VPN技术在IPv6校园网中的应用

摘要： 随着我国教育领域的不断发展，我国网络在教育中的应用越来越广泛。近年来，VPN技术在IPv6校园网环境下得到了广泛的应用。VPN技术可以解决专网与公网的兼容问题，能够向用户提供安全无缝、端到端的连接服务，大大增加了信息资源的安全。基于目前IPv4向IPv6发展的趋势不变的前提下，该文针对在这个发展的过程中会出现的一系列问题，进行分析并尽可能的提出一些建设改善建议。

关键词： vpn技术；IPv6；网络安全性；校园网络；网络建设

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2012）30-7177-02

目前，随着我国校园网络的飞速发展，我国高校大多从以IPv4为主要协议的校园网络，向IPv6校园网络过渡。IPv6校园网的建设是中国下一代互联网（CNGI）的重要组成部分，能从源头上解决校园网IP地址的短缺问题。然而，从总体上看目前高校设计的IPv6校园网络还存在着很多问题，这就需要我们采用VPN技术对其加以改进。

1 校园网络的安全性问题

安全是网络运行的基础，网络系统本身需要有较高的安全性，在技术上提供先进的、可靠的、全面的安全认证方案和应急措施，确保系统万无一失。就是要对来自校园网内部、外部的恶意攻击具有很好的防卫手段，对欺骗行为采取多种侦测和报警手段。现在校园网面临的威胁大体可分为两种，一是对网络中数据信息的危害；二是对网络设备的危害。具体行为如非授权访、冒充合法用户、破坏数据的完整性、干扰系统正常运行等。所以我们选用的设备要可以提供灵活的、系统级的安全控制机制和网络可用度，能够支持用户建立完善的安全管理体系，可以较好地承载主要网络应用，使其能够有足够的应用满意度。

2 IPv6技术存在的问题

虽然IPv6技术近年来逐渐投入使用，但是目前我国的IPv6技术在很多方面还不成熟，而且在实践过程中还存在许多问题。比如：目前国内高校大多用IPv4网络。如果要加入IPV6网络，就要实现IPv4和IPV6的有效融合，而这样则需要大量的投资。同时不仅新的网络协议有其自身的局限，而且还存在着很多两种协议不兼容导致的问题。

2.1 存在的安全漏洞

在由IPv4 向IPv6的过程中，如果相关技术水平不高，将会导致许多安全漏洞问题的发生。如果攻击者想要建立从IPv6 到IPv4 的隧道， 从而可以绕过防火墙对IPv6 进行攻击的话，只需要用安装了双栈的IPv6 主机就可以了。同时， IPv6 在当前的校园网搭建上方面也存在许多问题。因此，要保证其使用过程的安全性，我们需要建立一个安全可靠、经济高效的隧道，来有效的实现网络交流过程中的信息的安全。

2.2 IPv6网络协议自身局限

目前，IPv6网络协议本身还有待于完善，在许多方面还存在不同程度的局限性。它与IPv4的防火墙、网络过滤、VPN、防病毒网关等联合的安全体系还存在着较大的差距。

2.3 自身组成部分的不严密

它能够发动拒绝服务攻击， 利用ICMPv6冒充其它节点产生恶意消息，从而对通信交流造成影响。

2.4协议的保密性差

IPv6技术虽然在其它许多方面有较大的优势，但是在协议的保密性方面还存在缺陷。攻击者可以通过利用网络邻居发现协议，让数据包通向不确定目的地，达到产生拒绝服务、拦截与修改数据包的目的。

3 VPN技术的优势

VPN是虚拟专用网络的英文简写，指在大家公用的网络上建立起私人专用的网络技术。它不仅包括公共网络封装，还包括了加密与身份验证链接的专用网络的扩展等等。而且包括了很多方面的技术，如隧道技术、密钥管理技术、加解密技术和操作者与设备身份认证技术等。

