應用ＶＰＮ技術延伸校園網(wǎng)覆蓋范圍

摘要:在簡要介紹VPN技術的基礎上，根據(jù)校園網(wǎng)對安全互聯(lián)、遠程訪問的需求，提出基于校園網(wǎng)的虛擬專用網(wǎng)應用方案。對方案的實現(xiàn)結果進行測試和分析，驗證方案的可行性。

關鍵詞:校園網(wǎng);VPN(虛擬專用網(wǎng));網(wǎng)絡安全

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6689-04

Application of VPN in Extending Coverage of Campus Network

WANG Yi-hong， LIU Yi

(Shanghai Medical Workers' College，Shanghai 200237，China)

Abstract: Introducing the characteristics of Virtual Private Network， puts forward a VPN based networking scheme of campus network according to the demands of securely internetworking and remote access to campus network.By testing and analyzing the implement results，the feasibility and availability of the scheme are proved.

Key words: campus network; VPN; network safety

近年來我校教育規(guī)模不斷擴大，在重新整合、資源共享、聯(lián)合辦學的發(fā)展過程中形成了梅隴、市北、市東、崇明、松江的多校區(qū)合作辦學模式。但是地理位置上的分散性，使得原先相互獨立的校園網(wǎng)拓撲結構不能滿足要求:如采用專線連接，將會增加網(wǎng)絡運行的成本;如將校區(qū)間交換的數(shù)據(jù)直接通過Internet傳送，數(shù)據(jù)的安全性又很難得到保證。

所以需要利用相應的技術手段實現(xiàn)安全可靠的校園網(wǎng)互連，實現(xiàn)統(tǒng)一管理和對資源的充分利用。此外，利用網(wǎng)絡資源還能豐富辦學手段，實現(xiàn)和開展遠程教學和遠程辦公，提供個性化的學習支持服務和信息服務，也是學校網(wǎng)絡建設發(fā)展的趨勢。虛擬專用網(wǎng)(Virtual Private Network)正是滿足這種要求的解決方案。

1 VPN概念

虛擬專用網(wǎng)(Virtual Private Network，VPN)是在Internet中建立一條虛擬的專用通道，利用Internet來傳輸內部數(shù)據(jù)的虛擬專用網(wǎng)絡。VPN技術采用隧道技術、數(shù)據(jù)加密技術和身份認證技術，從而保證構建于公共網(wǎng)絡之上的虛擬內部網(wǎng)絡的有效連通性和安全性[1]。如圖1所示，雖然VPN 通訊建立在公共互聯(lián)網(wǎng)絡的基礎上，但用戶在使用VPN時感覺如同在使用局域網(wǎng)。

1) VPN技術具有以下特點[2-3]:

(1) 低成本。VPN利用了現(xiàn)有的線路，在其上構建了虛擬的通道，節(jié)省了建設專線的高昂造價及租金。

(2) 易擴展。如果采用專線連接，當物理節(jié)點變化時，網(wǎng)絡結構趨于復雜，費用增加。而VPN技術是通過虛擬通道來實現(xiàn)的。

(3) 保證安全。VPN技術利用可靠的加密認證技術，在Internet上建立隧道，能夠保證通信數(shù)據(jù)的機密性和完整性，保證信息不被泄露或暴露給未授權的組織或個人。

2 基于校園網(wǎng)的VPN應用方案

根據(jù)校園網(wǎng)對安全互聯(lián)、遠程訪問的需求，提出基于校園網(wǎng)的虛擬專用網(wǎng)應用方案。對方案的實現(xiàn)結果進行測試和分析，驗證方案的可行性。

2.1需求分析

1) 師生在校外無法訪問校內資源

2) 校區(qū)與校區(qū)之間的內部網(wǎng)絡無法互訪

解決方案:利用VPN技術建立遠程用戶到校園網(wǎng)的安全連接，數(shù)據(jù)通過公共Internet上的VPN隧道加密傳輸。并通過對用戶身份的認證以及特定資源的訪問控制，保證校園網(wǎng)的內部資源不被泄漏和非法訪問。

2.2 PPTP VPN解決方案

2.2.1 什么是PPTP VPN

建立 VPN 隧道有多種方式，包括 L2TP、IPSEC、PPTP、SSL等隧道，其中 PPTP 是 VPN 隧道中部署最為簡單、方便的實現(xiàn)方式之一，Windows 系統(tǒng)默認自帶 PPTP VPN 客戶端，只需幾個步驟可以輕松完成 VPN 的設定[4-5]。

