李國正，劉芯宇

(定西師范高等專科學校，甘肅743000)

VPN技術在校園網中的應用

李國正，劉芯宇

(定西師范高等?？茖W校，甘肅743000)

目前，許多高校都是一校多區(qū)，如何提高校區(qū)之間的數據通訊和資源共享，方便外出師生訪問校內資源，這是當前校園網絡建設中的一個熱門話題。通過對高校校園網絡的分析，設計并實現了一個基于VPN技術的校園網絡系統(tǒng)。希望選擇的VPN技術能提高主校區(qū)和分校區(qū)之間的數據通訊，擺脫校園網用戶地理位置的限制，進一步提高校園網的靈活性、安全性。

虛擬專用網；校園網；網絡安全

1 問題的提出

當前，信息技術的高速發(fā)展，使得人們的日常生活越來越網絡化，網絡通訊與安全問題凸顯重要。在信息的傳輸過程中一些網絡攻擊行為不斷發(fā)生并升級，人們迫切需要一個健康的網絡運行體系。校園網作為網絡的一份子，越來越具有開放性，校內師生可以訪問到外網，外網用戶也可通過其了解到學校的具體信息，網絡安全也變得至關重要。高校規(guī)模不斷地擴大并豐富化，校區(qū)越來越多,用戶越來越多，種類也很復雜，學校和社會各種性質的單位合作越來越深入，大量師生頻繁外出，都需要訪問到校內資源。校園網安全隱患成為當前很多高校一個函待解決的問題[1]。

目前，高校校園網在以下幾個方面存在急需解決的問題：

(1)高校規(guī)模的不斷擴建，使得大多數學校有老校區(qū)和新校區(qū)，有的大學是由幾所學校合并而成的，這就給不同校區(qū)的教職工在使用校園網教學資源時帶來了不便，如何讓分校區(qū)的教職工能夠很方便地訪問到主校區(qū)的圖書館資源、OA系統(tǒng)等內部網絡資源，實現安全訪問，這已成為數字化校園建設中一個必須解決的問題[2]。

(2)高等教育的不斷發(fā)展，使得大量教職工頻繁地外出訪學、開會等，有的學生經常去外地實習，如何讓教職工和學生在外時也能夠很輕易的使用校內教學資源，這是校園網在發(fā)展過程中要解決的又一個問題。

為加強校園網安全通訊，解決主校區(qū)和分校區(qū)內部資源共享，方便信息通信，提高辦公效率，在外教師和學生能夠訪問內部資源等問題，本文提出運用VPN技術連接不同校區(qū)，給用戶機配置VPN客戶端，使得所有的分校區(qū)都好像和主校區(qū)在一個局域網，在外人員也跟始終在主校區(qū)校內局域網一樣。

2 VPN工作原理

VPN(Virtual Private Network，虛擬專用網絡)是當前應用較為廣泛的技術，可以使用VPN技術讓出差的用戶通過Internet安全訪問內網，通過配置站點間的VPN可以將兩個局域網通過Internet連接起來，實現對局域網的擴展[3]。

2.1 使用場合

(1)如圖1所示，用戶在遠程通過ISP連上Internet后，通過Internet與局域網的VPN服務器建立VPN連接，并通過VPN連接和內網安全傳送信息。

圖1 遠程接入VPN

(2)如圖2所示，兩個局域網的VPN服務器通過Internet建立VPN連接，兩個局域網的用戶在傳遞信息時，分別經過各自的VPN服務器加密后，通過Internet傳輸，確保數據的安全性。

圖2 站點間VPN

2.2 使用的協(xié)議

(1)PPTP(點到點隧道協(xié)議)封裝包含用戶信息數據包，支持隧道交換。隧道交換可以根據用戶權限，開啟并分配新的隧道，將數據包在網絡中傳輸。隧道交換可以將用戶導向指定的局域網內部服務器。PPTP便于局域網在防火墻上配置訪問控制，對不同來源的數據包實施訪問控制。

(2)IPSec是用來增強VPN安全性的標準協(xié)議。IPSec包含了用戶身份認證、查驗和數據完整性等內容，規(guī)定了在兩個IP工作站之間進行加密、數字簽名等而使用的一系列IP級協(xié)議。

