VPN技术在IPv6校园网环境下的应用

摘要：本文通过介绍IPv6的发展以及校园网建设的现状，分析了IPv6带来的安全问题。描述了VPN的多种安全服务措施和基本原理。详细阐述了VPN在IPv6校园网中进行安全部署的方式，并指出了存在的不足及改进的方法。

关键词：校园网IPv6VPN安全性

1 概述

目前，随着我国信息网络建设的飞速发展，高校也进行了较大规模的数字化建设，并形成了完善的校园网络基础平台。我国一些重点高校更是构建了基于IPv6的校园网，用于组建下一代科研教育骨干网（CERNET 2），为未来IPv6网络的应用打下基础。但该技术的使用大多停留在实验测试阶段，其安全性问题凸显的不够明显。随着“云概念”的提出，IPv6的应用也是迫在眉睫。如何解决IPv6的安全问题成为了近年研究的热点之一。

2 IPv6技术存在的问题

现在我国的IPv6技术仍处于发展阶段，很多方面还不成熟，很多实践过程中遇到的部署和应用问题还有待解决。如大多数高校原来使用基于IPv4的网络，如果要把它全部换成即可运行IPv4又能运行IPV6的双栈网络，就要把原有的网络设备全部更新换代。这个一方面投资太大，另一方面造成了资源浪费。

2.1 过渡时期的安全漏洞 网络在由IPv4向IPv6的过渡时中出现了一些安全漏洞。如果攻击者想要建立从IPv6到IPv4的隧道，只需要用安装了双栈的IPv6主机就可以绕过防火墙进行攻击了。对于校园网用户来讲也面临着这些问题，其中最重要的是在当前的校园网搭建上怎么样来保证IPv6 孤岛之间的通信安全。

2.2 IPv6网络协议自身局限 IPv6网络协议本身还有待于完善，其目前还很难来实现严格意义上的用户限制功能。它与IPv4的防火墙、漏洞扫描、网络过滤、VPN、IDS、防病毒网关等联合的安全体系还存在着较大的差距。

2.3 实践中的安全隐患 无状态地址自动配置使得合法网络用户在使用IPv6 网络时相当方便，但是它在同时也引入了安全隐患，因为协议自身就认为所有的可以自动配置的节点都是合法节点，并且能够即插即用地接入到本地网络中来。所以，攻击者就可以利用这一特性对用户信息进行监控甚至是篡改。

2.4 自身组成部分的不严密 ICMPv6是IPv6的重要组成部分，但是它能够被利用来发动拒绝服务攻击，利用ICMPv6能够冒充其它节点来产生恶意消息(不可达目的、超时、参数替换等)，从而来影响正常的通信交流。

2.5 协议的保密性差 攻击者可以通过利用网络邻居发现协议，然后发送错误路由器宣告、错误重定向消息等，让数据包通向不确定目的地，进而达到产生拒绝服务、拦截与修改数据包的目的。

3 IPv6校园网络的安全性问题

3.1 校园网带宽高和规模大 高校学生一般计较集中，因而用户群比较密集。由于高带宽和大用户量的特点，网络安全问题蔓延快，影响比较严重。

3.2 网络环境的开放性 受教学和科研特点的影响使校园网络环境应该是开放的、管理也是较为宽松的。如果实施过多的限制，一些新的应用很难在校园网内部实施。

3.3 管理的不足 在校园网管理方面，一般只有网络中心的少数工作人员，他们负责维护网络的正常运行，无暇顾及数千台计算机的安全。

3.4 实施困难 IPv6最重要的安全性体现是将IPSec作为强制标准实施，保证了网际层数据的保密性和完整性。但是大规模部署IPSec所依赖的PKI在IPv6网络上存在难度，因此IPSec的实施还有困难。

