李軍旺 LI Jun-wang

（岳陽職業(yè)技術(shù)學(xué)院，岳陽 414000）

1 VPN 技術(shù)

VPN 是虛擬專用網(wǎng)的簡稱，是一種利用共享的公共網(wǎng)絡(luò)搭建虛擬的專用網(wǎng)絡(luò)的技術(shù)。因傳輸數(shù)據(jù)的通道是運(yùn)用“隧道”技術(shù)虛擬出來的，所以稱為虛擬網(wǎng)。VPN 網(wǎng)絡(luò)僅供合法的VPN 用戶專門使用，因此稱為專用網(wǎng)。與其他專用網(wǎng)絡(luò)相比，運(yùn)用VPN 技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問，安全性、可靠性有保障且成本低、組網(wǎng)靈活、易于擴(kuò)張、維護(hù)方便，因此得到了廣泛的應(yīng)用[1]。

2 VPN 的關(guān)鍵技術(shù)

一條VPN 連接一般包括客戶機(jī)、隧道和服務(wù)器三個(gè)部分。其工作過程一般是客戶機(jī)將明文信息發(fā)送到與之相聯(lián)的VPN 設(shè)備，VPN 設(shè)備根據(jù)預(yù)先設(shè)定的規(guī)則，判斷是否對其進(jìn)行加密處理，對需要處理的數(shù)據(jù)，VPN 設(shè)備根據(jù)規(guī)則進(jìn)行加密、認(rèn)證并封裝成一個(gè)新的數(shù)據(jù)包，新的數(shù)據(jù)包通過公網(wǎng)傳輸?shù)竭_(dá)目標(biāo)VPN 設(shè)備時(shí)，數(shù)據(jù)包被解封、認(rèn)證、解密，還原成原始明文信息發(fā)送給服務(wù)器。VPN 工作過程如圖1 所示。

圖1 VPN 工作過程

工作過程涉及的主要技術(shù)有隧道技術(shù)、認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)以及訪問控制技術(shù)[2]。

2.1 隧道技術(shù)

所謂隧道是指通過封裝、解封裝技術(shù)在收、發(fā)雙方之間建立的一條虛擬的數(shù)據(jù)傳送通道。隧道技術(shù)是一種數(shù)據(jù)包封裝技術(shù)，包括數(shù)據(jù)封裝、傳輸和解封裝的全過程。它是將用戶數(shù)據(jù)包以數(shù)據(jù)凈荷的形式封裝成另一個(gè)數(shù)據(jù)包，然后通過隧道發(fā)送。中間的路由過程由新的數(shù)據(jù)包的包頭決定，到達(dá)目的地后再通過解封恢復(fù)原始數(shù)據(jù)包。

隧道是由隧道協(xié)議形成的，為了建立隧道，通信雙方采用的隧道協(xié)議必須相同。一個(gè)隧道協(xié)議包括乘客協(xié)議、封裝協(xié)議、承載協(xié)議三種協(xié)議。乘客協(xié)議是被封裝進(jìn)數(shù)據(jù)包中的協(xié)議。封裝協(xié)議的功能就是建立、保持以及拆除隧道等。承載協(xié)議是承載經(jīng)過封裝后數(shù)據(jù)包的協(xié)議等。

2.2 認(rèn)證技術(shù)

包括身份認(rèn)證與數(shù)據(jù)認(rèn)證。在隧道啟動(dòng)前，要對用戶的身份進(jìn)行認(rèn)證，確保只有合法的用戶才可訪問系統(tǒng)，不同權(quán)限的用戶訪問不同的資源。常用的認(rèn)證方式有用戶名+密碼、USB KEY 等。數(shù)據(jù)認(rèn)證技術(shù)主要采用摘要技術(shù)，利用Hash 算法理論結(jié)果的唯一性和不可逆性，判定數(shù)據(jù)在傳輸過程中是否被篡改。

