李国正，刘芯宇

(定西师范高等专科学校，甘肃743000)

VPN技术在校园网中的应用

李国正，刘芯宇

(定西师范高等专科学校，甘肃743000)

目前，许多高校都是一校多区，如何提高校区之间的数据通讯和资源共享，方便外出师生访问校内资源，这是当前校园网络建设中的一个热门话题。通过对高校校园网络的分析，设计并实现了一个基于VPN技术的校园网络系统。希望选择的VPN技术能提高主校区和分校区之间的数据通讯，摆脱校园网用户地理位置的限制，进一步提高校园网的灵活性、安全性。

虚拟专用网；校园网；网络安全

1 问题的提出

当前，信息技术的高速发展，使得人们的日常生活越来越网络化，网络通讯与安全问题凸显重要。在信息的传输过程中一些网络攻击行为不断发生并升级，人们迫切需要一个健康的网络运行体系。校园网作为网络的一份子，越来越具有开放性，校内师生可以访问到外网，外网用户也可通过其了解到学校的具体信息，网络安全也变得至关重要。高校规模不断地扩大并丰富化，校区越来越多,用户越来越多，种类也很复杂，学校和社会各种性质的单位合作越来越深入，大量师生频繁外出，都需要访问到校内资源。校园网安全隐患成为当前很多高校一个函待解决的问题[1]。

目前，高校校园网在以下几个方面存在急需解决的问题：

(1)高校规模的不断扩建，使得大多数学校有老校区和新校区，有的大学是由几所学校合并而成的，这就给不同校区的教职工在使用校园网教学资源时带来了不便，如何让分校区的教职工能够很方便地访问到主校区的图书馆资源、OA系统等内部网络资源，实现安全访问，这已成为数字化校园建设中一个必须解决的问题[2]。

(2)高等教育的不断发展，使得大量教职工频繁地外出访学、开会等，有的学生经常去外地实习，如何让教职工和学生在外时也能够很轻易的使用校内教学资源，这是校园网在发展过程中要解决的又一个问题。

为加强校园网安全通讯，解决主校区和分校区内部资源共享，方便信息通信，提高办公效率，在外教师和学生能够访问内部资源等问题，本文提出运用VPN技术连接不同校区，给用户机配置VPN客户端，使得所有的分校区都好像和主校区在一个局域网，在外人员也跟始终在主校区校内局域网一样。

2 VPN工作原理

VPN(Virtual Private Network，虚拟专用网络)是当前应用较为广泛的技术，可以使用VPN技术让出差的用户通过Internet安全访问内网，通过配置站点间的VPN可以将两个局域网通过Internet连接起来，实现对局域网的扩展[3]。

2.1 使用场合

(1)如图1所示，用户在远程通过ISP连上Internet后，通过Internet与局域网的VPN服务器建立VPN连接，并通过VPN连接和内网安全传送信息。

图1 远程接入VPN

(2)如图2所示，两个局域网的VPN服务器通过Internet建立VPN连接，两个局域网的用户在传递信息时，分别经过各自的VPN服务器加密后，通过Internet传输，确保数据的安全性。

图2 站点间VPN

2.2 使用的协议

(1)PPTP(点到点隧道协议)封装包含用户信息数据包，支持隧道交换。隧道交换可以根据用户权限，开启并分配新的隧道，将数据包在网络中传输。隧道交换可以将用户导向指定的局域网内部服务器。PPTP便于局域网在防火墙上配置访问控制，对不同来源的数据包实施访问控制。

(2)IPSec是用来增强VPN安全性的标准协议。IPSec包含了用户身份认证、查验和数据完整性等内容，规定了在两个IP工作站之间进行加密、数字签名等而使用的一系列IP级协议。

2.3 VPN分类

目前，最普遍的VPN分类依据是按应用范围进行分类，如表1所示，用不同的VPN配置模式满足不同使用环境下用户的需求[4]。

3 VPN技术设计校园网

本文以甘肃中医药大学一校四区为例，在对各个校区校园网现状进行深入了解，并对校园网的实际需求做了分析后，提出利用VPN技术把四个校区连接起来，满足数据的共享，保证数据安全地传输。

表1 VPN的分类方式

校外用户运用Access VPN技术访问内网，在VPN设备上部署访问策略，对客户请求做严格的审核，抵御黑客入侵；扩展管理功能，减少对校园网的维护量，设计出一个基于VPN的校园网拓扑图，如图3所示：

图3 VPN校园网

3.1 主校区和分校区之间的VPN技术设计

甘肃中医药大学的各个分校区距离主校区距离很远，目前是通过公网实现主校区和各个分校区的网络通信，校园网的访问范围受到很大的限制，利用Intranet VPN技术，通过公网实现主校区网络和分校区网络的连接，使得所有校区内的用户如同在同一个局域网内资源共享和互访。利用VPN技术对通信数据进行加密后传输，这样对数据在公网传输时起到有效的保护，有充分的安全性[5]。

