VPN技术在高职院校校园网应用案例浅析

摘 要：计算机网络技术的发展日新月异，高职院校的教学环境也在发生着巨大的变化，数字化校园的建设势不可挡。高职院校数据的共享越来越频繁，在此过程中校园网络建设的重要性不言而喻。本文通过对高职院校校园网络的分析，设计并实现了一个基于IPSec VPN技术的校园网络通信系统。IPSec VPN技术摆脱校园网用户地理位置的限制，网络的灵活性、安全性进一步得到提高。

关键词：IPSec VPN技术；灵活性；安全性

校园网在高职院校的日常工作中扮演着重要的角色，各种网络化办公提升了教职工的工作效率，也大大便利了师生员工获取数字资源。先进的网络技术优化了教育资源，但是网络不是万能的，它不可能满足教职员工所有要求，局限性也逐渐呈现出来。高职院校一般都有自己的校园网，校外用户通常是没有权限访问内网资源，对于一些有多校区的高职院校来说局限性更加明显。端口映射的方式安全隐患非常高，操作也相当烦琐。鉴于此，利用IPSec VPN技术可以很好地解决上述问题。

1 VPN概述

1.1 VPN简介

Virtual Private Network即VPN，物理分布在不同网络环境的设备通过Internet连接而成的虚拟子网。VPN技术采用了访问控制、完整性、保密性等措施，防止信息被篡改、复制和泄露。内网和公网往往采用了不同的规则或协议，数据无法直接传输。VPN技术是在网络两端建立专用的虚拟通道，传输内容经过封装、传输、解封装等过程，通过专用虚拟通道访问。

1.2 VPN技术优势

VPN技术的最大优势是无需在两个内网之间架设专线，它是将数据流传输到低成本的网络中，大大降低了网络部署的费用，降低成本。VPN技术另外一个优势，一旦虚拟专用网建成后用户数量和类型的变化不再受到影响。传统的校园网络方案，在遇到上述问题后，可能需要加大校园网络扩充投入，甚至可能需要重新建设校园网，非常浪费网络资源。虚拟专用网在无需改变网络环境的前提下完成网络通信需求。

1.3 VPN技术的工作原理

VPN技术是利用互联网设施传输私有信息，数据在传输的过程中必须要做加密处理，确保在互联网中未经授权的用户无法获取信息。VPN网络就相当于在公网上形成了一条隧道，而隧道是由隧道协议形成的。采用的隧道协议主要有三种：基于第二层的PPTP协议和L2TP协议，基于第三层的IP安全协议IPSec。

1.4 IPSec VPN技术

隧道技术是实现IPSec VPN技术的重要前提。在网络中传输数据包时，先将数据包进行封装，再通过PPTP或L2TF等隧道协议，将Header添加到新的数据包中，Header在新的数据包添加路由信息，将重新封装的数据包发送到互联网中，封装后的数据包通过逻辑通道传输到另一个节点，通过相同隧道协议对数据包进行解封装，最后将其发送至目的地。这里的逻辑通道就是隧道。在隧道协议中，对数据包加密按照IPSec标准来执行，这种通过隧道连接网络就是IPSec VPN。

IPSec将认证、加密、访问控制等多种安全技术融合在一起。IPSec的加密和认证还需要有密钥的管理和交换功能。IPSec加密和认证工作主要有两种模式：传输模式和隧道模式。

1.5 IPSec协议体系结构

IETF制定了IPSec的开放性安全標准。IPSec减少了由IP欺骗带来的网络攻击威胁，促进了虚拟专用网的发展。IPSec体系结构如图1所示。

该体系结构定义了IPSec技术的工作机制。封装安全有效载荷协议（ESP）覆盖了包加密与ESP使用相关的常规问题；认证头（AH）包含使用AH进行包身份验证相关的包格式和一般问题；加密算法说明了加密算法如何在ESP中使用；验证算法说明了身份验证算法如何用于AH中和ESP身份验证选项中；IKE是默认的密钥自动交换协议；解释域（DOI）是相关的各部分标识符和运行参数；策略决定了两个实体之间通信情况，以及采用种方式进行通信。

