VPN技术在校园网中应用的研究.docx
《VPN技术在校园网中应用的研究.docx》由会员分享,可在线阅读,更多相关《VPN技术在校园网中应用的研究.docx(19页珍藏版)》请在冰点文库上搜索。
VPN技术在校园网中应用的研究
VPN技术在校园网中应用的研究
张晓岗
(渭南师范学院计算机科学系03级3班)
摘要:
针对当前高校跨地域分布导致的校园网建设中所遇到的问题,文章结合VPN技术的特点,提出将VPN技术应用在高校网络的建设中,给出了一种基于VPN技术的高安全性网络解决方案,用于提供高效、安全、灵活和经济的网络数据传输,该技术的应用还可以提供可靠的校区互联、移动办公和校际交流三个方面的拓展功能。
关键词:
校园网;VPN技术;虚拟专用网
1引言
当今,随着互联网的迅速发展与普及,各高校也把校园网作为其基础的公共通信平台,校园网建设步伐不断加快。
近几年来,由于高校合并、在异地设立分校等导致了校园呈现多校区化且跨地域分布,而且随着规模的扩大,出现了校区之间各种信息数据交流量庞大、利用网络的远程教育蓬勃发展、住在校外或出差的教师也有使用校园网的需求等问题,传统的单一校园网组网技术已不能满足要求。
简单的处理方法是利用公共互联网互访,然而,这使校园网资源的安全性难以保障,如何高效、安全、低成本地交换数据,如何使地理及物理上分布分散的若干校区子网能从逻辑上有效集成,这些问题成为制约高校校园网建设和发展的一个瓶颈。
本文从这一问题出发,通过对VPN技术的具体分析和研究,提出了一种采用VPN技术解决高校校园网建设的方案。
2VPN简介
虚拟专用网VPN(VirtualPrivateNetwork)是利用公众网资源为客户构成专用网的一种业务,这是相对于实际的专有网络而言的,它是基于Internet/Intranet等公用开放的传输媒体,通过加密和验证等安全机制建立虚拟的数据传输通道,以保障在公共网上传输私有数据信息不被窃取、篡改,从而向用户提供相当于专用网络的安全服务,是目前广泛应用于电子商务、电子政务、大型企业等应用安全保护的安全技术。
VPN有两层含义:
1.Virtual:
它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
2.Private:
它是利用公众网络设施构成的私有专用网。
虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。
而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN的特性决定了它在教育行业的应用前景将非常广泛。
3VPN的技术原理
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处理过程大体是这样:
1)要保护的主机发送明文信息到连接公共网络的VPN设备;
2)VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过;
3)对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名;
4)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数;
5)VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输;
6)当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
4VPN的主要技术
4.1隧道技术
为了形成VPN链路,采用了“隧道”技术。
网络隧道技术涉及3种网络协议,即网络隧道协议、隧道协议所承载的协议和隧道协议承载的被承载协议。
使用隧道传递的数据(或负载)可以是遵守不同协议的数据帧或包。
隧道协议将这些遵守其他协议的数据帧或包重新封装在新的包中发送,并对新的包提供了路由信息,从而使被封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络传递,传递时所经过的逻辑路径称为隧道,到达网络终点时,数据包被解包并转发到最终目的地。
4.2隧道协议
4.2.1点对点隧道协议(PPTP)
PPTP支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。
PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。
PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。
VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。
通过启用PPTP的VPN传输数据就像在一个局域网内那样安全。
另外还可以使用PPTP建立专用LAN到LAN的网络。
PPTP协议捆绑在Windows系列操作系统中,在VPN中应用最广。
4.2.2第2层隧道协议(L2TP)
L2TP结合了PPTP和Cisco公司L2F协议内容,支持封装的PPP帧在IP,X.25,帧中继或ATM等网络上传送。
当用IP作为L2TP的数据包传输协议时,可以使用L2TP作为Internet网络上的隧道协议。
L2TP还可以直接在WAN媒介上被使用而不需要传输层。
4.2.3安全协议(IPSec)
IPSec不是一个单独的协议,而是一组开放协议的总称,他对应于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议AH和ESP、密钥交换协议IKE和用于网络验证及加密的算法等。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥,向上提供访问控制、数据源验证、数据加密等网络安全服务。
4.2.4Internet密钥交换协议(IKE)
IKE被用于两个通信实体的协商和安全相关的建立。
安全相关表示两个或多个通信实体之间经过身份验证,均支持相同的加密算法,即可交换密钥,并利用IPSec安全通信。
IKE定义了通信实体间身份认证、协商加密算法以及生成共享的会话密钥的方法。
4.3加密和解密技术
VPN技术的安全保障主要就是靠加密、解密技术来实现的,除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能,虚拟专用网(VPN)使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。
在VPN中,IPsec的安全性是最好的。
在建立安全隧道和使用安全策略时,各个过程进行得更加严格。
IPsec使用了IPsec隧道模式。
在这种隧道模式中,用户的数据包加密后,封装进新的IP。
这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
4.4密钥管理技术
密钥管理技术的主要任务是如何在公共数据网上安全地传递密钥而不被窃取。
现行的密钥管理技术分为SKIP与ISAKMP/OAKLEY两种。
4.5身份认证和安全策略
虚拟专用网(VPN)是一种通过公众网资源为客户构成专用网的一种业务,如果安全技术不过关,势必给黑客造成可乘之机,将给使用它的用户带来不可估量的损失,所以说身份认证和安全策略是它的生命。
在隧道建立过程中,采取一系列的步骤以保证数据在公共网络中传输的安全性。
(1)用户认证:
由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。
用户把姓名、口令通过增强用户握手认证协议(CHAP—ChallengeHandshakeAuthenticationProtocol),发送到ISP网络。
ISP网络联系企业RADIUS服务器,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。
同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。
(2)进行设备确认:
建立安全隧道。
隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。
反之,隧道开通器对终端器进行确认。
然后双方协商对数据进行加密时使用的算法。
(3)使用安全策略:
下一步确认对本次传输的特定用户采取的安全策略。
用户身份级别越高,消息认证等过程就越严格。
VPN网络中通常还有一个或多个安全服务器。
其中最重要的是远程拨入用户安全服务器(RADIUS—RemoteAuthorizationDial-InUserService)。
VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。
RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。
同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。
VPN和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。
5VPN的优点
5.1成本低
