VPN在校园网中的应用研究Word格式文档下载.docx

1、（1）VPN简介虚拟专用网VPN（Virtual Private Network） 是指通过特殊的加密通讯协议，利用Internet/Intranet等公网资源使得连接在不同地域的多个内部网之间，构建成一条专用安全的通讯线路。这种技术是依靠因特网服务提供商（ISP）或其他网络服务提供商（NSP）在公共网络中建立专用的数据通讯网络技术。它是一种虚拟产生的功能性专用，但却能实现不同网络设备和网络资源的相互连接，为用户构建专用隧道，并提供与专用网络一样的安全服务，但比构建专用网更方便网络管理和维护，且成本更低廉。（2）VPN技术原理首先主机把信息发送到VPN网关， VPN网关对信息进行处理（如加密或

2、添加数字签名等）并把各种网络协议（IP、IPX、APPLETALK等）通过隧道协议在二层或者IP层进行封装，封装后的IP数据包通过IP网络传输至网络的VPN网关或终端，然后再进行解包操作，并进行相关处理（如完整性，验证等）。整个隧道的处理过程对网络上的其他设备是高度透明2 VPN连接模式VPN有两种基本类型的连接模式：传输模式和隧道模式，它们用在设备之间传输数据并定义了两台实体设备之间传输数据时基本的封装过程。2.1 传输模式传输模式连接用于在设备的真正源和目的IP地址之间传输数据时使用。在传输模式中，实际的用户数据被封装在一个VPN的数据包中。需要注意的是，在传输模式中，如果VPN保护的数据

3、包被窃听攻击所检查，攻击者将会知道通信中实际源和目标设备，且传输模式不具备很好的扩展性，不适合于多台设备在不同区域的通讯方式。如果你正在使用加密作为VPN的一种保护方法，攻击者将不能解密在VPN设备之间传输的实际的负荷。2.2 隧道模式在隧道模式中，实际的源和目标设备通常是不保护流量的，相反，某些中间设备（如VPN网关）用于保护这些流量，且隧道模式弥补了传输模式不具备很好扩展性这一不足。隧道模式的工作原理是，本地设备将IP数据包转发到本地VPN网关，当VPN网关接收到ip数据包后，VPN网关会封装这个带有VPN保护信息的数据包，可能是加密原始的整个ip数据包，下一步，VPN网关将这个信息放入到

4、另一个ip数据包中发送出去。此外隧道模式还能提供一些比传输模式更优越的特性，如扩展性、灵活性、隐藏了通讯、使用私有地址和使用现有的安全策略。3 VPN构成分类3.1 远程访问虚拟专用网（acces VPN）远程访问VPN通常使用隧道模式在低带宽或者带宽连接之间应用。因此远程访问连接，流量需要从源到某些中间设备之间被保护，它可以验证被保护的信息，真正的目标将会收到被保护的信息。这就要求，远程访问用户需建立一个IP数据包，这个数据包的源地址是内部地址，而目标地址是总部网络设备的地址，这个数据包的VPN信息被封装和保护，并且添加一个外部的IP头。在外部的IP头中，源地址是远程访问用户的ISP分配的N

5、IC地址，而目标地址是VPN网关。VPN网关接收到被保护的数据包，就会验证这个数据包，解密封装的数据包，并检测是否需要转发。3.2 企业内部虚拟专用网（Intranet VPN）Intranet VPN即企业总部网络与分支机构间网络通过公网来构建虚拟网，以解决内联网结构安全和连接安全、传输安全，并实现企业内部的资源共享、文件传输等，以便节省构建DDN等专线所带来的高额费用。同时，企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。3.3 扩展企业内部虚拟专用网（Extranet VPN）Extranet VPN 即公司和合作伙伴等不同企业网络之间通过公共网络来构建的虚

6、拟网。它是解决外联网结构安全和连接安全、传输安全的主要方法，可以少花费完成企业电子商务需求。Extranet VPN在拓扑结构上合IntranetVPN非常相似，只是需要在企业防火墙上加强基于策略的网络安全措施，使企业拥有与专用网络相同的策略，包括安全、Qos、可管理性和可靠性4 VPN应用优势VPN除了能有效地降低网络通讯费外，还具有安全保障性、服务质量保证（QoS）、可扩充性和灵活性以及可管理性等应用优势。（1） 安全保障:VPN的安全保障性通过提供身份认证、访问控制、数据加密及数据完整来保障其安全可靠性.（2） 服务质量保证（QoS）: VPN服务质量保证（Qos）指包在一个或多个网络的

7、传输过程中所表现的各种性能的具体描述，如丢包率、延迟等。它能一些网络技术（如IPSec、MPLS）的结合根据用户需求为用户提供不同等级的服务质量保证，为重要数据提供可靠的带宽。（3） 可扩充性和灵活性 :VPN的可扩充性和灵活性必须能够支持通过Intranet和Extranet的任何类型数据流，方便增加新的结点，支持多种类型的传输媒介，可满足同时传输语音、图像和数据等新应用对高质量传输及带宽增加的需求.（4） 可管理性:可管理性在VPN管理方面，VPN要求用户将管理功能从LAN无缝地延伸到公网，甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务交给服务供应商完成，用户需完成许多网络管理任务。

