ＶＰＮ技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)室的應(yīng)用

摘要：分析了使用VPN技術(shù)來(lái)解決校外用戶連接進(jìn)入網(wǎng)絡(luò)實(shí)訓(xùn)室進(jìn)行遠(yuǎn)程實(shí)驗(yàn)的要求，給出了實(shí)現(xiàn)VPN的安全的技術(shù)保障，闡述了三種常見(jiàn)的VPN及應(yīng)用場(chǎng)合和優(yōu)缺點(diǎn)，并給出了使用access vpn具體在網(wǎng)絡(luò)實(shí)訓(xùn)室的實(shí)現(xiàn)應(yīng)用與實(shí)現(xiàn)方法。在網(wǎng)絡(luò)設(shè)備路由器上實(shí)現(xiàn)Access VPN的配置過(guò)程，重點(diǎn)介紹VPN如何在路由器上進(jìn)行配置，配置時(shí)的注意事項(xiàng)，技術(shù)特點(diǎn)，技術(shù)難點(diǎn)等問(wèn)題。

關(guān)鍵詞：VPN；計(jì)算機(jī)網(wǎng)絡(luò)；實(shí)訓(xùn)室

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)11-20254-03

1 引言

在校園網(wǎng)中，經(jīng)常要對(duì)校園網(wǎng)內(nèi)部的主機(jī)、服務(wù)器進(jìn)行有效的屏蔽，大多使用了網(wǎng)絡(luò)地址變換（NAT）功能，在校園網(wǎng)之外，只能訪問(wèn)對(duì)外開(kāi)放了端口的服務(wù)器，如web服務(wù)器等。而住在校外的師生如果想要能夠訪問(wèn)校內(nèi)的特定資源，為了共享這些私有數(shù)據(jù)，就需要將各個(gè)在遠(yuǎn)程（校園網(wǎng)之外）的師生與校園網(wǎng)之間聯(lián)網(wǎng)，特別是做遠(yuǎn)程實(shí)驗(yàn)，把校內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)室對(duì)外開(kāi)放，形成共用型計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)室。由于信息點(diǎn)過(guò)于分散，同時(shí)還有移動(dòng)用戶的存在，不可能把每個(gè)用戶都使用專線連接到校園網(wǎng)，或者通過(guò)PSTN使用撥號(hào)連接到實(shí)驗(yàn)室。當(dāng)前，大多數(shù)個(gè)人用戶都是使用ADSL等動(dòng)態(tài)IP地址的方式上互聯(lián)網(wǎng)。如何經(jīng)濟(jì)有效的解決這些問(wèn)題又最大限度的節(jié)約資金？目前，可以有很多方法來(lái)實(shí)現(xiàn)這種需求，其中比較經(jīng)濟(jì)和安全的方法就是建立網(wǎng)絡(luò)實(shí)訓(xùn)室自己的VPN網(wǎng)絡(luò)，使得在校外的師生同樣能夠像在校內(nèi)一樣使用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)室這個(gè)私有資源。

2 VPN概述

VPN（虛擬專用網(wǎng)，他在建立聯(lián)接的時(shí)候，要經(jīng)歷一個(gè)撥事情過(guò)程，所以有時(shí)也叫VPDN）指的是依靠ISP，以公用網(wǎng)絡(luò)尤其是以Internet為基礎(chǔ)通道，綜合運(yùn)用隧道技術(shù)、認(rèn)證、加密、訪問(wèn)控制等多種網(wǎng)絡(luò)協(xié)議和安全技術(shù)，實(shí)現(xiàn)企業(yè)總部、分支機(jī)構(gòu)、合作伙伴及遠(yuǎn)程和移動(dòng)辦公人員之間互連互通和資源共享的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有像傳統(tǒng)專網(wǎng)那樣的端到端的物理鏈路，而是利用公用網(wǎng)的資源動(dòng)態(tài)組成的，形成一條虛擬的端到端鏈路。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。因此，雖然VPN并不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。

2.1 VPN的安全技術(shù)

目前，VPN主要采用四項(xiàng)技術(shù)來(lái)保證傳輸數(shù)據(jù)的安全，這四項(xiàng)技術(shù)分別是：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。

2.1.1 隧道技術(shù)

隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)。它是在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二層、第三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議之中；這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議常見(jiàn)的有L2F、 PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中。形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸；第三層隧道協(xié)議常見(jiàn)的有IPSec等， IPSec是由一組RFC文檔組成，它定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在網(wǎng)絡(luò)層提供安全保障。

2.1.2 加解密技術(shù)