VPN利用了现有的Internet组建虚拟专网,不需要使用专用的线路就能实现数据安全的传输,提供了比其它通信方式更低廉的成本。
5.2易于扩展
在分部增多,内部网络结点越来越多时,专线连接网络结构趋于复杂,费用昂贵,而采用VPN只需在结点处架设VPN设备,就可利用Internet建立安全连接,如果有新的内部网络想加入安全连接,只需添加一台VPN设备,改变相关配置即可。
5.3安全性强
安全是VPN技术的基础,为了保障信息的安全,VPN技术利用可靠的加密认证技术,在内部网络建立隧道,以防止信息被泄漏、篡改和复制。
6VPN技术在高校校园网中的应用
当前,国内多数高校存在地理上跨地域分布,为了保证学校逻辑和管理上的统一性要求,导致了位于不同地域的校区间网络信息交换呈现出了信息交流量大、交换频率高和信息涉密程度大等特点,这就要求高校的校园网络体系必须满足分布性、高效性和安全性。
网络既要保证高校运转,又要保证数据的绝对安全,此外,由于经费限制,还要保证建设和运行的低成本等,解决这些问题的关键在于如何实现不同校区间的子网互联。
结合对于VPN主要技术及优点的分析,该技术恰好可以用来解决以上问题,应用于高校校园网络的构建,可以方便地提供校区互联、移动办公及校际交流等服务。
6.1校区互联
在不同地域的分校区子网与主校区子网间或是分校区与分校区间,利用相应的VPN设备,可以建立VPN网络,一方面,使得各分校区与主校区间方便、安全地共享资源和进行数据交流,另一方面,VPN技术还提供了一种虚拟的专用网环境,使得原本在地域上相对分散校区的网络连成一体,在逻辑上保持了统一性;此外,还可以节省大量的建立专用网而必须支付的用于租用通信线路的费用。
6.2移动办公
对于出差在外或是在家的学校工作人员,利用相应的VPN客户端软件,采用拨号方式或本地ISP,接入学校的VPN网络,可以实现传统物理专用网所不能实现的移动办公等功能,从而提高工作效率。
6.3校际交流
在不同的多所高校间,往往存在着一些资源共享和信息交流的需求,在这样的高校间,基于一所高校,完全可以建立起该高校与多所高校间类似于企业扩展VPN的VPN网络,用于进行校际资源安全共享和信息的交流,而这一点,如果使用专用网络实现,其投入和成本都是不可接受的。
7VPN技术应用于校园网方案
通过对网络的现状的分析可知,将VPN技术应用于校园网需要和校园网现有的两种网络结构相结合:
远程访问网络(校园网用户在校外远程访问校园网)和学校内部的校园网,所以在现有校园网基础上建立VPN可以采用AccessVPN和IntranetVPN两类,具体方案如图1所示。
图1校园网中的VPN应用方案
7.1远程用户访问虚拟网(AccessVPN)
从校园网的策略来讲,有些校园网资源是指允许校内用户访问的。
在校外需要访问校园网内资源的远程用户的IP地址不是固定的,要使远程用户通过VPN接入校园网,一种方法是和ISP协商,由ISP提供隧道开通端的路由器,在校园网路由器上设置隧道终端,另一种方法是在用户端使用VPN功能的软件,配置为隧道开通器,通过ISP接入Internet并访问校园网内的VPN服务器。
这里选择第二种方法,即在校园网内建立VPN服务器。
校园网络用户使用的操作系统平台多是Windows系列,而Windows2000Server中的RRAS(路由和远程访问服务)可以被用来建立使用PPTP或L2TP的VPN连接(包括路由器到路由器和用户远程访问服务器两种方式的VPN连接)。
因此选择在校园网内使用Windows2000Server建立VPN服务器,而终端用户只要在Windows系列的平台上配置VPN客户端,便可通过远程的VPN服务器访问校园专用网。
在Windows中,VPN连接都是作为使用RAS(远程访问服务器)的拨号连接建立的。
RAS处理一个导入申请来建立一个VPN连接的方法很类似于处理一个与远程服务器的拨号连接。
因为建立一个远程访问的VPN服务器,主要是为了克服校园专用网的地理区域的限制,方便远程用户对校园网的访问,安全要求相对来说不是特别高。
且对广大的网络用户来说,使用VPN服务器的操作应该简单、容易实现,所以这时选择使用Windows系统建立PPTP的VPN连接。
因为Microsoft支持的首选VPN协议是PPTP,实现时的操作比较方便。
图2为基于VPN路由器的AccessVPN应用解决方案。
图2AccessVPN应用解决方案拓扑图
7.2两个校区之间的VPN(IntranetVPN)
在校区1和校区2之间建立IntranetVPN,可以通过Internet这一公共网络将之相连,以便学校的资源共享、信息交流和数据传送。