2.3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)被封裝入隧道時(shí)進(jìn)行加密，到達(dá)目的地后解密。加密是利用數(shù)學(xué)方法將明文轉(zhuǎn)換為密文的過程。加密技術(shù)確保數(shù)據(jù)在隧道中傳輸過程中不被非法竊取，或者即使被竊取不明白信息的含義。加密或解密時(shí)用到的參數(shù)稱為密鑰。加密、解密采用同一密鑰，稱為對稱加密。加密與解密采用不同的密鑰稱為非對稱加密。

2.4 訪問控制技術(shù)

通過訪問控制技術(shù)確保只有授權(quán)的用戶才能訪問系統(tǒng)資源，不同權(quán)限的用戶訪問不同的資源，未授權(quán)用戶不能訪問資源。

3 常用VPN 技術(shù)研究

3.1 IPSec VPN

IPSec 不是某一種具體的協(xié)議，而是IETF 為保證IP層的安全通信（端到端IP 報(bào)文交互的真實(shí)性、完整性、機(jī)密性、抗重放性）而制定的協(xié)議簇。

3.1.1 IPSec VPN 體系結(jié)構(gòu)

IPSec 協(xié)議基于安全策略對不同的數(shù)據(jù)包采取不同的保護(hù)措施。IPSec VPN 體系結(jié)構(gòu)主要涉及AH（報(bào)文頭驗(yàn)證協(xié)議）、ESP（封裝安全載荷協(xié)議）和IKE（因特網(wǎng)密鑰交換）三個(gè)協(xié)議。AH 的主要功能是數(shù)據(jù)完整性校驗(yàn)、數(shù)據(jù)源驗(yàn)證、防報(bào)文重放。ESP 除提供數(shù)據(jù)完整性校驗(yàn)、數(shù)據(jù)源驗(yàn)證、防報(bào)文重放功能外，還提供加密功能[3]。IKE 是IPSEC的信令協(xié)議，主要功能是自動(dòng)協(xié)商密鑰、更新密鑰、安全參數(shù)如何協(xié)商等。IPSec VPN 體系結(jié)構(gòu)如圖2 所示。

圖2 IPSec VPN 體系結(jié)構(gòu)

3.1.2 工作模式

對IP 數(shù)據(jù)包，IPSec 可以加密，也可以進(jìn)行認(rèn)證，還可以同時(shí)進(jìn)行認(rèn)證和加密。其工作模式有兩種，傳輸模式和隧道模式。在傳輸模式時(shí)，IPSec 報(bào)頭插入IP 頭部與TCP頭部之間，同時(shí)IP 報(bào)文中的協(xié)議字段數(shù)值改為50 或者51（50、51 是IPSec 的協(xié)議號(hào)）。

傳輸模式下的報(bào)文格式如圖3 所示。

圖3 傳輸模式下報(bào)文格式

在隧道模式時(shí)，IPSec 報(bào)頭插入在原IP 頭部的前面，IPSec 報(bào)頭與原IP 分組一起被當(dāng)作有效載荷的一部分封裝在新的IP 報(bào)文中，這樣原IP 頭信息被隱藏起來，安全性更好。但因要插入一個(gè)額外的新IP 頭部，故需要占用更多的帶寬[4]。隧道模式下報(bào)文格式如圖4 所示。

圖4 隧道模式下報(bào)文格式

3.2 SSL VPN

SSL（安全套接層）是一種基于WEB 應(yīng)用的安全協(xié)議。SSL 提供的服務(wù)一是對數(shù)據(jù)進(jìn)行加密。二是確保收到的是沒有更改的數(shù)據(jù)。三是對用戶和服務(wù)器的身份進(jìn)行驗(yàn)證，以確保收到數(shù)據(jù)是正確的客戶端和服務(wù)器。認(rèn)證采用數(shù)字證書，包括單向認(rèn)證和雙向認(rèn)證兩種。單向認(rèn)證只需在服務(wù)器端安裝SSL 證書，任何用戶都可以去訪問。通常，基于Web 的應(yīng)用程序使用SSL 單向身份驗(yàn)證。SSL 雙向認(rèn)證要求服務(wù)端和客戶端都具備CA 證書，在協(xié)議認(rèn)證過程中，客戶端和服務(wù)端會(huì)彼此校驗(yàn)對方的證書是否有效。使用雙向認(rèn)證可以加密被傳輸?shù)男畔?，防止信息泄露，還可以在一定程度上增加服務(wù)端的信任度。