加密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)。利用加密技術(shù)保證傳輸數(shù)據(jù)的安全是VPN安全技術(shù)的核心。為了適應(yīng)VPN工作特點(diǎn)，目前VPN中均采用對(duì)稱加密體制和公鑰加密體制相結(jié)合的方法。

2.1.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAK MP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAK MP中，雙方都有兩把密鑰，分別用于公用、私用。

2.1.4 身份認(rèn)證技術(shù)

最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

2.2 VPN技術(shù)的優(yōu)勢(shì)

與以往的封閉式的專線連接為主的網(wǎng)絡(luò)相比，VPN具有以下優(yōu)勢(shì)。

2.2.1 實(shí)現(xiàn)網(wǎng)絡(luò)安全

VPN技術(shù)利用可靠的認(rèn)證加密技術(shù)，在內(nèi)部網(wǎng)絡(luò)之間建立隧道，能夠保證通訊數(shù)據(jù)的機(jī)密性和完整性，保證信息不被泄露或暴露給未授權(quán)的實(shí)體，保證信息不被未授權(quán)的實(shí)體改變、刪除和替代。

2.2.2簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)

對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)，利用VPN技術(shù)可以極大地簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)、與外部通信所需的接口，同時(shí)也簡(jiǎn)化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。

2.2.3 降低成本

主要包括降低移動(dòng)用戶通信成本、租用線路成本、設(shè)備成本等。

2.2.4 可擴(kuò)充性和靈活性

VPN能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

3 常見(jiàn)的VPN解決方案

3.1 VPN的分類

目前，主要有三種類型的VPN可以供企業(yè)/校園網(wǎng)選擇：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)、企業(yè)內(nèi)部虛擬網(wǎng)和企業(yè)擴(kuò)展虛擬網(wǎng)，這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。

3.1.1 Access VPN

Access VPN通過(guò)一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)。Access VPN能使用戶隨時(shí)、隨地以其所需的方式訪問(wèn)企業(yè)資源。Access VPN包能夠安全快速地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。Access VPN最適用于企業(yè)內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況，或者商家需要提供B2C的安全訪問(wèn)服務(wù)。如圖1所示，為Access VPN常見(jiàn)的的拓?fù)鋱D。

3.1.2 Intranet VPN

越來(lái)越多的企業(yè)需要在全國(guó)乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的Intranet VPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN技術(shù)可以保證信息在整個(gè)Intranet VPN上安全傳輸。Intranet VPN通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。Intranet VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

3.1.3 Extranet VPN

隨著信息時(shí)代的到來(lái)，各個(gè)企業(yè)越來(lái)越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過(guò)各種方式了解客戶的需要，同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來(lái)越多，信息交換也日益頻繁。Internet為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Extranet VPN的拓?fù)浣Y(jié)構(gòu)如圖3所示。

Extranet VPN與Intranet VPN的主要區(qū)別在于一個(gè)是公司內(nèi)部的VPN，所有的用戶都是企業(yè)內(nèi)部的辦事處、部門(mén)等 ，而Extranet VPN是在Intranet VPN里面加上一個(gè)合作伙伴，從實(shí)現(xiàn)的機(jī)制上來(lái)說(shuō)，這二個(gè)VPN沒(méi)有本質(zhì)上的區(qū)別。

4 VPN在實(shí)訓(xùn)室的應(yīng)用

4.1 拓?fù)浣Y(jié)構(gòu)

由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)訓(xùn)室建設(shè)在校內(nèi)，同時(shí)它所使用的IP地址為私有IP地址。要實(shí)現(xiàn)Access VPN的連接，需要網(wǎng)絡(luò)中心先實(shí)施一個(gè)靜態(tài)NAT映射，把一個(gè)全局IP地址映射到實(shí)驗(yàn)定的VPN網(wǎng)關(guān)上。當(dāng)然，如果實(shí)訓(xùn)室本身具有全局IP地址，則就不需要網(wǎng)絡(luò)中心進(jìn)行IP地址映射的操作。網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)室VPN布署拓?fù)鋱D如圖4所示。

