校园网VPN部署与安全

叶丽　李锋

（广东交通职业技术学院，广东广州510650）

校园网VPN部署与安全

叶丽李锋

（广东交通职业技术学院，广东广州510650）

VPN是将不同地理位置上的企业网络，通过Internet建立临时专用隧道组成的虚拟专用网络。很多校园网初期设计并没有考虑校区合并和拓展问题，校区之间网络相互独立，资源无法共享。文章主要介绍VPN分类标准和应用范围，比较VPN不同隧道协议，最后提出校园网VPN安全部署模型和拓扑结构，对高校校园网建设和改造具有较高的参考价值。

校园网VPN网络地址转换PKI协议

1　引言

虚拟专用网络（Virtual Private Network，VPN）是将不同地理位置上的企业网络，通过Internet建立临时专用连接组成的网络。数据按照先进先出原则在连接中加密传输，形象地称为隧道［1］。企业员工不管身处何地，只要在互联网上通过VPN账号登陆，即可接入企业内联网，访问企业内网资源。

虚拟专网VPN在高校中可以连接不同校区，实现校园网地理空间的拓展。不同校区之间由于使用NAT网络地址转换协议接入公用网络，内网IP转变为外网IP后网络拓扑互不透明，之间不能相互通信。VPN可以在校区之间建立专用虚拟通道实现校区内网互通。当内网主机需要连接公用网络时，通过NAT服务器转发至Internet，当需要访问对方内网资源时，经VPN服务器加密传输至对方内网。通常情况下，NAT服务器和VPN服务器都由同一网关服务器或路由器充当，其根据数据包目的IP网段选择性转发，若目的IP属公用网段，则转发至下一Internet中的路由器，若属于私有网段，则转发至对方VPN网关。

2　VPN服务分类

VPN根据服务类型可以分为远程访问虚拟专网（Access VPN）、内部虚拟专网（Intranet VPN）和扩展虚拟专网（Extranet VPN）3种［2，3］。

（1）Access VPN

在Access VPN远程访问虚拟专网中，用户通过PPP拨号网络接入NAS（Network Access Server）服务器，NAS收到拨入请求并验证用户身份后，与之建立PPP链路连接，允许用户访问其内部资源，是一种节点到网络之间形成的虚拟专网。在校园网应用中，教师离开学校后使用的计算机较为分散，不能形成相对集中的局域网，此时可以通过Access VPN点单独接入校园网访问内部资源。

（2）Intranet VPN

内部虚拟专网Intranet VPN部署在总公司和分公司之间，通过公共网络将各地分支机构接入公司总部，实现企业内部的资源共享［4，5］。在校园网中，学校本部与分校区之间可以通过Intranet VPN利用公网在逻辑上组成局域网，是一种网络到网络之间对等形成的虚拟专网。所谓虚拟，是指校区之间不需额外铺设真实链路，而是租用公网网络链路；所谓专用，是指租用的公网链路仅供该校区之间传输数据，其他单位不能占用。

（3）Extranet VPN

扩展虚拟专网Extranet VPN用于供应商、合作伙伴和企业与企业之间组成虚拟局域网络。由于不同企业之间内部路由协议的差异，如企业内部可能使用RIP路由和OSPF路由等。Extranet VPN通过屏蔽企业间路由协议的区别将他们连接在一起。在校园网中，学校与学校之间，学校和单位之间可通过Extranet VPN组成局域网络实现内网主机之间的互联，是一种网络到网络之间不对等形成的虚拟专网。

3　VPN隧道协议

VPN根据协议类型可以分为PPTP/L2TP、IPSec和SOCKS5三种。

（1）PPTP/L2TP

点到点隧道协议（Point to Point Tunneling Protocol，PPTP）是在PPP协议基础上开发的二层隧道协议。数据在双方节点链路层帧中继或者ATM中传输，选用40位或128位加密密钥保证传输的安全性。L2TP和PPTP一样都使用PPP协议对数据封装，都属于二层隧道协议，但L2TP支持在两节点间使用多条隧道，提供隧道验证，可在IP网络、帧中继和X. 25虚拟电路和ATM中使用，应用范围更广，安全性更高。

（2）IPSec

IPSec是Internet安全协议，工作在OSI参考模型第三层［6］，通过端对端加密传输防止专用网络在Internet传输中的信息泄露，实现源IP和目的IP之间的安全通信。IPSec引入密钥交换体系IKE，可以动态认证网络对等体并自动生成共享密钥。