2.2.2 應用環(huán)境說明

學校 (VPN服務端)

架設 VPN 服務器，允許遠程用戶撥入，外網(wǎng)IP為 211.x.x.x。

遠程用戶 (VPN客戶端)

經常需要和學校交換數(shù)據(jù)， 通過 VPN 撥號到總校。撥入成功后虛擬通道被建立，獲得虛擬 IP: 172.16.0.101。由VPN通道進入學校內部局域網(wǎng)，上傳和下載文檔。

出差人員 (VPN客戶端)

需要和學校交換數(shù)據(jù)時， 通過 VPN 撥號到學校。撥入成功后虛擬通道被建立，獲得虛擬 IP: 172.16.0.100。 由VPN通道進入總部內部局域網(wǎng)，上傳和下載文檔，或和其他撥入點 (如辦事處或其他出差人員)相互通訊。

2.2.3 PPTP_VPN 服務端的設定

目前市場上有許多的防火墻附帶VPN功能，本文以SHARETECH AW-5100為例，介紹PPTP_VPN的部署和實施。

1) 激活PPTP VPN功能，設置客戶端IP范圍

進入“管制條例選項” ->“VPN” ->“PPTP 服務器”->“客戶端IP范圍”，如圖3。

VPN 網(wǎng)絡上使用的是內部保留IP地址，一般用 192.168.x.x或172.16.x.x或10.X.X.X，這里我們使用 172.16.0.X，可根據(jù)實際情況自行調整。VPN 網(wǎng)絡地址不能和本地局域網(wǎng)地址重復，也盡量不要和遠程撥入端的局域網(wǎng)地址重復。為了防止沖突，建議把 VPN 網(wǎng)絡地址設為比較特殊，比如 172.16.100.X 或 192.168.123.X 等。

2) 新增PPTP 服務器

激活PPTP后，按需添加PPTP服務器。比如允許使用者shzy可以訪問學校所有資源，而只允許使用者guest訪問部分資源，就需要設置多個PPTP服務器供不同用戶使用。

進入“管制條例選項” ->“VPN” ->“PPTP 服務器”->“新增PPTP 服務器”，如圖4。

使用者名稱:shzy;密碼:******。

如果需要讓某個帳戶撥號后始終獲得一個固定的 VPN IP，選擇“使用特定IP地址”項輸入想要分配的 IP 即可，比如這里可以是 172.16.0.110。

3) 添加VPN管制條例

設置完PPTP服務器后，需要添加管制條例。每一個封包在通過SHARETECH AW-5100時，需要逐條檢查是否符合管制條例。當封包的條件符合某條管制條例時，就會按該管制條例的設定來通過SHARETECH AW-5100，如封包無法符合任何管制條例時，該封包就會被攔截。

進入“管制條例”->“內部至外部”->“新增”，如圖5。

進入“管制條例”->“外部至內部”->“新增”，如圖6。

設置好后，PPTP VPN的服務器端就可以運作了。另外，如需對VPN接入用戶的訪問權限做一定限制的話，可以在“來源網(wǎng)絡地址”和“目的網(wǎng)絡地址”進行設置，通過管制條例對來源網(wǎng)絡地址進行管制，判斷是否可以訪問目的網(wǎng)絡地址，這里不做詳細說明。

2.2.4 PPTP VPN 客戶端設置(Windows) [6-7]

Windows 2000/XP/2003/Vista 自帶有 PPTP_VPN 的撥號客戶端，無需另外安裝軟件。以 Windows XP 為例，設置步驟如下:

1) 啟動新建連接向導

依次點擊“開始” -> “設置” -> “網(wǎng)絡連接” -> “新建連接向導” 即可。 或右鍵單擊桌面上的“網(wǎng)上鄰居”圖標，選擇“屬性”，在“向導”欄雙擊“新建連接向導”。

2) 選擇“連接到我的工作場所的網(wǎng)絡”

3) 選擇“虛擬專用網(wǎng)絡連接”

4) 設置連接名pptp_vpn

5) VPN 服務器端地址211.*.*.*

6) 完成連接向導

7) 設置撥號連接參數(shù)

打開建立的撥號連接，點擊“屬性”進入連接屬性設置; 選擇“網(wǎng)絡”選項卡 -> “Internet 協(xié)議 (TCP/IP)”; 點擊“屬性”進入TCP/IP協(xié)議設置。

