1 引言
随着高校办学规模的扩大,新(分)校区在地理位置上的分散给无线网建设和管理提出更高的要求。利 用VPN技术不仅可以搭建统一的无线网络管理平台,还可以提高无线校园网的安全性。
2 VPN概述
VPN(Virtual Private Network)虚拟专用网技术是指采用隧道技术以及加密、身份认证等方法,在公 众网络上构建专用网络,数据通过安全的“加密管道”在公众网络中传播。VPN不是某个单位专有的封闭 线路或者是租用某个网络服务商提供的封闭线路。VPN具有专线的数据传输功能, 根据使用者的身份和权 限,直接将使用者接入所应该接触的信息中。
VPN通过采用“隧道”技术, 利用IETF制定的Ipsec标准, 在公众网中形成单位的安全、机密、顺畅的 专用链路。
目前VPN主要采用4项技术保证安全,即:隧道技术(Tunneling)、加解密技术( Encryption&Decryption) 、密钥管理技术(Key Management) 、使用者与设备身份认证技术 (Authentication)。目前很多高校的多个校区相隔较远,利用物理线路进行网络互联成本高, 采用VPN技术 搭建统一网络管理的无线校园网是一个成本低且安全的方法。
3 VPN关键技术
3.1 隧道技术
隧道(Tunneling)技术是搭建VPN的一项关键技术,在公用网建立一条数据通道(隧道),主要利用网络隧 道协议,让数据包在这条隧道传输。有两种类型隧道协议:第二层隧道协议,用于传输二层网络协议; 第三 层隧道协议,用于传输第三层网络协议。第三层隧道协议主要包括GRE(GRE,Generic Routing Encapsulation,RFC1701)协议[2]和IETF的IPSec协议。
3.1.1 第二层隧道协议
第二层隧道协议将各种网络协议封装到PPP中, 再将整个数据包装入隧道协议中,这种双层封装方法形 成的数据包靠第二层协议进行传输。
第二层隧道协议有L2F(Layer2Forwarding,二层转发协议)、PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2TP(Layer 2TunnelingProtocol,二层隧道协议)等。L2TP协议是目前IETF 的标准,由IETF融合PPTP与L2F形成。
3.1.2 GRE
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
通用路由封装GRE[3](Generic Routing Encapsulation)是对某些网络层协议(如IP、IPX)的数据进行 封装, 使被封装的数据包能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,协议层间采用了 Tunnel(隧道)技术。
Tunnel是一个虚拟的点对点的连接,提供一条通路,使封装的数据包能在此通路上传输, 并且在一个 Tunnel两端进行数据包的封装与解封装过程。当路由器接受到一个需要封装和路由的原始数据报文 (Payload),先被GRE封装成GRE报文,再被封装在IP协议中,由IP层负责此报文的转发。
GRE主要能提供以下服务:
①多协议、多业务本地网通过单一骨干网传输;
②扩大包含步跳数限制协议(RIP)的应用范围;
③将不能连续的子网连接起来组建VPN。