關于高校網絡中VPN技術的探究

◆王慶剛 向 文

?

關于高校網絡中VPN技術的探究

◆王慶剛1向 文2

（1.西南石油大學網絡與信息化中心 四川 610500；2.西南石油大學電氣信息學院 四川 610500）

本文系統研究了VPN技術和VPN隧道技術，首先從分析VPN技術產生的背景入手，重點闡述VPN技術的定義和分類；然后對目前流行包括L2TP、GRE、IPSEC、SSL在內的多種VPN隧道協議進行了詳細深入的研究；最后對SSL VPN在高校網絡中的部署及應用做出具體分析和研究。

VPN技術；隧道協議；高校網絡；SSL VPN

0 引言

隨著教育網絡和信息化的不斷推進，各高校中對網絡信息化的應用也越來越廣泛。經過大約二十年的努力與發展，當前全國各大高校的校園網絡帶寬和信息化系統已基本能夠較好滿足校園內師生辦公和學習的需求。然而，近五年來伴隨著移動互聯網的高速發展，教師和學生訪問校園網資源的需求不再僅僅局限于高校內部，他們更希望通過手機等移動網絡或者在家中就可以方便的接入校園網資源，在校外同樣可以完成自己的工作或學習任務，這就給高校網絡的服務提出了更高的要求。

目前，可以實現內部網絡遠程訪問的一種技術是專線，通常應用于公司子機構與公司總部之間的安全通信，通過專線用戶可以安全、穩定的訪問內部資源，但部署專線需要向ISP提出申請必然費用也是十分昂貴的，所以給每一位師生專門開通一條專線是不切實際的，并且它并不適用于移動網路的遠端移動接入方式。另一種非常流行的技術就是VPN隧道技術，只需要在校園網內部部署一臺VPN服務器，就能夠實現師生通過遠程接入或移動網絡等方式遠程訪問校園網資源的需求，不但節約了投入成本，還可以提供高質量的用戶體驗。

1 VPN技術簡介

VPN全稱是Virtual Private Network，即虛擬私用網絡，是通過封裝協議技術在公共網絡上建立一條私有的數據通道，實現將本地內網和對端局域網連接起來，構成一個專用的、具有一定安全性和服務質量保證的私人網絡。

VPN中常用的技術包括隧道技術、加解密技術、數據認證、身份認證和密鑰管理技術。隧道技術用于實現數據通道的建立，完成網絡之間數據的傳輸；由于數據在公網中傳輸，因此還需要其他幾種技術保障這些數據的安全性。加解密技術通過對傳輸的數據進行加解密可以保證數據不被非法竊取；數據認證是在發送方和接收方對數據運用散列算法（MD5、SHA-1等）求值，以驗證數據是否被非法篡改；身份認證通常采用“用戶名+密碼”等方式認證接入VPN用戶身份的合法性；密鑰管理技術主要用于維護密鑰的安全性，保證密鑰在傳輸過程中不被竊取。隧道技術與安全技術相結合，保證了VPN隧道是一條安全、高可靠性的數據傳輸通道。

2 VPN分類

2.1 VPN按業務用途可以分為以下幾類

（1）Access VPN：主要用于滿足企業內部員工在外部遠程或移動辦公的需要，當員工出差時，就可以利用當地運營商提供的VPN服務，遠程接入企業的VPN網關建立隧道連接，實現內網資源的訪問。

（2）Intranet VPN：用于實現大中型企業各分支機構與公司總部之間的通信，以及各分支機構之間的互聯。通過在本地網關與遠程網關之間建立VPN隧道進行數據通信，相比傳統的專線網絡，可以大大降低企業運行成本。

（3）Extranet VPN：為供應商和客戶提供的安全訪問服務。通過VPN技術建立的Extranet，既可以向其他企業、客戶提供有效的信息服務，又可以保證企業自身內部網絡的安全運行。

