-VPN在校园网中的应用研究-毕业(学术)论文设计.docVIP

河池学院2011届本科毕业论文（设计） PAGE PAGE 13 VPN在校园网中的应用研究 [摘要] 本论文主要探讨虚拟专用（VPN）技术在校园网中的应用研究，首先对VPN技术原理、VPN技术分类、VPN技术优势和主要技术进行分析和总结；其次，对VPN在校园网应用中应考虑因素、网络设计要点及所采用的各大技术性能比较；最后，根据我校网络情况提出IPSec/SSL一体化VPN应用方案，并对该方案的工作过程及要点作深入探讨。 [关键词] VPN技术、校园网、IPSec、SSL、IPSec/SSL一体化。 引言 近年来，各高校校园网建设步伐不断加快，同时面临着校园网规模扩大，甚至是跨地域分布，且远程教育也越来越普及。这使得校园网的应用和管理面临着很大的技术和经济压力，给校园网建设和维护增加了很大的难度，特别是如何高效、安全、低成本地传输数据，给校园网建设提出了一个难题。如何使地理及物理上分布分散的若干校区网络能从逻辑上有效集成，实现资源有效共享，这些问题成为制约高校校园网建设和发展的一个瓶颈。 本文从这一问题出发，通过对VPN技术的具体分析和研究，并针对我校校园网情况提出了一种采用IPSec/SSL一体化VPN技术解决我校校园网建设的方案。 1 VPN概述 （1）VPN简介 虚拟专用网VPN(Virtual Private Network) 是指通过特殊的加密通讯协议，利用Internet/Intranet等公网资源使得连接在不同地域的多个内部网之间，构建成一条专用安全的通讯线路。这种技术是依靠因特网服务提供商（ISP）或其他网络服务提供商（NSP）在公共网络中建立专用的数据通讯网络技术。它是一种虚拟产生的功能性专用，但却能实现不同网络设备和网络资源的相互连接，为用户构建专用隧道，并提供与专用网络一样的安全服务，但比构建专用网更方便网络管理和维护，且成本更低廉。 （2）VPN技术原理 首先主机把信息发送到VPN网关， VPN网关对信息进行处理（如加密或添加数字签名等）并把各种网络协议（IP、IPX、APPLETALK等）通过隧道协议在二层或者IP层进行封装，封装后的IP数据包通过IP网络传输至网络的VPN网关或终端，然后再进行解包操作，并进行相关处理（如完整性，验证等）。整个隧道的处理过程对网络上的其他设备是高度透明 2 VPN连接模式 VPN有两种基本类型的连接模式：传输模式和隧道模式，它们用在设备之间传输数据并定义了两台实体设备之间传输数据时基本的封装过程。 2.1 传输模式 传输模式连接用于在设备的真正源和目的IP地址之间传输数据时使用。在传输模式中，实际的用户数据被封装在一个VPN的数据包中。 需要注意的是，在传输模式中，如果VPN保护的数据包被窃听攻击所检查，攻击者将会知道通信中实际源和目标设备，且传输模式不具备很好的扩展性，不适合于多台设备在不同区域的通讯方式。如果你正在使用加密作为VPN的一种保护方法，攻击者将不能解密在VPN设备之间传输的实际的负荷。 2.2 隧道模式 在隧道模式中，实际的源和目标设备通常是不保护流量的，相反，某些中间设备（如VPN网关）用于保护这些流量，且隧道模式弥补了传输模式不具备很好扩展性这一不足。 隧道模式的工作原理是，本地设备将IP数据包转发到本地VPN网关，当VPN网关接收到ip数据包后，VPN网关会封装这个带有VPN保护信息的数据包，可能是加密原始的整个ip数据包，下一步，VPN网关将这个信息放入到另一个ip数据包中发送出去。此外隧道模式还能提供一些比传输模式更优越的特性，如扩展性、灵活性、隐藏了通讯、使用私有地址和使用现有的安全策略。 3 VPN构成分类 3.1 远程访问虚拟专用网（acces VPN） 远程访问VPN通常使用隧道模式在低带宽或者带宽连接之间应用。因此远程访问连接，流量需要从源到某些中间设备之间被保护，它可以验证被保护的信息，真正的目标将会收到被保护的信息。 这就要求，远程访问用户需建立一个IP数据包，这个数据包的源地址是内部地址，而目标地址是总部网络设备的地址，这个数据包的VPN信息被封装和保护，并且添加一个外部的IP头。在外部的IP头中，源地址是远程访问用户的ISP分配的NIC地址，而目标地址是VPN网关。VPN网关接收到被保护的数据包，就会验证这个数据包，解密封装的数据包，并检测是否需要转发。 3.2 企业内部虚拟专用网（Intranet VPN） Intranet VPN即企业总部网络与分支机构间网络通过公网来构建虚拟网，以解决内联网结构安全和连接安全、传输安全，并实现企业内部的资源共享、文件传输等，以便节省构建DDN等专线所带来的高额费用。同时，企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。 3.3 扩展企业内部虚