3.1 VPN技术

VPN技术有效的实现了校园网在Internet安全可靠，凭借其高水平的标准性、易用性以及高安全性等优点具有诸多优势。

3.2 在VPN实现中具有的作用

1） 在隧道技术中可以利用封装技术，实现对多个用户、多个不同形式的有效负载进行调整。

2） IP 隧道可以任意地调整任何形式的有效负载，远程用户能够通过透明地拨号上网来进行访问内网。

3） 在使用隧道技术访问内网时， 内网不会将其IP 地址报告给公网。

4 校园网建设模式的部署

目前，相当部分的楼栋接入层交换机都是先连到汇聚层交换机，汇聚层设备是第三层交换设备，它所属楼栋的三层接口都要在此处汇合，再通过使用路由的方式与其核心设备相连接。

4.1 对IPv6的改善

通过光纤直接接入交换机，这样就可以通过对上述的几种建设模式的研究探索，使其进一步改善。

1） 能够将原有的老教学办公区使用透传模式，以VLAN 接入到IPv6网络中。

2） 能够把双栈模式投入到新建的教学办公楼栋中使用，通过路由的方式接入到核心lPv6网络。

3） 学生宿舍和教工宿舍是一个具有三层结构的相对独立的网络，要通过透传模式接入，就需要对全网作相当大的改动。我们可以使用隧道模式接入到IPv6，对设备进行升级改造时，或者更换为支持IPv6的三层设备，也能够以双栈模式接入IPv6网络。

4.2 IPSec-VPN在IPv6下的几种实现方法

因为在IPv6中IPSec对网络性能的影响要小于IPv4和IPv4中VPN技术与NAT间无法调和的矛盾，所以我们可以认为研究在IPv6中的VPN更加具有实践意义。以下给出IPSec-VPN在IPv6下的几种实现方法：

1） 集成法：集成法的思想是把IPSec当成是IPv6协议栈的一部分，然后将其集成到整个IPv6网络栈中。在这种方法的使用过程中，较为困难的一步就是需要获得操作系统系统的内核源代码，并且对整个协议栈进行统一编译更新。但是这种方法有较大的优点，不仅效率较高，而且能够具有系统级的调度优先级。

2） BITS：BITS法就是把IPSec放在数据链路层和网络层中间。这种方法的IPSec已经具备了网络层的很大一部分功能，所以对系统集成方案具有很大的优势。但是，这种方法存在着一定的局限性，就是由于功能的重复，增加了时耗和系统的复杂性。

3） BITW法：此方法就是把IPSec协议写到一个物理设备中，然后再把物理设备接入网关或者路由器设备中，即可以通过此外接设备来实现IPSec功能。这种方法如果长时间使用就会使得路由器中的包转发能力减弱。

5 结论

VPN技术的无线校园网提高了无线网络交流的安全性，可以为多校区提供统一的网络管理平台，同时降低了无线校园网的建设与管理成本。目前IPv6网络已经进入到全面部署时期，接入到CERNET2中后，校园网的所有用户都可以通过隧道服务器直接访问IPv6资源，实验WWW、DNS、FTP、MAIL等服务。然而，由于在实际运用过程中IPv6仍然有很多实际问题需要解决，其中信息交流的安全问题无疑是重中之重。从目前来看，这种模式的无线校园网以其诸多优点，将会得到广泛的应用，为未来教学、科研提供更加便捷、安全的网络环境。

参考文献：

[1] 王宇杰，杨志军.下一代校园网建设进入新阶段（一）[D].北京：北京交通大学，中国教育和科研计算机网，2010.

[2] 刘韵洁.下一代网络服务质量技术[M].北京：电子工业出版社，2005.

[3] 曹蓟光.IPv4/IPv6综合组网技术[J].中国电信网， 2005.

[4] 王达.虚拟专用网（VPN） 精解[M].北京：清华大学出版社，2004：10-18.

[5] 韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术[J].微计算机信息 ，2005（14）：36-39.

[6] 许锡璋.VPN在校园网中的应用[J].广东水利电力技术职业学院学报，2006，4（2）：60-63.

[7] 潘永安.VPN技术在IPv6校园网环境下的应用[J].中小企业管理与科技（下旬刊），2012（4）.