Study on VPN Technology in Wireless Campus Network
　　YANG Bo1, LI Hao2
　　(1. Information Network Centre, Tianjin Foreign Studies University, Tianjin 300204, China;
　　2. Information Centre of Tianjin educational committee, Tianjin 300071, China)

　　Abstract: In order to improve the management and safety of the wireless campus networks between main campus networks and news campus, we analyzed the structure of VPN technology and the current situation of wireless campus network management. Furthermore, we proposed the key factors of the application of  VPN technology in the union wireless campus management and the method to improve the safety of wireless campus.
　　Keywords: VPN；wireless campus;transmission

　　1  引言

　　随着高校办学规模的扩大，新(分)校区在地理位置上的分散给无线网建设和管理提出更高的要求。利用VPN技术不仅可以搭建统一的无线网络管理平台，还可以提高无线校园网的安全性。

　　2  VPN概述

　　VPN[1](Virtual Private Network)虚拟专用网技术是指采用隧道技术以及加密、身份认证等方法，在公众网络上构建专用网络，数据通过安全的“加密管道”在公众网络中传播。VPN不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。VPN具有专线的数据传输功能, 根据使用者的身份和权限，直接将使用者接入所应该接触的信息中。

　　VPN通过采用“隧道”技术, 利用IETF制定的Ipsec标准, 在公众网中形成单位的安全、机密、顺畅的专用链路。

　　目前VPN主要采用4项技术保证安全,即：隧道技术(Tunneling)、加解密技术( Encryption&Decryption) 、密钥管理技术(Key Management) 、使用者与设备身份认证技术(Authentication)。目前很多高校的多个校区相隔较远,利用物理线路进行网络互联成本高, 采用VPN技术搭建统一网络管理的无线校园网是一个成本低且安全的方法。

　　3  VPN关键技术

　　3.1  隧道技术

　　隧道(Tunneling)技术是搭建VPN的一项关键技术,在公用网建立一条数据通道(隧道)，主要利用网络隧道协议，让数据包在这条隧道传输。有两种类型隧道协议:第二层隧道协议,用于传输二层网络协议; 第三层隧道协议,用于传输第三层网络协议。第三层隧道协议主要包括GRE(GRE,Generic Routing Encapsulation,RFC1701)协议[2]和IETF的IPSec协议。

　　3.1.1 第二层隧道协议

　　第二层隧道协议将各种网络协议封装到PPP中, 再将整个数据包装入隧道协议中，这种双层封装方法形成的数据包靠第二层协议进行传输。
　　第二层隧道协议有L2F(Layer2Forwarding,二层转发协议)、PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2TP(Layer 2TunnelingProtocol,二层隧道协议)等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F形成。

　　3.1.2 GRE

　　第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。
　　通用路由封装GRE[3](Generic Routing Encapsulation)是对某些网络层协议(如IP、IPX)的数据进行封装, 使被封装的数据包能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,协议层间采用了Tunnel(隧道)技术。
　　Tunnel是一个虚拟的点对点的连接,提供一条通路，使封装的数据包能在此通路上传输, 并且在一个Tunnel两端进行数据包的封装与解封装过程。当路由器接受到一个需要封装和路由的原始数据报文(Payload),先被GRE封装成GRE报文,再被封装在IP协议中,由IP层负责此报文的转发。
　　GRE主要能提供以下服务:
　　①多协议、多业务本地网通过单一骨干网传输;
　　②扩大包含步跳数限制协议(RIP)的应用范围;
　　③将不能连续的子网连接起来组建VPN。

　　3.1.3 IPSec

　　IPSec [4](IP Security)不是单一的协议或算法,而是实现加密的加密标准的集合。它定义了一个系统，提供安全协议选择、安全算法，确定服务所使用密钥等服务，在IP层提供安全保障,而与任何上层应用和传输层无关。
　　IPSec将安全服务/密钥与要保护的通信数据联系到一起, 同时也将远端通信实体和这些受IPSec保护的通信数据联系到一起, 此种保护方案称为安全联盟(SA ,Security Association)。安全联盟定义了数据保护中使用的协议和算法以及有效时间等属性。

　　3.2 密钥管理技术

　　密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术分为SAKMP和OAKLEY两种。