在主校区的防火墙上配置基于IPSec协议的VPN，在分校区的路由器上配置基于IPSec协议的VPN，利用ESP(封装安全负载协议)协议对数据进行加密认证，很好地满足了校园网安全性。这样VPN隧道就在不同校区的连接公网设备上配置好，每个校区的VPN设备对数据封包和解包，使得主校区和分校区用户在进行数据通信的时候都是通过VPN隧道，当分校区的用户要访问主校区校园网资源时，依据分校区路由器上配置好的静态路由，通过VPN隧道，转送至主校区配置VPN技术的防火墙，VPN设备会返回给用户一个主校区的内网IP地址，并检查用户的身份类型，赋予用户相对应的访问权限和操作。

3.2 移动用户的VPN技术设计

在主校区配置VPN接入服务器，外地教师和学生配置好VPN客户端，利用Access VPN技术，使得外地用户和主校区在公网上形成一个虚拟的连接。VPN客户端对数据加密后，在公网安全传输，经过VPN接入服务器转入校园内网。对主校区的防火墙配置为基于PPTP协议的VPN接入服务器，教职工或学生在外地时，大多使用的都是Windows系列操作系统，该系统都支持PPTP协议，所以很容易和主校区防火墙建立基于PPTP的VPN连接。外网用户在自己主机上配置VPN客户端，只要能访问到校园网防火墙，就可以通过其进入校园网内，进行可靠安全的数据共享和通信[6]。

3.3 VPN安全措施的设计

3.3.1 安全传输数据

VPN的客户端和VPN服务器通过隧道进行数据传输，为确保数据在传输过程中的安全，VPN在对数据进行加密时运用安全性较高且技术成熟的Ipsec技术。

VPN客户端和服务器在建立隧道之前，VPN系统先利用CHAP(质询握手协议)进行双方身份验证，如果认证通过，虚拟链路就建立成功。这种认证方式是随机进行的，所以，密码会随时失效，这样非法用户破解一次，不能长时间截取数据。在VPN网管上采取审计与计费措施，对连接服务器的用户进行审核和记录，以便查询，运用RADIUS(远程访问协议)对用户的身份有效鉴别。此后进入L2TP(第二层隧道协议)，确保数据的安全传输。

3.3.2 IPsec安全服务

在使用IPsec技术实现数据的安全传输时，要准确地运用ESP和AH(网络认证协议)，形成一个完整的安全体系，应付各种存在的风险；在运用加密和身份验证技术时，把多种加密算法结合起来使用，加强数据的安全传输；使用SA(安全关联)提供的参数保障各种协议的稳定使用。

3.3.3 基于数字证书的校园网身份认证

使用PKI(公钥基础设施)技术认证用户的身份，客户端用户在连通VPN服务器之前，必须先安装数字证书，否则不能成功建立连接，这既可以拒绝没有被授权的访问，也具备了用户访问的不可抵赖性，保证信息来源的可靠[7]。

在VPN客户端，计算机辨识的只是用户的数字信息，如何确保输入用户数字信息的操作者是合法的,是用户身份认证技术必须解决的一个问题。依据时间产生一次性用户密码，避免因为密码被窃取而产生的不安全事件。利用数字签名技术可以有效地区分数据的真伪。

(1)客户端和服务器端用相同的密钥、随机参数和算法，来计算等待认证的密码，确保两边密码的一致性，进而对用户身份认证，用户每次认证时随机参数不同，密码也就不同，通过短信或者邮件的形式产生一次性密码，确保了密码的不可破解，保证认证过程的安全。

(2)服务器接收到用户的连接请求信息后，把自己的数字证书发到用户客户端，由客户端的浏览器进行鉴别，确认服务器真实性后，进行密钥交换。服务器的数字证书用OPENSSL(开放式安全套接层协议)开源包生成，并由其对证书进行发布、撤销、验证等管理。

(3)运用数字证书技术设计客户端与服务器端的身份认证，两端的具体认证过程如图4所示：

图4 客户端和服务器端认证流程

4 基于VPN技术的校园网具体实现

(1)在主校区利用SG720防火墙(吞吐量极大，能容纳几百用户远程连接，适合拥有多分支机构的单位使用)，选用其IPsec VPN技术，配置好相关参数以及IP地址，运用预先共享密钥认证方式，设置好双方协商要采用的加密算法和密钥,同时对分校区的路由器做相应的配置[8]。

(2)在防火墙上配置PPTP协议，给出外网用户进校园内网的IP地址范围等相关参数，给用户建立账号和管理方式。用户在连接成功后，就可以进入校园内网。通过用户连接详细信息可以看到VPN服务器和用户获取的IP地址，如图5所示，可以看出远程用户用PPTP协议连接VPN服务器，CHAP协议进行身份验证，以及客户端和VPN服务器端的IP地址等[9]。

