VPN技术及其在校园网中的应用

谢清斌



VPN技术及其在校园网中的应用

谢清斌

中共三明市委党校

校园网建设是党校信息化建设的重要组成部分。建设高质量的校园网，可以充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、教学科研。虚拟专用网(VPN) 技术利用开放型网络作为信息传输的媒体，通过Internet、隧道加密以及用户认证等技术实现用户信息穿越公网而且相对安全地传输，可以有效解决校园网建设中的安全性和经济性问题。

VPN 校园网 安全技术 隧道技术

0 引言

近年来，党校系统以远程教育网、校园信息网和数字图书馆为主的信息化建设取得了重大进展。适应大规模教育培训干部的要求，建设一个高速、实用、安全的校园网，实现计算机网络系统的互连互通，可以极大地丰富和完善干部培训教育资源，拓宽党校教师和学员获取信息的渠道，从而进一步提高党校教育培训手段的现代化和管理的科学化水平。

1 党校校园网需求分析

随着计算机网络技术的迅速发展，各级党校越来越重视信息化建设。党校在享有互联网带来巨大便利的同时，也在为这种公开使用的网络安全甚至危害而困扰。如，网上传输的数据容易遭到恶意攻击或窃取，安全性得不到保障影响资源的充分共享。而建立校园网，可以使校园网络与公共的Internet分开。一方面，校园网的资源是开放的，每位教师和学员都可以访问校园网资源；另一方面校园网资源又是独有的，在校园网覆盖范围之外，比如校外备课、学术交流或异地培训时，教师和学员需要接入学校或者访问校内资源，这时用传统方法则进入不了校园内部网，无法随时共享党校信息及其他网上资源。针对这些问题，关键要解决内外网之间如何顺利跨越以及如何保证其访问的安全性。通过应用VPN技术，可以利用最有限的资金投入组建安全、便于管理和安全性高的校园网，从而解决学校移动办公、远程办公、校区间通信、资源共享等问题。一般说来，利用VPN技术可以实现以下需求：

1.1 远程办公或移动办公的需求

一个校园网远程用户或者移动办公用户需要同学校内部网络进行安全通信时，传统的方案是使用专线连接内部局域网，可是专线会带来昂贵的费用，但如果利用互联网和VPN技术进行连接，将会大大减少通信费用。移动用户或者校园网远程用户在本地通过拨号连接到一个ISP获得服务从而连接到互联网，校园网也从一个或多个ISP处获取服务将Intranet连接到互联网上，并利用VPN网关来阻止从外部来的攻击和入侵，以保证内部网络的安全性和保密性。

1.2 重要数据的安全保密需求

在学校的内部网络中，一些特殊部门存储有重要的数据，需要建立独立的网络以保证数据的安全性。由于物理上的隔离，虽能保护这些部门的重要数据，但也造成与其他部门的用户无法互联，从而给信息交换带来不必要的麻烦。如果采用VPN技术，只需要部署一台VPN服务器，就能实现与整个校园网络的安全连接，又可以确保重要数据的安全传输。以往普通路由器虽也能实现不同网络之间的互联，但是不能对流向特殊网络的重要数据进行精确的监控，而且随着对外流量的增大，路由器也逐渐成为技术瓶颈。校园网络的管理人员通过使用VPN服务器，可以按需指定授权以及限定条件的用户才能连接VPN服务器，从而访问校园网内部的局域网获取重要信息或数据。

1.3 跨校区互连互通的需求

近年来，为了适应大规模培训干部的需要，许多党校进行了校区的改扩建。通常情况下，新老校区间都是采用租用专线来进行通信，但这需要花费较大的费用，同时若出现故障则只能由运营商负责解决。此时使用VPN技术，可以在费用低廉的情况下实现校园网的专用、安全的互连互通。

2 组建校园信息网的原则

党校校园网建设，一般都要经过需求分析、设计分析、部署实施和系统应用等四个过程。这四个过程紧密相联，只有按照步骤具体实施才能建设一个质量高、实用性强的校园网，因此在校园网建设中要坚持以下原则：