4.2 VPN網(wǎng)關(guān)的配置

在配置VPN網(wǎng)關(guān)時(shí)，使用如下步驟即可實(shí)現(xiàn)。

(1)配置本地地址池。用于把IP地址分配給撥入的用戶。

(2)配置用戶信息。配置撥號(hào)時(shí)使用的用戶名與密碼，可以配置多個(gè)。

(3)配置vpdn全局參數(shù)。把VPN網(wǎng)關(guān)的VPN功能啟動(dòng)。

(4)配置virtual-template接口。

(5)配置vpdn-group。用于封裝VPN的協(xié)議。

vpdn enable

vpdn-group pptp accept-dialin protocol pptp virtual-template 1

username test password 0 test

ip local pool pptp 10.1.1.2 10.1.1.254

interface Virtual-Template 1

ppp authentication pap ip ip unnumbered fastEthernet f1/0peer default ip address pool pptp

ip route 0.0.0.0 0.0.0.0 下一跳IP地址

4.3 客戶端的設(shè)置

在Win 2003的“網(wǎng)絡(luò)和撥號(hào)連接”中新建連接，“網(wǎng)絡(luò)連接類型”選擇“通過(guò)Internet連接到專用網(wǎng)絡(luò)”，“公用網(wǎng)絡(luò)”選擇“不撥初始連接”，填入目標(biāo)地址（即為VPN網(wǎng)關(guān)的公網(wǎng)地址，如果是通過(guò)靜態(tài)映射的，就填映射的全局地址），命名此連接名稱為vpdnconnect。在vpdnconnect的屬性中，指定vpdn服務(wù)器的類型為pptp，并在安全設(shè)置中定義使用PAP認(rèn)證及可選加密。在點(diǎn)擊呼叫時(shí)，輸入路由器所配置的用戶名test和密碼test即可連接到實(shí)訓(xùn)室的VPN網(wǎng)關(guān)。這時(shí)，VPN網(wǎng)關(guān)會(huì)分配一個(gè)IP地址給撥入的用戶，當(dāng)IP地址分配后，即可連接到實(shí)驗(yàn)臺(tái)進(jìn)行遠(yuǎn)程實(shí)驗(yàn)。

5 結(jié)束語(yǔ)

VPN技術(shù)是一種在公網(wǎng)上實(shí)現(xiàn)私有網(wǎng)絡(luò)連接的技術(shù)，它充分利用了現(xiàn)有的網(wǎng)絡(luò)資源，為企事業(yè)單位提供一種經(jīng)濟(jì)、高效、靈活和安全的連網(wǎng)方式。VPN技術(shù)的最終目的是服務(wù)于企業(yè)、為現(xiàn)代企業(yè)的信息共享提供安全可靠的途徑。目前，國(guó)外VPN已形成產(chǎn)業(yè)，各大IT 廠商都在積極推進(jìn)VPN技術(shù)、開(kāi)發(fā)新產(chǎn)品，很多企業(yè)建設(shè)了自己的VPN并從中獲益。當(dāng)VPN技術(shù)引入到計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)室后，可以降低各項(xiàng)運(yùn)營(yíng)成本，同時(shí)能夠提高實(shí)驗(yàn)實(shí)訓(xùn)的效率，使實(shí)訓(xùn)實(shí)驗(yàn)室真正的成為共用型實(shí)驗(yàn)室，充分的提高了實(shí)驗(yàn)設(shè)備的利用率。為進(jìn)一步擴(kuò)展成共用型實(shí)訓(xùn)基地搭好基礎(chǔ)平臺(tái)。

參考文獻(xiàn)：

[1] 張震.VPN技術(shù)分析及安全模型研究[J].微型機(jī)與應(yīng)用，2002.

[2] 呂宗瑛，曾慶偉.應(yīng)用于企業(yè)網(wǎng)的VPN技術(shù)研究[J].武漢理工大學(xué)學(xué)報(bào)，2003.

[3] 李翠花，吳疆.基于隧道技術(shù)的VPN及入網(wǎng)方式[J].安徽工程科技學(xué)院學(xué)報(bào)(自然科學(xué)版)，2006，(04).

[4] 李艷芳，劉文良.虛擬專用網(wǎng)絡(luò)遠(yuǎn)程撥號(hào)訪問(wèn)的設(shè)置與實(shí)現(xiàn)[J].一重技術(shù)，2005，(02).

[5] 張濤. VPN技術(shù)在校園網(wǎng)中的應(yīng)用與實(shí)例[J].南通航運(yùn)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006，(04).

[6] 李書(shū)寧，徐文賢.非校園網(wǎng)用戶訪問(wèn)圖書(shū)館電子資源研究[J].圖書(shū)館論壇，2005，(02).

[7] 王春霞.基于VPN技術(shù)的網(wǎng)吧實(shí)名管理系統(tǒng)的設(shè)計(jì)[J].浙江工商職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007，(01).

[8] 姚志新.基于互聯(lián)網(wǎng)建設(shè)市級(jí)電子政務(wù)安全支撐平臺(tái)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2007，(03).

[9] 路由器的配置說(shuō)明書(shū)[EB/OL].http://www.ruijie.com.cn.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文