基于MPC8245的嵌入式VPN的研究與開發(fā)

為使嵌入式系統(tǒng)復(fù)位后自動啟動VPN服務(wù)，必須進(jìn)行必要的配置，包括：MAC地址設(shè)置、IP地址設(shè)置、安全策略和安全參數(shù)設(shè)置。開發(fā)平臺的Davicom網(wǎng)卡驅(qū)動程序在系統(tǒng)初始化時無法從網(wǎng)卡固件讀取MAC地址[2]，需要在啟動腳本文件中用ifconfig命令設(shè)定。由前所述，F(xiàn)LASH前4M保存只讀的PPCboot、內(nèi)核與RAMDISK壓縮映像，4M后為可讀寫的JFFS2文件系統(tǒng)，因此MAC地址可固化在RAMDISK映像中，而IP地址和安全策略等可變配置參數(shù)寫入JFFS2文件系統(tǒng)下的配置文件中。這些配置都寫入Linux的啟動后自動運(yùn)行腳本，使系統(tǒng)啟動時自動讀取并執(zhí)行。

為檢測開發(fā)板上安全網(wǎng)關(guān)的性能，對開發(fā)板進(jìn)行了性能測試，測試拓?fù)淙鐖D4。

圖4 嵌入式目標(biāo)機(jī)安全網(wǎng)關(guān)性能測試拓?fù)鋱D

開發(fā)板作為安全網(wǎng)關(guān)1，板上ETH0、ETH1作為內(nèi)、外網(wǎng)接口，普通PC機(jī)（PIII450MHZ，256M SDRM，安裝Fedora Core 3 Linux操作系統(tǒng)，開發(fā)板的主頻為333MHZ）作為安全網(wǎng)關(guān)2，主機(jī)A、B分別為受保護(hù)子網(wǎng)內(nèi)的主機(jī)。測試方法為在主機(jī)A上利用“ping –s [size] 主機(jī)B”，取100次響應(yīng)時間的平均值，單位為毫秒。分別測試了ICMP數(shù)據(jù)包大小分別為56、400、1000、1500字節(jié)的情況。為便于對比，同時測試了兩個安全網(wǎng)關(guān)均為普通PC機(jī)（配置同上）的性能。VPN的保護(hù)方式采用ESP隧道模式，加密方式采用預(yù)共享密鑰，加密算法為168位密鑰的 3DES-CBC[5]。測得數(shù)據(jù)如表1所示。

從表中數(shù)據(jù)可以看出，目標(biāo)板在啟動IPsec后由于進(jìn)行了隧道加密處理，傳輸速率比目標(biāo)板明文傳輸時平均下降35％，說明IPsec處理增加了約 1/3的開銷；另一方面，在同樣啟動IPsec的情況下使用目標(biāo)板的響應(yīng)時間小于使用PC機(jī)對照組的響應(yīng)時間，效率分別提高11.6％、19.8％、 23.1％和22.9％，由此可知盡管開發(fā)板MPC8245的333MHZ主頻較普通PC機(jī)的PIII 450MHZ主頻低，但基于開發(fā)板的VPN目標(biāo)板整體性能相對較高，證明了基于本開發(fā)板的VPN安全網(wǎng)關(guān)設(shè)計方案可行，且運(yùn)行效率高。

5 結(jié)束語

本文作者創(chuàng)新點(diǎn):實現(xiàn)基于HHPPC8245開發(fā)平臺的嵌入式Linux 2.6內(nèi)核移植和嵌入式IPsec VPN安全網(wǎng)關(guān)設(shè)備的開發(fā)全過程，并給出了開發(fā)后的嵌入式VPN網(wǎng)關(guān)性能測試數(shù)據(jù)，經(jīng)實際使用表明，開發(fā)的嵌入式VPN網(wǎng)關(guān)設(shè)備性能穩(wěn)定，效率高，可靠性好。

參考文獻(xiàn)

[1] 王蕾、陳工新等.基于ARM-Linux的嵌入式系統(tǒng)GUI開發(fā)研究[J].微計算機(jī)信息,2007,10-2,122-124

[2] DENX Software Engineering, http://www.denx.de, 2005

[3] Karim Yaghmour著，韓存兵，龔波譯。構(gòu)建嵌入式LINUX系統(tǒng)[M]。北京：中國電力出版社，2004

[4] 周全，都思丹，王自強(qiáng)。應(yīng)用處理器PXA255上的嵌入式Linux開發(fā)[J]。計算機(jī)應(yīng)用，2004, 24(3)：158－160。

[5] Matija Nalis, Fridtjof Busse, Uwe Beck等. IPsec-HOWTO[Z]. http://www.ipsec-howto.org/