消息,产生 160bit的消息摘要。

加密算法

esp能够对 ip报文内容进行加密保护,防止报文内容在传输过程中被窥探。4g路由器与4g模块加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。

ipsec常用的三种加密算法:

des:使用 56bit的密钥对每个 64bit的明文块进行加密。

3des:使用三个 56bit的 des密钥(共 168bit密钥)对明文进行加密。3des具有更高的安全性,但其加密数据的速度要比 des慢。

aes(advanced encryption standard):可以实现 128bit、192bit和 256bit密钥长度的 aes算法。

ike

在 ipsec vpn中,为了保证信息的私密性,通信双方需要使用彼此都知道的信息来对数据进行加密和解密,所以在通信建立之初双方需要协商安全性密钥,这一过程便由 ike (internet key exchange, 互联网密钥交换)协议完成。

ike 其实并非一个单独的协议,而是三个协议的混合体。这三个协议分别是 isakmp (internet security association and key management protocol, 互联网安全性关联和密钥管理协议),该协议为交换密钥和 sa (security association, 安全联盟)协商提供了一个框架;oakley 密钥确定协议,该协议描述了密钥交换的具体机制;skeme安全密钥交换机制,该协议描述了与 oakley 不同的另一种密钥交换机制。

整个 ike 协商过程被分为两个阶段。第一阶段,通信双方将协商交换验证算法、加密算法等安全提议,并建立一个 isakmp sa,用于在第二阶段中安全交换更多信息。第二阶段,使用第一阶段中建立的 isakmp sa 为 ipsec的安全性协议协商参数,创建 ipsec sa,用于对双方的通信数据进行保护。

ike为ipsec提供自动协商交换密钥、建立和维护sa的服务,4g路由器与4g模块以简化ipsec的使用和管理。ipsec所使用的策略和算法等可以手工协商,ike并不是必须的。

dh(diffie-hellman)交换及密钥分发 :diffie-hellman 算法是以蒂夫-海曼的名字命名的一种公共密钥算法。4g路由器与4g模块通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥。加密的前提是交换加密数据的双方必须要有共享的密钥。

pfs(perfect forward secrecy)完善的前向安全性: pfs特性是一种安全特性,由于密钥间没有派生关系,即使一个密钥被破解,并不影响其他密钥的安全性。

ipsec主要用在站点到站点(分支结构到分支机构)的方案中。如下图,总部与分支机构各部署一台vpn网关,做好相应配置后,分支机构与总部的内网间可实现透明互访,又可保证通信的安全性。

智联物联拥有一支专业的工业网络通讯产品研发团队,由具有丰富的电子产品开发经验的电子工程师、软件工程师和丰富的系统应用经验的网络工程师组成,以工业产品的开发流程和标准,采用国际领先的技术,不断创新,追求卓越,开发出一系列稳定、可靠的4g路由器与4g模块工业通讯产品,获得了多项发明和专利。

凯时注册的文化:智联物联以专业的团队、优质的产品、完善的服务得到客户的信任和认可。

智联物联价值观:专业合作、诚信立业、创新兴业、客户满意。

深圳市智联物联科技有限公司是一家致力于提供工业级无线网络通讯产品和凯时国际app的解决方案的物联网企业,智联物联科技集产品研发、生产、销售、技术服务及定制化开发于一体。公司成立以来,为各行各业提供基于移动通信m2m系列产品和凯时国际app的解决方案;4g路由器与4g模块

产品有串口服务器、lora模块、wifi模块、gps 定位模块、北斗定位模块、工业级3g/4g modem、gprs dtu、3g/4g dtu、工业级3g/4g 无线路由器、车载wifi、直播负载均衡路由器、4g工控机、m2m云平台等硬件及软件。

遍及智能电力、智能交通、智能消防、智能家居、智慧水利、智慧医疗、快递柜、充电桩、自助终端、公共安全、安防通信、工业监测、环境保护、环境监测、路灯照明、花卉栽培、车载wifi等多个领域。

智联物联拥有一支专业的工业网络通讯产品研发团队,由具有丰富的电子产品开发经验的电子工程师、软件工程师和丰富的系统应用经验的网络工程师组成,以工业产品的开发流程和标准,采用国际领先的技术,不断创新,追求卓越,开发出一系列稳定、可靠的工业通讯产品,获得了多项发明和专利。

