校园网是当前网络应用中的一个非常热门的宽带网络。在校园网的建设中,校园网络的组建重点都放在以太网交换机和路由器上,校园网络的安全接入问题往往被忽视。如何组建可认证、可授权、可管理、可增值的校园网络成了一个非常重要的问题。校园网络可以采用VPN安全接入技术吗?我们先对校园网建设后的应用进行分析就能得到答案。
1、校园各个分校相距遥远,但各个分校和总部学校的信息需要共享,如何能在不增加成本的前提下,实现分校和总校的安全互联?
2、学校中有不同的机构和部门,这些机构和部门有可能是分散于各地的。针对分散在各处的机构和部门的用户如何能够安全得到共享信息也是校园网络中需要重点考虑的"特区";毕竟校园网络是目前网络中最活跃,且最不安全的区域,"特区"必须要和学生的大众网络分开来。
3、教师的科研资料及其备课资料等在某种情况下是保密的,是有商业价值的;如何只能被授权用户在校园以外的地点使用也是建设校园网的重要的增值部分;另外,利用现有的校园宽带网络实现学校的增值,确保校园网应用的顺利运行,抵挡校园中隐藏的众多黑客攻击也是校园网络的必需考虑的因素。所以,利用校园已有宽带网络构建增值的VPN网络,满足校园网中重要"特区"和校园网应用的需求是校园网络的"二次创业",是校园网络实现可增值,可控制,可管理网络的重要思路。但如何操作确实困扰着校园网络的网络管理人员,一般有如下问题需要考虑:
1、 在校园网中哪些用户是值得信赖的?
2、 这些可信赖用户应该拥有哪些权限?
3、 这些用户什么时候可以获得相应的权限?
4、 如何管理这些移动的或分散于各地的用户?
5、 在通过公网线路中进行信息共享是否可以确保信息保密性或信息的安全性和完整性?
这些问题实际上总结起来就在于:如何搭建一个安全可靠的校园接入网络。针对这个问题,我们必须从学校要求安全接入的具体需求进行分析,然后才能提出解决思路,才能量身为学校做不同的安全接入方案。
学校主要有如下的接入需求:
广域网部分:
1、分散在各处的师生需要能够利用校园网络或internet获取一些重要的保密资料,同时实现与同事,领导进行安全的沟通和交流。
2、学校需要与分布在各地的分支学校进行信息共享。
局域网部分:
1、有些特殊的员工(如校领导和管理人员)需要随时随地访问校园网中的一些重要数据。
2、一些学生需要适当地进入学校的重要信息网络,进行相关的资料共享。
为满足校园网中上述需求,我们建议采用隧道接入技术。
L2TP 是一种VPN 技术,这里对VPN 技术做一个简单说明。
可以给VPN 下一个简单的定义:采用TCP/IP 安全技术、使用加密IP 隧道或虚拟专用路由,借助现有的Internet 网络环境,实现私有IP 包,和其他网络协议(IPX,NetBEUI 等)包在Internet上的传输,实现位于WAN 上的不同 LAN 的各种协议虚拟连接,在公共网络信道上建立的逻辑上的专用网络。
VPN 的实现是通过隧道(Tunnel)技术进行连接。隧道技术通过软件"叠加"在物理网络之上,是VPN"虚拟"特征的体现,它使VPN 连接看起来象是线路上唯一的数据流。借助隧道VPN,还能够使用内部网络中采用的安全和优先级策略,使您能够完全控制数据流。隧道提供了一层名副其实的安全保障。L2TP 与IPSec 是与VPN 相关的两个最重要的协议。
目前隧道技术有二层隧道和三层隧道;二层隧道应用最为普遍。
L2TP 属于第二层隧道协议,是L2F 和PPTP 二者统一的结果。各种相互竞争的第二层隧道传输标准阻碍了可互操作的IP-VPN 设备的开发。因此,L2F 和PPTP 都被提交给IETF 进行统一。于是产生了一个新的隧道标准,即L2TP。它在两端点之间产生隧道,允许一个PPP 会话在隧道间传输,并对其中发生的会话完全透明。一旦建立一个连接,那么授权、连接、数据传输就象通过Modem拨号接入一样,不同只是Modem 拨号使用的是PSTN,而隧道使用的是公共Internet。
在组网图中,学校总部路由器作为LNS,分支学校路由器作为LAC(L2TP Access Concentrator),二者之间通过internet互联。
分支学校可以通过L2 [1] [2] [3] 下一页 |
