基于IPsec VPN 的校园网络建设

基于IPsec VPN 的校园网络建设

随着国民经济的不断发展，高校不断扩大招生规模，大众教育和高等教育距离不断缩小。各高校不断扩大规模，形成了老校区和多个新校区的发展格局，各个校区之间需要相互通讯，相互交换信息。在保障通讯安全的前提下，同时节约构建网络的费用，从而引入了IPsec VPN技术。

标签：安全；校园网；IPsec VPN

1 IPsec VPN技术

使用不同的技术，可以构建不同方式的VPN，例如，要想在第二层上实现VPN功能，就得使用L2TP技术来构建VPN。如果要在第三层上实现VPN功能，就可以使用IPSec技术来构建VPN。要在第四层上实现VPN功能，就可以使用SSL技术来实现VPN。

L2TP是针对第二层的技术，其上层网络层仍然使用IP协议进行传输，L2TP对数据进行封装，再把封装好的数据使用PPP进行协议封装。L2TP技术可以应用在X.25虚拟电路（VCs）、IP（使用UDP）、桢中继永久虚拟电路（PVCs)或ATM VCs网络上。在L2TP技术中，支持两端之间建立多条隧道，并对隧道进行验证，因此可以针对不同的服务要求建立不同的隧道。L2TP有两种信息类型，分别是控制信息和数据信息。其中数据信息用于封装数据；控制信息负责隧道的建立、维持，以及隧道的释放。

IPSec是针对第三层网络层的技术，IPSec VPN可以使用在IPv4 网络中，也可以使用在IPv6网络中，IPSec VPN在Internet中实现不同地方不同网络之间的虚拟连接，很好的解决了网络通讯的安全性问题。在IPSec VPN组网模式中，可以实现不同校区之间建立连接，普通用户接入，以及不同合作学校之间建立连接。使用IPSec VPN构建的网络，可以建立在任意基础网络之上，用于实现安全的端到端的通讯连接，即在两个异地网络之间构建安全的通讯连接，只要在这两个网络的出口上部署IPSec网关设备，而不管这两个网络之间是使用何种广域网。部署IPSec VPN是一件比较简单的事，只需网络边缘设备支持IPSec协议即可。因此，IPSec VPN非常适合用户在公共IP网络上构建虚拟专用网络，IPSec最大的一个优点就是可以使用共享网络访问设备，甚至可以在所有的服务器和主机上实现，这样避免了网络升级所带来的麻烦，因为其他资源的升级不会影响IPSec VPN的正常使用。IPSec具有较高的安全性，可以实现安全的端到端的服务，其在网络层实现了加密、认证、访问控制等多种安全技术。

SSL (Secure Socket Layer安全套接字层) 是针对第四层应用层的技术，Netscape 公司开发这个协议软件的目的是保护HTTP 协议, 然而任何一种基于TCP 协议的应用都可以使用这个协议来保护。SSL是在Socket层上实施的安全策略，因此可以在SSL基础之上构建VPN，这样就可以针对每个具体的应用来实施安全保护,比如可以利用SSL来实现对WEB应用的安全保护。SSL 构建VPN

由两部分组成，一台服务器和若干客户端软件，服务器端建立一台SSL服务器，用于接收各个分布的SSL客户端。这种应用模式有点类似IPSec VPN 中的Access VPN 模式，假如在网络环境中我们只有B/S或者C/S架构的应用，各个网络中的计算机之间不需要相互访问，则我们可以选择SSL来构建简单的VPN。这种应用模式应用的比较普遍，比如银行提供的网上银行，中小企业中的ERP等都是这种应用。

2 IPSec VPN 的安全

IPSec 协议是工作在网络层协议的一种安全协议，它是为保障IP 通信安全而提供的一系列协议簇[3]。IPSec为了让数据完整、安全和合法的通过公共网络，设计出了一整套加密、隧道和认证方案。RFC 2401[4]中具体描述了IPSec的基本结构，它由安全认证头（AH）和封装安全负载（ESP）来实现对数据的加密和认证。AH只提供认证服务，ESP不仅提供认证服务还提供加密服务。

