VPN在高校校園網(wǎng)中的應(yīng)用

VPN在高校校園網(wǎng)中的應(yīng)用內(nèi)容摘要文章對(duì)VPN〔虛擬局域網(wǎng)〕的基本概念，VPN的工作原理及實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)—隧道技術(shù)進(jìn)行了論述，結(jié)合學(xué)校校園網(wǎng)的VPN實(shí)際解決方案，對(duì)VPN的配置及應(yīng)用做了相應(yīng)的描繪敘述。文章介紹了校園網(wǎng)的網(wǎng)絡(luò)拓?fù)洌诰W(wǎng)絡(luò)核心設(shè)備Cisco6513上的VPN配置，并描繪敘述了VPN在防火墻上的配置，以及VPN在我校校園網(wǎng)中的實(shí)際應(yīng)用。文章重點(diǎn)介紹VPN怎樣在核心設(shè)備上進(jìn)行配置，配置時(shí)的留意事項(xiàng)，技術(shù)特點(diǎn)，技術(shù)難點(diǎn)等問(wèn)題。本文關(guān)鍵詞語(yǔ)虛擬專用網(wǎng)絡(luò)；隧道技術(shù)；數(shù)據(jù)加密；VPN1引言在傳統(tǒng)的組網(wǎng)方案中,假如要進(jìn)行LAN之間的遠(yuǎn)程互連,除了租用較高速率的DDN專線或幀中繼之外,并沒(méi)有更好的解決方法。而對(duì)于流動(dòng)用戶及遠(yuǎn)端客戶與企業(yè)網(wǎng)的遠(yuǎn)端接入來(lái)說(shuō),傳統(tǒng)的方法是以撥號(hào)線路撥入企業(yè)網(wǎng)所使用的各自獨(dú)立的接入設(shè)備。這對(duì)一些連網(wǎng)間隔比較遠(yuǎn)的單位來(lái)說(shuō),產(chǎn)生了不可避免的高額租用費(fèi)。然而，VPN的解決方法正好能克制上述問(wèn)題，并以本身的優(yōu)勢(shì)為廣闊的網(wǎng)絡(luò)用戶提供效勞。當(dāng)前，我校校園網(wǎng)的移動(dòng)OA和遠(yuǎn)程網(wǎng)絡(luò)管理的解決方案就是利用VPN技術(shù)實(shí)現(xiàn)的。2VPN基本概念VPN是建立在實(shí)際網(wǎng)絡(luò)(或稱物理網(wǎng)絡(luò))基礎(chǔ)上的一種功能性網(wǎng)絡(luò),是一種專用網(wǎng)的組網(wǎng)方式,它向使用者提供一般專用網(wǎng)所具有的功能,但自己卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。所以,能夠說(shuō)它是一種邏輯上的專用網(wǎng)絡(luò)，也就是說(shuō)VPN依靠網(wǎng)絡(luò)效勞供給商，將企業(yè)的內(nèi)部網(wǎng)與公共網(wǎng)絡(luò)建立連接，在公用網(wǎng)絡(luò)中建立起內(nèi)部網(wǎng)絡(luò)間的專用數(shù)據(jù)傳輸通道〔隧道〕，而這類專用通道并非真實(shí)的物理專用線路，只是在現(xiàn)有的公用網(wǎng)絡(luò)中臨時(shí)搭建的，因此它又是一種虛擬專用網(wǎng)。事實(shí)上，VPN的效果相當(dāng)于在Internet上構(gòu)成一條專用線路〔隧道〕，從作用的效果看，VPN與IP電話類似，但VPN對(duì)于數(shù)據(jù)加密的要求更高層次。VPN由三個(gè)部分構(gòu)成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送。數(shù)據(jù)加密和用戶認(rèn)證則包括安全性的兩個(gè)方面：數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被****，用戶認(rèn)證則保證未獲認(rèn)證的用戶無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)。3VPN工作原理VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道,而隧道又是靠隧道協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)封裝的。在第二層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議,同樣在第三層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中,通過(guò)公網(wǎng)Internet進(jìn)行傳輸。因而,VPN技術(shù)的復(fù)雜性首先建立在隧道協(xié)議復(fù)雜性的基礎(chǔ)之上。隧道協(xié)議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協(xié)議,L2TP、PPTP屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的實(shí)質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN系統(tǒng)使分分布局的專用網(wǎng)絡(luò)架構(gòu)在公共網(wǎng)絡(luò)上安全通信。它采取復(fù)雜的算法來(lái)加密傳輸?shù)男畔?使敏感的數(shù)據(jù)不會(huì)被竊聽(tīng)。(1)第二層隧道協(xié)議L2TP是從Cisco主導(dǎo)的第二層向前傳送和Microsoft主導(dǎo)的點(diǎn)到點(diǎn)隧道協(xié)議的基礎(chǔ)上演變而來(lái)的,它定義了利用公網(wǎng)設(shè)備(如IP網(wǎng)絡(luò),ATM和幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層點(diǎn)到點(diǎn)協(xié)議幀的方法。當(dāng)前,Internet中的撥號(hào)網(wǎng)絡(luò)只支持IP協(xié)議,而且必需注冊(cè)IP地址;而L2TP能夠讓撥號(hào)用戶支持多種協(xié)議,而且能夠保留網(wǎng)絡(luò)地址,包含保留IP地址。利用L2TP提供的撥號(hào)虛擬專用網(wǎng)效勞對(duì)用戶和效勞提供商都很有意義,它能夠讓我校共有兩個(gè)校區(qū)：老校區(qū)和新校區(qū)，兩個(gè)校區(qū)之間通過(guò)新校區(qū)的Cisco6513和老校區(qū)Cisco6509萬(wàn)兆相連，Cisco6513又與界限出口Cisco6503相連,具有四條通道：計(jì)費(fèi)網(wǎng)關(guān)，VPN，兩條Trunk通道。