2.3 VPN分類

目前，最普遍的VPN分類依據是按應用范圍進行分類，如表1所示，用不同的VPN配置模式滿足不同使用環(huán)境下用戶的需求[4]。

3 VPN技術設計校園網

本文以甘肅中醫(yī)藥大學一校四區(qū)為例，在對各個校區(qū)校園網現狀進行深入了解，并對校園網的實際需求做了分析后，提出利用VPN技術把四個校區(qū)連接起來，滿足數據的共享，保證數據安全地傳輸。

表1 VPN的分類方式

校外用戶運用Access VPN技術訪問內網，在VPN設備上部署訪問策略，對客戶請求做嚴格的審核，抵御黑客入侵；擴展管理功能，減少對校園網的維護量，設計出一個基于VPN的校園網拓撲圖，如圖3所示：

圖3 VPN校園網

3.1 主校區(qū)和分校區(qū)之間的VPN技術設計

甘肅中醫(yī)藥大學的各個分校區(qū)距離主校區(qū)距離很遠，目前是通過公網實現主校區(qū)和各個分校區(qū)的網絡通信，校園網的訪問范圍受到很大的限制，利用Intranet VPN技術，通過公網實現主校區(qū)網絡和分校區(qū)網絡的連接，使得所有校區(qū)內的用戶如同在同一個局域網內資源共享和互訪。利用VPN技術對通信數據進行加密后傳輸，這樣對數據在公網傳輸時起到有效的保護，有充分的安全性[5]。

在主校區(qū)的防火墻上配置基于IPSec協(xié)議的VPN，在分校區(qū)的路由器上配置基于IPSec協(xié)議的VPN，利用ESP(封裝安全負載協(xié)議)協(xié)議對數據進行加密認證，很好地滿足了校園網安全性。這樣VPN隧道就在不同校區(qū)的連接公網設備上配置好，每個校區(qū)的VPN設備對數據封包和解包，使得主校區(qū)和分校區(qū)用戶在進行數據通信的時候都是通過VPN隧道，當分校區(qū)的用戶要訪問主校區(qū)校園網資源時，依據分校區(qū)路由器上配置好的靜態(tài)路由，通過VPN隧道，轉送至主校區(qū)配置VPN技術的防火墻，VPN設備會返回給用戶一個主校區(qū)的內網IP地址，并檢查用戶的身份類型，賦予用戶相對應的訪問權限和操作。

3.2 移動用戶的VPN技術設計

在主校區(qū)配置VPN接入服務器，外地教師和學生配置好VPN客戶端，利用Access VPN技術，使得外地用戶和主校區(qū)在公網上形成一個虛擬的連接。VPN客戶端對數據加密后，在公網安全傳輸，經過VPN接入服務器轉入校園內網。對主校區(qū)的防火墻配置為基于PPTP協(xié)議的VPN接入服務器，教職工或學生在外地時，大多使用的都是Windows系列操作系統(tǒng)，該系統(tǒng)都支持PPTP協(xié)議，所以很容易和主校區(qū)防火墻建立基于PPTP的VPN連接。外網用戶在自己主機上配置VPN客戶端，只要能訪問到校園網防火墻，就可以通過其進入校園網內，進行可靠安全的數據共享和通信[6]。

3.3 VPN安全措施的設計

3.3.1 安全傳輸數據

VPN的客戶端和VPN服務器通過隧道進行數據傳輸，為確保數據在傳輸過程中的安全，VPN在對數據進行加密時運用安全性較高且技術成熟的Ipsec技術。

VPN客戶端和服務器在建立隧道之前，VPN系統(tǒng)先利用CHAP(質詢握手協(xié)議)進行雙方身份驗證，如果認證通過，虛擬鏈路就建立成功。這種認證方式是隨機進行的，所以，密碼會隨時失效，這樣非法用戶破解一次，不能長時間截取數據。在VPN網管上采取審計與計費措施，對連接服務器的用戶進行審核和記錄，以便查詢，運用RADIUS(遠程訪問協(xié)議)對用戶的身份有效鑒別。此后進入L2TP(第二層隧道協(xié)議)，確保數據的安全傳輸。