3.3 MPLS VPN

MPLS 是多協(xié)議標(biāo)記交換的簡稱，采用標(biāo)記（Label）交換且支持多種鏈路層與網(wǎng)絡(luò)層協(xié)議。MPLS VPN 是MPLS技術(shù)應(yīng)用的一個(gè)分支，通過IP 骨干網(wǎng)絡(luò)構(gòu)建公司或企事業(yè)單位IP 專用網(wǎng)絡(luò)，以實(shí)現(xiàn)跨區(qū)域、高效、可靠、安全的多業(yè)務(wù)通信。MPLS VPN 網(wǎng)絡(luò)通過在報(bào)文中插入Label 來區(qū)分?jǐn)?shù)據(jù)流，一個(gè)Label 與一個(gè)用戶數(shù)據(jù)流相對應(yīng)，很容易實(shí)現(xiàn)隔離。各數(shù)據(jù)包根據(jù)Label 進(jìn)行轉(zhuǎn)發(fā)，當(dāng)?shù)竭_(dá)VPN 的邊緣時(shí)，再由三層設(shè)備完成路由。MPLS VPN 主要包括運(yùn)營商網(wǎng)絡(luò)與用戶網(wǎng)絡(luò)二個(gè)部分，如圖5 所示。

圖5 MPLS VPN 組成

其中運(yùn)營商網(wǎng)絡(luò)是MPLS 的骨干網(wǎng)，由運(yùn)營商管理并提供服務(wù)，P（Provider）路由器根據(jù)標(biāo)簽（Label）進(jìn)行分組的交換或轉(zhuǎn)發(fā)，無需維護(hù)VPN 信息，僅需具備基本MPLS 轉(zhuǎn)發(fā)能力即可。CE（Custom Edge）是用戶網(wǎng)絡(luò)的邊緣路由器，由用戶配置，可以不支持MPLS。PE 路由器是運(yùn)營商網(wǎng)絡(luò)與用戶網(wǎng)絡(luò)通信的橋梁，PE 路由器中不僅包括骨干網(wǎng)絡(luò)的路由信息，也包括每一個(gè)VPN 的路由信息，必須支持MPLS 且要開啟MPLS 功能，VPN 配置與處理主要在PE路由器中完成。

3.4 各種VPN 技術(shù)比較

①IPSec VPN 優(yōu)點(diǎn)是只需在客戶端的網(wǎng)關(guān)上進(jìn)行部署，因此可以快速部署并投入使用；支持預(yù)共享秘鑰驗(yàn)證或證書認(rèn)證，因此安全性高。缺點(diǎn)是僅支持IP 封裝，不支持其他協(xié)議；需要特定的客戶端支持不太適合移動(dòng)用戶；配置復(fù)雜，因此對管理人員的技術(shù)要求比較高；工作在第三層，很難穿越NAT 和防火墻，訪問一些安全措施較嚴(yán)密的系統(tǒng)時(shí)，容易出現(xiàn)訪問受阻的情況[5]。

②SSL VPN 優(yōu)點(diǎn)是只要有支持SSL 的瀏覽器，無需安裝、配置客戶端就可以使用VPN；封裝的是應(yīng)用層數(shù)據(jù)，因此能繞過防火墻和代理服務(wù)器訪問內(nèi)網(wǎng)資源；支持用戶名/密碼或證書認(rèn)證，能夠?qū)崿F(xiàn)端到端的安全；可以對遠(yuǎn)程接入用戶進(jìn)行較精細(xì)的資源訪問控制。SSL VPN 的缺點(diǎn)是不能對通信雙方的主機(jī)間通信進(jìn)行加密，只能對某個(gè)應(yīng)用通道進(jìn)行加密，故對資源提供的安全保障有限。

