VPN技術(shù)在校園網(wǎng)中的應(yīng)用研究

摘 要：VPN是在公網(wǎng)上構(gòu)建私有網(wǎng)的技術(shù)，將VPN技術(shù)應(yīng)用于校園網(wǎng)，可以打破傳統(tǒng)校園網(wǎng)的局限性。本文從實(shí)際出發(fā)，給出了利用VPN技術(shù)遠(yuǎn)程訪問(wèn)的方案，從而實(shí)現(xiàn)了遠(yuǎn)程終端對(duì)校內(nèi)資源的訪問(wèn)，擴(kuò)大校園網(wǎng)資源利用范圍。

關(guān)鍵詞：VPN；校園網(wǎng)；資源

中圖分類號(hào)：TP393.1

隨著各高校數(shù)字化建設(shè)的不斷深入，校園網(wǎng)作為數(shù)字化校園建設(shè)的基礎(chǔ)平臺(tái)已經(jīng)普遍存在于各個(gè)高校，使得原本封閉的校園直接通往世界各個(gè)角落，并為學(xué)校的發(fā)展帶來(lái)了諸多益處。于此同時(shí)，來(lái)自廣域網(wǎng)的病毒、攻擊及各種各樣的內(nèi)容也相繼進(jìn)入了校園網(wǎng)，這樣一來(lái)，支撐校園網(wǎng)運(yùn)行的基礎(chǔ)平臺(tái)以及校園網(wǎng)的用戶必須直接面對(duì)來(lái)自外網(wǎng)的攻擊。因此校園網(wǎng)絡(luò)安全事件將會(huì)成為制約校園網(wǎng)絡(luò)可用性的瓶頸。但是，由于種種需求，校園網(wǎng)絡(luò)不得不支持一部分人或用戶進(jìn)行來(lái)自外部終端的接入。因此，我們引入了VPN（Virtual Private Network）技術(shù)，它能夠?yàn)椴煌瑓^(qū)域的終端接入者提供一種廉價(jià)、安全、靈活自如的網(wǎng)絡(luò)信息傳輸解決方案。

1 虛擬專用網(wǎng)技術(shù)

VPN即虛擬專用網(wǎng)，被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道[1]。VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN可幫助遠(yuǎn)程終端用戶同內(nèi)部網(wǎng)絡(luò)之間建立可信、安全的連接，并在此連接的基礎(chǔ)上保證所傳輸數(shù)據(jù)的網(wǎng)絡(luò)安全性，使得原有網(wǎng)絡(luò)具有更強(qiáng)的擴(kuò)展性和安全性。

1.1 VPN工作原理

VPN是利用公網(wǎng)來(lái)構(gòu)建的專有網(wǎng)絡(luò)，既可以作為WAN的解決方案也可以用于LAN，是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種功能型網(wǎng)絡(luò)。

工作原理是這樣的：遠(yuǎn)程終端會(huì)向校園網(wǎng)內(nèi)的某一臺(tái)VPN服務(wù)器發(fā)出連接請(qǐng)求，該VPN服務(wù)器對(duì)遠(yuǎn)程終端的請(qǐng)求作出響應(yīng)并向終端發(fā)出身份質(zhì)詢用來(lái)進(jìn)行身份認(rèn)證，接收到身份質(zhì)詢的終端再將加密后的消息發(fā)送給VPN服務(wù)器端，最后VPN服務(wù)器會(huì)對(duì)比固有用戶數(shù)據(jù)庫(kù)，來(lái)檢查賬戶是否有效，然后VPN會(huì)確認(rèn)該用戶是否擁有遠(yuǎn)程連接的權(quán)限，若是，則會(huì)建立連接。傳輸過(guò)程中的密鑰機(jī)制會(huì)對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密。

1.2 VPN的產(chǎn)生背景

為了網(wǎng)絡(luò)信息能更好的共享和具有更高的安全性，在上世紀(jì)90年代，VPN這種既安全又經(jīng)濟(jì)的網(wǎng)絡(luò)技術(shù)就被研發(fā)出來(lái)，并且迅速的被投入到應(yīng)用中去，這項(xiàng)技術(shù)的開(kāi)發(fā)在一定程度上滿足了終端用戶對(duì)安全和經(jīng)濟(jì)的雙重要求。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。作為一種效果能夠與傳統(tǒng)的專線相媲美的技術(shù)，VPN在最近幾年得到了高速發(fā)展，應(yīng)用領(lǐng)域更加廣泛。