1.6 IPSec VPN的优缺点

1.6.1 IPSec VPN的优点

（1）通用性好，IPSec VPN的客户端支持所有IP层协议，并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议，从而客户端到站点、站点到站点、客户端到客户端连接使用的技术是完全相同的。

（2）整合性好，IPSec VPN整合了防火墙的功能，可预防病毒，并能进行入侵检测。IPSec可为多个防火墙提供安全性保障。

（3）透明性，IPSec在传输层之下，对于应用程序来说是透明的。当在防火墙或路由器上运行IPSec时，用户无需修改系统中的软件设置。IPSec对终端用户来说是透明的，用户无需进行安全机制的培训。

1.6.2 IPSec VPN的缺点

（1）IPSec VPN需要安装客户端软件，但并不是所有客户端都能够支持IPSec VPN的客户端程序。

（2）IPSec VPN的连接性会受到网络地址转换或网关代理设备的影响。

（3）IPSec VPN客户端建立通信信道必须要先完成客户端配置，配置相对比较复杂。

2 IPSec VPN技术在校园网中的应用实例

2.1 方案制订

校园网中安全性是网络架构首先要考虑的因素，IPSec VPN技术能有效保证校园网中的数据安全。IPSec VPN技术保证数据在网络与网络、用户与网络之间架设安全的传输通道，灵活多样的方法弥补了网络中的安全漏洞。校园网与外部网络是通过防火墙进行隔离，防火墙下架设带有身份认证的服务器，在防火墙上进行地址转换，保证设备在互联网中可以访问服务器，在校园网防火墙下构建一个专用网络。基于IPSec VPN技术的两校区访问安全网络架构拓扑图，如图2所示。

2.2 案例具体配置

配置IPSec VPN主要有以下几个步骤：

第1步：配置网络可达性；

第2步：配置感兴趣流量一般，通过 ACL 来定义；

第3步：进入 IKE 第一阶段的协商；

第4步：进行 IKE 第二阶段的协商；

第5步：协商完成后，开始安全发送数据，IPSec将保护这些会话；

第6步：数据收发完成后，IPSec完成隧道终结。

本案例以两个校区的高职院校网络拓扑为例，配置IPSec VPN，internet采用路由器模拟，具体配置如下：

2.2.1 internet配置

［internetGigabitEthernet0/0/1］ip add 20.0.0.2 30

［internetGigabitEthernet0/0/0］ip add 30.0.0.2 30

2.2.2 FW1配置

配置区域

［FW1］firewall zone trust #配置trust区域

［FW1zonetrust］add interface g0/0/0 #接口加入trust區域

［FW1］firewall zone untrust #配置untrust区域

［FW1zoneuntrust］add int g0/0/1 #接口加入untrust区域

［FW1GigabitEthernet0/0/0］ip add 10.0.0.254 8

［FW1GigabitEthernet0/0/1］ip add 20.0.0.1 30

NAT配置

［FW1］ip routestatic 0.0.0.0 0.0.0.0 10.0.0.2 #配置默认路由

［FW1］natpolicy interzone trust untrust outbound #策略视图

［FW1natpolicyinterzonetrustuntrustoutbound］policy 1 #创建策略1

［FW1natpolicyinterzonetrustuntrustoutbound1］policy source 10.0.0.0 0.255.255.255

［FW1natpolicyinterzonetrustuntrustoutbound1］policy destination 172.16.0.0 0.0.0.255

