1 引言

　　随着高校办学规模的扩大，新(分)校区在地理位置上的分散给无线网建设和管理提出更高的要求。利用VPN技术不仅可以搭建统一的无线网络管理平台，还可以提高无线校园网的安全性。

　　2 VPN概述

　　VPN(Virtual Private Network)虚拟专用网技术是指采用隧道技术以及加密、身份认证等方法，在公众网络上构建专用网络，数据通过安全的“加密管道”在公众网络中传播。VPN不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。VPN具有专线的数据传输功能, 根据使用者的身份和权限，直接将使用者接入所应该接触的信息中。

　　VPN通过采用“隧道”技术, 利用IETF制定的Ipsec标准, 在公众网中形成单位的安全、机密、顺畅的专用链路。

　　目前VPN主要采用4项技术保证安全,即：隧道技术(Tunneling)、加解密技术( Encryption&Decryption) 、密钥管理技术(Key Management) 、使用者与设备身份认证技术(Authentication)。目前很多高校的多个校区相隔较远,利用物理线路进行网络互联成本高, 采用VPN技术搭建统一网络管理的无线校园网是一个成本低且安全的方法。

　　3 VPN关键技术

　　3.1 隧道技术

　　隧道(Tunneling)技术是搭建VPN的一项关键技术,在公用网建立一条数据通道(隧道)，主要利用网络隧道协议，让数据包在这条隧道传输。有两种类型隧道协议:第二层隧道协议,用于传输二层网络协议; 第三层隧道协议,用于传输第三层网络协议。第三层隧道协议主要包括GRE(GRE,Generic Routing Encapsulation,RFC1701)协议[2]和IETF的IPSec协议。

　　3.1.1 第二层隧道协议

　　第二层隧道协议将各种网络协议封装到PPP中, 再将整个数据包装入隧道协议中，这种双层封装方法形成的数据包靠第二层协议进行传输。

　　第二层隧道协议有L2F(Layer2Forwarding,二层转发协议)、PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2TP(Layer 2TunnelingProtocol,二层隧道协议)等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F形成。

　　3.1.2 GRE

　　第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。

　　通用路由封装GRE[3](Generic Routing Encapsulation)是对某些网络层协议(如IP、IPX)的数据进行封装, 使被封装的数据包能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,协议层间采用了Tunnel(隧道)技术。

　　Tunnel是一个虚拟的点对点的连接,提供一条通路，使封装的数据包能在此通路上传输, 并且在一个Tunnel两端进行数据包的封装与解封装过程。当路由器接受到一个需要封装和路由的原始数据报文(Payload),先被GRE封装成GRE报文,再被封装在IP协议中,由IP层负责此报文的转发。

　　GRE主要能提供以下服务:

　　①多协议、多业务本地网通过单一骨干网传输;

　　②扩大包含步跳数限制协议(RIP)的应用范围;

　　③将不能连续的子网连接起来组建VPN。