林虹虹

摘 要：將職業(yè)院校的跨地域分布特征結(jié)合VPN技術(shù)的分析研究，通過(guò)VPN技術(shù)的虛擬共享功能，針對(duì)構(gòu)建高安全的職業(yè)院校校園網(wǎng)絡(luò)資源共享提供解決措施，更進(jìn)一步將網(wǎng)絡(luò)數(shù)據(jù)的傳輸變得更加高效、安全、靈活以及經(jīng)濟(jì)，校區(qū)互聯(lián)、移動(dòng)辦公等方面均可以在該技術(shù)的拓展應(yīng)用基礎(chǔ)上安全實(shí)現(xiàn)。

關(guān)鍵詞：校園網(wǎng) VPN 組網(wǎng)技術(shù)

中圖分類號(hào)：TP393.03 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）01（c）-0035-02

不同學(xué)校合并、設(shè)立異地分校等現(xiàn)象隨著互聯(lián)網(wǎng)的發(fā)展呈現(xiàn)出普遍發(fā)的趨勢(shì)，進(jìn)而形成不少職業(yè)院?？绲貐^(qū)多校區(qū)的地理分布特點(diǎn)。因此，不同校區(qū)之間的資源數(shù)據(jù)的溝通也和學(xué)生管理、教學(xué)計(jì)劃規(guī)模呈正比例增長(zhǎng)，再加上校外居住或者外地出差的教師也會(huì)頻繁使用校園網(wǎng)數(shù)據(jù)資源，這些問(wèn)題已經(jīng)逐步成為當(dāng)今校園網(wǎng)發(fā)展道路上的絆腳石。傳統(tǒng)的單一校園網(wǎng)技術(shù)不僅DDN成本過(guò)高，Modem遠(yuǎn)程撥號(hào)的訪問(wèn)速度過(guò)慢，所以已經(jīng)不能達(dá)到發(fā)展要求；擁有成本低、安全性高、可靠性高等特征的VPN遠(yuǎn)程組網(wǎng)技術(shù)已經(jīng)趨于成熟，可以更好地滿足發(fā)展要求。VPN虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)的內(nèi)部網(wǎng)建立可信的安全連接，能保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，再有就是虛擬專用網(wǎng)解決方案能減少用戶費(fèi)用在遠(yuǎn)程網(wǎng)絡(luò)連接上的開(kāi)銷，同時(shí)，這也將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。這種技術(shù)的應(yīng)用使院校的各地資源的所有網(wǎng)絡(luò)在Internet上組成一個(gè)安全的、虛擬的大局域網(wǎng)，從而為校園網(wǎng)的公共平臺(tái)設(shè)計(jì)提供新的解決方案。本文通過(guò)對(duì)VPN技術(shù)特點(diǎn)的分析和研究，提出基于VPN技術(shù)解決跨區(qū)域職業(yè)學(xué)校的校園網(wǎng)建設(shè)的方案。

1 VPN概述[1]

a.VPN也就是虛擬專用網(wǎng)，它是某個(gè)機(jī)構(gòu)的專用網(wǎng)，通過(guò)公共互聯(lián)網(wǎng)實(shí)現(xiàn)利用私有隧道建立一條在公共數(shù)據(jù)網(wǎng)絡(luò)上的點(diǎn)到點(diǎn)的專線的技術(shù)。通過(guò)某種公共網(wǎng)資源上邏輯網(wǎng)絡(luò)動(dòng)態(tài)來(lái)形成虛擬VPN中兩個(gè)節(jié)點(diǎn)之間并不存在的端到端的物理鏈路；因?yàn)樵诨ヂ?lián)網(wǎng)上需要通過(guò)身份驗(yàn)證才能安全訪問(wèn)傳送中的加密過(guò)的用戶數(shù)據(jù)，VPN既利用此項(xiàng)來(lái)達(dá)到安全傳送數(shù)據(jù)，又利用的因特網(wǎng)的網(wǎng)絡(luò)資源。

1.1 VPN安全技術(shù)特點(diǎn)[2～4]

目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、

加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

1.1.1 隧道技術(shù)

隧道技術(shù)是VPN的基本技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等；第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸，第三層隧道協(xié)議有VTP、IPSec等。

