1 绪论
1.1课题研究背景
随着我国经济建设的进一步加强,教育事业近年来也有了突飞猛进的发展,各级各类学校招生人数逐年增多,学校规模逐步扩大,很多地区政府、教育主管部门均加大对教育事业的投入,纷纷新建校园,扩大学校办学规模,使得很多学校有多个校区,实行多校区管理。学校本部与各分校区之间需要随时通信;同时随着网络的普及,老师、学生、家长以及外出入员需要随时随地联入校园网。然而在使用过程中,可能造成泄漏或丢失重要的数据;没有经过过授权,使用了校园网的一些网络资源;用非法手段窃取数据或对数据进行非法操作。
校园网建设过程中应考虑的关键性问题是采用何种手段来更高速、安全的访问校园资源[1]。VPN(虚拟专用网)平衡了校园网适用性、安全性和价格优势的需求。利用共享的IP网建立VPN连接,可以使校园网减少对昂贵租用线路和复杂远程访问方案的依赖性。在校园网中运用VPN技术,不仅突破校园网的校园地域限制,而且可以使学校管理部门更好地管理和运用校园网。
VPN代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全与服务质量)和共享数据网络结构的优点(简单与低成本),建立安全的数据通道,能够提供远程访问、外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来企业传输业务的主要工具。
本课题所研究的东方学院的校园网,是一个中小型的校园网。东方学院共有两个校区,共用一条专线上网,东、西校区分别有十个、十六个上网区,财务部门(所在办公楼处)和图书馆需要建立VPN服务。
1.2 国内外研究现状
虚拟专用网(Virtual Private Network)即是指通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯所以得名虚拟专用网络[1]。
现在对VPN的研究,正处在一个高速成长的发展阶段。基于IPSEC的VPN是VPN发展的主流方向,安全VPN已成为计算机网络信息系统的重大发展方向之一。校园网作为Internet的一部分,为广大师生员工的工作、学习和信息交流提供了方便。一方面,它具有开放性,它可以让师生员工通过它的连接获得校内外大量信息;另一方面,校园网络也具有专用性,或者是它的一些特定资源只允许校园内的用户享用,或者是某些资源
1
对不同的用户具有不同的权限。
虚拟专用网(VPN)满足了各大高校对网络的灵活性、安全性、经济性、扩展性等多方面要求,赢得了越来越多学校的青睐,使学校可以较少地关注网络的运行与维护,更多地致力于为师生提供优良服务目标的实现。对于校园网网用户来说,IPSec VPN是一个公认的理想解决方案。IPSec是业界标准的网络安全协议,可以为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,从而有效抵御网络攻击,在一定程度上提高了网络的安全性。
下面简要介绍国外主要厂商的VPN解决方案及特点。
(1)Microsoft的解决方案是通过拨号网络连接到ISP,再通过Internet连接到一个PPTP服务器;或者使用拨号网络直接连接到ISP的PPTP隧道服务器,然后使用PPTP隧道服务器建立与其他公共网、企业局域网的隧道连接。Microsoft解决方案的优点是实现比较方便、成本较低。
(2)Cisco的解决方案包括若干技术:隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。其中基于硬件的集成式IPSec加密,把DES或3DES加密算法与IPPCP压缩结合起来,在加密之前实现数据压缩。另外,Cisco将防火墙、入侵检测系统和安全扫描程序三者配合起来,用户可以最大限度地保证他们VPN的可靠性和安全性。
(3)3COM针对不同用户的需求提供了3种VPN解决方案:全球Internet接人;虚拟专线;安全外联网。使用了IPSec协议和3 DES数据加密算法,任何用户都可以从3 COM的解决方案中找到适合自己的方案。
(4)Cabletron使用ISDN为本地按人的VPN解决方案,并采用L2TP和IPSec协议建立安全的隧道,利用DES协议对在隧道中传输的数据包进行加密和解密。这样傲的好处有:通信速率较高且有保证,费用低,可以利用ISDN的多业务的特点,在必要时直接利用ISDN在三地之间开视频会议或发传真。
VPN在我国必定有着光明的发展前景,但是就目前我国的现状来看,VPN短期内还不能在我国形成大的气候,原因如下。
(1)目前国内建网的企业数目并不很多.而且即使建网了,也没有很好的管理,在这样的情况下,企业的领导和网络主管们暂时不会有使用VPN的愿望;
(2)日前国内企业网络的共享资源不多,有的只是停留在简单小型数据库的共用上; (3)国内的ISP对VPN并未加以足够的关注,推广的力度还不够;
(4)国内主干网的带宽并不足够用于发展VPN业务。目前中国网络用户数每年将翻两翻,而带宽的增长趋势却远不及用户数的增长。在无带宽优势的情况下,VPN的QoS优势也必然无从发挥了。
2
1.3 VPN技术应用于校园网的重要意义
在校园网上引入VPN技术,利用公共通信线路保持传输的信息和数据的隐蔽性和安全性是一个很好的选择。通过在多校区校园网中引入VPN技术,结合校园网的具体特点,使得校园网的功能得到应有的运用和放大。
