VPN 技術在雙校區校園網建設中的應用研究

李軍旺 LI Jun-wang

（岳陽職業技術學院，岳陽 414000）

1 VPN 技術

VPN 是虛擬專用網的簡稱，是一種利用共享的公共網絡搭建虛擬的專用網絡的技術。因傳輸數據的通道是運用“隧道”技術虛擬出來的，所以稱為虛擬網。VPN 網絡僅供合法的VPN 用戶專門使用，因此稱為專用網。與其他專用網絡相比，運用VPN 技術實現遠程訪問，安全性、可靠性有保障且成本低、組網靈活、易于擴張、維護方便，因此得到了廣泛的應用[1]。

2 VPN 的關鍵技術

一條VPN 連接一般包括客戶機、隧道和服務器三個部分。其工作過程一般是客戶機將明文信息發送到與之相聯的VPN 設備，VPN 設備根據預先設定的規則，判斷是否對其進行加密處理，對需要處理的數據，VPN 設備根據規則進行加密、認證并封裝成一個新的數據包，新的數據包通過公網傳輸到達目標VPN 設備時，數據包被解封、認證、解密，還原成原始明文信息發送給服務器。VPN 工作過程如圖1 所示。

圖1 VPN 工作過程

工作過程涉及的主要技術有隧道技術、認證技術、數據加密技術以及訪問控制技術[2]。

2.1 隧道技術

所謂隧道是指通過封裝、解封裝技術在收、發雙方之間建立的一條虛擬的數據傳送通道。隧道技術是一種數據包封裝技術，包括數據封裝、傳輸和解封裝的全過程。它是將用戶數據包以數據凈荷的形式封裝成另一個數據包，然后通過隧道發送。中間的路由過程由新的數據包的包頭決定，到達目的地后再通過解封恢復原始數據包。

隧道是由隧道協議形成的，為了建立隧道，通信雙方采用的隧道協議必須相同。一個隧道協議包括乘客協議、封裝協議、承載協議三種協議。乘客協議是被封裝進數據包中的協議。封裝協議的功能就是建立、保持以及拆除隧道等。承載協議是承載經過封裝后數據包的協議等。

2.2 認證技術

包括身份認證與數據認證。在隧道啟動前，要對用戶的身份進行認證，確保只有合法的用戶才可訪問系統，不同權限的用戶訪問不同的資源。常用的認證方式有用戶名+密碼、USB KEY 等。數據認證技術主要采用摘要技術，利用Hash 算法理論結果的唯一性和不可逆性，判定數據在傳輸過程中是否被篡改。

2.3 數據加密技術

數據被封裝入隧道時進行加密，到達目的地后解密。加密是利用數學方法將明文轉換為密文的過程。加密技術確保數據在隧道中傳輸過程中不被非法竊取，或者即使被竊取不明白信息的含義。加密或解密時用到的參數稱為密鑰。加密、解密采用同一密鑰，稱為對稱加密。加密與解密采用不同的密鑰稱為非對稱加密。

2.4 訪問控制技術

通過訪問控制技術確保只有授權的用戶才能訪問系統資源，不同權限的用戶訪問不同的資源，未授權用戶不能訪問資源。

3 常用VPN 技術研究

3.1 IPSec VPN

IPSec 不是某一種具體的協議，而是IETF 為保證IP層的安全通信（端到端IP 報文交互的真實性、完整性、機密性、抗重放性）而制定的協議簇。

3.1.1 IPSec VPN 體系結構

IPSec 協議基于安全策略對不同的數據包采取不同的保護措施。IPSec VPN 體系結構主要涉及AH（報文頭驗證協議）、ESP（封裝安全載荷協議）和IKE（因特網密鑰交換）三個協議。AH 的主要功能是數據完整性校驗、數據源驗證、防報文重放。ESP 除提供數據完整性校驗、數據源驗證、防報文重放功能外，還提供加密功能[3]。IKE 是IPSEC的信令協議，主要功能是自動協商密鑰、更新密鑰、安全參數如何協商等。IPSec VPN 體系結構如圖2 所示。

圖2 IPSec VPN 體系結構

3.1.2 工作模式

對IP 數據包，IPSec 可以加密，也可以進行認證，還可以同時進行認證和加密。其工作模式有兩種，傳輸模式和隧道模式。在傳輸模式時，IPSec 報頭插入IP 頭部與TCP頭部之間，同時IP 報文中的協議字段數值改為50 或者51（50、51 是IPSec 的協議號）。

傳輸模式下的報文格式如圖3 所示。

圖3 傳輸模式下報文格式

在隧道模式時，IPSec 報頭插入在原IP 頭部的前面，IPSec 報頭與原IP 分組一起被當作有效載荷的一部分封裝在新的IP 報文中，這樣原IP 頭信息被隱藏起來，安全性更好。但因要插入一個額外的新IP 頭部，故需要占用更多的帶寬[4]。隧道模式下報文格式如圖4 所示。

圖4 隧道模式下報文格式

3.2 SSL VPN

SSL（安全套接層）是一種基于WEB 應用的安全協議。SSL 提供的服務一是對數據進行加密。二是確保收到的是沒有更改的數據。三是對用戶和服務器的身份進行驗證，以確保收到數據是正確的客戶端和服務器。認證采用數字證書，包括單向認證和雙向認證兩種。單向認證只需在服務器端安裝SSL 證書，任何用戶都可以去訪問。通常，基于Web 的應用程序使用SSL 單向身份驗證。SSL 雙向認證要求服務端和客戶端都具備CA 證書，在協議認證過程中，客戶端和服務端會彼此校驗對方的證書是否有效。使用雙向認證可以加密被傳輸的信息，防止信息泄露，還可以在一定程度上增加服務端的信任度。