1.1.2 VPN的功能

VPN重點(diǎn)在于建立安全的數(shù)據(jù)通道，對(duì)于這個(gè)安全通道的協(xié)議必須具備一些條件：

（1）確保數(shù)據(jù)真實(shí)性，通信主機(jī)必須是經(jīng)過(guò)授權(quán)。

（2）確保數(shù)據(jù)的完整性。

（3）確保通道的機(jī)密性。

（4）可提供運(yùn)態(tài)密鑰交換功能。

（5）可提供安全防護(hù)措施和訪問(wèn)控制。

1.1.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公共數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行的密鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。

1.2 VPN應(yīng)用分類[5]

依據(jù)不同的需要，VPN分三種情況的用途：

（1）內(nèi)部VPN。

這種方式通過(guò)公共網(wǎng)絡(luò)把一個(gè)不通的各個(gè)分支機(jī)構(gòu)聯(lián)結(jié)而成的網(wǎng)絡(luò)。這種聯(lián)結(jié)安全度高，這種方式被稱為Intranet。

（2）遠(yuǎn)程訪問(wèn)VPN。

此方法通過(guò)本地的信息提供商（ISP）訪問(wèn)Internet，并在不同分支機(jī)構(gòu)間建立一條加密通道，具有較高安全度的訪問(wèn)，有加密和身份驗(yàn)證及過(guò)濾等功能。

（3）外聯(lián)網(wǎng)VPN。

這種方式是外聯(lián)網(wǎng)VPN為遠(yuǎn)地的用戶提供安全性的訪問(wèn)。主要目標(biāo)是保證數(shù)據(jù)傳輸過(guò)程中不被修改、保護(hù)網(wǎng)絡(luò)資源等。

1.2.1 Access VPN（遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)絡(luò)）

Access VPN特點(diǎn)在于遠(yuǎn)端用戶不再像傳統(tǒng)的遠(yuǎn)程訪問(wèn)那樣，需要通過(guò)電話撥號(hào)到本地網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)，而是采用撥號(hào)接入遠(yuǎn)端用戶本地的ISP，利用VPN系統(tǒng)在公用網(wǎng)絡(luò)上建立一個(gè)從遠(yuǎn)程用戶端到本地網(wǎng)關(guān)的安全傳輸通道。

1.2.2 Intranet VPN（內(nèi)部虛擬專用網(wǎng)絡(luò)）

Intranet VPN特點(diǎn)主要是指利用Internet互聯(lián)網(wǎng)組建世界范圍的虛擬Intranet，利用互聯(lián)網(wǎng)的公共線路保證網(wǎng)絡(luò)的連通性，用VPN的隧道技術(shù)、數(shù)據(jù)壓縮加密、用戶身份認(rèn)證等特性，確保信息在Intranet VPN上的傳輸安全性。

1.2.3 Extranet VPN（擴(kuò)展內(nèi)部虛擬專用網(wǎng)絡(luò)）

Extranet VPN特點(diǎn)主要是互聯(lián)的虛擬局域網(wǎng)面對(duì)的是若干個(gè)大型公司或企業(yè)門戶的信息資源共享。

2 VPN組網(wǎng)方案設(shè)計(jì)[6～8]

2.1 VPN組網(wǎng)技術(shù)要求

成功的VPN方案應(yīng)該能為用戶分配專用網(wǎng)絡(luò)上的地址并確保其安全性，并對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密。在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中，VPN必須具有能夠生成并更新客戶端和服務(wù)器的加密、提供身份審查、具有審計(jì)和記費(fèi)等功能，還必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議。endprint

2.2 VPN校園網(wǎng)組網(wǎng)方案

在設(shè)計(jì)VPN校園網(wǎng)過(guò)程中，基于職業(yè)院校分校比較多以及共享教職工資源的特征和校園局域網(wǎng)、遠(yuǎn)程用戶的要求，通過(guò)將Access VPN及Intranet VPN組合的方式達(dá)到目的。為了讓接入互聯(lián)網(wǎng)的終端用戶可以通過(guò)網(wǎng)絡(luò)進(jìn)入到企事業(yè)單位的局域網(wǎng)網(wǎng)絡(luò)資源，Access VPN通過(guò)使用點(diǎn)對(duì)網(wǎng)的方式實(shí)現(xiàn)。該終端通過(guò)與局域網(wǎng)內(nèi)部一樣的使用資源的方式來(lái)實(shí)現(xiàn)資源利用。也可以說(shuō)是PPP 撥號(hào)訪問(wèn)方式；Intranet VPN是將兩個(gè)局域網(wǎng)之間利用因特網(wǎng)聯(lián)接的網(wǎng)對(duì)網(wǎng)的方式；就像是一同一個(gè)局域網(wǎng)的不同子網(wǎng)，并且兩個(gè)局域網(wǎng)中的任意終端均能相互共享對(duì)方的內(nèi)部資源。所以，異地之間相互訪問(wèn)內(nèi)部網(wǎng)絡(luò)可以通過(guò)建議不同小區(qū)的局域網(wǎng)來(lái)實(shí)現(xiàn)。