3.3.2 IPsec安全服務

在使用IPsec技術實現數據的安全傳輸時，要準確地運用ESP和AH(網絡認證協(xié)議)，形成一個完整的安全體系，應付各種存在的風險；在運用加密和身份驗證技術時，把多種加密算法結合起來使用，加強數據的安全傳輸；使用SA(安全關聯)提供的參數保障各種協(xié)議的穩(wěn)定使用。

3.3.3 基于數字證書的校園網身份認證

使用PKI(公鑰基礎設施)技術認證用戶的身份，客戶端用戶在連通VPN服務器之前，必須先安裝數字證書，否則不能成功建立連接，這既可以拒絕沒有被授權的訪問，也具備了用戶訪問的不可抵賴性，保證信息來源的可靠[7]。

在VPN客戶端，計算機辨識的只是用戶的數字信息，如何確保輸入用戶數字信息的操作者是合法的,是用戶身份認證技術必須解決的一個問題。依據時間產生一次性用戶密碼，避免因為密碼被竊取而產生的不安全事件。利用數字簽名技術可以有效地區(qū)分數據的真?zhèn)巍?/p>

(1)客戶端和服務器端用相同的密鑰、隨機參數和算法，來計算等待認證的密碼，確保兩邊密碼的一致性，進而對用戶身份認證，用戶每次認證時隨機參數不同，密碼也就不同，通過短信或者郵件的形式產生一次性密碼，確保了密碼的不可破解，保證認證過程的安全。

(2)服務器接收到用戶的連接請求信息后，把自己的數字證書發(fā)到用戶客戶端，由客戶端的瀏覽器進行鑒別，確認服務器真實性后，進行密鑰交換。服務器的數字證書用OPENSSL(開放式安全套接層協(xié)議)開源包生成，并由其對證書進行發(fā)布、撤銷、驗證等管理。

(3)運用數字證書技術設計客戶端與服務器端的身份認證，兩端的具體認證過程如圖4所示：

圖4 客戶端和服務器端認證流程

4 基于VPN技術的校園網具體實現

(1)在主校區(qū)利用SG720防火墻(吞吐量極大，能容納幾百用戶遠程連接，適合擁有多分支機構的單位使用)，選用其IPsec VPN技術，配置好相關參數以及IP地址，運用預先共享密鑰認證方式，設置好雙方協(xié)商要采用的加密算法和密鑰,同時對分校區(qū)的路由器做相應的配置[8]。

(2)在防火墻上配置PPTP協(xié)議，給出外網用戶進校園內網的IP地址范圍等相關參數，給用戶建立賬號和管理方式。用戶在連接成功后，就可以進入校園內網。通過用戶連接詳細信息可以看到VPN服務器和用戶獲取的IP地址，如圖5所示，可以看出遠程用戶用PPTP協(xié)議連接VPN服務器，CHAP協(xié)議進行身份驗證，以及客戶端和VPN服務器端的IP地址等[9]。

圖5 VPN網絡連接狀態(tài)

在遠程用戶進一步分析其網絡詳細信息，如圖6所示。用戶端有兩個IP地址：一個是當地公共網絡IP地址，另外一個是校園網VPN服務器給請求接入校園網的PPTP遠程用戶分配的IP地址。

圖6 PPTP遠程用戶IP地址

(3)在服務器上把OpenSSL(該協(xié)議為數據在網絡上安全通信提供了保障，包含常用的密碼算法、數字證書的生成功能和SSL協(xié)議。)安裝和部署好，由其產生數字證書。

5 測試

5.1 相關功能測試

本方案在實驗室進行試運行，為驗證其可行性，盡最大可能地發(fā)現問題，在服務器上安裝好web站點、FTP站點、OA等應用軟件，進行反復測試，與期待的正確結果作比較，對存在的錯誤做及時分析和改正。

