基于VPN技術(shù)的教育培訓(xùn)機(jī)構(gòu)互訪應(yīng)用研究

左文濤 趙小平 彭宇玲

（廣州科技職業(yè)技術(shù)學(xué)院，廣東 廣州 510550）

1 引言

隨著信息技術(shù)的高速發(fā)展，教育培訓(xùn)機(jī)構(gòu)間的數(shù)字資源逐步增加，核心資源也成為培訓(xùn)機(jī)構(gòu)間的主要競爭力。在日漸開放的移動(dòng)互聯(lián)網(wǎng)環(huán)境中，信息在傳輸過程中要保證其安全性和私密性顯得更加重要。員工的遠(yuǎn)程訪問、資源的共享逐漸成為威脅教育培訓(xùn)機(jī)構(gòu)提升競爭力的關(guān)鍵問題。因此在具有安全性、保密性、可管理性的同時(shí)，不增加網(wǎng)絡(luò)使用成本，提升教育培訓(xùn)機(jī)構(gòu)的競爭力成為培訓(xùn)機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)發(fā)展的重大問題。VPN（Virtual Private Network）技術(shù)以其優(yōu)勢能很好地解決教育培訓(xùn)機(jī)構(gòu)間資源共享、遠(yuǎn)程訪問的問題，實(shí)現(xiàn)多個(gè)培訓(xùn)機(jī)構(gòu)間安全通信，VPN技術(shù)是一種切實(shí)可行的解決方案。

2 VPN概述

VPN(Virtual Private Network，虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(Internet)聯(lián)接而成邏輯上的虛擬子網(wǎng)。為了保障信息在Internet上傳輸?shù)陌踩裕琕PN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證了信息在傳輸中不被竊聽、篡改、復(fù)制。

2.1 VPN原理

VPN通過Internet公用網(wǎng)絡(luò)建立隧道，將兩個(gè)不同的私有網(wǎng)絡(luò)實(shí)現(xiàn)相互通信，在兩個(gè)私有網(wǎng)絡(luò)連接公用網(wǎng)絡(luò)的接入處實(shí)現(xiàn)端到端的認(rèn)證。建立VPN通道需要一個(gè)專門的過程和依賴一系列不同的協(xié)議，一個(gè)完整的VPN系統(tǒng)包括VPN服務(wù)器、VPN客戶端、VPN數(shù)據(jù)通道。

2.2 VPN優(yōu)點(diǎn)

VPN采用隧道建立的端到端的連接，其優(yōu)點(diǎn)有：安全保障，采用數(shù)據(jù)加密、身份驗(yàn)證技術(shù)保障網(wǎng)絡(luò)通過公網(wǎng)的安全性；容易擴(kuò)展和管理，支持多種接入方式，可以隨時(shí)添加新用戶，能方便集中進(jìn)行管理和維護(hù)；成本低、高可靠，不需要專線接入網(wǎng)絡(luò)，但是可以達(dá)到專線接入效果，同時(shí)能為不同用戶提供不同級別的服務(wù)質(zhì)量保證，能合理高效地利用網(wǎng)絡(luò)帶寬。

3 VPN安全技術(shù)和實(shí)現(xiàn)方式

3.1 VPN安全技術(shù)

在利用VPN技術(shù)構(gòu)建安全的通信時(shí)，常使用的安全技術(shù)包括：密鑰管理技術(shù)，主要實(shí)現(xiàn)公網(wǎng)數(shù)據(jù)網(wǎng)上安全地傳輸密鑰；加解密技術(shù)，VPN加解密融合了對稱加密技術(shù)和非對稱加密技術(shù)，常用的加密算法有DES、AES、RAS；身份認(rèn)證技術(shù)，VPN客戶端請求通信時(shí)，VPN隧道另一端設(shè)備身份驗(yàn)證，通常有預(yù)共享密鑰（PSK）認(rèn)證、非對稱RSA密鑰認(rèn)證和證書認(rèn)證三種方式。

3.2 VPN實(shí)現(xiàn)方式

（1）PPTPVPN

PPTP（Point to Point Tunneling Protocol），點(diǎn)對點(diǎn)隧道協(xié)議。支持多協(xié)議虛擬專用網(wǎng)（VPN），可以通過密碼驗(yàn)證協(xié)議（PAP）、可擴(kuò)展認(rèn)證協(xié)議（EAP）等方法增強(qiáng)安全性。VPN建立隧道時(shí)，選用PPTP協(xié)議，可以使遠(yuǎn)程用戶通過撥入ISP、通過直接連接Internet或其它網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。

（2）SSLVPN

SSL VPN即指采用SSL（Security Socket Layer）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL（安全套接層協(xié)議）是網(wǎng)景公司提出的基于Web應(yīng)用的在兩臺機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)積極識別通信機(jī)器的功能。SSL主要采用公開密鑰體制和X509數(shù)字證書技術(shù)在Internet上提供服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)保密性的安全性保證。它被廣泛用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密傳輸。

SSL VPN必須滿足兩個(gè)最基本的要求：使用SSL協(xié)議進(jìn)行認(rèn)證和加密；直接使用瀏覽器完成操作，無需安裝獨(dú)立的客戶端。

（3）IPSEC VPN

IPSec VPN即指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。IPSec是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，在隧道外面再封裝，保證了傳輸過程中的安全性。IPSec的主要特征是可以對所有IP級的通信進(jìn)行加密和認(rèn)證，使IPSec可以確保包括遠(yuǎn)程登錄、電子郵件、文件傳輸及WEB訪問在內(nèi)多種應(yīng)用程序的安全。