1.3 VPN應(yīng)用領(lǐng)域

隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷普及，VPN技術(shù)的不斷發(fā)展，VPN技術(shù)已經(jīng)應(yīng)用到眾多領(lǐng)域。在實(shí)際應(yīng)用中VPN主要被應(yīng)用到以下五個(gè)領(lǐng)域：（1）VPN技術(shù)應(yīng)用于國(guó)家國(guó)防通信和遠(yuǎn)程指揮網(wǎng)絡(luò)平臺(tái)的搭建；（2）VPN技術(shù)應(yīng)用于企業(yè)網(wǎng)Itranet，企業(yè)內(nèi)VPN網(wǎng)的建設(shè)；（3）VPN技術(shù)應(yīng)用于網(wǎng)絡(luò)游戲領(lǐng)域中基于VPN網(wǎng)絡(luò)游戲大型網(wǎng)絡(luò)平臺(tái)的實(shí)施；（4）VPN技術(shù)應(yīng)用于電子商務(wù)領(lǐng)域應(yīng)用平臺(tái)的建設(shè)；（5）VPN技術(shù)應(yīng)用于校園內(nèi)網(wǎng)的建設(shè)上。

2 校園網(wǎng)中VPN系統(tǒng)的實(shí)現(xiàn)

2.1 校園網(wǎng)VPN系統(tǒng)的設(shè)計(jì)

隨著校園網(wǎng)應(yīng)用系統(tǒng)的日趨成熟，越來(lái)越多基于校園網(wǎng)的應(yīng)用系統(tǒng)被開(kāi)發(fā)出來(lái)。比如：校內(nèi)視頻點(diǎn)播系統(tǒng)、教務(wù)管理系統(tǒng)、在線學(xué)堂、數(shù)字化圖書(shū)館以及校內(nèi)辦公系統(tǒng)等這些跟教師、學(xué)生的工作生活密切相關(guān)的應(yīng)用系統(tǒng)[2]。但是，這些豐富的校內(nèi)資源通常只允許校園網(wǎng)內(nèi)部用戶的訪問(wèn)，使得網(wǎng)絡(luò)資源得不到最佳的利用。如數(shù)字圖書(shū)館，管理者會(huì)考慮對(duì)所購(gòu)電子書(shū)的知識(shí)產(chǎn)權(quán)的保護(hù)，或者對(duì)網(wǎng)絡(luò)存儲(chǔ)空間不足的擔(dān)心等，常常會(huì)對(duì)訪問(wèn)該資源的IP地址范圍做出一定的限制。為解決這個(gè)問(wèn)題，我們可以使用VPN技術(shù)來(lái)給校園網(wǎng)外的遠(yuǎn)程終端或者遠(yuǎn)程辦公用戶們提供一種可以直接連接到校園網(wǎng)的服務(wù)，滿足用戶能夠進(jìn)行異地辦公的同時(shí)又可以保證校內(nèi)網(wǎng)絡(luò)資源的安全性，以達(dá)到對(duì)豐富的校園網(wǎng)信息資源的信息共享。VPN網(wǎng)關(guān)的構(gòu)建。通過(guò)VPN網(wǎng)關(guān)技術(shù)，我們不僅可以實(shí)現(xiàn)校園網(wǎng)與外網(wǎng)的連接，而且可以把校園網(wǎng)同Internet隔離開(kāi)來(lái)。VPN網(wǎng)關(guān)還應(yīng)該支持PKI（Public Key Infrastructure）認(rèn)證技術(shù)。PKI（Public Key Infrastructure）是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系PKI技術(shù)是信息安全系統(tǒng)的核心，引入了這項(xiàng)技術(shù)后，凡是與服務(wù)器建立了VPN連接的終端就必須先經(jīng)過(guò)身份認(rèn)證。

在VPN網(wǎng)關(guān)的構(gòu)建中我們可以根據(jù)實(shí)際情況，采用雙宿主機(jī)服務(wù)器來(lái)構(gòu)建VPN網(wǎng)關(guān)。所謂的雙宿主機(jī)即是VPN服務(wù)器配有兩塊網(wǎng)卡，其中一塊網(wǎng)卡用于綁定校園網(wǎng)的IP地址，而另外一塊用來(lái)綁定專用網(wǎng)段的IP地址。同時(shí)，可以在過(guò)濾路由器上做NAT，這樣就可以將外部網(wǎng)絡(luò)IP的特定端口指向網(wǎng)關(guān)中的第一塊網(wǎng)卡IP，從而實(shí)現(xiàn)外網(wǎng)與校園網(wǎng)的互聯(lián)功能。VPN技術(shù)目前主要應(yīng)用于校園網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理以及校外用戶對(duì)校內(nèi)網(wǎng)絡(luò)資源的訪問(wèn)。

