VPN技術(shù)在局域網(wǎng)中的應(yīng)用

摘 要：隨著人們對(duì)網(wǎng)絡(luò)安全問題重視程度的提高，一種能實(shí)現(xiàn)對(duì)數(shù)據(jù)包加密和數(shù)據(jù)包目標(biāo)地址轉(zhuǎn)換的遠(yuǎn)程虛擬專用網(wǎng)絡(luò)連接模式逐漸被各大企業(yè)、學(xué)校和政府機(jī)關(guān)選作解決通信安全的主要方案。VPN技術(shù)使用方便且安全系數(shù)較高，還能根據(jù)用戶的需求進(jìn)行相關(guān)擴(kuò)展，因此在組建局域網(wǎng)絡(luò)時(shí)使用VPN的可行性較高。本文主要就虛擬專用網(wǎng)絡(luò)在局域網(wǎng)中的應(yīng)用進(jìn)行了介紹。

關(guān)鍵詞：局域網(wǎng)絡(luò)；虛擬專用網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2014） 18-0000-01

人們?cè)谶M(jìn)行局域網(wǎng)絡(luò)構(gòu)建時(shí)，考慮的主要問題就是連接的安全性和操作的便捷性，無線網(wǎng)絡(luò)的出現(xiàn)使得連接的安全性更加重要。在傳統(tǒng)的網(wǎng)絡(luò)安全解決方案中，多使用專線連接的方式，但局限性較大，經(jīng)濟(jì)型不好以及可擴(kuò)展性差等特點(diǎn)在新的網(wǎng)絡(luò)安全方案中很少選用。而VPN技術(shù)以其獨(dú)有的優(yōu)勢(shì)備受廣大企業(yè)用戶的青睞，可以滿足企業(yè)日益增長(zhǎng)的網(wǎng)絡(luò)連接需求量以及更新?lián)Q代時(shí)的擴(kuò)展需求，極大的減少了企業(yè)重構(gòu)網(wǎng)絡(luò)的資金。同時(shí)，VPN技術(shù)在企業(yè)內(nèi)部信息交流的安全性和私密性方面也能提供很好的保障，因此成為企業(yè)局域網(wǎng)構(gòu)建的首選目標(biāo)。

一、VPN技術(shù)概述及特點(diǎn)介紹

（1）什么是VPN。VPN的英文全稱是“virtual private network”，就是“虛擬專用網(wǎng)絡(luò)”。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），利用私有的隧道技術(shù)在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。簡(jiǎn)單地說，VPN就是通過專用的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。（2）VPN有什么特點(diǎn)。首先來說，在使用VPN后，數(shù)據(jù)傳輸過程中數(shù)據(jù)包是通過加密處理的，這樣做不管你使用的是公用網(wǎng)絡(luò)還是專用網(wǎng)絡(luò)都能保證數(shù)據(jù)傳輸?shù)陌踩浴Ｔ跀?shù)據(jù)連接的專用性和安全性上，VPN技術(shù)是通過在數(shù)據(jù)連接的雙方建立專門的點(diǎn)對(duì)點(diǎn)連接來完成的，除了指定的數(shù)據(jù)傳輸雙方之外，其特有的數(shù)據(jù)加密技術(shù)和相應(yīng)的密鑰管理方案是其他人很難破解的。其次，VPN技術(shù)構(gòu)建局域網(wǎng)時(shí)使用的費(fèi)用較低，因?yàn)槠浒踩暂^高，使用者不必花費(fèi)額外的費(fèi)用構(gòu)建專用網(wǎng)絡(luò)，且VPN虛擬網(wǎng)絡(luò)的維護(hù)費(fèi)用也較少，因此有較好的經(jīng)濟(jì)性。最后，VPN技術(shù)的可擴(kuò)展性強(qiáng)也為其廣泛應(yīng)用奠定的基礎(chǔ)。用戶構(gòu)建局域網(wǎng)絡(luò)時(shí)若采用VPN技術(shù)方案，可有多種方案進(jìn)行選擇，并且在以后的擴(kuò)容時(shí)只需對(duì)新加入用戶進(jìn)行網(wǎng)絡(luò)終端的邏輯設(shè)置即可，不必增加新的設(shè)備。較好的可擴(kuò)展性和改造的靈活性也是用戶選擇VPN技術(shù)的原因之一。

二、VPN技術(shù)的工作原理

VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在保密性不高的公共網(wǎng)絡(luò)上建立安全的通信，根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。VPN設(shè)備加上新的收據(jù)包頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無誤后，收據(jù)包被解密。

