1 引言
隨著高校辦學(xué)規(guī)模的擴大,新(分)校區(qū)在地理位置上的分散給無線網(wǎng)建設(shè)和管理提出更高的要求。利用VPN技術(shù)不僅可以搭建統(tǒng)一的無線網(wǎng)絡(luò)管理平臺,還可以提高無線校園網(wǎng)的安全性。
2 VPN概述
VPN(Virtual Private Network)虛擬專用網(wǎng)技術(shù)是指采用隧道技術(shù)以及加密、身份認證等方法,在公眾網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò),數(shù)據(jù)通過安全的“加密管道”在公眾網(wǎng)絡(luò)中傳播。VPN不是某個單位專有的封閉線路或者是租用某個網(wǎng)絡(luò)服務(wù)商提供的封閉線路。VPN具有專線的數(shù)據(jù)傳輸功能, 根據(jù)使用者的身份和權(quán)限,直接將使用者接入所應(yīng)該接觸的信息中。
VPN通過采用“隧道”技術(shù), 利用IETF制定的Ipsec標準, 在公眾網(wǎng)中形成單位的安全、機密、順暢的專用鏈路。
目前VPN主要采用4項技術(shù)保證安全,即:隧道技術(shù)(Tunneling)、加解密技術(shù)( Encryption&Decryption) 、密鑰管理技術(shù)(Key Management) 、使用者與設(shè)備身份認證技術(shù)(Authentication)。目前很多高校的多個校區(qū)相隔較遠,利用物理線路進行網(wǎng)絡(luò)互聯(lián)成本高, 采用VPN技術(shù)搭建統(tǒng)一網(wǎng)絡(luò)管理的無線校園網(wǎng)是一個成本低且安全的方法。
3 VPN關(guān)鍵技術(shù)
3.1 隧道技術(shù)
隧道(Tunneling)技術(shù)是搭建VPN的一項關(guān)鍵技術(shù),在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),主要利用網(wǎng)絡(luò)隧道協(xié)議,讓數(shù)據(jù)包在這條隧道傳輸。有兩種類型隧道協(xié)議:第二層隧道協(xié)議,用于傳輸二層網(wǎng)絡(luò)協(xié)議; 第三層隧道協(xié)議,用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議。第三層隧道協(xié)議主要包括GRE(GRE,Generic Routing Encapsulation,RFC1701)協(xié)議[2]和IETF的IPSec協(xié)議。
3.1.1 第二層隧道協(xié)議
第二層隧道協(xié)議將各種網(wǎng)絡(luò)協(xié)議封裝到PPP中, 再將整個數(shù)據(jù)包裝入隧道協(xié)議中,這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。
第二層隧道協(xié)議有L2F(Layer2Forwarding,二層轉(zhuǎn)發(fā)協(xié)議)、PPTP(Point to Point Tunneling Protocol,點對點隧道協(xié)議)、L2TP(Layer 2TunnelingProtocol,二層隧道協(xié)議)等。L2TP協(xié)議是目前IETF的標準,由IETF融合PPTP與L2F形成。
3.1.2 GRE
第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。
通用路由封裝GRE[3](Generic Routing Encapsulation)是對某些網(wǎng)絡(luò)層協(xié)議(如IP、IPX)的數(shù)據(jù)進行封裝, 使被封裝的數(shù)據(jù)包能夠在另一個網(wǎng)絡(luò)層協(xié)議中傳輸。GRE是VPN的第三層隧道協(xié)議,協(xié)議層間采用了Tunnel(隧道)技術(shù)。
Tunnel是一個虛擬的點對點的連接,提供一條通路,使封裝的數(shù)據(jù)包能在此通路上傳輸, 并且在一個Tunnel兩端進行數(shù)據(jù)包的封裝與解封裝過程。當路由器接受到一個需要封裝和路由的原始數(shù)據(jù)報文(Payload),先被GRE封裝成GRE報文,再被封裝在IP協(xié)議中,由IP層負責此報文的轉(zhuǎn)發(fā)。
GRE主要能提供以下服務(wù):
①多協(xié)議、多業(yè)務(wù)本地網(wǎng)通過單一骨干網(wǎng)傳輸;
②擴大包含步跳數(shù)限制協(xié)議(RIP)的應(yīng)用范圍;
③將不能連續(xù)的子網(wǎng)連接起來組建VPN。
