VPN技術及其在校園網中的應用

謝清斌

?

VPN技術及其在校園網中的應用

謝清斌

中共三明市委黨校

校園網建設是黨校信息化建設的重要組成部分。建設高質量的校園網，可以充分發揮網絡資源管理和應用的優勢，進行信息交流、資源共享、教學科研。虛擬專用網(VPN) 技術利用開放型網絡作為信息傳輸的媒體，通過Internet、隧道加密以及用戶認證等技術實現用戶信息穿越公網而且相對安全地傳輸，可以有效解決校園網建設中的安全性和經濟性問題。

VPN 校園網 安全技術 隧道技術

0 引言

近年來，黨校系統以遠程教育網、校園信息網和數字圖書館為主的信息化建設取得了重大進展。適應大規模教育培訓干部的要求，建設一個高速、實用、安全的校園網，實現計算機網絡系統的互連互通，可以極大地豐富和完善干部培訓教育資源，拓寬黨校教師和學員獲取信息的渠道，從而進一步提高黨校教育培訓手段的現代化和管理的科學化水平。

1 黨校校園網需求分析

隨著計算機網絡技術的迅速發展，各級黨校越來越重視信息化建設。黨校在享有互聯網帶來巨大便利的同時，也在為這種公開使用的網絡安全甚至危害而困擾。如，網上傳輸的數據容易遭到惡意攻擊或竊取，安全性得不到保障影響資源的充分共享。而建立校園網，可以使校園網絡與公共的Internet分開。一方面，校園網的資源是開放的，每位教師和學員都可以訪問校園網資源；另一方面校園網資源又是獨有的，在校園網覆蓋范圍之外，比如校外備課、學術交流或異地培訓時，教師和學員需要接入學校或者訪問校內資源，這時用傳統方法則進入不了校園內部網，無法隨時共享黨校信息及其他網上資源。針對這些問題，關鍵要解決內外網之間如何順利跨越以及如何保證其訪問的安全性。通過應用VPN技術，可以利用最有限的資金投入組建安全、便于管理和安全性高的校園網，從而解決學校移動辦公、遠程辦公、校區間通信、資源共享等問題。一般說來，利用VPN技術可以實現以下需求：

1.1 遠程辦公或移動辦公的需求

一個校園網遠程用戶或者移動辦公用戶需要同學校內部網絡進行安全通信時，傳統的方案是使用專線連接內部局域網，可是專線會帶來昂貴的費用，但如果利用互聯網和VPN技術進行連接，將會大大減少通信費用。移動用戶或者校園網遠程用戶在本地通過撥號連接到一個ISP獲得服務從而連接到互聯網，校園網也從一個或多個ISP處獲取服務將Intranet連接到互聯網上，并利用VPN網關來阻止從外部來的攻擊和入侵，以保證內部網絡的安全性和保密性。

1.2 重要數據的安全保密需求

在學校的內部網絡中，一些特殊部門存儲有重要的數據，需要建立獨立的網絡以保證數據的安全性。由于物理上的隔離，雖能保護這些部門的重要數據，但也造成與其他部門的用戶無法互聯，從而給信息交換帶來不必要的麻煩。如果采用VPN技術，只需要部署一臺VPN服務器，就能實現與整個校園網絡的安全連接，又可以確保重要數據的安全傳輸。以往普通路由器雖也能實現不同網絡之間的互聯，但是不能對流向特殊網絡的重要數據進行精確的監控，而且隨著對外流量的增大，路由器也逐漸成為技術瓶頸。校園網絡的管理人員通過使用VPN服務器，可以按需指定授權以及限定條件的用戶才能連接VPN服務器，從而訪問校園網內部的局域網獲取重要信息或數據。

1.3 跨校區互連互通的需求

近年來，為了適應大規模培訓干部的需要，許多黨校進行了校區的改擴建。通常情況下，新老校區間都是采用租用專線來進行通信，但這需要花費較大的費用，同時若出現故障則只能由運營商負責解決。此時使用VPN技術，可以在費用低廉的情況下實現校園網的專用、安全的互連互通。

2 組建校園信息網的原則

黨校校園網建設，一般都要經過需求分析、設計分析、部署實施和系統應用等四個過程。這四個過程緊密相聯，只有按照步驟具體實施才能建設一個質量高、實用性強的校園網，因此在校園網建設中要堅持以下原則：