（4）MPLS VPN

MPLS VPN是一種基于MPLS技術(shù)的IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（Multiprotocol Label Switching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN），可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。

4 VPN技術(shù)在教育培訓(xùn)機(jī)構(gòu)中的應(yīng)用

在品牌驅(qū)動(dòng)下的新型教育市場，教育培訓(xùn)機(jī)構(gòu)為能突顯競爭能力，分散在不同區(qū)域的培訓(xùn)機(jī)構(gòu)區(qū)需要滿足穩(wěn)定、安全、可靠地連接總部培訓(xùn)機(jī)構(gòu)資源庫的網(wǎng)絡(luò)需求，以及各培訓(xùn)機(jī)構(gòu)能獨(dú)立高效地進(jìn)行網(wǎng)絡(luò)訪問，同時(shí)能實(shí)現(xiàn)員工遠(yuǎn)程訪問內(nèi)部資源。

圖1 教育培訓(xùn)機(jī)構(gòu)VPN組網(wǎng)方案拓?fù)鋱D

4.1 教育培訓(xùn)機(jī)構(gòu)VPN方案設(shè)備選擇

根據(jù)培訓(xùn)機(jī)構(gòu)網(wǎng)絡(luò)使用需求和總體網(wǎng)絡(luò)規(guī)劃，在培訓(xùn)機(jī)構(gòu)總部的出口選擇艾泰科技公司的UTT3640安全網(wǎng)關(guān)，它主要是為有VPN需求的中型企業(yè)、學(xué)校、分支機(jī)構(gòu)而設(shè)計(jì)的防火墻路由器，采用Intel IXP CPU核心,具備強(qiáng)大的硬件處理能力。UTT 3640具備上網(wǎng)行為管理功能，加強(qiáng)網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)維護(hù)管理；支持IPsec、L2TP以及PPTP等多種形式的VPN功能，可以通過Site-to-Site或遠(yuǎn)程撥號的多種方式建立互聯(lián)互通的VPN網(wǎng)絡(luò)。

在各個(gè)區(qū)域的教育培訓(xùn)機(jī)構(gòu)的網(wǎng)絡(luò)出口選擇艾泰U2000 VPN/防火墻，U2000支持靜態(tài)、動(dòng)態(tài)IP地址和PPOE撥號等主流網(wǎng)絡(luò)接入；WEB界面管理，配置簡單，支持配置備份，遠(yuǎn)程管理；支持IPSec、L2TP以及PPTP等多種形式的VPN功能。

4.2 VPN服務(wù)配置

在總部網(wǎng)絡(luò)出口UTT3640上的“VPN配置—IPSec”頁面配置VPN，以本地綁定接口為WAN 1口為例。

圖2 IPSec VPN配置

連接方式可選擇網(wǎng)關(guān)到網(wǎng)關(guān)、動(dòng)態(tài)連接到網(wǎng)關(guān)和對方動(dòng)態(tài)連接到本地（對端如果ADSL撥號上網(wǎng)，選擇此）。在各教育培訓(xùn)機(jī)構(gòu)出口U2000上也做同樣的IPSEC配置，只是把地址換成總部培訓(xùn)機(jī)構(gòu)的IP地址。

為遠(yuǎn)程移動(dòng)辦公用戶配置PPTPVPN登陸路由器的管理界面，選擇“VPN配置”—“PPTP和L2TP”—“撥入（服務(wù)器）”—“用戶類型”選擇“移動(dòng)用戶”，創(chuàng)建一個(gè)用戶名和密碼即可，對于“描述”是自定義的，如圖3所示。

圖3PPTP和L2TPVPN配置

4.3 客戶端設(shè)置

在客戶機(jī)系統(tǒng)新建一個(gè)VPN用戶撥號連接(也可以使用專門的撥號軟件)，輸入分配的用戶名和密碼。撥號成功后，教育培訓(xùn)機(jī)構(gòu)可以訪問總部培訓(xùn)機(jī)構(gòu)資料，但是客戶端將有兩個(gè)網(wǎng)關(guān)，一個(gè)是VPN的網(wǎng)關(guān)，另一個(gè)是自己本身上網(wǎng)的網(wǎng)關(guān)，教育培訓(xùn)機(jī)構(gòu)要實(shí)現(xiàn)單獨(dú)上網(wǎng)和訪問總部培訓(xùn)機(jī)構(gòu)兩種功能需求，必須在VPN撥號成功的圖標(biāo)上，點(diǎn)擊右鍵——屬性選擇Internet協(xié)議（TCP/IP）——點(diǎn)擊屬性按鈕——高級按鈕，然后在“高級”的“常規(guī)”標(biāo)簽里面取消勾選“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”。

提示：VPN建立連接后出現(xiàn)無法訪問，請關(guān)閉PC或路由器上的防火墻功能，再次嘗試。

5 結(jié)束語

VPN技術(shù)具有安全性好、實(shí)用性強(qiáng)、運(yùn)營成本低、易于管理、可靠性高等優(yōu)點(diǎn)，越來越地應(yīng)用在具有多個(gè)分部的企業(yè)和事業(yè)單位。在教育培訓(xùn)機(jī)構(gòu)統(tǒng)一品牌和資源建設(shè)的情況下，VPN的技術(shù)和產(chǎn)品將受到更多用戶的青睞和重視。

[1]王松江.VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，124-125.

[2]高媛.VPN技術(shù)在高校圖書館網(wǎng)絡(luò)資源共享中的實(shí)踐與思考[J].圖書館工作與研究，2012，(07)：43-44.

[3]王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，(09)：250-250.

[4]艾泰科技技術(shù)服務(wù)文檔[EB/OL].http：//www.utt.com.cn.