一般情況下，請去掉“在遠程網(wǎng)絡上使用默認網(wǎng)關”前面的勾，否則VPN撥號后將無法上網(wǎng)(訪問Internet)。

8) 開始VPN撥號

點擊“連接” 進行VPN撥號，用戶名是shzy，密碼是******。撥號成功后，點擊“連接成功”的提示圖標，查看詳細的連接信息: 可以看到撥號后本地VPN 連接的IP:172.16.0.100，VPN 服務器IP為172.16.0.1。

2.2.5 測試VPN連接

1) 在“開始” ->“運行” 輸入 cmd 進入 DOS 命令提示符，使用 ping <服務器IP> 測試 VPN 通道是否正常。

2) 測試連接文件交換區(qū)(ip地址:172.16.0.11)

開始——>運行——>輸入ip地址，比如文件交換區(qū)\\\\172.16.0.11

3 VPN性能測試

以SHARETECH AW-5100為例，它的VPN技術參數(shù)如表1所示。

模擬學校VPN可能的使用情況，對VPN進行上傳下載速度和網(wǎng)絡延時的測試(學校租用科技網(wǎng)10M光纖)，如表2所示。

測試是在網(wǎng)絡空閑時進行的，傳輸速度基本上達到理想數(shù)值。在日常工作時，受各方面的因素影響，速度可能會有所下降，但能夠滿足校外人員利用VPN訪問校園網(wǎng)的需要。

4 使用PPTP VPN 連接校區(qū)

在兩個校區(qū)網(wǎng)絡之間建立VPN連接，策略上允許兩地的所有用戶互訪，像是一個網(wǎng)絡，可以任意訪問這兩個校區(qū)網(wǎng)絡的資源。因為并不需要讓所有用戶都能夠訪問兩個網(wǎng)絡，所以這樣做即增加了VPN設備的負荷，也不便于VPN用戶的管理。這里介紹一下方法，僅供參考:同樣以SHARETECH AW-5100為例，主校區(qū)的AW-5100作為PPTP服務器端，分校區(qū)的AW-5100作為PPTP客戶端。

4.1 服務器端設置

同3.2.3，激活PPTP服務器，設置好客戶端IP地址范圍并新增PPTP服務器，設置PPTP服務器的使用者名稱“PPTP”和密碼“******”

4.2 客戶端設置

在分校區(qū)的設備上新增PPTP客戶端，輸入使用者名稱、密碼和服務器IP地址，如圖11。

完成PPTP VPN聯(lián)機，效果如圖12。

設置好后，分校區(qū)的用戶就可以訪問總校區(qū)的資源了。想讓總校區(qū)的用戶也可以訪問分校區(qū)，只需在分校區(qū)的設備上新增一個服務器端，在總校區(qū)的設備上新增一個客戶端，兩個校區(qū)就可以互相訪問了。

5 結論

VP N技術使得校園網(wǎng)內部的重要信息在有安全保證的情況下傳輸，如同建立了專用的網(wǎng)絡連接，提高了校園網(wǎng)的可管理性、靈活性和安全性。

面對多校區(qū)合作辦學模式帶來的復雜的網(wǎng)絡現(xiàn)狀，網(wǎng)絡建設和資源共享的問題將會日益突出。利用VPN技術有效組織和開發(fā)網(wǎng)上資源，以網(wǎng)絡應用推動網(wǎng)絡擴展，以資源共享促進信息資源建設，實現(xiàn)各校區(qū)之間網(wǎng)絡建設統(tǒng)一規(guī)劃和信息資源共享，必將成為今后信息化建設和發(fā)展的方向。

參考文獻:

[1] 王達.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學出版社，2004.

[2] Jeffrey Richter， Windows核心編程[M].機械工業(yè)出版社，2000.

[3] Jim Ohlund，Anthony Jones，James Ohlund. Network Programming for Microsoft Windows[M].北京:清華大學出版社，2002，10.

[4] 高鴻斌.VPN在多校區(qū)校園網(wǎng)絡建設中的應用[J].中國科技信息，2007，20.

[5] 王常亮.論高職院校如何推進校園信息化[J].職業(yè)教育研究，2005，9.

[6] 季超，王紅濤.虛擬專用網(wǎng)技術在校園網(wǎng)中的應用研究[J].河南大學學報，2006，36.

[7] 戴有煒.Windows Server 2003網(wǎng)絡專業(yè)指南[M].北京:清華大學出版社，2004，4.