2.2 VPN從實現的網絡層次劃分為以下幾類

（1）L2VPN：即二層VPN技術，工作在協議棧的數據鏈路層，主要包括PPTP VPN、L2TP VPN等。

（2）L3VPN：即三層VPN技術，它工作在協議棧的網絡層，目前流行的的VPN技術有GRE VPN和IPSec VPN。

（3）SSL VPN：不同于L2VPN和L3VPN，SSL VPN工作于協議棧的傳輸層與應用層之間，可為基于TCP的應用層協議提供安全鏈接。

3 VPN隧道技術的研究

3.1 隧道技術

隧道技術是VPN中最關鍵的技術，是指在隧道的兩端通過封裝和解封裝技術在公網線路中建立一條私用的數據傳輸通道，通過它進行數據報文的傳輸。

隧道是基于隧道協議建立的，隧道協議傳統上分為二層隧道協議和三層隧道協議。與VPN依據網絡層次的分類一致，二層隧道協議可對數據鏈路層協議進行封裝傳輸，主要的隧道協議有L2F、PPTP、L2TP等，而L2TP協議是結合了L2F和PPTP兩種協議的優點，是目前LETF關于二層隧道協議的工業標準；三層隧道協議可對網絡層協議封裝傳輸，目前流行的隧道協議有GRE和IPSEC。二層和三層的本質區別是用戶的數據在隧道中被封裝成不同類型的數據包進行傳輸，另一方面，前者主要用于構建Access VPN，而后者主要用于構建Intranet VPN和Extranet VPN。SSL VPN隧道的建立是基于SSL協議，具體包括SSL握手協議、密碼變化協議、警告協議和記錄協議。

3.2 多種隧道協議的研究

(1) L2TP隧道協議

L2TP協議提供了對PPP數據鏈路層數據包的通道傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設備上，并且能夠采用數據包交換網絡技術進行信息的交互，從而擴展了PPP模型。從某種角度來說，L2TP實際上是一種PPPoIP的應用，利用PPP協議的一些特性，解決IP網絡本身存在的不足。

L2TP協議封裝結構如下：

表1 L2TP協議封裝結構

首先用戶將用PPP協議封裝的原始數據包發送給LAC（L2TP接入集中器），LAC對收到的PPP報文進行再次封裝，加上L2TP頭、UDP頭和公網IP頭，L2TP頭中包含了隧道ID和回話ID，并且L2TP協議在UDP頭中注冊使用UDP的1701端口，IP頭則指明了數據在公網中傳輸的公用IP；然后LAC將再次封裝后的數據發送給LNS（L2TP網絡服務器）；當LNS接收到LAC發送的報文時，根據接收數據的UDP頭中封裝了1701端口辨別出這是一個L2TP報文，則將數據報文轉到L2TP處理模塊進行解封裝，最終獲得一個包含私有IP的普通報文，并將該報文轉送上層模塊或者直接進行路由處理。

（2）GRE隧道協議

GRE全稱為通用路由封裝，可以對某些網絡層協議（如IPX）的報文進行封裝，并且封裝后的報文可以繼續在網絡層的另一種協議（如IP）中傳輸。

GRE協議封裝結構如下：

表2 GRE協議封裝結構

GRE的實現是由tunnel接口完成，tunnel接口是一種僅支持點到點連接的虛擬接口，它提供了一條通路，封裝后的數據報文能夠在這條通路上傳輸。Tunnel端口在定義時，需要指定源地址、目的地址、封裝協議、tunnel端口的IP地址，源地址和目的地址分別是隧道兩端的源IP和目的IP，封裝協議部分可以通過指定協議號47實現對GRE協議的調用，tunnel端口配置IP地址后該端口才能啟用生效。

GRE隧道建立成功后，私網數據報文要通過隧道傳輸，首先查詢私網路由表或轉發表分析報文的出接口是否指向tunnel接口，符合則將報文轉到隧道模塊進行封裝傳輸，當隧道遠端接收到數據報文后，分析IP頭獲知目的地址為自己，且協議號為47，則將報文交給GRE模塊進行解封裝處理，去掉IP頭和GRE頭，即可得到原來的私網數據報文。

（3）IPSEC隧道協議

IPSEC協議是一個網絡安全協議族，主要包括AH協議、ESP協議和IKE密鑰交換協議。IPSEC協議是通過在通信雙方的網絡層上進行數據加密和數據源認證等操作，從而保證網絡傳輸過程中數據的機密性、完整性、真實性和防重放。

IPSEC隧道封裝協議有AH（報文頭驗證協議）和ESP（封裝安全載荷協議）兩種，其中在IP報文頭中，AH協議號為51，ESP協議號為50。另外IPSEC協議封裝模式也有傳統模式和隧道模式兩種，相比傳統模式，隧道模式可以隱藏數據報文的原始IP頭信息，具有更好的安全性，但同時傳輸過程中也會占用更多帶寬。

采用隧道模式，AH協議封裝結構如下：

表3 AH協議封裝結構

將AH頭封裝在原IP頭和新IP頭之間，可以對包括新IP頭在內的整個報文進行數據驗證，實現了對數據的完整性、真實性和防重放的保護，但是AH協議不能完成對數據的加密工作。

采用隧道模式，ESP協議封裝結構如下：

表4 ESP協議封裝結構

ESPH報頭位于原IP頭和原始報文之間，同時在數據部分之后添加一個對稱的ESP尾，并將報文的驗證結果放在報文的最后。采用ESP協議，可以完成報文從ESPH到ESP尾的數據驗證，并實現對原始數據和ESP尾部數據的加密保護。