網(wǎng)絡(luò)拓?fù)鋱D如下〔圖1〕：〔圖1〕由于Cisco6513為我校校園網(wǎng)核心交換，因而我們選擇CISCOVPN模塊安裝在Cisco6513上。在Cisco6513上的VPN配置以下為啟動(dòng)aaa，翻開(kāi)radius效勞器上的用戶認(rèn)證，翻開(kāi)cisco組用戶的當(dāng)?shù)厥軝?quán)的配置aaanew-modelaaaauthenticationlogindefaultgroupradiuslocalaaaauthorizationnetworkciscolocal以下為為遠(yuǎn)端VPN用戶定義crypto策略，使用3des加密、分享密鑰和用group2產(chǎn)生密鑰的配置cryptoisakmppolicy1encr3desauthenticationpre-sharegroup2以下為開(kāi)創(chuàng)建立組驗(yàn)證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問(wèn)的IP范圍的配置cryptoisakmpinvalid-spi-recoverycryptoisakmpkeepalive10cryptoisakmpnatkeepalive15cryptoisakmpxauthtimeout45cryptoisakmpclientconfigurationgroupciscokeyciscodns202.195.128.10202.195.128.16poolremote-poolacl101以下為定義crypto的transform屬性的配置cryptoipsectransform-settransform-1esp-3desesp-sha-hmac以下為定義crypto的動(dòng)態(tài)map的配置cryptodynamic-mapdynmap1settransform-settransform-1以下為開(kāi)創(chuàng)建立一個(gè)合成的map，將合成map綁定到端口上的配置cryptomapclient-mapclientauthenticationlistdefaultcryptomapclient-mapisakmpauthorizationlistciscocryptomapclient-mapclientconfigurationaddressrespondcryptomapclient-map1ipsec-isakmpdynamicdynmap以下為定義兩個(gè)端口為vpn模塊的虛擬端口的配置interfaceGigabitEthernet2/1switchportswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan906switchportmodetrunkspanning-treeportfasttrunkinterfaceGigabitEthernet2/2switchportswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan903switchportmodetrunkspanning-treeportfasttrunk以下為接口為PORTVLAN的配置，它接口地址分配在防火墻INSIDE接口上。interfaceVlan903noipaddresscryptoconnectvlan906interfaceVlan906ipaddress192.168.9.69255.255.255.252以下為將合成的map應(yīng)用到該接口的配置cryptomapclient-mapcryptoengineslot2以下為定義分配給VPN用戶的地址段的配置iplocalpoolremote-pool192.168.203.0192.168.203.254以下為定義VPN允許訪問(wèn)的地址范圍。access-list101permitipx.x.x.xx.x.x.x以下為電信防火墻上的配置，其中，192.168.203網(wǎng)段是用戶獲得的地址池的地,192.168.201網(wǎng)段是vpn接口地址定義VPN用戶允許訪問(wèn)的范圍。nat(inside)1192.168.203.0255.255.255.0global(outside)1222.187.124.2netmask255.255.255.224routeinside192.168.201.0255.255.255.0192.168.200.11routeinside192.168.203.0255.255.255.0192.168.200.11在配置中需要留意的是，假如VPN用戶通過(guò)防火墻撥號(hào)進(jìn)來(lái)，則要在防火墻outside端口上允許esp協(xié)議，詳細(xì)配置access-list105extendedpermitespanyhostx.x.x.xaccess-group105ininterfaceoutside5VPN在我校校園網(wǎng)中的實(shí)際應(yīng)用我校VPN重要應(yīng)用于校園網(wǎng)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理以及校外用戶訪問(wèn)校內(nèi)網(wǎng)絡(luò)資源。詳細(xì)應(yīng)用是通過(guò)VPN客戶端EZ-VPN,由于EZ-VPN是Cisco公司的VPN客戶端軟件，它允許用戶在不安全的網(wǎng)絡(luò)上建立VPN終端設(shè)備與客戶端之間的VPN通道，進(jìn)而使得用戶能夠通過(guò)比方撥號(hào)等上網(wǎng)方式來(lái)安全的接入到校園網(wǎng)內(nèi)部，接入后獲得校園網(wǎng)內(nèi)部地址，這樣就能夠訪問(wèn)校內(nèi)的分享資源。以下為客戶端操作實(shí)例〔圖2〕以下為VPN客戶端軟件的配置說(shuō)明ConnectionEntry中填寫(xiě)VPN的名稱，Description可隨意填寫(xiě)，Host中填寫(xiě)VPN的效勞器名稱，Name和Password中分別填寫(xiě)用戶名和密碼?！矆D2〕6結(jié)論我校校園網(wǎng)自2004年10月以來(lái)，利用VPN實(shí)現(xiàn)的遠(yuǎn)程O(píng)A和遠(yuǎn)程網(wǎng)絡(luò)管理運(yùn)行正常。理論證明