#p#副標題#e#
3.1.3 IPSec
IPSec [4](IP Security)不是單一的協(xié)議或算法,而是實現(xiàn)加密的加密標準的集合。它定義了一個系統(tǒng),提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),在IP層提供安全保障,而與任何上層應(yīng)用和傳輸層無關(guān)。
IPSec將安全服務(wù)/密鑰與要保護的通信數(shù)據(jù)聯(lián)系到一起, 同時也將遠端通信實體和這些受IPSec保護的通信數(shù)據(jù)聯(lián)系到一起, 此種保護方案稱為安全聯(lián)盟(SA ,Security Association)。安全聯(lián)盟定義了數(shù)據(jù)保護中使用的協(xié)議和算法以及有效時間等屬性。
3.2 密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)分為SAKMP和OAKLEY兩種。
4 基于VPN技術(shù)的無線校園網(wǎng)
4.1 無線校園網(wǎng)的現(xiàn)狀
傳統(tǒng)無線校園網(wǎng)主要由交換機加AP構(gòu)成,通過單一CPU結(jié)構(gòu),實現(xiàn)無線局域網(wǎng)的功能。它僅在終端計算機和AP間提供加密技術(shù),而在交換機和AP間數(shù)據(jù)的傳輸沒有經(jīng)過加密處理,因此,無法保障安全、可靠的傳輸數(shù)據(jù),如圖1所示。
圖1 傳統(tǒng)無線校園網(wǎng)數(shù)據(jù)傳輸模型
現(xiàn)有無線網(wǎng)絡(luò)存在著下列弊病:
①由于無線網(wǎng)的安全配置儲存在AP中,包括加密的密鑰,Radius客戶端的安全密碼(secret)等,一旦AP中的安全配置信息被人盜取,無線網(wǎng)絡(luò)安全就會受到威脅;
②不能提供真正的安全移動,如無法實現(xiàn)AP與AP間的協(xié)調(diào),以智能方式自動調(diào)整各個AP的無線電波頻道和功率等;
③沒有無線入侵偵測保護系統(tǒng);
④斷層的無線網(wǎng)管理,管理員無法直觀地監(jiān)控和調(diào)試每處AP的使用情況。
⑤對多個分校區(qū)的無線校園網(wǎng)不能進行統(tǒng)一網(wǎng)絡(luò)管理。
4.2 基于VPN技術(shù)的無線校園網(wǎng)
基于VPN技術(shù)的無線校園網(wǎng)可將VPN相關(guān)技術(shù)集成到無線網(wǎng)交換機中,采用集中式網(wǎng)絡(luò)結(jié)構(gòu),對所有設(shè)備進行統(tǒng)一管理,提升無線校園網(wǎng)的安全性,如圖2所示。
圖2 基于VPN技術(shù)的無線校園網(wǎng)
#p#副標題#e#
在這種無線校園網(wǎng)中,VPN技術(shù)可以在如下方面對無線網(wǎng)進行整合:
①基于VPN技術(shù)的無線校園網(wǎng)中,應(yīng)用隧道技術(shù)(Tunneling),在核心無線交換機和AP之間建立可靠的專用線路,這樣就可以不考慮[5]接入交換機的安全管理、性能等因素對AP的影響。
②利用VPN的加解密技術(shù)(Encryption &Decryption)和密鑰管理技術(shù)(Key Management),對無線校園網(wǎng)中的數(shù)據(jù)進行安全、可靠的加密傳輸,提高無線校園網(wǎng)的安全性、穩(wěn)定性。
③利用VPN使用者與設(shè)備身份認證技術(shù)(Authentication)、校園網(wǎng)中認證服務(wù)器,可以為無線校園網(wǎng)提供多種認證方式,實現(xiàn)有線和無線校園網(wǎng)的統(tǒng)一認證管理。
④利用第三層隧道協(xié)議技術(shù),在各個校區(qū)間建立虛擬專用線路,實現(xiàn)對多校區(qū)的無線網(wǎng)絡(luò)統(tǒng)一管理。
數(shù)據(jù)在這種無線校園網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)可靠傳輸,如圖3所示。
圖3 基于VPN技術(shù)的無線校園網(wǎng)數(shù)據(jù)
5 結(jié)論
基于VPN技術(shù)的無線校園網(wǎng)提高了無線網(wǎng)的安全性,為多校區(qū)提供統(tǒng)一的網(wǎng)絡(luò)管理平臺,降低了無線校園網(wǎng)建設(shè)和管理的成本。這種模式的無線校園網(wǎng)必將在今后網(wǎng)絡(luò)發(fā)展中得到廣泛的應(yīng)用,將為教學(xué)、科研提供更加安全、便捷的網(wǎng)絡(luò)環(huán)境。
