VPN技术在无线校园网中的应用及安全

1 引言

随着高校办学规模的扩大，新(分)校区在地理位置上的分散给无线网建设和管理提出更高的要求。利用VPN技术不仅可以搭建统一的无线网络管理平台，还可以提高无线校园网的安全性。

2 VPN概述

VPN(Virtual Private Network)虚拟专用网技术是指采用隧道技术以及加密、身份认证等方法，在公众网络上构建专用网络，数据通过安全的“加密管道”在公众网络中传播。VPN不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。VPN具有专线的数据传输功能, 根据使用者的身份和权限，直接将使用者接入所应该接触的信息中。

VPN通过采用“隧道”技术, 利用IETF制定的Ipsec标准, 在公众网中形成单位的安全、机密、顺畅的专用链路。

目前VPN主要采用4项技术保证安全,即：隧道技术(Tunneling)、加解密技术( Encryption&Decryption) 、密钥管理技术(Key Management) 、使用者与设备身份认证技术(Authentication)。目前很多高校的多个校区相隔较远,利用物理线路进行网络互联成本高, 采用VPN技术搭建统一网络管理的无线校园网是一个成本低且安全的方法。

3 VPN关键技术

3.1 隧道技术

隧道(Tunneling)技术是搭建VPN的一项关键技术,在公用网建立一条数据通道(隧道)，主要利用网络隧道协议，让数据包在这条隧道传输。有两种类型隧道协议:第二层隧道协议,用于传输二层网络协议; 第三层隧道协议,用于传输第三层网络协议。第三层隧道协议主要包括GRE(GRE,Generic Routing Encapsulation,RFC1701)协议[2]和IETF的IPSec协议。

3.1.1 第二层隧道协议

第二层隧道协议将各种网络协议封装到PPP中, 再将整个数据包装入隧道协议中，这种双层封装方法形成的数据包靠第二层协议进行传输。

第二层隧道协议有L2F(Layer2Forwarding,二层转发协议)、PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2TP(Layer 2TunnelingProtocol,二层隧道协议)等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F形成。

3.1.2 GRE

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。

通用路由封装GRE[3](Generic Routing Encapsulation)是对某些网络层协议(如IP、IPX)的数据进行封装, 使被封装的数据包能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,协议层间采用了Tunnel(隧道)技术。

Tunnel是一个虚拟的点对点的连接,提供一条通路，使封装的数据包能在此通路上传输, 并且在一个Tunnel两端进行数据包的封装与解封装过程。当路由器接受到一个需要封装和路由的原始数据报文(Payload),先被GRE封装成GRE报文,再被封装在IP协议中,由IP层负责此报文的转发。

GRE主要能提供以下服务:

①多协议、多业务本地网通过单一骨干网传输;

②扩大包含步跳数限制协议(RIP)的应用范围;

③将不能连续的子网连接起来组建VPN。

3.1.3 IPSec

IPSec [4](IP Security)不是单一的协议或算法,而是实现加密的加密标准的集合。它定义了一个系统，提供安全协议选择、安全算法，确定服务所使用密钥等服务，在IP层提供安全保障,而与任何上层应用和传输层无关。

IPSec将安全服务/密钥与要保护的通信数据联系到一起, 同时也将远端通信实体和这些受IPSec保护的通信数据联系到一起, 此种保护方案称为安全联盟(SA ,Security Association)。安全联盟定义了数据保护中使用的协议和算法以及有效时间等属性。

3.2 密钥管理技术

密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术分为SAKMP和OAKLEY两种。

4 基于VPN技术的无线校园网

4.1 无线校园网的现状

传统无线校园网主要由交换机加AP构成，通过单一CPU结构，实现无线局域网的功能。它仅在终端计算机和AP间提供加密技术，而在交换机和AP间数据的传输没有经过加密处理，因此，无法保障安全、可靠的传输数据,如图1所示。

　图1 传统无线校园网数据传输模型

现有无线网络存在着下列弊病：

①由于无线网的安全配置储存在AP中，包括加密的密钥，Radius客户端的安全密码(secret)等，一旦AP中的安全配置信息被人盗取，无线网络安全就会受到威胁;

②不能提供真正的安全移动，如无法实现AP与AP间的协调，以智能方式自动调整各个AP的无线电波频道和功率等;

③没有无线入侵侦测保护系统;

④断层的无线网管理，管理员无法直观地监控和调试每处AP的使用情况。

⑤对多个分校区的无线校园网不能进行统一网络管理。

4.2 基于VPN技术的无线校园网

基于VPN技术的无线校园网可将VPN相关技术集成到无线网交换机中，采用集中式网络结构，对所有设备进行统一管理，提升无线校园网的安全性，如图2所示。

　图2 基于VPN技术的无线校园网

在这种无线校园网中，VPN技术可以在如下方面对无线网进行整合：

①基于VPN技术的无线校园网中，应用隧道技术(Tunneling)，在核心无线交换机和AP之间建立可靠的专用线路，这样就可以不考虑[5]接入交换机的安全管理、性能等因素对AP的影响。

②利用VPN的加解密技术(Encryption &Decryption)和密钥管理技术(Key Management)，对无线校园网中的数据进行安全、可靠的加密传输，提高无线校园网的安全性、稳定性。

③利用VPN使用者与设备身份认证技术(Authentication)、校园网中认证服务器，可以为无线校园网提供多种认证方式，实现有线和无线校园网的统一认证管理。

④利用第三层隧道协议技术，在各个校区间建立虚拟专用线路，实现对多校区的无线网络统一管理。

数据在这种无线校园网络中能够实现可靠传输，如图3所示。

图3 基于VPN技术的无线校园网数据

5 结论

基于VPN技术的无线校园网提高了无线网的安全性，为多校区提供统一的网络管理平台，降低了无线校园网建设和管理的成本。这种模式的无线校园网必将在今后网络发展中得到广泛的应用，将为教学、科研提供更加安全、便捷的网络环境。