基于VPN技術(shù)的教育培訓(xùn)機(jī)構(gòu)互訪(fǎng)應(yīng)用研究

左文濤 趙小平 彭宇玲

（廣州科技職業(yè)技術(shù)學(xué)院，廣東 廣州 510550）

1 引言

隨著信息技術(shù)的高速發(fā)展，教育培訓(xùn)機(jī)構(gòu)間的數(shù)字資源逐步增加，核心資源也成為培訓(xùn)機(jī)構(gòu)間的主要競(jìng)爭(zhēng)力。在日漸開(kāi)放的移動(dòng)互聯(lián)網(wǎng)環(huán)境中，信息在傳輸過(guò)程中要保證其安全性和私密性顯得更加重要。員工的遠(yuǎn)程訪(fǎng)問(wèn)、資源的共享逐漸成為威脅教育培訓(xùn)機(jī)構(gòu)提升競(jìng)爭(zhēng)力的關(guān)鍵問(wèn)題。因此在具有安全性、保密性、可管理性的同時(shí)，不增加網(wǎng)絡(luò)使用成本，提升教育培訓(xùn)機(jī)構(gòu)的競(jìng)爭(zhēng)力成為培訓(xùn)機(jī)構(gòu)網(wǎng)絡(luò)建設(shè)發(fā)展的重大問(wèn)題。VPN（Virtual Private Network）技術(shù)以其優(yōu)勢(shì)能很好地解決教育培訓(xùn)機(jī)構(gòu)間資源共享、遠(yuǎn)程訪(fǎng)問(wèn)的問(wèn)題，實(shí)現(xiàn)多個(gè)培訓(xùn)機(jī)構(gòu)間安全通信，VPN技術(shù)是一種切實(shí)可行的解決方案。

2 VPN概述

VPN(Virtual Private Network，虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(Internet)聯(lián)接而成邏輯上的虛擬子網(wǎng)。為了保障信息在Internet上傳輸?shù)陌踩?，VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證了信息在傳輸中不被竊聽(tīng)、篡改、復(fù)制。

2.1 VPN原理

VPN通過(guò)Internet公用網(wǎng)絡(luò)建立隧道，將兩個(gè)不同的私有網(wǎng)絡(luò)實(shí)現(xiàn)相互通信，在兩個(gè)私有網(wǎng)絡(luò)連接公用網(wǎng)絡(luò)的接入處實(shí)現(xiàn)端到端的認(rèn)證。建立VPN通道需要一個(gè)專(zhuān)門(mén)的過(guò)程和依賴(lài)一系列不同的協(xié)議，一個(gè)完整的VPN系統(tǒng)包括VPN服務(wù)器、VPN客戶(hù)端、VPN數(shù)據(jù)通道。

2.2 VPN優(yōu)點(diǎn)

VPN采用隧道建立的端到端的連接，其優(yōu)點(diǎn)有：安全保障，采用數(shù)據(jù)加密、身份驗(yàn)證技術(shù)保障網(wǎng)絡(luò)通過(guò)公網(wǎng)的安全性；容易擴(kuò)展和管理，支持多種接入方式，可以隨時(shí)添加新用戶(hù)，能方便集中進(jìn)行管理和維護(hù)；成本低、高可靠，不需要專(zhuān)線(xiàn)接入網(wǎng)絡(luò)，但是可以達(dá)到專(zhuān)線(xiàn)接入效果，同時(shí)能為不同用戶(hù)提供不同級(jí)別的服務(wù)質(zhì)量保證，能合理高效地利用網(wǎng)絡(luò)帶寬。

3 VPN安全技術(shù)和實(shí)現(xiàn)方式

3.1 VPN安全技術(shù)

在利用VPN技術(shù)構(gòu)建安全的通信時(shí)，常使用的安全技術(shù)包括：密鑰管理技術(shù)，主要實(shí)現(xiàn)公網(wǎng)數(shù)據(jù)網(wǎng)上安全地傳輸密鑰；加解密技術(shù)，VPN加解密融合了對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)，常用的加密算法有DES、AES、RAS；身份認(rèn)證技術(shù)，VPN客戶(hù)端請(qǐng)求通信時(shí)，VPN隧道另一端設(shè)備身份驗(yàn)證，通常有預(yù)共享密鑰（PSK）認(rèn)證、非對(duì)稱(chēng)RSA密鑰認(rèn)證和證書(shū)認(rèn)證三種方式。