2.1 先进性原则

在校园网建设中要采用最新技术，规划中要着眼未来发展，适应时代要求，坚持适度超前，站在高起点上规划校园网的建设。

2.2 可行性原则

校园网是近年来许多党校希望建设的一套系统，是教学管理的基础和常用工具。由于校园网应用系统是一个涉及面广、数据量大、数据类型多的一套系统，如何将这些信息非常好地组织起来有一定难度。在校园网规划中，需要充分考虑其现实可行性，防止校园网的建设成为可望不可及的“空中楼阁”。

2.3 安全性原则

在校园网建设中，安全是系统的关键。在信息技术快速发展的今天，党校校园网的建设不仅要采用先进的安全技术，而且要有完整的安全策略来保证硬件及应用系统的安全，同时还必须建立完善的安全管理制度规范，从根本上杜绝校园网的安全隐患。

2.4 适应性原则

校园网的适应性不仅表现在系统的适应性，还表现在系统应能支持多种网络环境，可在局域网、广域网中使用，并支持拨号网络，实现异地办公。目前校园网应用的数据、水平和习惯方面差别很大，不单是简单的局域网中计算机的对等连接，它涉及到多种网络环境、各种连接方式和接入方式。因此，在整个校园网建设中一定要考虑多种情况，坚持适应性的原则。

2.5 经济性原则

在规划设计校园网时要全面调研分析，既要遵循经济性和实用性原则，确保校园网建设的性能要求，又要为系统的发展留有余地，尽量以最少的投入达到最佳的性能。

2.6 可扩充性原则

校园网建设必须遵循可扩充性原则。首先，校园网应用系统的各个子系统不是一个孤立的方案，需要其它的外部系统的支持和数据的共享，这就要求各系统的后台数据库支持标准的数据输入、输出接口。其次，在校园网网络系统的内部各个子系统间也有数据的交换和网管要求，因此必须支持标准的网管协议并采用标准的网络架构。最后，随着技术的发展，应用软件的丰富，应用软件和硬件性能都在不断提高，必须保证软硬件平台的可扩充性。

3 VPN在校园网中的关键技术分析

3.1 VPN技术

VPN是虚拟专用网 (Virtual Private Network)的缩写，它是利用开放性网络作为信息传输的媒体，通过隧道封装、信息加密以及用户认证等技术在其上复用逻辑的隧道连接实现用户信息通过公用网络环境的安全传输[1]。虚拟专用网不是物理上的专用网络，但却能够实现专用网络功能。在虚拟专用网中，任意二个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一条私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。VPN技术是解决跨区域网络安全互联和数据安全加密传输问题的廉价便捷方法，在不同领域得到了广泛的应用。

通常 VPN 的应用分为三类：（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量；（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

3.2 VPN的特点

3.2.1安全性

随着信息技术的发展，实现VPN的技术和方式很多，但所有的VPN都是通过加密技术来进行隧道加密和用户认证等技术，确保数据的了解对象仅限于发送者和接收者，以提高数据传输的安全性。

3.2.2服务质量保证(QoS)

不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，在VPN的服务保证中，可以提供最为广泛的覆盖性连接，VPN可以为不同要求用户提供不同等级的服务质量保证。

3.2.3可扩充性

VPN能够支持通过Intranet和Extranet任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

3.2.4可管理性

VPN可以从用户和运营商角度方便地进行管理、维护。在VPN业务运营中，必须建立一个完善的VPN管理系统。其管理目标具有高扩展性、可靠性、经济性，还能够极大程度上减小网络风险，管理内容涉及配置管理、设备管理、访问控制、安全管理、QoS管理、列表管理等。

