摘 要：VPN是在公網(wǎng)上構(gòu)建私有網(wǎng)的技術(shù)，將VPN技術(shù)應(yīng)用于校園網(wǎng)，可以打破傳統(tǒng)校園網(wǎng)的局限性。本文從實際出發(fā)，給出了利用VPN技術(shù)遠程訪問的方案，從而實現(xiàn)了遠程終端對校內(nèi)資源的訪問，擴大校園網(wǎng)資源利用范圍。

關(guān)鍵詞：VPN；校園網(wǎng)；資源

中圖分類號：TP393.1

隨著各高校數(shù)字化建設(shè)的不斷深入，校園網(wǎng)作為數(shù)字化校園建設(shè)的基礎(chǔ)平臺已經(jīng)普遍存在于各個高校，使得原本封閉的校園直接通往世界各個角落，并為學(xué)校的發(fā)展帶來了諸多益處。于此同時，來自廣域網(wǎng)的病毒、攻擊及各種各樣的內(nèi)容也相繼進入了校園網(wǎng)，這樣一來，支撐校園網(wǎng)運行的基礎(chǔ)平臺以及校園網(wǎng)的用戶必須直接面對來自外網(wǎng)的攻擊。因此校園網(wǎng)絡(luò)安全事件將會成為制約校園網(wǎng)絡(luò)可用性的瓶頸。但是，由于種種需求，校園網(wǎng)絡(luò)不得不支持一部分人或用戶進行來自外部終端的接入。因此，我們引入了VPN（Virtual Private Network）技術(shù)，它能夠為不同區(qū)域的終端接入者提供一種廉價、安全、靈活自如的網(wǎng)絡(luò)信息傳輸解決方案。

1 虛擬專用網(wǎng)技術(shù)

VPN即虛擬專用網(wǎng)，被定義為通過一個公用網(wǎng)絡(luò)建立一個臨時、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道[1]。VPN是對企業(yè)內(nèi)部網(wǎng)的擴展。VPN可幫助遠程終端用戶同內(nèi)部網(wǎng)絡(luò)之間建立可信、安全的連接，并在此連接的基礎(chǔ)上保證所傳輸數(shù)據(jù)的網(wǎng)絡(luò)安全性，使得原有網(wǎng)絡(luò)具有更強的擴展性和安全性。

1.1 VPN工作原理

VPN是利用公網(wǎng)來構(gòu)建的專有網(wǎng)絡(luò)，既可以作為WAN的解決方案也可以用于LAN，是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種功能型網(wǎng)絡(luò)。

工作原理是這樣的：遠程終端會向校園網(wǎng)內(nèi)的某一臺VPN服務(wù)器發(fā)出連接請求，該VPN服務(wù)器對遠程終端的請求作出響應(yīng)并向終端發(fā)出身份質(zhì)詢用來進行身份認證，接收到身份質(zhì)詢的終端再將加密后的消息發(fā)送給VPN服務(wù)器端，最后VPN服務(wù)器會對比固有用戶數(shù)據(jù)庫，來檢查賬戶是否有效，然后VPN會確認該用戶是否擁有遠程連接的權(quán)限，若是，則會建立連接。傳輸過程中的密鑰機制會對所傳輸?shù)臄?shù)據(jù)進行加密。

1.2 VPN的產(chǎn)生背景

為了網(wǎng)絡(luò)信息能更好的共享和具有更高的安全性，在上世紀90年代，VPN這種既安全又經(jīng)濟的網(wǎng)絡(luò)技術(shù)就被研發(fā)出來，并且迅速的被投入到應(yīng)用中去，這項技術(shù)的開發(fā)在一定程度上滿足了終端用戶對安全和經(jīng)濟的雙重要求。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。作為一種效果能夠與傳統(tǒng)的專線相媲美的技術(shù)，VPN在最近幾年得到了高速發(fā)展，應(yīng)用領(lǐng)域更加廣泛。

