资源描述:
《vpn在高校校园网中的应用》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、VPN在高校校园网中的应用摘要文章对VPN(虚拟局域网)的基本概念,VPN的工作原理及实现VPN的关键技术—隧道技术进行了阐述,结合学校校园网的VPN实际解决方案,对VPN的配置及应用做了相应的描述。文章介绍了校园网的网络拓扑,在网络核心设备Cisco6513上的VPN配置,并描述了VPN在防火墙上的配置,以及VPN在我校校园网中的实际应用。文章重点介绍VPN如何在核心设备上进行配置,配置时的注意事项,技术特点,技术难点等问题。关键词虚拟专用网络;隧道技术;数据加密;VPN1引言在传统的组网方案中,如果要进行LAN之间的远程互连,除了租用较高速率
2、的DDN专线或帧中继之外,并没有更好的解决方法。而对于流动用户及远端客户与企业网的远端接入来说,传统的方法是以拨号线路拨入企业网所使用的各自独立的接入设备。这对一些连网距离比较远的单位来说,产生了不可避免的高额租用费。然而,VPN的解决方法正好能克服上述问题,并以自身的优势为广大的网络用户提供服务。目前,我校校园网的移动OA和远程网络管理的解决方案就是利用VPN技术实现的。2VPN基本概念VPN是建立在实际网络(或称物理网络)基础上的一种功能性网络,是一种专用网的组网方式,它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网络。所以
3、,可以说它是一种逻辑上的专用网络,也就是说VPN依靠网络服务供应商,将企业的内部网与公共网络建立连接,在公用网络中建立起内部网络间的专用数据传输通道(隧道),而这类专用通道并非真实的物理专用线路,只是在现有的公用网络中临时搭建的,因而它又是一种虚拟专用网。事实上,VPN的效果相当于在Inter上形成一条专用线路(隧道),从作用的效果看,VPN与IP电话类似,但VPN对于数据加密的要求更高。VPN由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Inter上传送。数据加密和用户认证则包含安全性的两个
4、方面:数据加密保证敏感数据不会被盗取,用户认证则保证未获认证的用户无法访问内部网络。3VPN工作原理VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Inter进行传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的
5、IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听。(1)第二层隧道协议L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设施(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。目前,Inter中的拨号网络只支持IP协议,而且必须注册IP地址;而L2TP可以让拨号用户支持多种协议,并且可以保留网络地址,包括保留IP地址。利用L2TP提供的拨号虚拟专用网服务对
6、用户和服务提供商都很有意义,它能够让更多的用户共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,用户在非IP网络和应用上的投资不至于浪费。(2)第三层隧道协议IPSec是将几种安全技术结合在一起形成的一个较完整的体系,它可以保证IP数据包的私有性、完整性和真实性。IPSec使用了Diffie-Hellman密钥交换技术,用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IPSec协议定义了如何
7、在IP数据包中增加字段来保证其完整性、私有性和真实性,这些协议还规定了如何加密数据包:Inter密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IPSec定义了两个新的数据包头增加到IP包上,这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IPSec认证包头协议来完成,数据的加密性则由安全荷载封装协议来实现。4我校校园网VPN解决方案我校共有两个校区:老校区和新校区,两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连,Cisco6513又与边界出口C
8、isco6503相连,具有四条通道:计费网关,VPN,两条Trunk通道。网络拓扑图如下(图1):(图1)因为Cisco6513为我校校