基于IPsec VPN 的校園網絡建設

摘要：隨著國民經濟的不斷發展，高校不斷擴大招生規模，大眾教育和高等教育距離不斷縮小。各高校不斷擴大規模，形成了老校區和多個新校區的發展格局，各個校區之間需要相互通訊，相互交換信息。在保障通訊安全的前提下，同時節約構建網絡的費用，從而引入了IPsec VPN技術。

關鍵詞：安全；校園網；IPsec VPN

1 IPsec VPN技術

使用不同的技術，可以構建不同方式的VPN，例如，要想在第二層上實現VPN功能，就得使用L2TP技術來構建VPN。如果要在第三層上實現VPN功能，就可以使用IPSec技術來構建VPN。要在第四層上實現VPN功能，就可以使用SSL技術來實現VPN。

L2TP是針對第二層的技術，其上層網絡層仍然使用IP協議進行傳輸，L2TP對數據進行封裝，再把封裝好的數據使用PPP進行協議封裝。L2TP技術可以應用在X.25虛擬電路（VCs）、IP（使用UDP）、楨中繼永久虛擬電路（PVCs)或ATM VCs網絡上。在L2TP技術中，支持兩端之間建立多條隧道，并對隧道進行驗證，因此可以針對不同的服務要求建立不同的隧道。L2TP有兩種信息類型，分別是控制信息和數據信息。其中數據信息用于封裝數據；控制信息負責隧道的建立、維持，以及隧道的釋放。

IPSec是針對第三層網絡層的技術，IPSec VPN可以使用在IPv4 網絡中，也可以使用在IPv6網絡中，IPSec VPN在Internet中實現不同地方不同網絡之間的虛擬連接，很好的解決了網絡通訊的安全性問題。在IPSec VPN組網模式中，可以實現不同校區之間建立連接，普通用戶接入，以及不同合作學校之間建立連接。使用IPSec VPN構建的網絡，可以建立在任意基礎網絡之上，用于實現安全的端到端的通訊連接，即在兩個異地網絡之間構建安全的通訊連接，只要在這兩個網絡的出口上部署IPSec網關設備，而不管這兩個網絡之間是使用何種廣域網。部署IPSec VPN是一件比較簡單的事，只需網絡邊緣設備支持IPSec協議即可。因此，IPSec VPN非常適合用戶在公共IP網絡上構建虛擬專用網絡，IPSec最大的一個優點就是可以使用共享網絡訪問設備，甚至可以在所有的服務器和主機上實現，這樣避免了網絡升級所帶來的麻煩，因為其他資源的升級不會影響IPSec VPN的正常使用。IPSec具有較高的安全性，可以實現安全的端到端的服務，其在網絡層實現了加密、認證、訪問控制等多種安全技術。

SSL (Secure Socket Layer安全套接字層) 是針對第四層應用層的技術，Netscape 公司開發這個協議軟件的目的是保護HTTP 協議， 然而任何一種基于TCP 協議的應用都可以使用這個協議來保護。SSL是在Socket層上實施的安全策略，因此可以在SSL基礎之上構建VPN，這樣就可以針對每個具體的應用來實施安全保護，比如可以利用SSL來實現對WEB應用的安全保護。SSL 構建VPN由兩部分組成，一臺服務器和若干客戶端軟件，服務器端建立一臺SSL服務器，用于接收各個分布的SSL客戶端。這種應用模式有點類似IPSec VPN 中的Access VPN 模式，假如在網絡環境中我們只有B/S或者C/S架構的應用，各個網絡中的計算機之間不需要相互訪問，則我們可以選擇SSL來構建簡單的VPN。這種應用模式應用的比較普遍，比如銀行提供的網上銀行，中小企業中的ERP等都是這種應用。

2 IPSec VPN 的安全

IPSec 協議是工作在網絡層協議的一種安全協議，它是為保障IP 通信安全而提供的一系列協議簇[3]。IPSec為了讓數據完整、安全和合法的通過公共網絡，設計出了一整套加密、隧道和認證方案。RFC 2401[4]中具體描述了IPSec的基本結構，它由安全認證頭（AH）和封裝安全負載（ESP）來實現對數據的加密和認證。AH只提供認證服務，ESP不僅提供認證服務還提供加密服務。