1.3 VPN應(yīng)用領(lǐng)域

隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷普及，VPN技術(shù)的不斷發(fā)展，VPN技術(shù)已經(jīng)應(yīng)用到眾多領(lǐng)域。在實際應(yīng)用中VPN主要被應(yīng)用到以下五個領(lǐng)域：（1）VPN技術(shù)應(yīng)用于國家國防通信和遠程指揮網(wǎng)絡(luò)平臺的搭建；（2）VPN技術(shù)應(yīng)用于企業(yè)網(wǎng)Itranet，企業(yè)內(nèi)VPN網(wǎng)的建設(shè)；（3）VPN技術(shù)應(yīng)用于網(wǎng)絡(luò)游戲領(lǐng)域中基于VPN網(wǎng)絡(luò)游戲大型網(wǎng)絡(luò)平臺的實施；（4）VPN技術(shù)應(yīng)用于電子商務(wù)領(lǐng)域應(yīng)用平臺的建設(shè)；（5）VPN技術(shù)應(yīng)用于校園內(nèi)網(wǎng)的建設(shè)上。

2 校園網(wǎng)中VPN系統(tǒng)的實現(xiàn)

2.1 校園網(wǎng)VPN系統(tǒng)的設(shè)計

隨著校園網(wǎng)應(yīng)用系統(tǒng)的日趨成熟，越來越多基于校園網(wǎng)的應(yīng)用系統(tǒng)被開發(fā)出來。比如：校內(nèi)視頻點播系統(tǒng)、教務(wù)管理系統(tǒng)、在線學(xué)堂、數(shù)字化圖書館以及校內(nèi)辦公系統(tǒng)等這些跟教師、學(xué)生的工作生活密切相關(guān)的應(yīng)用系統(tǒng)[2]。但是，這些豐富的校內(nèi)資源通常只允許校園網(wǎng)內(nèi)部用戶的訪問，使得網(wǎng)絡(luò)資源得不到最佳的利用。如數(shù)字圖書館，管理者會考慮對所購電子書的知識產(chǎn)權(quán)的保護，或者對網(wǎng)絡(luò)存儲空間不足的擔(dān)心等，常常會對訪問該資源的IP地址范圍做出一定的限制。為解決這個問題，我們可以使用VPN技術(shù)來給校園網(wǎng)外的遠程終端或者遠程辦公用戶們提供一種可以直接連接到校園網(wǎng)的服務(wù)，滿足用戶能夠進行異地辦公的同時又可以保證校內(nèi)網(wǎng)絡(luò)資源的安全性，以達到對豐富的校園網(wǎng)信息資源的信息共享。VPN網(wǎng)關(guān)的構(gòu)建。通過VPN網(wǎng)關(guān)技術(shù)，我們不僅可以實現(xiàn)校園網(wǎng)與外網(wǎng)的連接，而且可以把校園網(wǎng)同Internet隔離開來。VPN網(wǎng)關(guān)還應(yīng)該支持PKI（Public Key Infrastructure）認證技術(shù)。PKI（Public Key Infrastructure）是一種遵循標準的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系PKI技術(shù)是信息安全系統(tǒng)的核心，引入了這項技術(shù)后，凡是與服務(wù)器建立了VPN連接的終端就必須先經(jīng)過身份認證。

在VPN網(wǎng)關(guān)的構(gòu)建中我們可以根據(jù)實際情況，采用雙宿主機服務(wù)器來構(gòu)建VPN網(wǎng)關(guān)。所謂的雙宿主機即是VPN服務(wù)器配有兩塊網(wǎng)卡，其中一塊網(wǎng)卡用于綁定校園網(wǎng)的IP地址，而另外一塊用來綁定專用網(wǎng)段的IP地址。同時，可以在過濾路由器上做NAT，這樣就可以將外部網(wǎng)絡(luò)IP的特定端口指向網(wǎng)關(guān)中的第一塊網(wǎng)卡IP，從而實現(xiàn)外網(wǎng)與校園網(wǎng)的互聯(lián)功能。VPN技術(shù)目前主要應(yīng)用于校園網(wǎng)絡(luò)設(shè)備的遠程管理以及校外用戶對校內(nèi)網(wǎng)絡(luò)資源的訪問。