2.1 先進性原則

在校園網建設中要采用最新技術，規劃中要著眼未來發展，適應時代要求，堅持適度超前，站在高起點上規劃校園網的建設。

2.2 可行性原則

校園網是近年來許多黨校希望建設的一套系統，是教學管理的基礎和常用工具。由于校園網應用系統是一個涉及面廣、數據量大、數據類型多的一套系統，如何將這些信息非常好地組織起來有一定難度。在校園網規劃中，需要充分考慮其現實可行性，防止校園網的建設成為可望不可及的“空中樓閣”。

2.3 安全性原則

在校園網建設中，安全是系統的關鍵。在信息技術快速發展的今天，黨校校園網的建設不僅要采用先進的安全技術，而且要有完整的安全策略來保證硬件及應用系統的安全，同時還必須建立完善的安全管理制度規范，從根本上杜絕校園網的安全隱患。

2.4 適應性原則

校園網的適應性不僅表現在系統的適應性，還表現在系統應能支持多種網絡環境，可在局域網、廣域網中使用，并支持撥號網絡，實現異地辦公。目前校園網應用的數據、水平和習慣方面差別很大，不單是簡單的局域網中計算機的對等連接，它涉及到多種網絡環境、各種連接方式和接入方式。因此，在整個校園網建設中一定要考慮多種情況，堅持適應性的原則。

2.5 經濟性原則

在規劃設計校園網時要全面調研分析，既要遵循經濟性和實用性原則，確保校園網建設的性能要求，又要為系統的發展留有余地，盡量以最少的投入達到最佳的性能。

2.6 可擴充性原則

校園網建設必須遵循可擴充性原則。首先，校園網應用系統的各個子系統不是一個孤立的方案，需要其它的外部系統的支持和數據的共享，這就要求各系統的后臺數據庫支持標準的數據輸入、輸出接口。其次，在校園網網絡系統的內部各個子系統間也有數據的交換和網管要求，因此必須支持標準的網管協議并采用標準的網絡架構。最后，隨著技術的發展，應用軟件的豐富，應用軟件和硬件性能都在不斷提高，必須保證軟硬件平臺的可擴充性。

3 VPN在校園網中的關鍵技術分析

3.1 VPN技術

VPN是虛擬專用網 (Virtual Private Network)的縮寫，它是利用開放性網絡作為信息傳輸的媒體，通過隧道封裝、信息加密以及用戶認證等技術在其上復用邏輯的隧道連接實現用戶信息通過公用網絡環境的安全傳輸[1]。虛擬專用網不是物理上的專用網絡，但卻能夠實現專用網絡功能。在虛擬專用網中，任意二個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。IETF草案理解基于IP的VPN為：“使用IP機制仿真出一條私有的廣域網”，是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途線路，而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡，是指用戶可以為自己制定一個最符合自己需求的網絡。VPN技術是解決跨區域網絡安全互聯和數據安全加密傳輸問題的廉價便捷方法，在不同領域得到了廣泛的應用。

通常 VPN 的應用分為三類：（1）Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量；（2）Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源；（3）Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接。

3.2 VPN的特點

3.2.1安全性

隨著信息技術的發展，實現VPN的技術和方式很多，但所有的VPN都是通過加密技術來進行隧道加密和用戶認證等技術，確保數據的了解對象僅限于發送者和接收者，以提高數據傳輸的安全性。

3.2.2服務質量保證(QoS)

不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶，在VPN的服務保證中，可以提供最為廣泛的覆蓋性連接，VPN可以為不同要求用戶提供不同等級的服務質量保證。

3.2.3可擴充性

VPN能夠支持通過Intranet和Extranet任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

3.2.4可管理性

VPN可以從用戶和運營商角度方便地進行管理、維護。在VPN業務運營中，必須建立一個完善的VPN管理系統。其管理目標具有高擴展性、可靠性、經濟性，還能夠極大程度上減小網絡風險，管理內容涉及配置管理、設備管理、訪問控制、安全管理、QoS管理、列表管理等。