而VPN混合方案的實(shí)現(xiàn)主要是采用基于IPSec的第三層VPN路由器組網(wǎng)方案，是可以在全動(dòng)態(tài)IP的廣域網(wǎng)上（Internet/城域網(wǎng)），同時(shí)支持ADSL，Cable Modem，DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的VPN網(wǎng)絡(luò)。然而，IPsec這種方式也存在一定的問(wèn)題，這主要取決于VPN的一個(gè)主要特點(diǎn)，那就是必須在每一臺(tái)機(jī)器上安裝并配置客戶端軟件，才能使用VPN。就IPSes本身來(lái)說(shuō)，它很難用于部署遠(yuǎn)程接入或外部網(wǎng)。針對(duì)這種情況，引入一種基于Secure Sockets Layer（SSL）協(xié)議的VPN，它可以安全的替代IPsec VPN。幾乎所有的商業(yè)瀏覽器產(chǎn)品都支持SSL協(xié)議，它的安全性也得到了證實(shí)。

SSL是由多個(gè)子協(xié)議組成，其中兩個(gè)最主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。

（1）握手協(xié)議允許服務(wù)器和客戶端“在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙”。在數(shù)據(jù)傳輸期間。

（2）記錄協(xié)議利用握手協(xié)議生成的密匙加密和解密后來(lái)交換的數(shù)據(jù)。

以上兩個(gè)協(xié)議的工作原理是這樣的：客戶端會(huì)發(fā)送信息給服務(wù)器端特定的TCP端口，請(qǐng)求一個(gè)新的握手協(xié)議。這個(gè)信息包含了密碼規(guī)格列表，還有客戶端瀏覽器支持的壓縮協(xié)議和客戶端產(chǎn)生隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)是由32位的UNIX timestamp value加上客戶端瀏覽器生成的28位的pseudo-random number組成。服務(wù)器也發(fā)送一個(gè)同樣的信息響應(yīng)客戶端，這個(gè)信息包括它根據(jù)隨機(jī)數(shù)值（服務(wù)器隨機(jī)數(shù)）選擇的密碼規(guī)格和服務(wù)器對(duì)客戶端的認(rèn)證，密碼規(guī)格和客戶端隨機(jī)數(shù)的格式相同。

鑒于以上分析，根據(jù)移動(dòng)辦公和學(xué)校資源共享的需求，則在VPN的校園網(wǎng)建設(shè)中，提出如下Access VPN和Intranet VPN兩類綜合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的應(yīng)用

我們知道在校外訪問(wèn)校園網(wǎng)內(nèi)資源的遠(yuǎn)程用戶移動(dòng)辦公地址不是固定的，因此，遠(yuǎn)程用戶端需通過(guò)VPN接入校園網(wǎng)，而遠(yuǎn)程用戶端需安裝使用VPN功能的軟件，配置為隧道開(kāi)通器，通過(guò)ISP接入Internet并訪問(wèn)校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)和服務(wù)器。也就是要在校園網(wǎng)內(nèi)建立VPN網(wǎng)關(guān)和服務(wù)器，遠(yuǎn)程用戶使用軟件進(jìn)行VPN配置后訪問(wèn)校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)及服務(wù)器。對(duì)于目前來(lái)說(shuō)， 校園網(wǎng)絡(luò)用戶使用的操作系統(tǒng)平臺(tái)多為Windows系列，而Windows 2003 Server中的RAS（路由和遠(yuǎn)程訪問(wèn)服務(wù)）可以被用來(lái)建立使用PPTP或L2TP的VPN 連接，因此，可以選擇在校園網(wǎng)內(nèi)使用Windows 2003 Server建立VPN服務(wù)器及CA認(rèn)證中心，而終端用戶只要在Windows系列的平臺(tái)上配置VPN客戶端，便可通過(guò)遠(yuǎn)程的VPN服務(wù)器和身份認(rèn)證訪問(wèn)總部的校園專用網(wǎng)。

