VPN在高校校园网中的应用

VPN在高校校园网中的应用内容摘要文章对VPN〔虚拟局域网〕的基本概念，VPN的工作原理及实现VPN的关键技术—隧道技术进行了论述，结合学校校园网的VPN实际解决方案，对VPN的配置及应用做了相应的描绘叙述。文章介绍了校园网的网络拓扑，在网络核心设备Cisco6513上的VPN配置，并描绘叙述了VPN在防火墙上的配置，以及VPN在我校校园网中的实际应用。文章重点介绍VPN怎样在核心设备上进行配置，配置时的留意事项，技术特点，技术难点等问题。本文关键词语虚拟专用网络；隧道技术；数据加密；VPN1引言在传统的组网方案中,假如要进行LAN之间的远程互连,除了租用较高速率的DDN专线或帧中继之外,并没有更好的解决方法。而对于流动用户及远端客户与企业网的远端接入来说,传统的方法是以拨号线路拨入企业网所使用的各自独立的接入设备。这对一些连网间隔比较远的单位来说,产生了不可避免的高额租用费。然而，VPN的解决方法正好能克制上述问题，并以本身的优势为广阔的网络用户提供效劳。当前，我校校园网的移动OA和远程网络管理的解决方案就是利用VPN技术实现的。2VPN基本概念VPN是建立在实际网络(或称物理网络)基础上的一种功能性网络,是一种专用网的组网方式,它向使用者提供一般专用网所具有的功能,但自己却不是一个独立的物理网络。所以,能够说它是一种逻辑上的专用网络，也就是说VPN依靠网络效劳供给商，将企业的内部网与公共网络建立连接，在公用网络中建立起内部网络间的专用数据传输通道〔隧道〕，而这类专用通道并非真实的物理专用线路，只是在现有的公用网络中临时搭建的，因此它又是一种虚拟专用网。事实上，VPN的效果相当于在Internet上构成一条专用线路〔隧道〕，从作用的效果看，VPN与IP电话类似，但VPN对于数据加密的要求更高层次。VPN由三个部分构成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送。数据加密和用户认证则包括安全性的两个方面：数据加密保证敏感数据不会被****，用户认证则保证未获认证的用户无法访问内部网络。3VPN工作原理VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输。因而,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的实质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分分布局的专用网络架构在公共网络上安全通信。它采取复杂的算法来加密传输的信息,使敏感的数据不会被窃听。(1)第二层隧道协议L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设备(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。当前,Internet中的拨号网络只支持IP协议,而且必需注册IP地址;而L2TP能够让拨号用户支持多种协议,而且能够保留网络地址,包含保留IP地址。利用L2TP提供的拨号虚拟专用网效劳对用户和效劳提供商都很有意义,它能够让我校共有两个校区：老校区和新校区，两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连，Cisco6513又与界限出口Cisco6503相连,具有四条通道：计费网关，VPN，两条Trunk通道。网络拓扑图如下〔图1〕：〔图1〕由于Cisco6513为我校校园网核心交换，因而我们选择CISCOVPN模块安装在Cisco6513上。在Cisco6513上的VPN配置以下为启动aaa，翻开radius效劳器上的用户认证，翻开cisco组用户的当地受权的配置aaanew-modelaaaauthenticationlogindefaultgroupradiuslocalaaaauthorizationnetworkciscolocal以下为为远端VPN用户定义crypto策略，使用3des加密、分享密钥和用group2产生密钥的配置cryptoisakmppolicy1encr3desauthenticationpre-sharegroup2以下为开创建立组验证的用户名和密码，分配DNS地址，指定要分配给VPN用户的地址池以及允VPN用户所能访问的IP范围的配置cryptoisakmpinvalid-spi-recoverycryptoisakmpkeepalive10cryptoisakmpnatkeepalive15cryptoisakmpxauthtimeout45cryptoisakmpclientconfigurationgroupciscokeyciscodns202.195.128.10202.195.128.16poolremote-poolacl101以下为定义crypto的transform属性的配置cryptoipsectransform-settransform-1esp-3desesp-sha-hmac以下为定义crypto的动态map的配置cryptodynamic-mapdynmap1settransform-settransform-1以下为开创建立一个合成的map，将合成map绑定到端口上的配置cryptomapclient-mapclientauthenticationlistdefaultcryptomapclient-mapisakmpauthorizationlistciscocryptomapclient-mapclientconfigurationaddressrespondcryptomapclient-map1ipsec-isakmpdynamicdynmap以下为定义两个端口为vpn模块的虚拟端口的配置interfaceGigabitEthernet2/1switchportswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan906switchportmodetrunkspanning-treeportfasttrunkinterfaceGigabitEthernet2/2switchportswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan903switchportmodetrunkspanning-treeportfasttrunk以下为接口为PORTVLAN的配置，它接口地址分配在防火墙INSIDE接口上。interfaceVlan903noipaddresscryptoconnectvlan906interfaceVlan906ipaddress192.168.9.69255.255.255.252以下为将合成的map应用到该接口的配置cryptomapclient-mapcryptoengineslot2以下为定义分配给VPN用户的地址段的配置iplocalpoolremote-pool192.168.203.0192.168.203.254以下为定义VPN允许访问的地址范围。access-list101permitipx.x.x.xx.x.x.x以下为电信防火墙上的配置，其中，192.168.203网段是用户获得的地址池的地,192.168.201网段是vpn接口地址定义VPN用户允许访问的范围。nat(inside)1192.168.203.0255.255.255.0global(outside)1222.187.124.2netmask255.255.255.224routeinside192.168.201.0255.255.255.0192.168.200.11routeinside192.168.203.0255.255.255.0192.168.200.11在配置中需要留意的是，假如VPN用户通过防火墙拨号进来，则要在防火墙outside端口上允许esp协议，详细配置access-list105extendedpermitespanyhostx.x.x.xaccess-group105ininterfaceoutside5VPN在我校校园网中的实际应用我校VPN重要应用于校园网网络设备的远程管理以及校外用户访问校内网络资源。详细应用是通过VPN客户端EZ-VPN,由于EZ-VPN是Cisco公司的VPN客户端软件，它允许用户在不安全的网络上建立VPN终端设备与客户端之间的VPN通道，进而使得用户能够通过比方拨号等上网方式来安全的接入到校园网内部，接入后获得校园网内部地址，这样就能够访问校内的分享资源。以下为客户端操作实例〔图2〕以下为VPN客户端软件的配置说明ConnectionEntry中填写VPN的名称，Description可随意填写，Host中填写VPN的效劳器名称，Name和Password中分别填写用户名和密码。〔图2〕6结论我校校园网自2004年10月以来，利用VPN实现的远程OA和远程网络管理运行正常。理论证明