3.2 VPN實(shí)現(xiàn)方式

（1）PPTPVPN

PPTP（Point to Point Tunneling Protocol），點(diǎn)對(duì)點(diǎn)隧道協(xié)議。支持多協(xié)議虛擬專(zhuān)用網(wǎng)（VPN），可以通過(guò)密碼驗(yàn)證協(xié)議（PAP）、可擴(kuò)展認(rèn)證協(xié)議（EAP）等方法增強(qiáng)安全性。VPN建立隧道時(shí)，選用PPTP協(xié)議，可以使遠(yuǎn)程用戶(hù)通過(guò)撥入ISP、通過(guò)直接連接Internet或其它網(wǎng)絡(luò)安全地訪(fǎng)問(wèn)企業(yè)網(wǎng)。

（2）SSLVPN

SSL VPN即指采用SSL（Security Socket Layer）協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL（安全套接層協(xié)議）是網(wǎng)景公司提出的基于Web應(yīng)用的在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)積極識(shí)別通信機(jī)器的功能。SSL主要采用公開(kāi)密鑰體制和X509數(shù)字證書(shū)技術(shù)在Internet上提供服務(wù)器認(rèn)證、客戶(hù)認(rèn)證、SSL鏈路上的數(shù)據(jù)保密性的安全性保證。它被廣泛用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密傳輸。

SSL VPN必須滿(mǎn)足兩個(gè)最基本的要求：使用SSL協(xié)議進(jìn)行認(rèn)證和加密；直接使用瀏覽器完成操作，無(wú)需安裝獨(dú)立的客戶(hù)端。

（3）IPSEC VPN

IPSec VPN即指采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。IPSec是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，在隧道外面再封裝，保證了傳輸過(guò)程中的安全性。IPSec的主要特征是可以對(duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證，使IPSec可以確保包括遠(yuǎn)程登錄、電子郵件、文件傳輸及WEB訪(fǎng)問(wèn)在內(nèi)多種應(yīng)用程序的安全。

（4）MPLS VPN

MPLS VPN是一種基于MPLS技術(shù)的IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（Multiprotocol Label Switching，多協(xié)議標(biāo)記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專(zhuān)用網(wǎng)絡(luò)（IP VPN），可用來(lái)構(gòu)造寬帶的Intranet、Extranet，滿(mǎn)足多種靈活的業(yè)務(wù)需求。

4 VPN技術(shù)在教育培訓(xùn)機(jī)構(gòu)中的應(yīng)用

在品牌驅(qū)動(dòng)下的新型教育市場(chǎng)，教育培訓(xùn)機(jī)構(gòu)為能突顯競(jìng)爭(zhēng)能力，分散在不同區(qū)域的培訓(xùn)機(jī)構(gòu)區(qū)需要滿(mǎn)足穩(wěn)定、安全、可靠地連接總部培訓(xùn)機(jī)構(gòu)資源庫(kù)的網(wǎng)絡(luò)需求，以及各培訓(xùn)機(jī)構(gòu)能獨(dú)立高效地進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)，同時(shí)能實(shí)現(xiàn)員工遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)部資源。

圖1 教育培訓(xùn)機(jī)構(gòu)VPN組網(wǎng)方案拓?fù)鋱D

4.1 教育培訓(xùn)機(jī)構(gòu)VPN方案設(shè)備選擇

根據(jù)培訓(xùn)機(jī)構(gòu)網(wǎng)絡(luò)使用需求和總體網(wǎng)絡(luò)規(guī)劃，在培訓(xùn)機(jī)構(gòu)總部的出口選擇艾泰科技公司的UTT3640安全網(wǎng)關(guān)，它主要是為有VPN需求的中型企業(yè)、學(xué)校、分支機(jī)構(gòu)而設(shè)計(jì)的防火墻路由器，采用Intel IXP CPU核心,具備強(qiáng)大的硬件處理能力。UTT 3640具備上網(wǎng)行為管理功能，加強(qiáng)網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)維護(hù)管理；支持IPsec、L2TP以及PPTP等多種形式的VPN功能，可以通過(guò)Site-to-Site或遠(yuǎn)程撥號(hào)的多種方式建立互聯(lián)互通的VPN網(wǎng)絡(luò)。