8、VPN网管理的目标是:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN的管理主要包括安全管理、设备管理、配置管理、访间控制列表管理、QoS管理等.5 VPN的主要技术5.1 隧道技术隧道技术是VPN的基本技术,具有分组封装技术,且能模仿点对点连接技术,依靠ISP在公用网中建立自己专用的“隧道”,让数据包通过这条隧道实现传输。其基本过程是在内部网络与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的网络与公网的接口处将数据解封装,取出数据。被封装的数据包在公网上传递时所经过的逻辑路径称为“隧道”。5.2 加解密技术VPN加解密技术是在发送数据之前对数据加密

9、,接收数据时对数据进行解密处理,其算法主要包括:对称加密算法、不对称加密算法等,如DES、IDEA、RSA。对称加密算法,通信双方共享一个密钥，发送方使用该密钥将明文加密成密文，接收方使用相同的密钥将密文还原成明文，对称加密算法运算速度快。不对称加密算法使用两个不同的密钥,发送方用接收方的公开密钥加密消息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。接收方用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。5.3 密钥管理技术密钥管理技术的主要任务是如何在公网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP两种。SKIP

10、是利用Diffie-Hellman的演算法则,在网络上传输密钥;ISAKMP双方都有两把密钥,分别用于公用、私用。5.4 使用者与设备身份认证技术VPN技术通常使用CHAP、MS-CHAP、EAP这三种设备验证方法：（a） CHAP。使用MD5来协商加密身份验证的安全形式,在响应时使用质询一响应机制和单向MD5散列。（b） MSCHAP同CHAP相似,对远程Windows工作站进行身份验证,在响应时使用质询一响应机制和单向加密。而且MSCHAP使用不同密匙，但不要求使用原文或可逆加密密码，能提供了相互身份验证和更强大的初始数据密钥。（c） EAP可以增加对许多身份验证方案的支持,包括令牌卡、一

11、次性密码、使用智能卡的公钥身份验证、证书及其它身份验证。能更好的满足其它安全设备的远程访问用户进行身份验证的需求，同时可以防止暴力攻击及密码猜测。6 VPN设计考虑（1） 被保护的流量与非保护的流量：我们建立VPN连接时首先你需要考虑它们之间发送的流量是否需要被保护，以及有没有必要保护。因此必须重新评估什么样的流量需要被保护。这就要求建立一个分离隧道的策略来保护被保护的流量。（2） 碎片VPN实施时，我们需要考虑由于性能开销而导致的碎片问题，这就要求检查VPN的实施来查看它给数据包增加的开销量，了解客户端设备原来正在使用的MTU大小，能动态或者手动调整MTU大小来解决碎片故障和排除故障问题。（

12、3） 应用程序的类型在VPN流量中，某些程序类型保护功能已经内置在协议里面并不需要保护，例如HTTPS和SSH。因此你需要考虑需要保护的应用程序类型，减少VPN设备的额外处理负担使得更合理的保护VPN流量保护。同时当你已经决定了什么样的流量需要被保护后，你需要决定的是怎样被保护，这就要求你对网络流量进行安全性策略定义，并且在处理开销和处理延迟之间寻求一个折衷。（4） 地址转换和防火墙 地址转换问题使用地址转换，地址转换设备可以将一个IP地址转换成另一个地址，而且可能会将一个端口转换成另外一个端口。我们将使用IPSec来解决这个问题， IPSec有两种协议可以用来将数据通过VPN设备进行传输：验

13、证头（AH）和封装安全负载协议（ESP）。这里我们将不讨论协议的实际细节及处理过程。 防火墙问题一个有状态防火墙会跟踪连接的状态，默认情况下，只允许外出连接的返回流量进入，但是拒绝从外面始发的连接。防火墙厂商必须对特殊类型的检查进行编码来处理这些情况。因此，并不是每一个防火墙厂商都能处理你想要使用的VPN实施方案。你需要审视想要使用的VPN实施方案，并决定对于VPN来说，是否地址转换或防火墙设备对它产生的问题。（5） 冗余另外VPN设计的一个重要的组成部分就是冗余。例如，图6.1中的星形拓扑网络，这个拓扑缺乏冗余性。如果中心路由器失效了，那么每个站点都将失去与其他站点的连接。因此，你需要认真考

14、虑你的网络，如果需要的话，实行一些有效的冗余的设计，如图6.2。图6.1 星形拓扑图（虚线代表一个VPN连接）图6.2星形拓扑冗余设计（虚线表示一个VPN连接）7 VPN实施技术下面我们来讨论下VPN常见的实施方法及其实施的优缺点，这些方法包括GRE、IPSec、PPTP、L2TP、MPLS、SSL。（ 1 ）GRE通用路由封装（GRE）由Cisco开发作为封装方法的一种VPN技术，目的是使得一个协议的数据包可以封装进IP数据包中，并且将封装后的数据包通过IP骨干传输。它是一个第三层具有封装多种协议的灵活性协议。但GRE也有两个缺陷：GRE只对基于Cisco的IOS的路由工作；其次GRE缺少保护能力，即它不执行如身份验证、加密、以及数据包完整性检查。因此，GRE通常不能用做一个完整的VPN解决方案；但可以和其他解决方案结合在一起，例如IPSec，来产生一个极强大的、具有扩展性的VPN实施方案。（2） IPSec:IPSec是一个只支持TCP/IP协议的第三层开放协议标准。它被特别设计