1 引言
隨著高校辦學規模的擴大,新(分)校區在地理位置上的分散給無線網建設和管理提出更高的要求。利用VPN技術不僅可以搭建統一的無線網絡管理平臺,還可以提高無線校園網的安全性。
2 VPN概述
VPN(Virtual Private Network)虛擬專用網技術是指采用隧道技術以及加密、身份認證等方法,在公眾網絡上構建專用網絡,數據通過安全的“加密管道”在公眾網絡中傳播。VPN不是某個單位專有的封閉線路或者是租用某個網絡服務商提供的封閉線路。VPN具有專線的數據傳輸功能, 根據使用者的身份和權限,直接將使用者接入所應該接觸的信息中。
VPN通過采用“隧道”技術, 利用IETF制定的Ipsec標準, 在公眾網中形成單位的安全、機密、順暢的專用鏈路。
目前VPN主要采用4項技術保證安全,即:隧道技術(Tunneling)、加解密技術( Encryption&Decryption) 、密鑰管理技術(Key Management) 、使用者與設備身份認證技術(Authentication)。目前很多高校的多個校區相隔較遠,利用物理線路進行網絡互聯成本高, 采用VPN技術搭建統一網絡管理的無線校園網是一個成本低且安全的方法。
3 VPN關鍵技術
3.1 隧道技術
隧道(Tunneling)技術是搭建VPN的一項關鍵技術,在公用網建立一條數據通道(隧道),主要利用網絡隧道協議,讓數據包在這條隧道傳輸。有兩種類型隧道協議:第二層隧道協議,用于傳輸二層網絡協議; 第三層隧道協議,用于傳輸第三層網絡協議。第三層隧道協議主要包括GRE(GRE,Generic Routing Encapsulation,RFC1701)協議[2]和IETF的IPSec協議。
3.1.1 第二層隧道協議
第二層隧道協議將各種網絡協議封裝到PPP中, 再將整個數據包裝入隧道協議中,這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。
第二層隧道協議有L2F(Layer2Forwarding,二層轉發協議)、PPTP(Point to Point Tunneling Protocol,點對點隧道協議)、L2TP(Layer 2TunnelingProtocol,二層隧道協議)等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F形成。
3.1.2 GRE
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。
通用路由封裝GRE[3](Generic Routing Encapsulation)是對某些網絡層協議(如IP、IPX)的數據進行封裝, 使被封裝的數據包能夠在另一個網絡層協議中傳輸。GRE是VPN的第三層隧道協議,協議層間采用了Tunnel(隧道)技術。
Tunnel是一個虛擬的點對點的連接,提供一條通路,使封裝的數據包能在此通路上傳輸, 并且在一個Tunnel兩端進行數據包的封裝與解封裝過程。當路由器接受到一個需要封裝和路由的原始數據報文(Payload),先被GRE封裝成GRE報文,再被封裝在IP協議中,由IP層負責此報文的轉發。
GRE主要能提供以下服務:
①多協議、多業務本地網通過單一骨干網傳輸;
②擴大包含步跳數限制協議(RIP)的應用范圍;
③將不能連續的子網連接起來組建VPN。
#p#副標題#e#
3.1.3 IPSec
IPSec [4](IP Security)不是單一的協議或算法,而是實現加密的加密標準的集合。它定義了一個系統,提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,在IP層提供安全保障,而與任何上層應用和傳輸層無關。
IPSec將安全服務/密鑰與要保護的通信數據聯系到一起, 同時也將遠端通信實體和這些受IPSec保護的通信數據聯系到一起, 此種保護方案稱為安全聯盟(SA ,Security Association)。安全聯盟定義了數據保護中使用的協議和算法以及有效時間等屬性。
3.2 密鑰管理技術
密鑰管理技術的主要任務是在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術分為SAKMP和OAKLEY兩種。
4 基于VPN技術的無線校園網
4.1 無線校園網的現狀
傳統無線校園網主要由交換機加AP構成,通過單一CPU結構,實現無線局域網的功能。它僅在終端計算機和AP間提供加密技術,而在交換機和AP間數據的傳輸沒有經過加密處理,因此,無法保障安全、可靠的傳輸數據,如圖1所示。
圖1 傳統無線校園網數據傳輸模型
現有無線網絡存在著下列弊病:
①由于無線網的安全配置儲存在AP中,包括加密的密鑰,Radius客戶端的安全密碼(secret)等,一旦AP中的安全配置信息被人盜取,無線網絡安全就會受到威脅;
②不能提供真正的安全移動,如無法實現AP與AP間的協調,以智能方式自動調整各個AP的無線電波頻道和功率等;
③沒有無線入侵偵測保護系統;
④斷層的無線網管理,管理員無法直觀地監控和調試每處AP的使用情況。
⑤對多個分校區的無線校園網不能進行統一網絡管理。
4.2 基于VPN技術的無線校園網
基于VPN技術的無線校園網可將VPN相關技術集成到無線網交換機中,采用集中式網絡結構,對所有設備進行統一管理,提升無線校園網的安全性,如圖2所示。
圖2 基于VPN技術的無線校園網
#p#副標題#e#
在這種無線校園網中,VPN技術可以在如下方面對無線網進行整合:
①基于VPN技術的無線校園網中,應用隧道技術(Tunneling),在核心無線交換機和AP之間建立可靠的專用線路,這樣就可以不考慮[5]接入交換機的安全管理、性能等因素對AP的影響。
②利用VPN的加解密技術(Encryption &Decryption)和密鑰管理技術(Key Management),對無線校園網中的數據進行安全、可靠的加密傳輸,提高無線校園網的安全性、穩定性。
③利用VPN使用者與設備身份認證技術(Authentication)、校園網中認證服務器,可以為無線校園網提供多種認證方式,實現有線和無線校園網的統一認證管理。
④利用第三層隧道協議技術,在各個校區間建立虛擬專用線路,實現對多校區的無線網絡統一管理。
數據在這種無線校園網絡中能夠實現可靠傳輸,如圖3所示。
圖3 基于VPN技術的無線校園網數據
5 結論
基于VPN技術的無線校園網提高了無線網的安全性,為多校區提供統一的網絡管理平臺,降低了無線校園網建設和管理的成本。這種模式的無線校園網必將在今后網絡發展中得到廣泛的應用,將為教學、科研提供更加安全、便捷的網絡環境。