VPN網(wǎng)關(guān)位于核心交換機(jī)與防火墻之間，因此我們可以直接在核心交換機(jī)上鏈接VPN服務(wù)器，添加VPN網(wǎng)關(guān)，這樣一來(lái)，我們?cè)O(shè)計(jì)也非常易于在當(dāng)前的網(wǎng)絡(luò)架構(gòu)中實(shí)現(xiàn)。在VPN網(wǎng)關(guān)的選擇上，可以選用已有的多余服務(wù)器來(lái)?yè)?dān)任VPN網(wǎng)關(guān)以降低構(gòu)建VPN網(wǎng)關(guān)的費(fèi)用。建立了VPN網(wǎng)關(guān)后，應(yīng)用數(shù)據(jù)庫(kù)服務(wù)器應(yīng)該位于核心交換機(jī)所連接的專用網(wǎng)中，任何未與VPN網(wǎng)關(guān)建立連接的外部網(wǎng)絡(luò)終端都不能訪問(wèn)專用網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)庫(kù)服務(wù)器。這時(shí)只有合法終端用戶才能通過(guò)VPN進(jìn)行訪問(wèn)，而其他用戶是無(wú)法連接上數(shù)據(jù)庫(kù)服務(wù)器的，因此專有網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)服務(wù)器被認(rèn)為是安全的。

2.2 建立一個(gè)管理服務(wù)器網(wǎng)段的VPN服務(wù)器

VPN技術(shù)不僅用于校園網(wǎng)與Internet的連接，也可以應(yīng)用于校園網(wǎng)內(nèi)部各網(wǎng)絡(luò)終端的連接，它可以用來(lái)允許校園網(wǎng)內(nèi)某一部分用戶訪問(wèn)某些特定的數(shù)據(jù)。在校園網(wǎng)中，數(shù)據(jù)庫(kù)服務(wù)器是被放置在防火墻后保護(hù)起來(lái)的。因此，假如當(dāng)某一臺(tái)服務(wù)器管理員不在校內(nèi)，而服務(wù)器又恰巧出現(xiàn)了故障時(shí)，一種能讓服務(wù)器管理員安全地從遠(yuǎn)程對(duì)服務(wù)器進(jìn)行維護(hù)的方法就顯得很必要?；谶@種需求，我們可以在網(wǎng)絡(luò)防火墻內(nèi)建立一個(gè)VPN服務(wù)器，使之與防火墻外的終端之間建立一條VPN連接，網(wǎng)絡(luò)管理員可以通過(guò)該VPN服務(wù)器對(duì)所管服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)。由于在VPN服務(wù)器中，我們是通過(guò)網(wǎng)絡(luò)接口篩選器的配置來(lái)阻塞除GRE、PPT P和L2T P協(xié)議之外的所有數(shù)據(jù)包類型，因此VPN服務(wù)器的開(kāi)放不會(huì)對(duì)網(wǎng)絡(luò)安全造成危害。而且我們可以通過(guò)對(duì)VPN服務(wù)器的詳細(xì)配置，來(lái)對(duì)訪問(wèn)權(quán)限進(jìn)行較嚴(yán)格的管理。

3 結(jié)束語(yǔ)

利用VPN技術(shù)在校園網(wǎng)與Internet之間建立的專用數(shù)據(jù)隧道具有組建成本低、可擴(kuò)展性強(qiáng)、安全性高且易于進(jìn)行管理等優(yōu)點(diǎn)。將該技術(shù)于校園網(wǎng)的建設(shè)能夠有效的解決校園網(wǎng)在發(fā)展的過(guò)程中不斷涌現(xiàn)的新問(wèn)題，因此可知VPN技術(shù)的應(yīng)用前景非常廣闊。

參考文獻(xiàn)：

[1]高海英，薛元星，辛陽(yáng).VPN 技術(shù)[M].北京：機(jī)械工業(yè)出版社，2004.

[2]楊波.IP VPN技術(shù)應(yīng)用的研究.長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006（01）：40-44.

[3]Heinanen G A，Tulin MP.A.framework for IP Based Virtual Private Network[J].IEEE Cmmunication Magazing，2004（24）：34-371.

作者簡(jiǎn)介：趙衛(wèi)（1976-），女，陜西涇陽(yáng)人，講師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。

作者單位：咸陽(yáng)師范學(xué)院 網(wǎng)絡(luò)管理中心，陜西咸陽(yáng) 712000