VPN網(wǎng)關(guān)位于核心交換機與防火墻之間，因此我們可以直接在核心交換機上鏈接VPN服務(wù)器，添加VPN網(wǎng)關(guān)，這樣一來，我們設(shè)計也非常易于在當(dāng)前的網(wǎng)絡(luò)架構(gòu)中實現(xiàn)。在VPN網(wǎng)關(guān)的選擇上，可以選用已有的多余服務(wù)器來擔(dān)任VPN網(wǎng)關(guān)以降低構(gòu)建VPN網(wǎng)關(guān)的費用。建立了VPN網(wǎng)關(guān)后，應(yīng)用數(shù)據(jù)庫服務(wù)器應(yīng)該位于核心交換機所連接的專用網(wǎng)中，任何未與VPN網(wǎng)關(guān)建立連接的外部網(wǎng)絡(luò)終端都不能訪問專用網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)庫服務(wù)器。這時只有合法終端用戶才能通過VPN進行訪問，而其他用戶是無法連接上數(shù)據(jù)庫服務(wù)器的，因此專有網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器被認為是安全的。

2.2 建立一個管理服務(wù)器網(wǎng)段的VPN服務(wù)器

VPN技術(shù)不僅用于校園網(wǎng)與Internet的連接，也可以應(yīng)用于校園網(wǎng)內(nèi)部各網(wǎng)絡(luò)終端的連接，它可以用來允許校園網(wǎng)內(nèi)某一部分用戶訪問某些特定的數(shù)據(jù)。在校園網(wǎng)中，數(shù)據(jù)庫服務(wù)器是被放置在防火墻后保護起來的。因此，假如當(dāng)某一臺服務(wù)器管理員不在校內(nèi)，而服務(wù)器又恰巧出現(xiàn)了故障時，一種能讓服務(wù)器管理員安全地從遠程對服務(wù)器進行維護的方法就顯得很必要?；谶@種需求，我們可以在網(wǎng)絡(luò)防火墻內(nèi)建立一個VPN服務(wù)器，使之與防火墻外的終端之間建立一條VPN連接，網(wǎng)絡(luò)管理員可以通過該VPN服務(wù)器對所管服務(wù)器進行遠程維護。由于在VPN服務(wù)器中，我們是通過網(wǎng)絡(luò)接口篩選器的配置來阻塞除GRE、PPT P和L2T P協(xié)議之外的所有數(shù)據(jù)包類型，因此VPN服務(wù)器的開放不會對網(wǎng)絡(luò)安全造成危害。而且我們可以通過對VPN服務(wù)器的詳細配置，來對訪問權(quán)限進行較嚴格的管理。

3 結(jié)束語

利用VPN技術(shù)在校園網(wǎng)與Internet之間建立的專用數(shù)據(jù)隧道具有組建成本低、可擴展性強、安全性高且易于進行管理等優(yōu)點。將該技術(shù)于校園網(wǎng)的建設(shè)能夠有效的解決校園網(wǎng)在發(fā)展的過程中不斷涌現(xiàn)的新問題，因此可知VPN技術(shù)的應(yīng)用前景非常廣闊。

參考文獻：

[1]高海英，薛元星，辛陽.VPN 技術(shù)[M].北京：機械工業(yè)出版社，2004.

[2]楊波.IP VPN技術(shù)應(yīng)用的研究.長沙通信職業(yè)技術(shù)學(xué)院學(xué)報，2006（01）：40-44.

[3]Heinanen G A，Tulin MP.A.framework for IP Based Virtual Private Network[J].IEEE Cmmunication Magazing，2004（24）：34-371.

作者簡介：趙衛(wèi)（1976-），女，陜西涇陽人，講師，碩士，研究方向：計算機網(wǎng)絡(luò)安全。

作者單位：咸陽師范學(xué)院 網(wǎng)絡(luò)管理中心，陜西咸陽 712000