3.2.5费用低

采用VPN技术可以不用租用专线，费用大大降低，所以VPN能够通过因特网安全而又不增加任何费用地传输重要信息。

3.3 VPN主要安全性技术

3.3.1隧道技术

隧道技术是VPN实现的关键技术之一，是通过某种协议进行另一种协议传输的技术，主要是所传递的数据在传送之前被封装在相应的隧道协议中，到达另一端后进行解包。通过隧道传递的数据通常为不同协议的数据包或数据帧，通过隧道协议将其重新封装并发送。只有通信的源地址用户和目的地址的用户对隧道中的封装好的信息才可以进行解包和处理，从而保证了信息传输的安全。

3.3.2加密技术

加密技术现在是数据通信领域中一项比较成熟的技术，但是用于虚拟专用网上的加密方法与用于普通情况下的加密方法并没有本质上的区别，它主要在数据包的传输过程中，事先用数据加密技术对数据包进行加密，然后再进行数据传送。数据到达接收者后，首先接收者要对接收到的加密数据进行解密，只有经过解密后才能看得到所传输的数据。

3.3.3用户认证技术

用户认证技术是在隧道正式连接准备开始前，通常使用用户认证技术对用户的身份进行认证，只有实现系统的授权用户才能进一步资源访问。

3.4 遂道协议

近年来，不断出现一些新的隧道技术，主要有以下几种协议。

3.4.1点对点隧道协议（PPTP协议）。PPTP协议增强了PPP的认证、压缩和加密功能。在PPTP协议中，数据包和控制包是分开的，先将数据包封装到PPP协议中，然后再封装到GRE（通用路由封装协议）中，用于封装到任何形式的IP数据包，所以PPTP支持大多数的主流协议。PPTP比PPP的安全等级高，它在基于TCP/IP协议的网络上创建VPN连接，所以数据传输更加安全，在VPN服务器上执行验证和安全检查，并对数据进行加密。

3.4.2第二层隧道协议（L2TP 协议）。L2TP也是PPP协议的扩展，它综合了PPTP的优点。所以既支持Client-to-LAN类型的VPN连接，也支持LAN-to-LAN类型的VPN连接。L2TP可以被多种协议所支持，用户可以在原有的协议或公司原有的IP地址的基础上应用。在L2TP方式中用户不需要在计算机上安装专门的客户端软件，可以使用未注册的IP地址，数据库的管理认证在本地进行，从而降低了应用成本和培训维护费用，给服务提供商和用户带来了许多方便。L2TP相对PPTP而言，它提供了差错和流量的控制。双方用序列号来判断数据包的顺序和缓冲区是否正确，如果数据丢失，可以根据序列号重新发送。

L2TP是PPP的扩展协议，它可以进行用户身份的认证，在建立隧道时用控制包进行数据的加密，然后进行传输，密钥是随机产生的，但是在数据传输的过程中是不加密的。PPTP只支持Client-LAN的连接，它是在客户端与网络服务器间建立连接，所以只能建立单一的隧道。而L2TP即支持Client-to-LAN的连接，也支持LAN-to-LAN的连接，两端点间可以是多隧道。用户可以根据需要选择不同的隧道。L2TP的主要缺点只是在隧道发生端及终止端进行认证及加密，而隧道一旦建立，源与目的用户的身份不需要再次进行验证，这样数据传输过程中存在安全隐患。

3.4.3 IPSec VPN模式。IPSec(IPsecurity)产生于IPv6的制定中，主要用于为IP层提供安全性能。在所有主机(支持TCP/IP协议)进行通信的过程中，必须经过IP层的处理，因此提高IP层的安全性能也是奠定整个网络通信的安全基础。由于IPv4的应用仍较为广泛，因此在后来的IPSec制定中还添加了对IPv4的支持[2]。IPSec是一种开放的框架结构，通过使用加密的服务以确保在网络上进行保密而安全的通讯[3]。

IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护，以防止专用网络与Internet的攻击[4]。在通信中，只有发送方和接收方才是唯一必须了解 IPSec保护的计算机。在Windows XP和 Windows Server2003家族中，IPSec提供了一种能力，以保护工作组、局域网计算机、Client端和Server端、分支机构以及 Routerclient端之间的通信[5]。