與GRE VPN類似，IPSEC VPN借助AH或ESP協議在隧道兩端的通過封裝和解封裝技術完成數據通道的建立，并在通道中進行私網數據的傳輸。

（4）SSL VPN隧道協議

SSL VPN是以SSL/TLS協議為基礎，利用標準瀏覽器內置支持SSL/TLS的優勢，對其應用功能進行擴展的新型VPN。SSL協議可以提供身份認證、機密性、完整性等安全技術，與IPSEC安全協議不同的是，SSL協議只對雙方傳輸的應用數據進行加密，而不是對全部數據都進行加密處理。

SSL協議結構如下：

表5 SSL協議結構

底層為SSL記錄協議是用于交換應用數據，主要負責對上層的數據進行分塊、壓縮、計算并添加MAC、加密等，最后把記錄塊傳輸給對方。

上層包括SSL握手協議（SSL Handshake Protocol）、SSL密碼變化協議（SSL Change Cipher Spec Protocol）和SSL警告協議（SSL Alert Protocol）。

（1）握手協議：客戶端和服務器通過握手協議建立一個會話，完成會話參數的配置，包括會話ID、對方的證書、加密算法列表、壓縮算法以及主密鑰等。當SSL客戶機和服務器第一次開始通信時，協議版本確定后，選擇加密算法和認證方式，并使用公鑰來生成共享密鑰。

（2）密碼變化協議：客戶端和服務器端通過密碼變化協議通知接收方，隨后的報文都將使用新協商的加密算法列表和密鑰進行保護和傳輸。

（3）警告協議：用于表示發生錯誤或兩個主機之間的會話終止時，向對方報告警告信息，消息中包含警告的嚴重級別及其描述等。

4 SSL VPN在高校網絡中的應用

SSL VPN主要功能包括虛擬網關、Web代理、文件共享、端口轉發、網絡擴展、用戶安全控制和完善的日志功能等。虛擬網關可以實現針對不同需求的用戶部署不同應用資源的模塊化管理；Web代理實現了無客戶端的頁面訪問方式，充分體現了它的易用性。與傳統的L2TP VPN、GRE VPN、IPSEC VPN等相比，SSL VPN的眾多優勢主要可以概括為以下三點：

（1）可以通過各種標準瀏覽器直接訪問VPN服務器，而不需要用戶安裝特定的VPN客戶端并進行復雜的配置；

（2）當用戶需要訪問內網應用資源時，必須通過SSL VPN接入訪問，對應用層資源起到了有效的安全保護；

（3）SSL VPN對有效認證用戶的訪問不局限于時間和空間，可以極大提升企業延展的效率。

對于高校師生來說，他們對VPN的需求集中體現在兩個方面，一是可以通過手機、筆記本等移動設備或移動網絡隨時隨地的接入內網資源；二是在一些特別時期和特定環境時，如放假后離校、下班后回到家里，可以正常的訪問校內資源，而不影響自身的學習或辦公。SSL VPN的特點很好地滿足了高校師生的以上需求，下面我們以某一高校為例來說明SSL VPN在高校網絡中具體的應用和部署。

部署SSL VPN的網絡拓撲結構圖如下圖1：

SSL VPN服務器旁掛在校園網出口防火墻上，需要為SSL VPN配置一個固定的內網IP地址，并在出口防火墻通過NAT技術將服務器映射到公網中，然后將允許外網訪問的資源添加到VPN服務器的資源組中。當外部用戶需要訪問內部資源時，用戶只需要在本地瀏覽器中輸入SSL VPN映射到公網的IP地址登錄VPN服務器，并通過Radius服務器的協同身份認證后，即可安全訪問VPN服務器授權范圍內的校園內部資源。

圖1 SSL VPN網絡拓撲結構圖

5 結束語

VPN隧道技術已經成為一種流行的網絡安全技術，一方面能夠為用戶在企業或高校外部訪問內部資源提供了極大便利，同時也保障了數據傳輸過程中的安全性。SSL VPN作為一種新型的VPN技術，避免了用戶使用VPN時對客戶端的復雜配置，可以有效地促進VPN技術的推廣和使用。隨著移動互聯網的高速發展和信息化應用的廣泛推進，VPN技術必將在遠程移動辦公和資源外網訪問等領域發揮重要作用，為用戶的學習和工作提供更優質的服務。

[1]周樹清.VPN技術綜述[J].電信快報，2005.

[2]蔣東毅，呂述望.VPN的關鍵技術分析[J].計算機工程與應用，2003.

[3]何寶宏，田輝.IP虛擬專用網技術第2版[M].北京:人民郵電出版社，2008.

[4]尹淑玲.SSL VPN技術及應用研究[J].計算機技術與發展，2013.

[5]張媛媛，李盛.VPN技術在現代企業網中的應用[J].電子技術，2017.