图5 VPN网络连接状态

在远程用户进一步分析其网络详细信息，如图6所示。用户端有两个IP地址：一个是当地公共网络IP地址，另外一个是校园网VPN服务器给请求接入校园网的PPTP远程用户分配的IP地址。

图6 PPTP远程用户IP地址

(3)在服务器上把OpenSSL(该协议为数据在网络上安全通信提供了保障，包含常用的密码算法、数字证书的生成功能和SSL协议。)安装和部署好，由其产生数字证书。

5 测试

5.1 相关功能测试

本方案在实验室进行试运行，为验证其可行性，尽最大可能地发现问题，在服务器上安装好web站点、FTP站点、OA等应用软件，进行反复测试，与期待的正确结果作比较，对存在的错误做及时分析和改正。

在客户端进行VPN登录，如图7所示。登陆成功后，对VPN基本的功能做相应的测试：在命令提示符下ping内部服务器和成员计算机，能ping通；尝试登录内部OA系统也能进去;对FTP服务成功进行数据读取；用户对VPN服务器后的数据库根据权限进行相应的操作。

图7 远程用户VPN登录

5.2 结果分析

(1)在用户机上安装协议分析软件Wireshark，当用户客户端用公网IP给校园网发送邮件时，Wireshark对发送信息进行捕获，发现信息全是明文，无法确保数据安全传输；当运用VPN技术对校园网内部发送邮件时，截取的信息全是乱码，说明VPN对发送的数据进行了加密。

(2)通过测试可以发现，在建立VPN隧道后，ping一个来回的时间是不建VPN隧道的6～8倍；客户端在连接服务器时，比平常用TCP方式连接要慢一些。这是由于网关在加密解密时造成的时延。如果连接的用户比较多或者有大数据传输的话，会造成一定的网络通信延迟。校园网连接一般不会出现大数据的的传输和超大量的用户突然同时访问内部服务器，所以，VPN技术能够适合大多高校校园网使用[10]。

6 结论

针对高校一校多区，外出教职工和学生频繁等现象，以甘肃中医药大学一校四区为例，提出一个基于VPN技术的校园网设计方案，并对相关技术和关键点进行详细的设计，并在实验室对该方案进行具体实施，实现了部分访问功能，验证了该方案在一定程度上有可行性。该方案有效地解决了主校区校园网内部资源的区域性限制，为校园网的扩展性建设指出了技术方向，在高校校园网建设中有广阔的应用平台。受硬件条件的限制，VPN技术对数据通信防攻击等方面还没有做详细的数据分析；基于数字证书的身份、认证只是做了一小部分的实验，还有待进一步的完善；移动客户端对资源的安全访问仍需做进一步的研究。

[1]黄彦,梁京章,唐晓年.基于SNMP的VLAN管理应用研究及其设计[J].微计算机信息,2008(33):36-38.

[2]吴宏波.VPN技术在校园办公网中的应用[J].内蒙古科技与经济,2007(17):17-18.

[3]蒋东毅.VPN的关键技术分析[J].计算机工程与应用,2003(15):33-34.

[4]李琦.基于IPsec和L2TP隧道实现技术的研究[J].计算机科学,2004(4):21-22.

[5]彭建,邓广慧.一种基于校园网的VPN应用方案[J].陕西科技大学学报,2005(2):14-17.

[6]吴丽华.基于VPN技术的安全无线局域网的构建[J].计算机工程,2005(4):16-17.

[7]邓永红.虚拟专用网技术综述[J].有线电视技术,2005(2):27-32.

[8]李勃,张梅花.VPN技术简介[J].油气田地面工程,2004,23(6):61-63.

[9]蒲源.浅谈虚拟专用网(VPN)技术[J].电视技术,2003(1):35-36.

[10]石晶林,丁炜.MPLS网络技术及其应用前景[J].通讯世界,2000(6):41-44.

【责任编辑 朱世广】

The Application of VPN Technology in Campus Network

LI Guo-zheng，LIU Xin-yu

(DingxiTeachersCollege,Dingxi743000,Gansu)

Currently, Many colleges and universities are made up of several campuses. How to improve the data communication and resource sharing between different campuses and how to make it convenient for teachers and students to visit the campus resources have become a hot topic in current campus network construction. Through an analysis of campus network in colleges and universities, a campus network system based on VPN technology is designed and implemented in this paper. It is hoped that the selection of VPN technology can improve the data communication between the main campus and the branch campus, can get rid of the limitation of the geographical position of the campus network users and further improve the flexibility and security of campus network.

VPN; campus network; network security

1674-1730(2017)01-0020-04

2016-04-13

李国正(1982—)，男，河南南阳人，讲师，主要从事计算机网络技术研究。

TP393.08

A