IPSec有兩種工作模式，一種是通道模式，另一種是隧道模式。ESP和隧道模式相結合，其認證和加密的安全性要比ESP和傳輸模式相結合的安全性強，然而隧道模式要比傳輸模式所使用的帶寬多，因此在帶寬不足的情況下，使用傳輸模式要比使用隧道模式好。另外，相比而言，AH傳輸模式的安全性高于ESP隧道模式，然而ESP隧道模式還可以提供一定的數據流保密服務，AH則不具備這個特點。

3 基于IPSecVPN 的校園網互聯

IPsec VPN工作在網絡層，為上一層應用層服務，因此IPsec VPN不用管上層應用層使用的是什么協議，一律使用自己的信息封裝原始IP信息。只要在兩端建立加密隧道，就能實現各種類型的應用，如文件傳輸、WEB、通訊、電子郵件等，IPsec VPN支持所有IP協議，對應用層協議來說是透明的，這是IPsec VPN的最大優點。

3.1 用戶分類

使用校園網資源的用戶主要分為三種情況，第一部分是在主校區的用戶；第二部分是在分校區的用戶；第三部分是出差用戶、移動辦公人員、與學院有合作的外部單位，以及校外居住員工等分散用戶群。

3.2 校園區規劃

主校園區集成學校各種資源，如：各種辦公信息系統、圖書館資源、期刊數據庫、校內各種軟件下載、教學資源平臺、視頻點播系統等內部系統。用戶群二，用戶群三需要使用這些校園網資源。

主校區使用一個具有VPN功能的路由器，通過電信連入Internet。設置兩個VPN功能，與分校區的連接使用LAN TO LAN 方式，用戶群三使用DMVPN方式。分校區同樣使用一個具有VPN功能的路由器接入Interne，對于分校區路由器只需使用LAN TO LAN 方式。這樣設置之后，分校區用戶就能通過路由器快速方便的訪問主校區信息資源，而無需驗證，驗證由路由器完成。對于用戶群三而言，通過驗證之后也能方便的訪問校園網數據。

通過對合法設備和用戶的規劃進行分類，區別其訪問方式，這樣就能很好的控制這些用戶的訪問，有效的解決了這些設備（路由器）和用戶訪問校園網資源的安全性，正確性，以及訪問資源的合法性。同時也保持了各類用戶的相對獨立性，并保留了主校區，以及分校區原有網絡的高可用性，控制性和高安全性等優勢。通過正確的配置VPN，確保了合法用戶能夠正確安全的訪問校園網資源，同時也為出差用戶，有業務往來單位等非園區用戶訪問校內資源提供了方便快捷的手段。由于校園網資源相對集中在主校區，對于這些資源的集中管理比較方便，同時各園區之間無需專線就能相互訪問，這樣極大的節約了校園網絡建設資金。

4 結束語

雖然IPSec技術還存在一定的不足之處，比如，使用IPSec往往會降低設備的性能，網絡設備需要去處理IPSec的隧道、加密等，從而降低了系統處理其他數據的能力。還有一個不足之處，在使用IPSec時，不同的設備廠商之間存在一定的兼容問題，有時甚至出現不能相互通信的現象。

使用IPSec技術代替專線連接，可以大量的節約固定線路的租用費。各個分校只需承擔本地接入Internet的費用，不管距離多遠，費用都一樣。同時IPSec還具有較高的安全性，專線是不對數據進行任何加密的，而IPSec使用通道協議、安全認證策略，以及數據加密來保證數據的傳輸安全。

參考文獻

[1]顧文婷，潘雪增，樓學慶等．面向IPsec 安全策略的VPN性能評估模型[J]．計算機工程與應用，2009，45(36)：78-81．

[2]黃世權.VPN 技術及其應用分析研究[J].計算機與數字工程，2006，34(6)64-66.

[3]任德玲，韋衛.基于IPSec 的MPLS IP VPN 的設計與實現.計算機應用研，2006(3):116-118.