4 VPN技术的优势

4.1 VPN的出现能够让校园网能够通过Internet安全可靠、经济有效地来传输机密信息，可以保证IP数据包在公网传输过程中不会受到来自其它用户的网络窃听、修改等安全威胁。目前，在IPv6校园网环境中可以使用的VPN安全隧道协议有链路层的PPTP、L2TP协议，SSL协议和网络层的IPSec协议。其中IPSec是VPN使用最多的安全协议，凭借其高水平的标准性、易用性以及高安全性等优点成为了目前VPN 安全隧道技术的主流。

4.2 在VPN 的实现中可以具有如下主要作用:

4.2.1 远程用户可以通过透明地拨号上网来访问内网，IP隧道可以任意调整任何形式的有效负载。

4.2.2 隧道可以利用封装技术，对多个用户、多个不同形式的有效负载进行调整。

4.2.2 当使用隧道技术访问内网时，内网不会将其IP 地址报告给公网。

4.2.3 隧道技术可以对是否滤掉接收者，或对个人隧道连接进行报告进行选择，自主性较强。

5 VPN在IPv6校园网中的部署

目前，高校大多的校园网属于那种典型的三层结构，即核心层、汇聚层与接入层。主要的应用有：部门之间的互连；信息服务；远程访问；内部信息的保密和安全等方面。

由于汇聚设备很大一部分是不支持IPv6协议的老旧设备，所以IPv6协议不能够通过路由到达核心交换机。一些高校的部分新建楼栋采用的是支持IPv6协议的三层汇聚交换机，是通过光纤直接接入核心交换机的。结合高校校园网的具体情况，从而可以有以下几种改善建设思路。

5.1 Access VPN实现异地访问 Access VPN是远程的方式，具体是首先通过配置VPN服务器，使之能接受客户用户的VPN 拨入，同时在服务器端配置VPN 用户，给予用户拨入的权限；其次是配置VPN 客户端，在客户端建立VPN 连接。在客户机连入Internt 后，就可以进行VPN 连接拨入，在客户机和远端VPN 服务器之间建立点对点连接。

Access VPN的应用，使单机远程移动用户随时随地以各种方式接入Internet，安全地访问校园网的资源。实质上是对校园网的延伸，教职工可以打破传统的固定办公模式，将办公地点延伸到家庭或出差地，实现异地办公。同时Access VPN 也能保证教职工用户端和校园网VPN 服务器之间数据信息传输安全。

5.2 应用Intranet VPN实现多个校区局域网互联 在众多隧道技术中，IPSec VPN是使用最为广泛的一种，其在实现通信的两端提供安全的传输隧道。该方法定义了哪些数据包应受到保护，该被放在安全隧道中传输。通过标识隧道的安全属性，可以定义用于保护这些敏感数据的安全参数。更精确地说，这些安全的数据传输隧道是建立在两个IPSec对端的一系列SA上，这些SA参数定义了哪些协议和算法可以被应用到敏感数据、IPSec对端应用的密钥等。IPSec的实现是靠两个对端维持的，实际上是一种端到端的安全实现；从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间的路由器不需要做相应设置。因此IPSec实现的是一种与接入网络无关的VPN技术。

6 结论

目前IPv6网络已经进入到全面部署时期，在以IPv6协议为主的CERNET2上进行应用与科研是总的发展趋势。在IPv6协议下构建基于VPN的校园网还需要考虑综合的安全措施，如与入侵检测、防火墙等设备的结合使用。从而形成一种混合技术，构建安全的校园网络和完美的VPN。

参考文献：

[1]王宇杰，杨志军.《下一代校园网建设进入新阶段（一）》.北京交通大学.中国教育和科研计算机网，2010.

[2]时晨，申普兵等.IPv6校园网环境下IPSecVPN的安全性研究[J]计算机技术与发展，2010，20(10)：168-170.

[3]苏明，颜世峰.IPv6校园网入侵检测系统设计[J].小型微型计算机系统.2009 30(3)：480-483.

[4]曹蓟光.《IPv4/IPv6综合组网技术》.中国电信网.2005.4.