3.2.5費用低

采用VPN技術可以不用租用專線，費用大大降低，所以VPN能夠通過因特網安全而又不增加任何費用地傳輸重要信息。

3.3 VPN主要安全性技術

3.3.1隧道技術

隧道技術是VPN實現的關鍵技術之一，是通過某種協議進行另一種協議傳輸的技術，主要是所傳遞的數據在傳送之前被封裝在相應的隧道協議中，到達另一端后進行解包。通過隧道傳遞的數據通常為不同協議的數據包或數據幀，通過隧道協議將其重新封裝并發送。只有通信的源地址用戶和目的地址的用戶對隧道中的封裝好的信息才可以進行解包和處理，從而保證了信息傳輸的安全。

3.3.2加密技術

加密技術現在是數據通信領域中一項比較成熟的技術，但是用于虛擬專用網上的加密方法與用于普通情況下的加密方法并沒有本質上的區別，它主要在數據包的傳輸過程中，事先用數據加密技術對數據包進行加密，然后再進行數據傳送。數據到達接收者后，首先接收者要對接收到的加密數據進行解密，只有經過解密后才能看得到所傳輸的數據。

3.3.3用戶認證技術

用戶認證技術是在隧道正式連接準備開始前，通常使用用戶認證技術對用戶的身份進行認證，只有實現系統的授權用戶才能進一步資源訪問。

3.4 遂道協議

近年來，不斷出現一些新的隧道技術，主要有以下幾種協議。

3.4.1點對點隧道協議（PPTP協議）。PPTP協議增強了PPP的認證、壓縮和加密功能。在PPTP協議中，數據包和控制包是分開的，先將數據包封裝到PPP協議中，然后再封裝到GRE（通用路由封裝協議）中，用于封裝到任何形式的IP數據包，所以PPTP支持大多數的主流協議。PPTP比PPP的安全等級高，它在基于TCP/IP協議的網絡上創建VPN連接，所以數據傳輸更加安全，在VPN服務器上執行驗證和安全檢查，并對數據進行加密。

3.4.2第二層隧道協議（L2TP 協議）。L2TP也是PPP協議的擴展，它綜合了PPTP的優點。所以既支持Client-to-LAN類型的VPN連接，也支持LAN-to-LAN類型的VPN連接。L2TP可以被多種協議所支持，用戶可以在原有的協議或公司原有的IP地址的基礎上應用。在L2TP方式中用戶不需要在計算機上安裝專門的客戶端軟件，可以使用未注冊的IP地址，數據庫的管理認證在本地進行，從而降低了應用成本和培訓維護費用，給服務提供商和用戶帶來了許多方便。L2TP相對PPTP而言，它提供了差錯和流量的控制。雙方用序列號來判斷數據包的順序和緩沖區是否正確，如果數據丟失，可以根據序列號重新發送。

L2TP是PPP的擴展協議，它可以進行用戶身份的認證，在建立隧道時用控制包進行數據的加密，然后進行傳輸，密鑰是隨機產生的，但是在數據傳輸的過程中是不加密的。PPTP只支持Client-LAN的連接，它是在客戶端與網絡服務器間建立連接，所以只能建立單一的隧道。而L2TP即支持Client-to-LAN的連接，也支持LAN-to-LAN的連接，兩端點間可以是多隧道。用戶可以根據需要選擇不同的隧道。L2TP的主要缺點只是在隧道發生端及終止端進行認證及加密，而隧道一旦建立，源與目的用戶的身份不需要再次進行驗證，這樣數據傳輸過程中存在安全隱患。

3.4.3 IPSec VPN模式。IPSec(IPsecurity)產生于IPv6的制定中，主要用于為IP層提供安全性能。在所有主機(支持TCP/IP協議)進行通信的過程中，必須經過IP層的處理，因此提高IP層的安全性能也是奠定整個網絡通信的安全基礎。由于IPv4的應用仍較為廣泛，因此在后來的IPSec制定中還添加了對IPv4的支持[2]。IPSec是一種開放的框架結構，通過使用加密的服務以確保在網絡上進行保密而安全的通訊[3]。