4 VPN技术在党校系统中的应用

近年来，党校系统信息化建设快速发展，省委党校的各类数字化资源具备了一定的规模。但是基于网络安全和知识产权等因素，这些数字化资源一般都限制在校园网内访问，离开了校园网，教师或学员都无法访问；同时市及县级党校因经费、人力资源的限制，数字化资源十分有限，都希望能够共享省一级党校的数字化资源。如何促进资源的共享，避免信息孤岛，福建省委党校着手建设三级VPN专网，其网络拓扑结构图如下：

在该方案中，市级党校接入省委党校，使用深信服科技公司的基于IPSec和 SSL的二合一VPN网关设备来构建 VPN专网，如我校采用VPN-2050网关作为接入设备。该网关同时支持IPSec协议和 SSL协议，支持终端使用包括Win7、Linux等操作系统来登录SSL VPN系统，支持IPhone OS、Android等操作系统的智能手机、PDA等移动终端的SSL VPN接入，支持AES、DES、3DES等主流的商业加密算法，具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击。

IPSec VPN 是基于 IPSec（IP Security）协议的VPN技术，多应用于两个局域网之间的安全连接，保护点对点之间的通信，工作于网络层。与其他VPN技术相比，其优势在于可以采用动态的密钥，保证数据的安全，实现高度的安全性。同时确保运行在TCP/IP协议上的VPN之间互操作性。IPSec VPN用于解决省委党校和市委党校局域网的互连，通过在两站点间创建安全隧道提供直接接入，实现对整个网络的透明访问。IPSec VPN亦可以进行远程接入，但它要求每个远程接入的终端都要安装配置客户端软件，维护管理工作量大，因此不适合大量分散移动用户的接入。

SSL VPN是基于SSL（Security Socket Layer）协议的VPN 技术。可以提供基于应用层的访问控制，具有数据加密、完整性检测和认证机制。SSL VPN 的优势在于 Web 安全和移动接入，具有部署简单，不需进行配置，不需安装客户端，维护成本低，可以适用于任何的终端及操作系统，网络适应性强等特点。因而适合于县区党校和移动用户的安全远程接入，接入后的用户受控于更细致的访问控制粒度。

我校原有校园结构较为简单，我们直接通过网关模式连接VPN-2050设备替代原路由器。在系统网络配置上，分别配置内网接口及外网接口IP地址。需要注意的是，专网内IP地址不能冲突，必须对设区市市级党校校园网的内网IP地址进行统一分配和管理。在IPSec配置上，需要配置主WEBAGENT及端口，为移动用户分配虚拟IP地址，同时要进行用户配置、连接配置、隧道间路由配置等参数的配置。在SSL VPN配置上，需进行用户管理、资源管理、资源授权等参数的配置。

5 结束语

总之，VPN技术通过在公用网中建立内部网络间的专用数据隧道，具有安全性高、成本低、易管理、扩展性强等优点，随着信息资源化程度的深入，远程安全访问需求的加大，VPN技术将是远程解决校园外用户访问校园内部数据库资源的首选方案。

[1] 翁亮，陈依群，诸鸿文. VPN 用户认证技术[J].通信技术，1999(4):47-51.

[2] 刘昊.一种面向IPSec VPN教学的实验系统的设计与实现[D].上海：上海交通大学，2005.

[3] 潘卫明，游慧.双向NAT环境下的IPSec隧道通信研究[J].计算机仿真，2004, 21(6): 85-87, 94-95.

[4] 王铁英, 王尚平, 孙瑾, 等. 终端用户VPN的研究[J].计算机应用研究，2005 (7): 57-59.

[5] 杨凯，李方敏.基于IXP425的宽带VPN网关设计与实现[J].武汉理工大学学报: 信息与管理工程版，2005(5) .