这样既可以克服使用开放路由器方法时对访问范围的限制,也可以对数据的传输起到保护作用,还不用租用专线而节省了开支。
在两个校区之间建立VPN,策略上允许两地间的所有用户互访,像在一个网络内一样。
安全性级别可以不要求太高,因为安全级别越高,开销越大,数据传送也就越困难,尤其在很多用户使用VPN网络时。
尽管使用IPSec和L2TP的安全性比PPTP的安全性要高,使用PPTP则更容易实现,所以在两个校区之间的VPN连接采用使用PPTP协议的VPN。
结合现有的网络结构,在两地之间建立VPN,需要在两端的VPN设备中配置路由,使所有到对方校区的访问通过VPN。
虽然校园网用户大多使用的是Windows系统平台,也可以利用Windows系统在两地分别建立VPN路由,但考虑到VPN方案的一个重要因素—稳定性以及设备的交换能力,具有VPN功能的路由器是更好的选择。
隧道将在两个校区具有VPN功能的路由器之间建立,路由器起到封装和解包的作用。
鉴于上述原因,在两个校区之间建立VPN,使用带VPN功能的路由器来实现。
通过对两地的路由、账户、地址池及协议的适当配置,在校区1路由器和校区2路由器之间建立虚拟专用链路。
当校区1的用户访问校区2网络时,根据校区1VPN路由器上的静态路由,用户可以通过在两个校区之间建立的虚拟隧道,到达校区2的路由器,校区2的路由器分配给该用户一个校区2校园专用网的IP地址,并根据用户的帐户名等信息检查自身的配置,然后根据检查结果赋予用户相应的访问权限。
反之亦然。
图3为基于VPN路由器的IntranetVPN应用解决方案拓扑图。
图3IntranetVPN应用解决方案拓扑图
8某校校园网VPN实例分析
该学校共有两个校区:
主校区和分校区,两个校区之间通过主校区的NetScreen-25和分校区的NetScreen-5GT相连,主校区和分校区网关均有各自的静态公网IP地址,均使用NAT(NetworkAddressTranslation,网络地址转换)技术连接到互联网。
网络拓扑图如图4
图4某高校VPN应用方案拓扑图
8.1VPN系统的工作原理
虚拟私有网络允许内部网络之间使用保留IP地址进行通信。
为了使采用保留IP地址的IP包能够穿越公共网络到达对端的内部网络,需要对使用保留地址的IP包进行隧道封装,加封新的IP包头。
封装后的IP包在公共网络中传输,如果对其不做任何处理,在传递过程中有可能被"第三者"非法察看、伪造或篡改。
为了保证数据在传递过程中的机密性、完整性和真实性,有必要对封装后的IP包进行加密和认证处理。
通过对原有IP包加密,还可以隐藏实际进行通信的两个主机的真实IP地址,减少了它们受到攻击的可能性。
VPN的整个工作过程:
假如在图4中位于主校区的办公PC需要通过Internet和分校区的服务器SR2之间进行私有数据交换。
当从办公PC发出的IP包通过主校区的VPN网关进入Internet时,该网关将对整个IP包进行加密并附加认证数据,然后封装上新的IP包头。
新的IP包头源地址为主校区的VPN网关,目的地址为分校区的VPN网关。
封装后的IP包就可以通过Internet到达分校区的VPN。
当分校区的VPN网关接收到封装后的IP包,将除去外面的IP包头,对里面的IP包进行认证和解密。
如果认证通过,该网关将其向实际目的地,即服务器SR2转发。
8.2IPsec工作过程
VPN系统工作在网络协议栈中的IP层,采用IPSec协议提供IP层的安全服务。
由于所有使用TCP/IP协议的网络在传输数据时,都必须通过IP层,所以提供了IP层的安全服务就可以保证端到端传递的所有数据的安全性。
IPsec涉及很多组件和加密方法。
IPsec的操作可以分成如下5个主要的步骤:
步骤1:
触发IPSec过程的感兴趣的数据流(interestingtraffic)--导致IPSec对等体中配置的安全策略开始进行IKE处理的数据流,是感兴趣的流量。
步骤2:
IKE阶段1--在这个阶段中,IKE鉴别IPSec对等体并协商IKE安全关联(SA),为阶段2中的IPSec安全关联(SA)协商建立安全通道。
步骤3:
IKE阶段2--IKE协商IPSec安全关联参数,并在对等体中建立相匹配的IPSec安全关联(SA)。
步骤4:
数据传输—基于保存在安全关联数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
步骤5:
IPSec隧道终止--IPSec安全关联(SA)因被删除或超时而终止。
图5显示了这5步过程。
图5IPSecde5个步骤
8.2.1步骤1:
触发IPSec过程的感兴趣的数据流(interestingtraffic)