IPSec是安全聯網的長期方向。它通過端對端的安全性來提供主動的保護，以防止專用網絡與Internet的攻擊[4]。在通信中，只有發送方和接收方才是唯一必須了解 IPSec保護的計算機。在Windows XP和 Windows Server2003家族中，IPSec提供了一種能力，以保護工作組、局域網計算機、Client端和Server端、分支機構以及 Routerclient端之間的通信[5]。

4 VPN技術在黨校系統中的應用

近年來，黨校系統信息化建設快速發展，省委黨校的各類數字化資源具備了一定的規模。但是基于網絡安全和知識產權等因素，這些數字化資源一般都限制在校園網內訪問，離開了校園網，教師或學員都無法訪問；同時市及縣級黨校因經費、人力資源的限制，數字化資源十分有限，都希望能夠共享省一級黨校的數字化資源。如何促進資源的共享，避免信息孤島，福建省委黨校著手建設三級VPN專網，其網絡拓撲結構圖如下：

在該方案中，市級黨校接入省委黨校，使用深信服科技公司的基于IPSec和 SSL的二合一VPN網關設備來構建 VPN專網，如我校采用VPN-2050網關作為接入設備。該網關同時支持IPSec協議和 SSL協議，支持終端使用包括Win7、Linux等操作系統來登錄SSL VPN系統，支持IPhone OS、Android等操作系統的智能手機、PDA等移動終端的SSL VPN接入，支持AES、DES、3DES等主流的商業加密算法，具備基于狀態監測技術的防火墻功能，能夠抵抗常見的網絡攻擊。

IPSec VPN 是基于 IPSec（IP Security）協議的VPN技術，多應用于兩個局域網之間的安全連接，保護點對點之間的通信，工作于網絡層。與其他VPN技術相比，其優勢在于可以采用動態的密鑰，保證數據的安全，實現高度的安全性。同時確保運行在TCP/IP協議上的VPN之間互操作性。IPSec VPN用于解決省委黨校和市委黨校局域網的互連，通過在兩站點間創建安全隧道提供直接接入，實現對整個網絡的透明訪問。IPSec VPN亦可以進行遠程接入，但它要求每個遠程接入的終端都要安裝配置客戶端軟件，維護管理工作量大，因此不適合大量分散移動用戶的接入。

SSL VPN是基于SSL（Security Socket Layer）協議的VPN 技術。可以提供基于應用層的訪問控制，具有數據加密、完整性檢測和認證機制。SSL VPN 的優勢在于 Web 安全和移動接入，具有部署簡單，不需進行配置，不需安裝客戶端，維護成本低，可以適用于任何的終端及操作系統，網絡適應性強等特點。因而適合于縣區黨校和移動用戶的安全遠程接入，接入后的用戶受控于更細致的訪問控制粒度。

我校原有校園結構較為簡單，我們直接通過網關模式連接VPN-2050設備替代原路由器。在系統網絡配置上，分別配置內網接口及外網接口IP地址。需要注意的是，專網內IP地址不能沖突，必須對設區市市級黨校校園網的內網IP地址進行統一分配和管理。在IPSec配置上，需要配置主WEBAGENT及端口，為移動用戶分配虛擬IP地址，同時要進行用戶配置、連接配置、隧道間路由配置等參數的配置。在SSL VPN配置上，需進行用戶管理、資源管理、資源授權等參數的配置。

5 結束語

總之，VPN技術通過在公用網中建立內部網絡間的專用數據隧道，具有安全性高、成本低、易管理、擴展性強等優點，隨著信息資源化程度的深入，遠程安全訪問需求的加大，VPN技術將是遠程解決校園外用戶訪問校園內部數據庫資源的首選方案。

[1] 翁亮，陳依群，諸鴻文. VPN 用戶認證技術[J].通信技術，1999(4):47-51.

[2] 劉昊.一種面向IPSec VPN教學的實驗系統的設計與實現[D].上海：上海交通大學，2005.

[3] 潘衛明，游慧.雙向NAT環境下的IPSec隧道通信研究[J].計算機仿真，2004, 21(6): 85-87, 94-95.

[4] 王鐵英, 王尚平, 孫瑾, 等. 終端用戶VPN的研究[J].計算機應用研究，2005 (7): 57-59.

[5] 楊凱，李方敏.基于IXP425的寬帶VPN網關設計與實現[J].武漢理工大學學報: 信息與管理工程版，2005(5) .