基于MPC8245的嵌入式VPN的研究與開(kāi)發(fā)

為使嵌入式系統(tǒng)復(fù)位后自動(dòng)啟動(dòng)VPN服務(wù)，必須進(jìn)行必要的配置，包括：MAC地址設(shè)置、IP地址設(shè)置、安全策略和安全參數(shù)設(shè)置。開(kāi)發(fā)平臺(tái)的Davicom網(wǎng)卡驅(qū)動(dòng)程序在系統(tǒng)初始化時(shí)無(wú)法從網(wǎng)卡固件讀取MAC地址[2]，需要在啟動(dòng)腳本文件中用ifconfig命令設(shè)定。由前所述，F(xiàn)LASH前4M保存只讀的PPCboot、內(nèi)核與RAMDISK壓縮映像，4M后為可讀寫的JFFS2文件系統(tǒng)，因此MAC地址可固化在RAMDISK映像中，而IP地址和安全策略等可變配置參數(shù)寫入JFFS2文件系統(tǒng)下的配置文件中。這些配置都寫入Linux的啟動(dòng)后自動(dòng)運(yùn)行腳本，使系統(tǒng)啟動(dòng)時(shí)自動(dòng)讀取并執(zhí)行。

為檢測(cè)開(kāi)發(fā)板上安全網(wǎng)關(guān)的性能，對(duì)開(kāi)發(fā)板進(jìn)行了性能測(cè)試，測(cè)試拓?fù)淙鐖D4。

圖4 嵌入式目標(biāo)機(jī)安全網(wǎng)關(guān)性能測(cè)試拓?fù)鋱D

開(kāi)發(fā)板作為安全網(wǎng)關(guān)1，板上ETH0、ETH1作為內(nèi)、外網(wǎng)接口，普通PC機(jī)（PIII450MHZ，256M SDRM，安裝Fedora Core 3 Linux操作系統(tǒng)，開(kāi)發(fā)板的主頻為333MHZ）作為安全網(wǎng)關(guān)2，主機(jī)A、B分別為受保護(hù)子網(wǎng)內(nèi)的主機(jī)。測(cè)試方法為在主機(jī)A上利用“ping –s [size] 主機(jī)B”，取100次響應(yīng)時(shí)間的平均值，單位為毫秒。分別測(cè)試了ICMP數(shù)據(jù)包大小分別為56、400、1000、1500字節(jié)的情況。為便于對(duì)比，同時(shí)測(cè)試了兩個(gè)安全網(wǎng)關(guān)均為普通PC機(jī)（配置同上）的性能。VPN的保護(hù)方式采用ESP隧道模式，加密方式采用預(yù)共享密鑰，加密算法為168位密鑰的 3DES-CBC[5]。測(cè)得數(shù)據(jù)如表1所示。

從表中數(shù)據(jù)可以看出，目標(biāo)板在啟動(dòng)IPsec后由于進(jìn)行了隧道加密處理，傳輸速率比目標(biāo)板明文傳輸時(shí)平均下降35％，說(shuō)明IPsec處理增加了約 1/3的開(kāi)銷；另一方面，在同樣啟動(dòng)IPsec的情況下使用目標(biāo)板的響應(yīng)時(shí)間小于使用PC機(jī)對(duì)照組的響應(yīng)時(shí)間，效率分別提高11.6％、19.8％、 23.1％和22.9％，由此可知盡管開(kāi)發(fā)板MPC8245的333MHZ主頻較普通PC機(jī)的PIII 450MHZ主頻低，但基于開(kāi)發(fā)板的VPN目標(biāo)板整體性能相對(duì)較高，證明了基于本開(kāi)發(fā)板的VPN安全網(wǎng)關(guān)設(shè)計(jì)方案可行，且運(yùn)行效率高。

5 結(jié)束語(yǔ)

本文作者創(chuàng)新點(diǎn):實(shí)現(xiàn)基于HHPPC8245開(kāi)發(fā)平臺(tái)的嵌入式Linux 2.6內(nèi)核移植和嵌入式IPsec VPN安全網(wǎng)關(guān)設(shè)備的開(kāi)發(fā)全過(guò)程，并給出了開(kāi)發(fā)后的嵌入式VPN網(wǎng)關(guān)性能測(cè)試數(shù)據(jù)，經(jīng)實(shí)際使用表明，開(kāi)發(fā)的嵌入式VPN網(wǎng)關(guān)設(shè)備性能穩(wěn)定，效率高，可靠性好。

參考文獻(xiàn)

[1] 王蕾、陳工新等.基于ARM-Linux的嵌入式系統(tǒng)GUI開(kāi)發(fā)研究[J].微計(jì)算機(jī)信息,2007,10-2,122-124

[2] DENX Software Engineering, http://www.denx.de, 2005

[3] Karim Yaghmour著，韓存兵，龔波譯。構(gòu)建嵌入式LINUX系統(tǒng)[M]。北京：中國(guó)電力出版社，2004

[4] 周全，都思丹，王自強(qiáng)。應(yīng)用處理器PXA255上的嵌入式Linux開(kāi)發(fā)[J]。計(jì)算機(jī)應(yīng)用，2004, 24(3)：158－160。

[5] Matija Nalis, Fridtjof Busse, Uwe Beck等. IPsec-HOWTO[Z]. http://www.ipsec-howto.org/