2.2.2 Intranet VPN的應(yīng)用

在職業(yè)學(xué)校的主校區(qū)和分校區(qū)之間建立Intranet VPN，可以通過(guò)Internet的公共網(wǎng)絡(luò)將其相連，以便學(xué)校的資源共享、信息交流和數(shù)據(jù)傳送。這樣既可以克服使用開(kāi)放路由器方法時(shí)對(duì)訪問(wèn)范圍的限制，也可以對(duì)數(shù)據(jù)的傳輸起到保護(hù)作用，還不用租用專線而節(jié)省了開(kāi)支。學(xué)校總部一般來(lái)講是數(shù)據(jù)信息存放、處理的中心，及相關(guān)業(yè)務(wù)服務(wù)器集群存放點(diǎn)，因此網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；因此在兩個(gè)校區(qū)之間建立Intranet VPN，應(yīng)該采用帶VPN網(wǎng)關(guān)功能的Cisco系列高性能路由器作為接入服務(wù)器。對(duì)于實(shí)時(shí)要求很高的學(xué)校用戶，可以在總部采用兩臺(tái)Cisco作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸。通過(guò)對(duì)兩地路由器進(jìn)行路由、賬戶、地址池及協(xié)議的適當(dāng)配置，在主校區(qū)路由器和分校區(qū)路由器之間建立虛擬專用鏈路，從而實(shí)現(xiàn)不同區(qū)域高校的信息資源共享。針對(duì)以上描述，以Intranet及Access VPN技術(shù)綜合方案為基礎(chǔ)設(shè)計(jì)職業(yè)院校的校園網(wǎng)絡(luò)拓?fù)鋱D，拓?fù)鋱D如圖1所示。

由圖1可知，分校區(qū)與總部利用各自的VPN網(wǎng)關(guān)經(jīng)由Internet與主校區(qū)的VPN 網(wǎng)關(guān)完成校區(qū)與校間互聯(lián)，可實(shí)現(xiàn)資源共享和信息交流，出差或在家的教職工使用筆記本電腦或PC機(jī)中內(nèi)置的VPN軟件通過(guò)本地ISP連入Internet，采用PPTP或SSL協(xié)議，接入總部，可包括支持CDMA/GPRS及802.11b等無(wú)線移動(dòng)接入，再與主校區(qū)或相應(yīng)校區(qū)的VPN設(shè)備相連來(lái)實(shí)現(xiàn)移動(dòng)或家庭辦公；其次，為了保證系統(tǒng)的安全性，在此方案中，在總部設(shè)置CA認(rèn)證中心，加強(qiáng)用戶身份驗(yàn)證，從而提高VPN虛擬局域網(wǎng)的整體安全，以及學(xué)校職工和學(xué)生的資源共享效率。

3 結(jié)語(yǔ)

VPN技術(shù)作為新興的網(wǎng)絡(luò)技術(shù)，提供了一種安全、高效、靈活和經(jīng)濟(jì)的組網(wǎng)方式，通過(guò)VPN的混合技術(shù)，可較好解決了不同區(qū)域教學(xué)資源共享及移動(dòng)辦公資源共享的具體問(wèn)題，而且隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善和發(fā)展，VPN技術(shù)將繼續(xù)在校園網(wǎng)，企業(yè)網(wǎng)等多個(gè)應(yīng)用領(lǐng)域發(fā)揮其越來(lái)越重要的作用。

參考文獻(xiàn)

[1] 黃新民，劉旺泉.VPN技術(shù)綜述[J].計(jì)算機(jī)安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龍，張國(guó)立.VPN技術(shù)及其發(fā)展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].福建電腦，2007（12）：160-161.

[5] 王達(dá).虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004：25-60.

[6] 周碧英.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：17-19.

[7] 彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，29（1）：91-94.

[8] 歐陽(yáng)崢崢.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系的構(gòu)建[J].2008（4）：115-116.endprint