对于VPN的使用,确定什么样的数据流被认为是感兴趣的,是安全策略设计的一部分。
该策略随后将在每个IPSec对等体的配置接口上被实施。
例如,在Cisco路由器和PIX防火墙中,访问控制列表被用于确定要加密的数据流。
将访问控制列表指派给加密策略后,其“permit”语句表明:
所选的数据流必须被加密,“deny”语句表明:
所选定的数据流必须被不加密(以明文方式)发送。
当使用CiscoSecureVPN客户端时,我们可以使用菜单窗口来选择要被IPSec保护的连接。
当感兴趣的数据流被产生或流过IPSec客户端时,客户端将启动IPSec过程的下一步,协商IKE阶段1交换。
图6示出了步骤1。
图6定义感兴趣的数据流(interestingtraffic)
8.2.2步骤2:
IKE阶段1
IKE阶段1的基本目的是鉴别IPSec对等体,在对等体间设立安全通道,以使IKE能够进行信息交换。
IKE阶段1执行下列功能:
·鉴别和保护IPSec对等体的身份。
·在对等体间协商一个向匹配的IKE安全关联策略,以保护IKE交换。
·执行一个被认证过的Diffie-Hellman交换,其最终结果是具有匹配的共享密钥。
·建立安全通道,以协商IKE阶段2中的参数。
步骤2如图6所示。
图7IPSec阶段1
8.2.3步骤3:
IKE阶段2
IKE阶段2只有一种模式,快捷模式(quickmode),它发生在IKE在阶段1中医建立了安全通道之后。
它协商一个共享的IPSec策略,获得共享的、用于IPSec安全算法的密钥材料,并建立IPSecSA。
快捷模式交换能防范重放攻击的随机数(nonces)。
这些随机数被用来产生新的共享密钥材料,以防止通过产生虚假的安全关联进行重放攻击。
快捷模式也被用来在IPSecSA的生存期超过之后重新协商一个新的IPSecSA。
根据从阶段1种的Diffie-Hellman交换所得出的密钥材料,基本快捷模式被用来更新用于创建共享密钥的密钥材料。
8.2.4步骤4:
IPSec加密隧道
在IKE阶段2结束和快捷模式已建立起IPSecSA之后,信息就通过IPSec对等体间的IPSec隧道被交换。
数据包被使用IPSecSA中所指定的加密算法和密钥来加密和解密。
图4显示了这种IPSec加密通道。
图8IPSec加密隧道
8.2.5步骤5:
隧道终止
当被删除或生存期超时后,IPSecSA就终止了。
当指定的秒数过去或指定的字节数通过隧道后,安全关联将超时。
当SA终止后,密钥会被丢弃。
当一个数据流需要后续的IPSecSA时,IKE就执行一个新的IKE阶段2,和一个新的IKE阶段1协商,如果需要的话。
一次成功的协商会产生新的SA和密钥。
新的SA可以在现有的SA超时之前被建立,这样可以不打断给定的数据流。
图9隧道终止
8.3IPSec的主要配置命令(以图4为例)
配置IKE:
Router(config)#cryptoisakmppolicy1
注释:
policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3┅
Router(config-isakmp)#group1
注释:
使用group1长度的密钥,group命令有两个参数值:
1和2。
参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Router(config-isakmp)#authenticationpre-share
注释:
告诉路由器要使用预先共享的密码。
Router(config-isakmp)#lifetime3600
注释:
对生成新SA的周期进行调整。
这个值以秒为单位,默认值为86400,也就是一天。
值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Router(config)#cryptoisakmpkeynoIP4uaddress211.219.169.66
注释:
返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。
相应地在另一端路由器配置也和以上命令类似,只改变相应得IP地址即可。
配置IPSec
Router(config)#access-list130permitip192.168.1.00.0.0.255172.16.0.00.0.255.255
注释:
在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
Router(config)#cryptoipsectransform-setvpn1ah-m
升级会员 