IVPN在校园网中的应用研究.docVIP

VPN在校园网中的应用研究 [摘要] 本论文主要探讨虚拟专用（VPN）技术在校园网中的应用研究，首先对VPN技术原理、VPN技术分类、VPN技术优势和主要技术进行分析和总结；其次，对VPN在校园网应用中应考虑因素、网络设计要点及所采用的各大技术性能比较；最后，根据我校网络情况提出IPSec/SSL一体化VPN应用方案，并对该方案的工作过程及要点作深入探讨。 [关键词] VPN技术、校园网、IPSec、SSL、IPSec/SSL一体化。 引言 近年来，各高校校园网建设步伐不断加快，同时面临着校园网规模扩大，甚至是跨地域分布，且远程教育也越来越普及。这使得校园网的应用和管理面临着很大的技术和经济压力，给校园网建设和维护增加了很大的难度，特别是如何高效、安全、低成本地传输数据，给校园网建设提出了一个难题。如何使地理及物理上分布分散的若干校区网络能从逻辑上有效集成，实现资源有效共享，这些问题成为制约高校校园网建设和发展的一个瓶颈。 本文从这一问题出发，通过对VPN技术的具体分析和研究，并针对我校校园网情况提出了一种采用IPSec/SSL一体化VPN技术解决我校校园网建设的方案。 1 VPN概述 （1）VPN简介 虚拟网VPN(Virtual Private Network) 是）远程访问VPN通常使用隧道模式在低带宽或者带宽连接之间应用。因此远程访问连接，流量需要从源到某些中间设备之间被保护，它可以验证被保护的信息，真正的目标将会收到被保护的信息。 这就要求，远程访问用户需建立一个IP数据包，这个数据包的源地址是内部地址，而目标地址是总部网络设备的地址，这个数据包的VPN信息被封装和保护，并且添加一个外部的IP头。在外部的IP头中，源地址是远程访问用户的ISP分配的NIC地址，而目标地址是VPN网关。VPN网关接收到被保护的数据包，就会验证这个数据包，解密封装的数据包，并检测是否需要转发。 ） 图6.1 星形拓扑图（…虚线代表一个VPN连接） 图6.2星形拓扑冗余设计（…虚线表示一个VPN连接） 7 VPN实施技术 下面我们来讨论下VPN常见的实施方法及其实施的优缺点，这些方法包括GRE、IPSec、PPTP、L2TP、MPLS、SSL。 ( 1 )GRE 通用路由封装（GRE））psec VPN 是在两个局域网之间通过Internet建立安全连接，保护的是点对点间的通讯，并不局限于web应用，还能构建局域网之间的虚拟专用网络，功能和应用的扩展更强。故Ipsec VPN适合校区间点对点连接。因此，这种集成的VPN解决方案充分发挥了Ipsec VPN和SSL VPN的各自优势，能更好的满足校园网的多种需求。 10 IPSec/SSL实现过程 那么，在校园网中部署Ipsec/SSL一体化VPN，它们又是如何工作的呢？ 10.1 IPSec实现过程 IPSec技术原理可以表达为其连接的五个步骤： （1）IPSec对等体发起会话，触发IPSec感兴趣流量，并在对等体中配置安全策略 （2）IKE阶段1，IKE鉴别IPSec对等体并协商IKE安全关联（SA），为阶段２中的IPSec安全关联（SA）协商建立安全通道。 （3） IKE阶段2--IKE协商IPSec安全关联参数，并在对等体中建立相匹配的IPSec安全关联（SA）。 （4）数据传输—基于保存在安全关联数据库中的IPSec参数和密钥，在IPSec对等体间传送数据。 （5）IPSec隧道终止--IPSec安全关联（SA）因被删除或超时而终止。 简单点说就是：发起对等体会话→协商安全关联（SA）构建安全通道→协商安全关联参数→传输数据→隧道终止。 10.2 SSL实现过程 SSL协议是基于Web应用的安全协议，它指定了在应用程序协议（如HTTP/Telnet和FTP等）和TCP/IP协议之间进行数据交换的安全机制，为连接提供数据加密、服务器认证以及可选的客户机认证。 作为应用层协议，SSL使用公开密匙体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不能保证信息的不可抵赖性。SSL安全协议主要提供三方面的服务： 认证用户和服务器，使得它们能够确信数据将被发送到正确的客户服务器上； 加密数据以隐藏被传输的数据； 维护数据的完整性，确保数据在传输过程中不被改变。 它是由SSL记录协议、握手协议、密匙更改协议和警告协议组成，。它们共同为应用访问连接提供认证，加密和防纂改功能。其协议栈如图10.1： 图10.1 SSL协议栈 SSL协议的主要用途是在两个通信应用程序之间提供机密性和可靠性，这个过程通过三个协议来完成：握手协议、记录协议和警告协议。且在SSL通信中，服务器方使用443端口，而客户方的端口是人选的。 11 IPSec/SSL 一体化VPN校园网方案 下面本文将结合