2.2 VPN校園網(wǎng)組網(wǎng)方案

在設(shè)計(jì)VPN校園網(wǎng)過(guò)程中，基于職業(yè)院校分校比較多以及共享教職工資源的特征和校園局域網(wǎng)、遠(yuǎn)程用戶的要求，通過(guò)將Access VPN及Intranet VPN組合的方式達(dá)到目的。為了讓接入互聯(lián)網(wǎng)的終端用戶可以通過(guò)網(wǎng)絡(luò)進(jìn)入到企事業(yè)單位的局域網(wǎng)網(wǎng)絡(luò)資源，Access VPN通過(guò)使用點(diǎn)對(duì)網(wǎng)的方式實(shí)現(xiàn)。該終端通過(guò)與局域網(wǎng)內(nèi)部一樣的使用資源的方式來(lái)實(shí)現(xiàn)資源利用。也可以說(shuō)是PPP 撥號(hào)訪問(wèn)方式；Intranet VPN是將兩個(gè)局域網(wǎng)之間利用因特網(wǎng)聯(lián)接的網(wǎng)對(duì)網(wǎng)的方式；就像是一同一個(gè)局域網(wǎng)的不同子網(wǎng)，并且兩個(gè)局域網(wǎng)中的任意終端均能相互共享對(duì)方的內(nèi)部資源。所以，異地之間相互訪問(wèn)內(nèi)部網(wǎng)絡(luò)可以通過(guò)建議不同小區(qū)的局域網(wǎng)來(lái)實(shí)現(xiàn)。

而VPN混合方案的實(shí)現(xiàn)主要是采用基于IPSec的第三層VPN路由器組網(wǎng)方案，是可以在全動(dòng)態(tài)IP的廣域網(wǎng)上（Internet/城域網(wǎng)），同時(shí)支持ADSL，Cable Modem，DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的VPN網(wǎng)絡(luò)。然而，IPsec這種方式也存在一定的問(wèn)題，這主要取決于VPN的一個(gè)主要特點(diǎn)，那就是必須在每一臺(tái)機(jī)器上安裝并配置客戶端軟件，才能使用VPN。就IPSes本身來(lái)說(shuō)，它很難用于部署遠(yuǎn)程接入或外部網(wǎng)。針對(duì)這種情況，引入一種基于Secure Sockets Layer（SSL）協(xié)議的VPN，它可以安全的替代IPsec VPN。幾乎所有的商業(yè)瀏覽器產(chǎn)品都支持SSL協(xié)議，它的安全性也得到了證實(shí)。

SSL是由多個(gè)子協(xié)議組成，其中兩個(gè)最主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。

（1）握手協(xié)議允許服務(wù)器和客戶端“在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙”。在數(shù)據(jù)傳輸期間。

（2）記錄協(xié)議利用握手協(xié)議生成的密匙加密和解密后來(lái)交換的數(shù)據(jù)。

以上兩個(gè)協(xié)議的工作原理是這樣的：客戶端會(huì)發(fā)送信息給服務(wù)器端特定的TCP端口，請(qǐng)求一個(gè)新的握手協(xié)議。這個(gè)信息包含了密碼規(guī)格列表，還有客戶端瀏覽器支持的壓縮協(xié)議和客戶端產(chǎn)生隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)是由32位的UNIX timestamp value加上客戶端瀏覽器生成的28位的pseudo-random number組成。服務(wù)器也發(fā)送一個(gè)同樣的信息響應(yīng)客戶端，這個(gè)信息包括它根據(jù)隨機(jī)數(shù)值（服務(wù)器隨機(jī)數(shù)）選擇的密碼規(guī)格和服務(wù)器對(duì)客戶端的認(rèn)證，密碼規(guī)格和客戶端隨機(jī)數(shù)的格式相同。

鑒于以上分析，根據(jù)移動(dòng)辦公和學(xué)校資源共享的需求，則在VPN的校園網(wǎng)建設(shè)中，提出如下Access VPN和Intranet VPN兩類綜合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的應(yīng)用

我們知道在校外訪問(wèn)校園網(wǎng)內(nèi)資源的遠(yuǎn)程用戶移動(dòng)辦公地址不是固定的，因此，遠(yuǎn)程用戶端需通過(guò)VPN接入校園網(wǎng)，而遠(yuǎn)程用戶端需安裝使用VPN功能的軟件，配置為隧道開(kāi)通器，通過(guò)ISP接入Internet并訪問(wèn)校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)和服務(wù)器。也就是要在校園網(wǎng)內(nèi)建立VPN網(wǎng)關(guān)和服務(wù)器，遠(yuǎn)程用戶使用軟件進(jìn)行VPN配置后訪問(wèn)校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)及服務(wù)器。對(duì)于目前來(lái)說(shuō)， 校園網(wǎng)絡(luò)用戶使用的操作系統(tǒng)平臺(tái)多為Windows系列，而Windows 2003 Server中的RAS（路由和遠(yuǎn)程訪問(wèn)服務(wù)）可以被用來(lái)建立使用PPTP或L2TP的VPN 連接，因此，可以選擇在校園網(wǎng)內(nèi)使用Windows 2003 Server建立VPN服務(wù)器及CA認(rèn)證中心，而終端用戶只要在Windows系列的平臺(tái)上配置VPN客戶端，便可通過(guò)遠(yuǎn)程的VPN服務(wù)器和身份認(rèn)證訪問(wèn)總部的校園專用網(wǎng)。