在各個(gè)區(qū)域的教育培訓(xùn)機(jī)構(gòu)的網(wǎng)絡(luò)出口選擇艾泰U2000 VPN/防火墻，U2000支持靜態(tài)、動(dòng)態(tài)IP地址和PPOE撥號(hào)等主流網(wǎng)絡(luò)接入；WEB界面管理，配置簡(jiǎn)單，支持配置備份，遠(yuǎn)程管理；支持IPSec、L2TP以及PPTP等多種形式的VPN功能。

4.2 VPN服務(wù)配置

在總部網(wǎng)絡(luò)出口UTT3640上的“VPN配置—IPSec”頁(yè)面配置VPN，以本地綁定接口為WAN 1口為例。

圖2 IPSec VPN配置

連接方式可選擇網(wǎng)關(guān)到網(wǎng)關(guān)、動(dòng)態(tài)連接到網(wǎng)關(guān)和對(duì)方動(dòng)態(tài)連接到本地（對(duì)端如果ADSL撥號(hào)上網(wǎng)，選擇此）。在各教育培訓(xùn)機(jī)構(gòu)出口U2000上也做同樣的IPSEC配置，只是把地址換成總部培訓(xùn)機(jī)構(gòu)的IP地址。

為遠(yuǎn)程移動(dòng)辦公用戶(hù)配置PPTPVPN登陸路由器的管理界面，選擇“VPN配置”—“PPTP和L2TP”—“撥入（服務(wù)器）”—“用戶(hù)類(lèi)型”選擇“移動(dòng)用戶(hù)”，創(chuàng)建一個(gè)用戶(hù)名和密碼即可，對(duì)于“描述”是自定義的，如圖3所示。

圖3PPTP和L2TPVPN配置

4.3 客戶(hù)端設(shè)置

在客戶(hù)機(jī)系統(tǒng)新建一個(gè)VPN用戶(hù)撥號(hào)連接(也可以使用專(zhuān)門(mén)的撥號(hào)軟件)，輸入分配的用戶(hù)名和密碼。撥號(hào)成功后，教育培訓(xùn)機(jī)構(gòu)可以訪(fǎng)問(wèn)總部培訓(xùn)機(jī)構(gòu)資料，但是客戶(hù)端將有兩個(gè)網(wǎng)關(guān)，一個(gè)是VPN的網(wǎng)關(guān)，另一個(gè)是自己本身上網(wǎng)的網(wǎng)關(guān)，教育培訓(xùn)機(jī)構(gòu)要實(shí)現(xiàn)單獨(dú)上網(wǎng)和訪(fǎng)問(wèn)總部培訓(xùn)機(jī)構(gòu)兩種功能需求，必須在VPN撥號(hào)成功的圖標(biāo)上，點(diǎn)擊右鍵——屬性選擇Internet協(xié)議（TCP/IP）——點(diǎn)擊屬性按鈕——高級(jí)按鈕，然后在“高級(jí)”的“常規(guī)”標(biāo)簽里面取消勾選“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”。

提示：VPN建立連接后出現(xiàn)無(wú)法訪(fǎng)問(wèn)，請(qǐng)關(guān)閉PC或路由器上的防火墻功能，再次嘗試。

5 結(jié)束語(yǔ)

VPN技術(shù)具有安全性好、實(shí)用性強(qiáng)、運(yùn)營(yíng)成本低、易于管理、可靠性高等優(yōu)點(diǎn)，越來(lái)越地應(yīng)用在具有多個(gè)分部的企業(yè)和事業(yè)單位。在教育培訓(xùn)機(jī)構(gòu)統(tǒng)一品牌和資源建設(shè)的情況下，VPN的技術(shù)和產(chǎn)品將受到更多用戶(hù)的青睞和重視。

[1]王松江.VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013，124-125.

[2]高媛.VPN技術(shù)在高校圖書(shū)館網(wǎng)絡(luò)資源共享中的實(shí)踐與思考[J].圖書(shū)館工作與研究，2012，(07)：43-44.

[3]王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，(09)：250-250.

[4]艾泰科技技術(shù)服務(wù)文檔[EB/OL].http：//www.utt.com.cn.