3.3 MPLS VPN

MPLS 是多協議標記交換的簡稱，采用標記（Label）交換且支持多種鏈路層與網絡層協議。MPLS VPN 是MPLS技術應用的一個分支，通過IP 骨干網絡構建公司或企事業單位IP 專用網絡，以實現跨區域、高效、可靠、安全的多業務通信。MPLS VPN 網絡通過在報文中插入Label 來區分數據流，一個Label 與一個用戶數據流相對應，很容易實現隔離。各數據包根據Label 進行轉發，當到達VPN 的邊緣時，再由三層設備完成路由。MPLS VPN 主要包括運營商網絡與用戶網絡二個部分，如圖5 所示。

圖5 MPLS VPN 組成

其中運營商網絡是MPLS 的骨干網，由運營商管理并提供服務，P（Provider）路由器根據標簽（Label）進行分組的交換或轉發，無需維護VPN 信息，僅需具備基本MPLS 轉發能力即可。CE（Custom Edge）是用戶網絡的邊緣路由器，由用戶配置，可以不支持MPLS。PE 路由器是運營商網絡與用戶網絡通信的橋梁，PE 路由器中不僅包括骨干網絡的路由信息，也包括每一個VPN 的路由信息，必須支持MPLS 且要開啟MPLS 功能，VPN 配置與處理主要在PE路由器中完成。

3.4 各種VPN 技術比較

①IPSec VPN 優點是只需在客戶端的網關上進行部署，因此可以快速部署并投入使用；支持預共享秘鑰驗證或證書認證，因此安全性高。缺點是僅支持IP 封裝，不支持其他協議；需要特定的客戶端支持不太適合移動用戶；配置復雜，因此對管理人員的技術要求比較高；工作在第三層，很難穿越NAT 和防火墻，訪問一些安全措施較嚴密的系統時，容易出現訪問受阻的情況[5]。

②SSL VPN 優點是只要有支持SSL 的瀏覽器，無需安裝、配置客戶端就可以使用VPN；封裝的是應用層數據，因此能繞過防火墻和代理服務器訪問內網資源；支持用戶名/密碼或證書認證，能夠實現端到端的安全；可以對遠程接入用戶進行較精細的資源訪問控制。SSL VPN 的缺點是不能對通信雙方的主機間通信進行加密，只能對某個應用通道進行加密，故對資源提供的安全保障有限。

③MPLS 是天然的隧道，丟包率、時延有保障，無需配備專用的VPN 設備，只使用一般的路由器就可以構建VPN。但MPLS VPN 一般由一家運營商提供的，跨運營商互聯互通不理想，不支持用戶認證和數據加密。

4 VPN 技術在雙校區校園網建設中的應用

4.1 雙校區校園網建設需求

某高校有東西兩個校區，近年來，隨著教育信息化的發展，數字校園上部署了與教學、學籍、辦公、財務、人事、科研以及管理有關的多種應用系統，由于前期規劃的問題，各種流量均通過專線傳輸，核心設備壓力大。整個校園網可擴展性不強，每增加一項新業務，IP 地址的重新規劃、網絡設備的配置都比較麻煩，運維難度大、安全隱患多。網絡改造后，一是要求用戶接入方便、靈活，通過認證的師生能在校園內、外隨時隨地接入內部網絡，進行成績查詢、圖書館資源訪問；二是校園網的基礎架構要有一定承載性，滿足一定的在線教學、視頻會議的需求，要求具備高帶寬、高穩定性；三是要采用統一的安全策略，確保內網安全以及Internet 訪問安全[6]。

4.2 雙校區校園建設方案

根據建設需求，結合前文VPN 技術的研究與分析，提出了一種IPSec+MPLS+SSL 的方案，東西兩校區之間的互聯通過MPLS+IPSec 兩種VPN 技術相結合的方式。SSL VPN 服務器部署在西校區，以滿足教職工、學生的校外訪問與移動終端訪問。用eNSP 進行模擬測試，拓撲結構如圖6 所示。

圖6 雙校區數字校園拓撲圖

IP 規劃如下：校園網各業務、SSL VPN 服務器全部部署在西校區，IP 地址為：192.168.137.0/24；出口路由器IP為172.18.1.1/24、SSL VPN 的IP 為192.168.1.2/24。東校區IP 為：198.168.1.0/24，出口路由器IP 為：172.18.2.1/24。

4.3 VPN 配置關建代碼

IIS VPN 采用圖形界面進行配置。MPLS VPN 配置時，PE 及PE 兩邊接口都啟用MPLS、創建MPLS LDP，具體配置過程比較簡單，這里省略。西校區路由器IPSEC VPN 配置關建代碼如下：

4.4 測試

使用ping 命令進行連通性測試，表明鏈路情況良好。

5 總結

在對比及分析常用VPN 技術優缺點的基礎上，為雙校區校園網建設提出了一種IPSec+MPLS+SSL 相融合的方案，該方案綜合了IPSec、MPLS、SSL 技術的優點，經過eNSP模擬組網測試，該方案在保證安全的基礎上，用戶接入方便、靈活，有一定的擴展性，較好地滿足了校園網設計需求。