IPSec有两种工作模式，一种是通道模式，另一种是隧道模式。ESP和隧道模式相结合，其认证和加密的安全性要比ESP和传输模式相结合的安全性强，然而隧道模式要比传输模式所使用的带宽多，因此在带宽不足的情况下，使用传输模式要比使用隧道模式好。另外，相比而言，AH传输模式的安全性高于ESP隧道模式，然而ESP隧道模式还可以提供一定的数据流保密服务，AH则不具备这个特点。

3 基于IPSecVPN 的校园网互联

IPsec VPN工作在网络层，为上一层应用层服务，因此IPsec VPN不用管上层应用层使用的是什么协议，一律使用自己的信息封装原始IP信息。只要在两端建立加密隧道，就能实现各种类型的应用，如文件传输、WEB、通讯、电子邮件等，IPsec VPN支持所有IP协议，对应用层协议来说是透明的，这是IPsec VPN的最大优点。

3.1 用户分类

使用校园网资源的用户主要分为三种情况，第一部分是在主校区的用户；第二部分是在分校区的用户；第三部分是出差用户、移动办公人员、与学院有合作的外部单位，以及校外居住员工等分散用户群。

3.2 校园区规划

主校园区集成学校各种资源，如：各种办公信息系统、图书馆资源、期刊数据库、校内各种软件下载、教学资源平台、视频点播系统等内部系统。用户群二，用户群三需要使用这些校园网资源。

主校区使用一个具有VPN功能的路由器，通过电信连入Internet。设置两个VPN功能，与分校区的连接使用LAN TO LAN 方式，用户群三使用DMVPN方

式。分校区同样使用一个具有VPN功能的路由器接入Interne，对于分校区路由器只需使用LAN TO LAN 方式。这样设置之后，分校区用户就能通过路由器快速方便的访问主校区信息资源，而无需验证，验证由路由器完成。对于用户群三而言，通过验证之后也能方便的访问校园网数据。

通过对合法设备和用户的规划进行分类，区别其访问方式，这样就能很好的控制这些用户的访问，有效的解决了这些设备（路由器）和用户访问校园网资源的安全性，正确性，以及访问资源的合法性。同时也保持了各类用户的相对独立性，并保留了主校区，以及分校区原有网络的高可用性，控制性和高安全性等优势。通过正确的配置VPN，确保了合法用户能够正确安全的访问校园网资源，同时也为出差用户，有业务往来单位等非园区用户访问校内资源提供了方便快捷的手段。由于校园网资源相对集中在主校区，对于这些资源的集中管理比较方便，同时各园区之间无需专线就能相互访问，这样极大的节约了校园网络建设资金。

4 结束语

虽然IPSec技术还存在一定的不足之处，比如，使用IPSec往往会降低设备的性能，网络设备需要去处理IPSec的隧道、加密等，从而降低了系统处理其他数据的能力。还有一个不足之处，在使用IPSec时，不同的设备厂商之间存在一定的兼容问题,有时甚至出现不能相互通信的现象。

使用IPSec技术代替专线连接，可以大量的节约固定线路的租用费。各个分校只需承担本地接入Internet的费用，不管距离多远，费用都一样。同时IPSec还具有较高的安全性，专线是不对数据进行任何加密的，而IPSec使用通道协议、安全认证策略，以及数据加密来保证数据的传输安全。

参考文献

[1]顾文婷，潘雪增，楼学庆等．面向IPsec 安全策略的VPN性能评估模型[J]．计算机工程与应用，2009，45(36)：78-81．

[2]黄世权.VPN 技术及其应用分析研究[J].计算机与数字工程,2006,34(6)64-66.

[3]任德玲,韦卫.基于IPSec 的MPLS IP VPN 的设计与实现.计算机应用研,2006(3):116-118.