ＶＰＮ技術應用研究

[摘要] 本文首先介紹了VPN技術的基本概念、基本技術，其次重點介紹了幾種VPN技術產品，最后討論分析了VPN技術在遠程教育教學中的應用及影響。

[關鍵詞] VPN隧道技術L2TP協議IPSec VPNMPLS VPN

一、引言

當前以Internet為標志的信息技術革命，正以驚人的速度改變著人們的生產、工作、學習和生活方式，Internet應用已經越來越成為人們生活中不可缺少的部分，教師的教學工作空間已不再局限于三尺講臺，他們完全可以在登陸網絡后完成備課、答疑、了解學生學習情況等教學工作。校園網的快速發展，使得學生不僅通過課堂和書本獲得知識，而且可以從網絡進行協作學習和獲取大量對學習有益的學習信息。同時要保證教育的各種應用得以順利實施，安全問題（如不向非授權的學生泄露教學內容、試卷內容等）也很重要，將VPN（Virtual Private Network，虛擬專用網）技術應用于遠程教育教學中，可達到保證數據的安全性，和節省異地遠程用戶訪問費用。

二、VPN技術

VPN（虛擬專用網）指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。簡單地說VPN就是通過專用的隧道技術在公共數據網絡上仿真一條點到點的專線技術，本文更多討論的是遠程教育教學用戶使用Internet公眾數據網絡的長途數據線路動態地聯接而成邏輯上的虛擬子網時，給教育教學帶來的安全性、便利性和可管理性。

目前VPN主要采用四項技術來保證數據安全，分別是隧道技術（Tunneling）、加解密技術（Encryption Decryption）、密鑰管理技術（Key Management）、使用者與設備身份認證技術（Authentication）。

VPN在公用網上建立一條數據通道（即隧道），讓數據包通過這條隧道，從而實現虛擬通信。進行虛擬通信的兩個或多個設備之間傳輸的數據對于沒有參與虛擬通信的設備是保密的，而且他們也不會意識到這種虛擬通信。隧道由隧道協議組成，定義了一系列較為完整的數據封裝和安全協議及其算法。

第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等，其中L2TP協議是目前IETF的標準，由IETF融合點到點隧道協議(PPTP)與二層轉發協議(L2F)而形成，特別適合組建遠程接入方式的VPN。

第三層隧道協議是把各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec（Internet Protocol Security，因特網安全協議）使用包括安全封裝協議（ESP）和數據加密標準（DES）等已經驗證的加密技術，從認證、完整性和加密三個方面來保證數據的安全性，在IPSec VPN里，通信雙方首先要采用一定的方式建立連接，確定所要采用的安全策略和使用模式，包括加密運算法則和身份驗證方法類型等。一旦IPSEC通道建立，所有其上層協議數據都被進行加密，而不管這些通道構建時所采用的安全和加密方法如何。IPSec適合內聯網VPN，將分布在不同地域的分校網絡互聯，為遠程用戶提供增強的安全性。

高層協議有SOCK5協議和SSL（Secure Sockets Layer，安全套接層協議層）協議;SSL是Netscape公司提出的基于WEB應用的安全協議，它指定了一種在應用程序協議（如Http，Telenet，Nmtp，Ftp）和TCP/IP協議之間提供數據安全性分層的機制，它為TCP/IP連接提供數據加密，每個SSL會話都必須通過數字簽名或者預先分配的密鑰進行認證；不符合安全策略的數據包都被丟棄。SOCKS v5工作在OSI（Open System Internet）模型中的第五層——會話層，可作為建立高度安全的VPN基礎。能同低層協議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術；SOCKS v5可根據規則過濾數據流，包括Java Applet和Actives控制。但是，它性能比低層次協議差，必須制定更復雜的安全管理策略，它最適合用于客戶機到服務器的連接模式，適用于外部網VPN和遠程訪問VPN。

VPN并非單一產品技術，除了上面提到的多種VPN技術，多協議標記交換（MPLS）是專用的組網協議，配置在服務供應商的核心網絡，MPLS VPN運行在IP+ATM或者IP環境下， VPN成員資格由服務供應商決定，這是根據邏輯端口和惟一路由描述符所組成的環境功能實現的；對VPN組未經過認證的訪問被設備配置所拒絕具有高度的可伸縮性，適合于校際網互聯。越來越受到行業專家青睞。