2.2.2 Intranet VPN的應(yīng)用

在職業(yè)學(xué)校的主校區(qū)和分校區(qū)之間建立Intranet VPN，可以通過(guò)Internet的公共網(wǎng)絡(luò)將其相連，以便學(xué)校的資源共享、信息交流和數(shù)據(jù)傳送。這樣既可以克服使用開(kāi)放路由器方法時(shí)對(duì)訪問(wèn)范圍的限制，也可以對(duì)數(shù)據(jù)的傳輸起到保護(hù)作用，還不用租用專線而節(jié)省了開(kāi)支。學(xué)?？偛恳话銇?lái)講是數(shù)據(jù)信息存放、處理的中心，及相關(guān)業(yè)務(wù)服務(wù)器集群存放點(diǎn)，因此網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；因此在兩個(gè)校區(qū)之間建立Intranet VPN，應(yīng)該采用帶VPN網(wǎng)關(guān)功能的Cisco系列高性能路由器作為接入服務(wù)器。對(duì)于實(shí)時(shí)要求很高的學(xué)校用戶，可以在總部采用兩臺(tái)Cisco作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸。通過(guò)對(duì)兩地路由器進(jìn)行路由、賬戶、地址池及協(xié)議的適當(dāng)配置，在主校區(qū)路由器和分校區(qū)路由器之間建立虛擬專用鏈路，從而實(shí)現(xiàn)不同區(qū)域高校的信息資源共享。針對(duì)以上描述，以Intranet及Access VPN技術(shù)綜合方案為基礎(chǔ)設(shè)計(jì)職業(yè)院校的校園網(wǎng)絡(luò)拓?fù)鋱D，拓?fù)鋱D如圖1所示。

由圖1可知，分校區(qū)與總部利用各自的VPN網(wǎng)關(guān)經(jīng)由Internet與主校區(qū)的VPN 網(wǎng)關(guān)完成校區(qū)與校間互聯(lián)，可實(shí)現(xiàn)資源共享和信息交流，出差或在家的教職工使用筆記本電腦或PC機(jī)中內(nèi)置的VPN軟件通過(guò)本地ISP連入Internet，采用PPTP或SSL協(xié)議，接入總部，可包括支持CDMA/GPRS及802.11b等無(wú)線移動(dòng)接入，再與主校區(qū)或相應(yīng)校區(qū)的VPN設(shè)備相連來(lái)實(shí)現(xiàn)移動(dòng)或家庭辦公；其次，為了保證系統(tǒng)的安全性，在此方案中，在總部設(shè)置CA認(rèn)證中心，加強(qiáng)用戶身份驗(yàn)證，從而提高VPN虛擬局域網(wǎng)的整體安全，以及學(xué)校職工和學(xué)生的資源共享效率。

3 結(jié)語(yǔ)

VPN技術(shù)作為新興的網(wǎng)絡(luò)技術(shù)，提供了一種安全、高效、靈活和經(jīng)濟(jì)的組網(wǎng)方式，通過(guò)VPN的混合技術(shù)，可較好解決了不同區(qū)域教學(xué)資源共享及移動(dòng)辦公資源共享的具體問(wèn)題，而且隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善和發(fā)展，VPN技術(shù)將繼續(xù)在校園網(wǎng)，企業(yè)網(wǎng)等多個(gè)應(yīng)用領(lǐng)域發(fā)揮其越來(lái)越重要的作用。

參考文獻(xiàn)

[1] 黃新民，劉旺泉.VPN技術(shù)綜述[J].計(jì)算機(jī)安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龍，張國(guó)立.VPN技術(shù)及其發(fā)展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].福建電腦，2007（12）：160-161.

[5] 王達(dá).虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004：25-60.

[6] 周碧英.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：17-19.

[7] 彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，29（1）：91-94.