［FW1natpolicyinterzonetrustuntrustoutbound1］action nonat

［FW1natpolicyinterzonetrustuntrustoutbound］policy 2 #创建策略2

［FW1natpolicyinterzonetrustuntrustoutbound2］action sourcenat #对源IP进行NAT

［FW1natpolicyinterzonetrustuntrustoutbound2］easyip g0/0/1 #对接口地址复用

IPSec配置

［FW1］ike proposal 1 #配置安全提议

［FW1ikeproposal1］authenticationmethod preshare #IKE认证方式

［FWikeproposal1］authenticationalgorithm sha1 #配置IKE认证算法

［FW1ikeproposal1］integrityalgorithm aesxcbc96 #配置IKE完整性算法

［FW1ikeproposal1］dh group2 #配置IKE密钥协商

［FW］ike peer FW2 #创建一个IKE对等体

［FW1ikepeerusg2］presharedkey czzy #配置预共享密钥

［FW1ikepeerusg2］remoteaddress 30.0.0.1 #配置对等体IP地址

［FW1ikepeerusg2］ikeproposal 1 #调用ike安全提议

［FW1］ipsec proposal test #配置ipsec安全提议

［FW1ipsecproposaltest］encapsulationmode tunnel #封装方式隧道

［FW1ipsecproposaltest］transform esp #配置IPSEC安全协议为ESP

［FW1ipsecproposaltest］esp encryptionalgorithm aes #配置ESP协议加密算法

［FW1ipsecproposaltest］esp authenticationalgorithm sha1 #配置ESP协议认证算法

［FW1］acl 3000 #创建ACL

［FW1acladv3000］rule permit ip source 10.0.0.0 0.255.255.255 destination 172.16.0.0 0.0.0.255

［FW1］ipsec policy czzy1 1 isakmp #创建安全策略

［FW1ipsecpolicyisakmpmap1］ikepeer FW2 #调用ike对等体

［FW1ipsecpolicyisakmpmap1］proposal test #调用IPsec安全提议

［FW1ipsecpolicyisakmpmap1］security acl 3000

［FW1GigabitEthernet0/0/1］ipsec policy czzy1 #调用安全策略

［FW1］policy interzone trust untrust outbound #策略视图

［FW1policyinterzonetrustuntrustoutbound］policy 1

［FW1policyinterzonetrustuntrustoutbound1］action permit

FW2配置和FW1相同，只需調整源IP和目标IP即可，此处不再一一赘述。

2.2.3 结果验证

配置完成后做数据的抓包分析，通过抓包结果可以看到，esp为加密的访问流量，普通的为访问公网的流量，如图3所示。

结语

高职院校在校园网建设具有局限性和安全性等特点，本文遵循高职院校网络的实用性、易用性、安全性等原则，将IPSec VPN技术应用于校园网中，实现了互联网和校园网之间的安全互联，保护了重要数据在传输过程中的安全性，降低了投入成本，提升了高职院校的校园网应用水平。

参考文献：

［1］黄超，王勇.VPN技术在校园网络安全体系中的应用研究［J］.网络安全技术与应用，2016（8）：7779.

［2］付源.虚拟网络技术在计算机网络安全中的应用分析［J］.网络安全技术与应用，2019（05）.

［3］俞富荣.VPN技术在局域网中的组网的应用探讨［J］.网络安全技术与应用，2021（08）.

［4］王岩红.基于VPN技术的校园网多场景安全保障策略研究［J］.网络安全技术与应用，2021（10）.

［5］王真.VPN技术在校园网络安全体系的应用［J］.网络安全技术与应用，2021（09）.

［6］张迎春.浅谈VPN技术在校园网中的应用［J］.数码世界，2020（07）.

基金项目：2021年校级优秀骨干教师（YG2021014）；2021年省级质量工程立项课题，计算机应用技术专业教学团队（2021jxtd212）；2021年校级重点科研立项课题，基于IPv6的校园网络安全防护体系构建与研究，（YJZ202102）；2022 年度教育教学研究规划课题，“互联网+”视域下高校教师混合教学实践中线上教学资源应用策略的探究，（Azcj2022045）；2022年校级教学研究项目，基于OBE理念的高职《软件测试》课程混合式教学模式的构建与实施（2022jyxm05）

作者简介：王文飞（1983— ），男，汉族，安徽马鞍山人，硕士，讲师，主要从事计算机应用研究方向。