VPN技术的目的就是利用公共通信网络在相同的安全策略下将某些具有共同利益的网络、主机连接成一个可以自己管理的的网络。这种“专用”的网络,无需额外投资建立和维护相关远程通信线路和网络设备,同时可以对通过公共通信区域的信息和数据内容保持相应的隐蔽性。也就是说,可以利用VPN技术在公共通信网络基础设施中提取出组织机构内通信的某些部分,在利用公共基础设施(带宽、转发或中继设备等)的同时,使通信的部分或全部在外部无法观察到。相对专用网,VPN技术的引入可以大大降低成本;相对因特网通信,VPN又具有很好的隐蔽性和安全性。
VPN代表了当今网络发展的新趋势,将是各类学校、机关、企业等组成内联网、外联网和实现远程接入网的基本的、主要的方法。
1.4 本文主要研究内容
论文首先从基于VPN技术实现校园网组网的重大意义、必要性、目前国内外对VPN技术在校园网应用方面的发展现状等术做了全面的介绍,然后对与VPN技术相关的理论知识予以介绍,并对VPN技术进行了相关的论述、分析和比较,包括VPN简介、VPN工作原理、VPN中的关键技术(L2TP VPN、IPSec VPN、BGP/MPLS VPN、SSL VPN等),并详细分析了基于IPSec协议的VPN技术,IPSec VPN引进了完整安全机制,包括加密、认证、数据防篡改功能,通过包封装技术,利用Internet可路由地址,封装内部网络IP地址,实现异地网络互通。IPSec VPN从成本和技术上综合考虑,都比较适合中小型校园网。最后,结合东方学院校园网具体情况,介绍了VPN产品需求分析与产品选型,提出将VPN技术应用于多校区校园网的实现方案。在VPN设备领域,生产厂商众多,有国际知名的大厂商,也有国内新兴的小公司,产品有集中器、路由器、网关、防火墙等,从高端到低端,各自有各自的特点。面对林林总总的VPN技术、品种繁多的VPN产品,如何根据自己的实际情况构建适合多校区校园网的VPN网络尤其显得重要[3]。
2 VPN技术剖析
2.1 VPN简介
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专
3
用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN技术是依靠因特网服务提供商(ISP)或其它网络服务提供商(NSP),在公共网络中建立专用的数据通信网络的技术。虚拟专用网并非真正意义上的专用网络,但其却能实现专用网络的相应功能。在虚拟专用网中,任意两个节点之间并没有传统专用网所需的端到端的物理链路,而是利用某些公共网络的资源动态组成的。利用虚拟专用网的隧道技术、认证和加密技术,能够在一种不可信、不安全的网络上为两个单独实体之间建立一条安全可信的专用信道。它使企业网络延伸到全国乃至全球,从而以安全、经济的网络互联模式为各式各样的应用服务提供了安全、优质的网络平台。
2.2 VPN工作原理
VPN网络就相当于在公网上形成了一条隧道,而隧道是由隧道协议形成的,与各种网络是依靠相应的网络协议完成通讯没有区别。
普遍采用的隧道协议主要有三种,即基于第二层的PPTP协议和L2TP协议,基于第三层的IP安全协议IPSec。
数据PPTP协议在一个已存在的IP连接上封装PPP会话,而不管IP连接是如何建立的,也就是说。只要网络层是连通的,就可以运行PPTP协议。PPTP可看作是PPP协议的一种扩展,只是使用PPP建立拨号连接。PPTP使用PPP协议的PAP或CHAP进行认证,另外也支持Microsoft公司的点到点加密技术(MPPE)[2]。
L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。L2TP隧道建立在L2TP访问集中器LAC和L2TP网络服务器LNS之间,对系统透明[6]。LAC负责将PPP帧封装在L2TP帧中,通过隧道传给LNS,LAC是入站呼叫的发起者,出站呼叫的接收者,是L2TP协议的客户/服务模式的客户端。LNS负责建立、维护、释放隧道,同时是入站呼叫的接收方和出站呼叫的发起者。PPTP和L2TP都是通过拨号建立连接,如图2-1所示。
4
图2-1 PPTP&L2TP建立拨号连接
IPSec较好地融合了加密、认证、访问控制等多种安全技术,通过查询SPD决定对接收到的IP数据包的处理。为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理,分别由AH、ESP和IKE三个协议进行规定。IPSec对IP数据包进行的加密或者认证工作存在两种模式:传输模式和隧道模式。传输模式只对I P数据包的有效负载进行加密或认证,继续使用初始IP头部,只对初始JP头部的部分域进行修改,IPSec协议头部插入到初始I P头部和有效负载之间。隧道模式对整个l P数据包进行加密或认证。要保护的整个IP包都封装到另一个I P数据包里,同时在外部与内部IP头之间嵌入一个新的IPSec头,IPSec头部被放在新产生的IP头部和初始IP数据包之间,从而组成一个新的IP头部。
2.3 VPN关键技术
VPN具有专线连接的专用、安全、保密、高性能等特点,通过对数据包的头部信息和有效的封装加密来保证数据包安全性,通过散列功能的处理保证数据的完整性。构建一个VPN,需要解决的关键技术包括隧道技术、加解密技术、密钥管理技术和身份认证技术,如图2-2所示。
5