[8] 歐陽(yáng)崢崢.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系的構(gòu)建[J].2008（4）：115-116.endprint

2.2 VPN校園網(wǎng)組網(wǎng)方案

在設(shè)計(jì)VPN校園網(wǎng)過(guò)程中，基于職業(yè)院校分校比較多以及共享教職工資源的特征和校園局域網(wǎng)、遠(yuǎn)程用戶的要求，通過(guò)將Access VPN及Intranet VPN組合的方式達(dá)到目的。為了讓接入互聯(lián)網(wǎng)的終端用戶可以通過(guò)網(wǎng)絡(luò)進(jìn)入到企事業(yè)單位的局域網(wǎng)網(wǎng)絡(luò)資源，Access VPN通過(guò)使用點(diǎn)對(duì)網(wǎng)的方式實(shí)現(xiàn)。該終端通過(guò)與局域網(wǎng)內(nèi)部一樣的使用資源的方式來(lái)實(shí)現(xiàn)資源利用。也可以說(shuō)是PPP 撥號(hào)訪問(wèn)方式；Intranet VPN是將兩個(gè)局域網(wǎng)之間利用因特網(wǎng)聯(lián)接的網(wǎng)對(duì)網(wǎng)的方式；就像是一同一個(gè)局域網(wǎng)的不同子網(wǎng)，并且兩個(gè)局域網(wǎng)中的任意終端均能相互共享對(duì)方的內(nèi)部資源。所以，異地之間相互訪問(wèn)內(nèi)部網(wǎng)絡(luò)可以通過(guò)建議不同小區(qū)的局域網(wǎng)來(lái)實(shí)現(xiàn)。

而VPN混合方案的實(shí)現(xiàn)主要是采用基于IPSec的第三層VPN路由器組網(wǎng)方案，是可以在全動(dòng)態(tài)IP的廣域網(wǎng)上（Internet/城域網(wǎng)），同時(shí)支持ADSL，Cable Modem，DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的VPN網(wǎng)絡(luò)。然而，IPsec這種方式也存在一定的問(wèn)題，這主要取決于VPN的一個(gè)主要特點(diǎn)，那就是必須在每一臺(tái)機(jī)器上安裝并配置客戶端軟件，才能使用VPN。就IPSes本身來(lái)說(shuō)，它很難用于部署遠(yuǎn)程接入或外部網(wǎng)。針對(duì)這種情況，引入一種基于Secure Sockets Layer（SSL）協(xié)議的VPN，它可以安全的替代IPsec VPN。幾乎所有的商業(yè)瀏覽器產(chǎn)品都支持SSL協(xié)議，它的安全性也得到了證實(shí)。

SSL是由多個(gè)子協(xié)議組成，其中兩個(gè)最主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。

（1）握手協(xié)議允許服務(wù)器和客戶端“在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙”。在數(shù)據(jù)傳輸期間。

（2）記錄協(xié)議利用握手協(xié)議生成的密匙加密和解密后來(lái)交換的數(shù)據(jù)。

以上兩個(gè)協(xié)議的工作原理是這樣的：客戶端會(huì)發(fā)送信息給服務(wù)器端特定的TCP端口，請(qǐng)求一個(gè)新的握手協(xié)議。這個(gè)信息包含了密碼規(guī)格列表，還有客戶端瀏覽器支持的壓縮協(xié)議和客戶端產(chǎn)生隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)是由32位的UNIX timestamp value加上客戶端瀏覽器生成的28位的pseudo-random number組成。服務(wù)器也發(fā)送一個(gè)同樣的信息響應(yīng)客戶端，這個(gè)信息包括它根據(jù)隨機(jī)數(shù)值（服務(wù)器隨機(jī)數(shù)）選擇的密碼規(guī)格和服務(wù)器對(duì)客戶端的認(rèn)證，密碼規(guī)格和客戶端隨機(jī)數(shù)的格式相同。

鑒于以上分析，根據(jù)移動(dòng)辦公和學(xué)校資源共享的需求，則在VPN的校園網(wǎng)建設(shè)中，提出如下Access VPN和Intranet VPN兩類綜合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的應(yīng)用

我們知道在校外訪問(wèn)校園網(wǎng)內(nèi)資源的遠(yuǎn)程用戶移動(dòng)辦公地址不是固定的，因此，遠(yuǎn)程用戶端需通過(guò)VPN接入校園網(wǎng)，而遠(yuǎn)程用戶端需安裝使用VPN功能的軟件，配置為隧道開(kāi)通器，通過(guò)ISP接入Internet并訪問(wèn)校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)和服務(wù)器。也就是要在校園網(wǎng)內(nèi)建立VPN網(wǎng)關(guān)和服務(wù)器，遠(yuǎn)程用戶使用軟件進(jìn)行VPN配置后訪問(wèn)校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)及服務(wù)器。對(duì)于目前來(lái)說(shuō)， 校園網(wǎng)絡(luò)用戶使用的操作系統(tǒng)平臺(tái)多為Windows系列，而Windows 2003 Server中的RAS（路由和遠(yuǎn)程訪問(wèn)服務(wù)）可以被用來(lái)建立使用PPTP或L2TP的VPN 連接，因此，可以選擇在校園網(wǎng)內(nèi)使用Windows 2003 Server建立VPN服務(wù)器及CA認(rèn)證中心，而終端用戶只要在Windows系列的平臺(tái)上配置VPN客戶端，便可通過(guò)遠(yuǎn)程的VPN服務(wù)器和身份認(rèn)證訪問(wèn)總部的校園專用網(wǎng)。