三、VPN技術在教育教學中的應用

1.校園VPN應用及其建設

本文主要討論VPN應用在遠程教育用戶訪問學校網絡教學資源上。由于VPN低廉的使用成本和良好的安全性，不論何種VPN策略，可提供與現有專用網絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上，還進一步擴展網絡連接。現在高校普遍有自己的分校區，還有不少函授課程，學校之間也在加強交流合作，這些都使VPN技術應該成為校園網發展技術之一。一般在IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN時，外包VPN是較好的選擇。電信企業、IDC目前提供的VPN服務，可以整合現有資源（如：網絡優勢、托管和技術力量）來為用戶提供整體的服務。外包VPN建立時間快而迅速，可擴展性很強，易于管理。通過提供VPN外包業務的專業ISP的統一管理，可大大提高VPN的性能和安全，ISP的VPN專家還可幫助進行VPN決策。不過，雖然VPN外包能避免技術過時，但并不意味著可以節省開支。同樣降低了學校對校園網的控制等級。且網絡越大，就越依賴于外包VPN供應商。在有足夠的資金和人力資源投入做保證的情況下，則可以自己建立VPN，將各個機構低成本且安全地連接在一起。建立自己的VPN，最大的優勢在于高控制性，尤其是基于安全基礎之上的控制。在教育教學中應用VPN促進教育教學，可以根據實際應用需要，綜合采用不同建設方式為最佳思路。如內聯網采用自建的辦法，校際網互聯則采用外包，既可以相對節約經費，還可以使學校對所有的安全認證、網絡系統以及網絡訪問情況進行控制，建立端到端的安全結構，集成和協調現有的內部安全技術。還可以確保得到業內最好的技術以滿足自身的特殊需要。可以節省用于外包管理設備的額外費用，并且能將現有的遠程訪問和端到端的網絡集成起來，以獲取最佳性價比的VPN。

2.VPN技術對遠程教育教學的影響

(1)高度靈活性和可管理性，便于實現個性化學習，有利于實現移動學習

VPN能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。從利用電話線作為傳輸介質的PSTN、xDSL，到依靠有線電纜電視的Cable Modem，直到城域網Ethernet接入，各種新技術層出不窮，更新換代極快。用戶不論在家中、在出差途中，或是在其他任何環境中，只要該用戶能夠接入Internet，便能夠安全地接入校園網內部。既不受地域限制，也不受接入方式限制。從用戶角度還可方便地進行管理、維護。VPN技術除了能夠方便地將新的子網擴充到高校的網絡外，由于Internet的全球連通性，還可以讓教師和學生隨時安全地在全球范圍存取信息。

(2)高安全性，有利于交互功能的完美實現

依靠先進成熟的VPN技術，用戶不僅可以隨時隨地遠程訪問校園網絡平臺，同時又可以擺脫PSTN撥號接入的帶寬限制，雖然實現VPN的技術和方式很多，但所有的VPN均保證通過公用網絡平臺傳輸數據的專用性和安全性。通道在無連接的IP網絡中創建了邏輯端到端連接。加密通道利用對數據進行擾碼的方式提供網絡數據和私密性，從而只有指定的發送者和接收者才能明白。所有的流量均經過加密和壓縮后在網絡中傳輸，為用戶信息提供了最高的安全性保證。

(3)VPN的服務質量保證（QoS），有利于教育資源共享

VPN網為數據提供不同等級的服務質量保證。對于移動用戶，提供廣泛的連接和覆蓋性；而對于擁有眾多分支的專線VPN網絡，交互式的應用則能提供良好的穩定性;對于其他應用（如視頻等)則對網絡提出了更明確的要求，如網絡時延及誤碼率等。網絡根據網絡應用的需要提供不同等級的服務質量。在網絡優化方面，構建VPN可以充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS（服務質量）功能可以通過排隊、防治網絡阻塞、流量整形和數據包分類，以及采用優化的路由協議的VPN路由服務等方式得以實現。QoS通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

四、結束語

隨著互聯網技術的發展，因特網帶寬和服務質量QoS問題不斷完善，IP寬帶網中的VPN 可以大幅降低網絡的建設和維護費用，提供足夠安全的保障，可以使用戶數據不被查看、修改，由于其優良的性價比，在不遠的將來，VPN應用于教育必將在未來幾年內得到迅猛發展。另外，需要注意的一個實際問題是，虛擬專用網(VPN)的用戶可以訪問學校內網，它們將弱化的桌面操作系統置于學校防火墻的防護之外，因而VPN用戶的訪問對內網的安全又造成了巨大的威脅。因此只需賦予它們所需要的訪問權限級別即可，避免給每一位VPN用戶訪問內網的全部權限。

參考文獻:

[1]C Adams，S Farrel Internet X.509 Public Key Infrastructure，Certificate Management Protocols[J].RFC2510，March，1999

[2][美]Naganand Doraswamy，Dan Harkins. IPSec新一代因特網安全標準[M].機械工業出版社，2000

[3]http://www.infosecurity.org.cn/article/secprotocol/vpn/index.html

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。