（3）SOCKS5

SOCKS5防火墙安全会话转换协议是建立在TCP上的代理协议，在客户机和服务器之间充当中介角色，是介于应用层和传输层之间的协调者。防火墙通过包过滤将内网和外网安全隔离，内网可以访问外网，但外网不能主动访问内网。当外网用户连接内网时，如通过Telnet和Ftp等协议访问内网主机即被防火墙拦截［7，8］。但有时为了管理需要和方便访问，如管理员在校外管理校园网络，教师在家访问校内资源，此时可通过SOCKS5提供的认证和加密安全透明地穿透防火墙。

4　校园网VPN部署与设计

在校园网部署VPN服务器时，首先要考虑当前的访问控制策略，校园网中哪些用户能访问哪些资源，VNP必须遵循此规则；其次考虑的是安全性，校园网安全等级要求越高，数据传输限制则越多，VNP实现不同校区节点的互通，必须遵循现有的安全级别；最后要考虑的是VNP部署方案兼容性和扩展性，要根据不同校区现有网络拓扑结构选择适合的VPN类型和安全协议，并配置认证体系。

在实际部署中，为保证不同校区之间的互通，校园网应在NAT出口处配置VPN网关，内网数据流经VPN网关转发至另一校区的VPN网关；为保证校园网应用服务器数据完整性，需要部署服务器专用网络，与其它计算机物理隔离；为保证接入安全性，所有用户必须经PKI认证授权后才能接入VPN服务器和访问内网资源；为保证数据可靠性，VPN选用IPsec协议对数据包进行封装加密，防止伪造篡改。基于上述分析，校园网VPN部署模型如图1所示。

图1　校园网VPN部署模型图

图2　校园VPN连接拓扑图

在该模型中，VPN将不同校区连接成局域网络，没有改变原有校区网络环境，所有资源均得以利用。整个模型在出口网关部署NAT和VPN服务，既可以满足内网用户访问Internet，又可以连接不同校区内网，拓展地理范围，并保证校园网用户对应用服务器的安全访问。VPN连接拓扑如图2所示。

5　结束语

目前，很多校园网初期设计并没有考虑到校区合并和校区拓展问题，校区之间网络相互独立，资源无法共享。本文提出的VPN模型适合高校组建安全、稳定和快速的虚拟专用网络，对高校校园网建设和改造具有较高的参考价值。

［1］汪海航，谭成翔，孙为清，等.VPN技术的研究与应用现状及发展趋势［J］.计算机工程与应用，2001（23）：14-16，168.

［2］谢志坚，谢冬青，周洲仪.基于口数据包加密的VPN虚拟专用网络结构［J］.计算机工程，2001（3）：45-48.

［3］徐家臻，陈莘萌.基于IPSec与基于SSL的VPN的比较与分析［J］.计算机工程与设计，2004（4）：586-588.

［4］蒋东毅，吕述望，罗晓广.VPN的关键技术分析［J］.计算机工程与应用，2003（15）：173-177.

［5］唐文，罗军舟.VPN中隧道技术的研究［J］.计算机工程，2002（4）：55-57.

［6］刘敬轩，戴英侠.基于SSL的VPN网关的设计与实现［J］.计算机应用，2005（S1）：140-142.

［7］余胜生，王勇.LINUX下一种安全的SSL VPN设计与研究［J］.计算机工程与科学，2006（1）：1-2，15.

［8］李之棠，贺济美，雷杰.SSL VPN的安全漏洞及其解决方案［J］.计算机工程与科学，2006（8）：9-10，13.

VPN Deployment and Security in Campus Network

YE Li，LI Feng
（Guangdong Communication Polytechnic，Guangzhou Guangdong 510650，China）

VPN can connect enterprise networks at different locations via internet’s temporary and special channel tunnel.In the early design of many campus networks，the problems have not been considered，such as campus combination and expanding，independent campus networks and unshared resource.This paper mainly introduces VPN classification and application range，and compares different tunnel protocol in VPN.The VPN security deployment model and topological structure in campus network are put forward，which has high reference value for campus network construction and modification.

campus network；VPN；NAT；PKI protocol

TP393

A

1008-1739（2015）14-49-3

定稿日期：2015-06-26