2.2.2 Intranet VPN的應(yīng)用

在職業(yè)學(xué)校的主校區(qū)和分校區(qū)之間建立Intranet VPN，可以通過(guò)Internet的公共網(wǎng)絡(luò)將其相連，以便學(xué)校的資源共享、信息交流和數(shù)據(jù)傳送。這樣既可以克服使用開(kāi)放路由器方法時(shí)對(duì)訪問(wèn)范圍的限制，也可以對(duì)數(shù)據(jù)的傳輸起到保護(hù)作用，還不用租用專線而節(jié)省了開(kāi)支。學(xué)校總部一般來(lái)講是數(shù)據(jù)信息存放、處理的中心，及相關(guān)業(yè)務(wù)服務(wù)器集群存放點(diǎn)，因此網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；因此在兩個(gè)校區(qū)之間建立Intranet VPN，應(yīng)該采用帶VPN網(wǎng)關(guān)功能的Cisco系列高性能路由器作為接入服務(wù)器。對(duì)于實(shí)時(shí)要求很高的學(xué)校用戶，可以在總部采用兩臺(tái)Cisco作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸。通過(guò)對(duì)兩地路由器進(jìn)行路由、賬戶、地址池及協(xié)議的適當(dāng)配置，在主校區(qū)路由器和分校區(qū)路由器之間建立虛擬專用鏈路，從而實(shí)現(xiàn)不同區(qū)域高校的信息資源共享。針對(duì)以上描述，以Intranet及Access VPN技術(shù)綜合方案為基礎(chǔ)設(shè)計(jì)職業(yè)院校的校園網(wǎng)絡(luò)拓?fù)鋱D，拓?fù)鋱D如圖1所示。

由圖1可知，分校區(qū)與總部利用各自的VPN網(wǎng)關(guān)經(jīng)由Internet與主校區(qū)的VPN 網(wǎng)關(guān)完成校區(qū)與校間互聯(lián)，可實(shí)現(xiàn)資源共享和信息交流，出差或在家的教職工使用筆記本電腦或PC機(jī)中內(nèi)置的VPN軟件通過(guò)本地ISP連入Internet，采用PPTP或SSL協(xié)議，接入總部，可包括支持CDMA/GPRS及802.11b等無(wú)線移動(dòng)接入，再與主校區(qū)或相應(yīng)校區(qū)的VPN設(shè)備相連來(lái)實(shí)現(xiàn)移動(dòng)或家庭辦公；其次，為了保證系統(tǒng)的安全性，在此方案中，在總部設(shè)置CA認(rèn)證中心，加強(qiáng)用戶身份驗(yàn)證，從而提高VPN虛擬局域網(wǎng)的整體安全，以及學(xué)校職工和學(xué)生的資源共享效率。

3 結(jié)語(yǔ)

VPN技術(shù)作為新興的網(wǎng)絡(luò)技術(shù)，提供了一種安全、高效、靈活和經(jīng)濟(jì)的組網(wǎng)方式，通過(guò)VPN的混合技術(shù)，可較好解決了不同區(qū)域教學(xué)資源共享及移動(dòng)辦公資源共享的具體問(wèn)題，而且隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善和發(fā)展，VPN技術(shù)將繼續(xù)在校園網(wǎng)，企業(yè)網(wǎng)等多個(gè)應(yīng)用領(lǐng)域發(fā)揮其越來(lái)越重要的作用。

參考文獻(xiàn)

[1] 黃新民，劉旺泉.VPN技術(shù)綜述[J].計(jì)算機(jī)安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龍，張國(guó)立.VPN技術(shù)及其發(fā)展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].福建電腦，2007（12）：160-161.

[5] 王達(dá).虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004：25-60.

[6] 周碧英.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：17-19.

[7] 彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，29（1）：91-94.

[8] 歐陽(yáng)崢崢.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系的構(gòu)建[J].2008（4）：115-116.endprint