凯时注册的文化:智联物联以专业的团队、优质的产品、完善的服务得到客户的信任和认可。

智联物联价值观:专业合作、诚信立业、创新兴业、客户满意。www.szchilink.com

一、工业级设计

1.采用高性能工业级32位处理器

采用全球顶级无线凯时国际app的解决方案高通芯片,处理速度快,功耗小,发热量低,兼容性强,更加稳定,能满足一年365天7*24小时长时间稳定运行不掉线。

2.采用高性能工业级通信模块

采用华为等一线品牌高质量的通信模块,接收能力强,信号稳定,传输更快。

操作系统

采用openwrt一个高度模块化、高度自动化的嵌入式linux系统,让设备更加稳定,拥有128mb超大flash、1g超大内存,可以支持个性化定制开发的需求。

优质的pcb线路板,采用工业级元器件

公司产品线路板采用高品质材质,高标准生产,4层板工艺,产品元器件采用性能稳定的工业级元器件,全部机器自动化实现贴片生产,保证了产品的稳定可靠。

电源采用宽电压设计

支持dc5v-36v,内置电源反相保护和过压过流保护,承受瞬间电压电流过高的冲击。

以太网采用千兆网口,内置电磁防护

以太网接口内置1.5kv电磁隔离保护,千兆网口,传输速度更快。

抗干扰能力强

外壳采用加厚金属外壳,屏蔽电磁干扰,设备防护等级ip34,适合在环境恶劣的工业环境下使用。

二、功能强大

1.多模多卡,负载均衡

扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

支持全球网络制式

支持国内三大运营商2g、3g、4g网络制式,或者支持欧洲,或者支持东南亚,或者支持非洲,或者支持拉美等国家的2g、3g、4g网络制式。

支持有线无线备份

wan口和lan口可弹性切换,支持wan口有线和无线备份,有线优先、无线备份。

串口传输

支持同时串口232/485串口传输。

支持apn/vpdn专网卡,支持多种vpn

支持apn/vpdn专网卡使用,同时支持pptp、l2tp、ipsec、openvpn、gre等多种vpn。

强大的 wifi功能

具备wifi功能,可隐藏ssid,同时支持3路wifi,最多可支持15个信道,可同时接入50个设备,wifi支持802.11b/g/n,支持wifi ap、ap client,中继器,中继桥接和wds等多种工作模式,支持802.11ac,即5.8g(可选)。

支持ip穿透功能

可实现主机ip为路由器获取的ip地址,相当于主机直接插卡拨号上网获取基站ip。

支持vlan虚拟局域网划分

通过vlan的划分,增强局域网的安全性,vlan技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境。

支持qos,带宽限速

支持不同网口带宽限速,ip限速,总带宽限速。

支持dhcp,ddns,防火墙,nat,以及dmz主机等功能

支持icmp,tcp,udp,telnet,ftp,http,https等网络协议

支持定时重启、手机短信控制上下线

可选支持portal广告,短信认证,微信认证,gps/北斗定位功能(可选)

支持m2m云平台管理,手机监控和web监控

设备数据监控、流量限制功能、资源推送、统计报表、远程设备管理(远程重启,wifi开关),远程参数修改,流量限制,gps定位追踪轨迹。

三、稳定可靠

1.支持硬件wdt看门狗,提供防掉线机制,确保数据终端永远在线。

2.支持icmp检测,流量检测,及时发现网络异常自动重启设备,保证系统长期使用稳定可靠。

3.工业级设计,金属外壳,抗干扰、防辐射,湿度95%无凝结,耐高温耐低温,零下30度至高温75度也可以正常工作。

4.产品通过ccc认证,欧洲ce认证等多种认证

操作简单,方便易用

1.上网简单,推杆式用户卡接口,插入手机卡/物联网卡/专网卡,上电后即可联网使用网口和wifi。

2.支持软硬件恢复出厂设置,可软件清除参数,可硬件rst一键恢复出厂设置。

3.产品快速使用说明书,web菜单式页面,可以快速设置使用设备。

4.诊断工具:日志下载查看,远程日志记录,ping检测,路由追踪,方便检测设备信息。