③MPLS 是天然的隧道，丟包率、時(shí)延有保障，無需配備專用的VPN 設(shè)備，只使用一般的路由器就可以構(gòu)建VPN。但MPLS VPN 一般由一家運(yùn)營商提供的，跨運(yùn)營商互聯(lián)互通不理想，不支持用戶認(rèn)證和數(shù)據(jù)加密。

4 VPN 技術(shù)在雙校區(qū)校園網(wǎng)建設(shè)中的應(yīng)用

4.1 雙校區(qū)校園網(wǎng)建設(shè)需求

某高校有東西兩個(gè)校區(qū)，近年來，隨著教育信息化的發(fā)展，數(shù)字校園上部署了與教學(xué)、學(xué)籍、辦公、財(cái)務(wù)、人事、科研以及管理有關(guān)的多種應(yīng)用系統(tǒng)，由于前期規(guī)劃的問題，各種流量均通過專線傳輸，核心設(shè)備壓力大。整個(gè)校園網(wǎng)可擴(kuò)展性不強(qiáng)，每增加一項(xiàng)新業(yè)務(wù)，IP 地址的重新規(guī)劃、網(wǎng)絡(luò)設(shè)備的配置都比較麻煩，運(yùn)維難度大、安全隱患多。網(wǎng)絡(luò)改造后，一是要求用戶接入方便、靈活，通過認(rèn)證的師生能在校園內(nèi)、外隨時(shí)隨地接入內(nèi)部網(wǎng)絡(luò)，進(jìn)行成績查詢、圖書館資源訪問；二是校園網(wǎng)的基礎(chǔ)架構(gòu)要有一定承載性，滿足一定的在線教學(xué)、視頻會(huì)議的需求，要求具備高帶寬、高穩(wěn)定性；三是要采用統(tǒng)一的安全策略，確保內(nèi)網(wǎng)安全以及Internet 訪問安全[6]。

4.2 雙校區(qū)校園建設(shè)方案

根據(jù)建設(shè)需求，結(jié)合前文VPN 技術(shù)的研究與分析，提出了一種IPSec+MPLS+SSL 的方案，東西兩校區(qū)之間的互聯(lián)通過MPLS+IPSec 兩種VPN 技術(shù)相結(jié)合的方式。SSL VPN 服務(wù)器部署在西校區(qū)，以滿足教職工、學(xué)生的校外訪問與移動(dòng)終端訪問。用eNSP 進(jìn)行模擬測試，拓?fù)浣Y(jié)構(gòu)如圖6 所示。

圖6 雙校區(qū)數(shù)字校園拓?fù)鋱D

IP 規(guī)劃如下：校園網(wǎng)各業(yè)務(wù)、SSL VPN 服務(wù)器全部部署在西校區(qū)，IP 地址為：192.168.137.0/24；出口路由器IP為172.18.1.1/24、SSL VPN 的IP 為192.168.1.2/24。東校區(qū)IP 為：198.168.1.0/24，出口路由器IP 為：172.18.2.1/24。

4.3 VPN 配置關(guān)建代碼

IIS VPN 采用圖形界面進(jìn)行配置。MPLS VPN 配置時(shí)，PE 及PE 兩邊接口都啟用MPLS、創(chuàng)建MPLS LDP，具體配置過程比較簡單，這里省略。西校區(qū)路由器IPSEC VPN 配置關(guān)建代碼如下：

4.4 測試

使用ping 命令進(jìn)行連通性測試，表明鏈路情況良好。

5 總結(jié)

在對比及分析常用VPN 技術(shù)優(yōu)缺點(diǎn)的基礎(chǔ)上，為雙校區(qū)校園網(wǎng)建設(shè)提出了一種IPSec+MPLS+SSL 相融合的方案，該方案綜合了IPSec、MPLS、SSL 技術(shù)的優(yōu)點(diǎn)，經(jīng)過eNSP模擬組網(wǎng)測試，該方案在保證安全的基礎(chǔ)上，用戶接入方便、靈活，有一定的擴(kuò)展性，較好地滿足了校園網(wǎng)設(shè)計(jì)需求。