VPN在高校校园网中的应用_计算机论文.docVIP

VPN在高校校园网中的应用_计算机论文 VPN在高校校园网中的应用_计算机论文 摘要 文章对VPN的基本概念，VPN的工作原理及实现VPN的关键技术—隧道技术进行了阐述，结合学校校园网的VPN实际解决方案，对VPN的配置及应用做了相应的描述。文章介绍了校园网的网络拓扑，在网络核心设备Cisco6513上的VPN配置，并描述了VPN在防火墙上的配置，以及VPN在我校校园网中的实际应用。文章重点介绍VPN如何在核心设备上进行配置，配置时的注意事项，技术特点，技术难点等问题。 关键词 虚拟专用网络；隧道技术；数据加密；VPN 1 引言 在传统的组网方案中,如果要进行LAN之间的远程互连,除了租用较高速率的DDN专线或帧中继之外,并没有更好的解决方法。而对于流动用户及远端客户与企业网的远端接入来说,传统的方法是以拨号线路拨入企业网所使用的各自独立的接入设备。这对一些连网距离比较远的单位来说,产生了不可避免的高额租用费。然而，VPN的解决方法正好能克服上述问题，并以自身的优势为广大的网络用户提供服务。 目前，我校校园网的移动OA和远程网络管理的解决方案就是利用VPN技术实现的。 2 VPN基本概念 VPN是建立在实际网络(或称物理网络)基础上的一种功能性网络,是一种专用网的组网方式,它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网络。所以,可以说它是一种逻辑上的专用网络，也就是说VPN依靠网络服务供应商，将企业的内部网与公共网络建立连接，在公用网络中建立起内部网络间的专用数据传输通道（隧道），而这类专用通道并非真实的物理专用线路，只是在现有的公用网络中临时搭建的，因而它又是一种虚拟专用网。 事实上，VPN的效果相当于在Internet上形成一条专用线路（隧道），从作用的效果看，VPN与IP电话类似，但VPN对于数据加密的要求更高。VPN由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送。数据加密和用户认证则包含安全性的两个方面：数据加密保证敏感数据不会被盗取，用户认证则保证未获认证的用户无法访问内部网络。 3 VPN工作原理 VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听。 (1) 第二层隧道协议 L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设施(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。目前,Internet中的拨号网络只支持IP协议,而且必须注册IP地址而L2TP可以让拨号用户支持多种协议,并且可以保留网络地址,包括保留IP地址。利用L2TP提供的拨号虚拟专用网服务对用户和服务提供商都很有意义,它能够让更多的用户共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,用户在非IP网络和应用上的投资不至于浪费。 (2) 第三层隧道协议 IPSec是将几种安全技术结合在一起形成的一个较完整的体系,它可以保证IP数据包的私有性、完整性和真实性。IPSec使用了Diffie-Hellman密钥交换技术,用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IPSec协议定义了如何在IP数据包中增加字段来保证其完整性、私有性和真实性,这些协议还规定了如何加密数据包:Internet密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IPSec定义了两个新的数据包头增加到IP包上,这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IPSec认证包头协议来完成,数据的加密性则由安全荷载封装协议来实现。 4 我校校园网VPN解决方案 我校共有两个校区：老校区和新校区，两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连，Cisco6513又与边界出口Cis