三、局域網(wǎng)VPN部署實(shí)例

局域網(wǎng)中的VPN系統(tǒng)由驗(yàn)證服務(wù)器、VPN服務(wù)器和安全服務(wù)器構(gòu)成。其中，VPN服務(wù)器提供數(shù)據(jù)通訊的安全管道，驗(yàn)證服務(wù)器為VPN服務(wù)器提供接人用戶的身份驗(yàn)證，而安全服務(wù)器則是受保護(hù)對(duì)象。根據(jù)安全服務(wù)器是否置于單獨(dú)的子網(wǎng)受到保護(hù)，局域網(wǎng)的VPN集成方案可有兩種：一種方案是，將安全服務(wù)器置于單獨(dú)的安全子網(wǎng)由VPN服務(wù)器進(jìn)行保護(hù)，另一種方案是將安全服務(wù)器與VPN服務(wù)器合而為一。（1）VPN服務(wù)器配置。Window2003 Server中已經(jīng)集成了VPN服務(wù)，VPN服務(wù)器端需要安裝兩塊網(wǎng)卡，一塊配置上級(jí)分配的公網(wǎng)（軍事綜合信息網(wǎng)）的IP地址，另一塊配置部隊(duì)局域網(wǎng)（辦公網(wǎng)）的IP地址。在Window2003 Server安完成后，“路由和遠(yuǎn)程訪問”服務(wù)是默認(rèn)安裝的，此時(shí)打開“管理工具”中的“路由和遠(yuǎn)程管理訪問”頁面，可以看到其“狀態(tài)”正處于“已停止（未配置）”狀態(tài)，需要對(duì)服務(wù)器進(jìn)行必要的配置使其生效。（2）VPN客戶端配置。打開“網(wǎng)絡(luò)連接”頁面，在網(wǎng)絡(luò)任務(wù)中選擇“創(chuàng)建一個(gè)新的連接”，出現(xiàn)新建連接向?qū)ы撁妗Ｔ诰W(wǎng)絡(luò)連接類型窗口里選擇“連接到我的工作場(chǎng)所網(wǎng)絡(luò)”；在網(wǎng)絡(luò)連接方式頁面里選擇“虛擬專用網(wǎng)絡(luò)連接”；最后在VPN服務(wù)器選擇頁面里填寫VPN服務(wù)器的公網(wǎng)地址。完成新建連接向?qū)б院螅诰W(wǎng)絡(luò)連接的頁面里可以看到新建的連接。（3）VPN服務(wù)器的部署方式。VPN服務(wù)器以旁路的方式連接在公網(wǎng)的核心交換機(jī)上，遠(yuǎn)程用戶通過VPN服務(wù)器的公網(wǎng)地址進(jìn)行拔號(hào)連接，此時(shí)VPN服務(wù)器需要對(duì)用戶進(jìn)行身份認(rèn)證，認(rèn)證通過以后，VPN服務(wù)器會(huì)為遠(yuǎn)程用戶分配局域網(wǎng)（辦公網(wǎng)）內(nèi)部IP地址，并建立虛擬專用網(wǎng)鏈接，從而實(shí)現(xiàn)對(duì)局域網(wǎng)資源的訪問。

四、SSL VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用

目前已廣泛應(yīng)用于局域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的VPN安全技術(shù)也可用于無線局域網(wǎng)。SSL VPN可以在兩臺(tái)計(jì)算機(jī)間提供安全通道，能保護(hù)數(shù)據(jù)傳輸并識(shí)別通信計(jì)算機(jī)，以免在WLAN中信息被截取、篡改后重新發(fā)送給目標(biāo)主機(jī)。與IEEE 802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同，VPN主要采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?duì)于安全性要求更高的用戶，英特爾建議用戶建網(wǎng)時(shí)，將現(xiàn)有的VPN安全技術(shù)與IEEE 802.11b安全技術(shù)結(jié)合起來，這是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案。

SSL VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用已經(jīng)非常流行，尤其是針對(duì)數(shù)據(jù)保密性非常強(qiáng)的應(yīng)用。為了滿足不同應(yīng)用的需求，根據(jù)IPSec VPN和SSL VPN各自的優(yōu)點(diǎn)，很多企業(yè)都是將兩者結(jié)合起來使用，使網(wǎng)絡(luò)更安全有效。

五、結(jié)束語

VPN技術(shù)除了前文提到的IPSec VPN和SSL VPN外還有MPLS VPN技術(shù)。這三種主流的VPN技術(shù)給用戶的選擇提供了多種可能，隨著我國(guó)網(wǎng)絡(luò)用戶的不斷增多以及局域網(wǎng)構(gòu)建需求量的增加，VPN技術(shù)以其獨(dú)有的安全性保障和較好的經(jīng)濟(jì)型等特點(diǎn)，一定能在局域網(wǎng)（包括無線局域網(wǎng)）構(gòu)建過程中廣泛的應(yīng)用。

參考文獻(xiàn)：

[1]周明.SSL VPN體系結(jié)構(gòu)在無線局域網(wǎng)中的應(yīng)用與設(shè)計(jì)[J].電子科技大學(xué)，2006（04）.

[2]郝輝，錢華林.VPN及其隧道技術(shù)研究[J].微電子學(xué)與計(jì)算機(jī)，2004（11）.