在客戶端進行VPN登錄，如圖7所示。登陸成功后，對VPN基本的功能做相應的測試：在命令提示符下ping內部服務器和成員計算機，能ping通；嘗試登錄內部OA系統(tǒng)也能進去;對FTP服務成功進行數據讀??；用戶對VPN服務器后的數據庫根據權限進行相應的操作。

圖7 遠程用戶VPN登錄

5.2 結果分析

(1)在用戶機上安裝協(xié)議分析軟件Wireshark，當用戶客戶端用公網IP給校園網發(fā)送郵件時，Wireshark對發(fā)送信息進行捕獲，發(fā)現信息全是明文，無法確保數據安全傳輸；當運用VPN技術對校園網內部發(fā)送郵件時，截取的信息全是亂碼，說明VPN對發(fā)送的數據進行了加密。

(2)通過測試可以發(fā)現，在建立VPN隧道后，ping一個來回的時間是不建VPN隧道的6～8倍；客戶端在連接服務器時，比平常用TCP方式連接要慢一些。這是由于網關在加密解密時造成的時延。如果連接的用戶比較多或者有大數據傳輸的話，會造成一定的網絡通信延遲。校園網連接一般不會出現大數據的的傳輸和超大量的用戶突然同時訪問內部服務器，所以，VPN技術能夠適合大多高校校園網使用[10]。

6 結論

針對高校一校多區(qū)，外出教職工和學生頻繁等現象，以甘肅中醫(yī)藥大學一校四區(qū)為例，提出一個基于VPN技術的校園網設計方案，并對相關技術和關鍵點進行詳細的設計，并在實驗室對該方案進行具體實施，實現了部分訪問功能，驗證了該方案在一定程度上有可行性。該方案有效地解決了主校區(qū)校園網內部資源的區(qū)域性限制，為校園網的擴展性建設指出了技術方向，在高校校園網建設中有廣闊的應用平臺。受硬件條件的限制，VPN技術對數據通信防攻擊等方面還沒有做詳細的數據分析；基于數字證書的身份、認證只是做了一小部分的實驗，還有待進一步的完善；移動客戶端對資源的安全訪問仍需做進一步的研究。

[1]黃彥,梁京章,唐曉年.基于SNMP的VLAN管理應用研究及其設計[J].微計算機信息,2008(33):36-38.

[2]吳宏波.VPN技術在校園辦公網中的應用[J].內蒙古科技與經濟,2007(17):17-18.

[3]蔣東毅.VPN的關鍵技術分析[J].計算機工程與應用,2003(15):33-34.

[4]李琦.基于IPsec和L2TP隧道實現技術的研究[J].計算機科學,2004(4):21-22.

[5]彭建,鄧廣慧.一種基于校園網的VPN應用方案[J].陜西科技大學學報,2005(2):14-17.

[6]吳麗華.基于VPN技術的安全無線局域網的構建[J].計算機工程,2005(4):16-17.

[7]鄧永紅.虛擬專用網技術綜述[J].有線電視技術,2005(2):27-32.

[8]李勃,張梅花.VPN技術簡介[J].油氣田地面工程,2004,23(6):61-63.

[9]蒲源.淺談虛擬專用網(VPN)技術[J].電視技術,2003(1):35-36.

[10]石晶林,丁煒.MPLS網絡技術及其應用前景[J].通訊世界,2000(6):41-44.

【責任編輯 朱世廣】

The Application of VPN Technology in Campus Network

LI Guo-zheng，LIU Xin-yu

(DingxiTeachersCollege,Dingxi743000,Gansu)

Currently, Many colleges and universities are made up of several campuses. How to improve the data communication and resource sharing between different campuses and how to make it convenient for teachers and students to visit the campus resources have become a hot topic in current campus network construction. Through an analysis of campus network in colleges and universities, a campus network system based on VPN technology is designed and implemented in this paper. It is hoped that the selection of VPN technology can improve the data communication between the main campus and the branch campus, can get rid of the limitation of the geographical position of the campus network users and further improve the flexibility and security of campus network.

VPN; campus network; network security

1674-1730(2017)01-0020-04

2016-04-13

李國正(1982—)，男，河南南陽人，講師，主要從事計算機網絡技術研究。

TP393.08

A