校园网建设改进方案研究.docVIP

校园网建设改进方案研究 　　摘 要：文章对校园网应用中的安全问题和区域问题进行了分析，通过分析对比专线连接方案、公网连接方案、拨号连接方案和VPN技术方案的特点，提出了采用VPN技术搭建校园网是成本低且有效提高安全性的方法。 　　关键词：校园网 拓扑 VPN 　　一、校园网问题分析 　　（一）校园网应用中的安全问题 　　对于校园网而言，它虽然给师生带来了资源共享的便捷，但同时也意味着具有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，重要数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息；不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪；利用网络传播计算机病毒等。尤其对于内部专有资源来说，如果直接对外开放，网络的不安全性将给教学及校园信息管理带来不可估量的损失。 　　（二）校园网应用中的区域问题 　　随着学校的发展、项目的合作以及文化的交流等，学校规模将不断扩大，不同校区要实现资源共享，同时师生们越来越多地走出校园，他们也可能需要用到校园内部专用网络资源。通过校园内部专有的拨号网络系统访问这些资源当然是一种解决方法，但是这种方法的缺点是速度慢、花费高、不安全。某校园网拓扑图如图1所示。 　　图1 某校园网拓扑图 　　二、校园网建设改进方案 　　通过对校园网应用中存在的问题的分析，发现校园网急需解决的问题是：第一，在最优性价比上选择方案，实现两个校区间的资源共享；第二，移动办公的师生可以方便、快捷地远程访问校园网专有资源，而不会给校园网带来安全隐患。由此，我们对可选的方案进行对比。 　　（一）专线连接方案 　　我校的两个校区可采取专线方式进行连网。这种连网方式的优点：连网速度快；网络相对安全。但缺点也是明显的，主要体现在以下几点： 　　1.连网费用巨大，不符合网络设计经济性原则。 　　2.性价比低，巨大的投入与所获得的网络性能不相匹配。 　　3.可扩展性差，当新增节点时，局部网络的变化，可能引起整体网络的重新配置，不符合网络设计的可扩展性原则。 　　4.专线看似安全，其实不然。因为专线中信息的传输一般不进行加密处理，信息在网络中以明文传输。封闭网络中的每个信息点都可能成为攻击服务器和重要信息点的隐患。另一方面，封闭网络即便能很好的管理所属的各个信息点不被非法利用，也不符合网络设计的开放性原则（特殊专用网除外）。 　　（二）公网连接方案 　　现在网络发展的趋势是所有的网络，无论是ATM、卫星网、无线网等的构建都向基于TCP/IP协议的网络发展，TCP/IP协议几乎成为Internet的统一实现标准，因此网络协议层次的安全性分析集中在TCP/IP协议簇上。但是TCP/IP的安全性令人不满。它最重要的安全问题是它们没有认证通信双方的真实性的能力，而且缺乏有效的认证机制。这主要是由于TCP/IP的安全和控制机制是依赖于IP地址的认证，然而一个数据包的源IP地址是很容易被伪造和篡改的。更严重的是网络控制特别是路由协议根本就没有认证机制。另一个主要缺点是TCP/IP协议没有能力保护网上数据的隐私性，数据是明文传输的，缺乏保密机制。这样，TCP/IP不能阻止网上用户对网络进行监听，因此就不能保证网上传输信息的机密性、完整性与真实性。使用这种连接方式，校园网的内部专有资源也将无法受到保护。 　　（三）拨号连接方案 　　拨号连接需要在南校区安装一台拨号服务器、一个调制解调器池和若干个电话连接，远程计算机使用调制解调器或ISDN拨号访问来连接校园网。通常，在需要对校园网进行短时间的访问时可以使用这种连接方式。这种连接方式易于使用，可借助广泛分布的电话线进行网络数据传输，因此通讯费用也不会很高。教师在家或出差在外需访问校园网内部资源时，上网地点位置分散、移动性强并且不需要永久连接。拨号连接的方法比较适合广大师生的远程办公需求。但通过拨号连接接入网络时，数据的传输速度和安全不能得到很好的保证[1]。 　　（四）VPN技术方案 　　虚拟专用网络（简称：VPN）利用公共网络来构建专用网络。所谓虚拟，是指用户使用Internet公用网络的数据线路来代替实际的物理数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络[2] 。校园网VPN技术方案可以通过公众IP网络建立私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，IPsec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术，但它们之间有很大的区别，