左文濤 趙小平 彭宇玲

（廣州科技職業(yè)技術(shù)學院，廣東 廣州 510550）

1 引言

隨著信息技術(shù)的高速發(fā)展，教育培訓機構(gòu)間的數(shù)字資源逐步增加，核心資源也成為培訓機構(gòu)間的主要競爭力。在日漸開放的移動互聯(lián)網(wǎng)環(huán)境中，信息在傳輸過程中要保證其安全性和私密性顯得更加重要。員工的遠程訪問、資源的共享逐漸成為威脅教育培訓機構(gòu)提升競爭力的關(guān)鍵問題。因此在具有安全性、保密性、可管理性的同時，不增加網(wǎng)絡(luò)使用成本，提升教育培訓機構(gòu)的競爭力成為培訓機構(gòu)網(wǎng)絡(luò)建設(shè)發(fā)展的重大問題。VPN（Virtual Private Network）技術(shù)以其優(yōu)勢能很好地解決教育培訓機構(gòu)間資源共享、遠程訪問的問題，實現(xiàn)多個培訓機構(gòu)間安全通信，VPN技術(shù)是一種切實可行的解決方案。

2 VPN概述

VPN(Virtual Private Network，虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(Internet)聯(lián)接而成邏輯上的虛擬子網(wǎng)。為了保障信息在Internet上傳輸?shù)陌踩?，VPN技術(shù)采用了認證、存取控制、機密性、數(shù)據(jù)完整性等措施，以保證了信息在傳輸中不被竊聽、篡改、復制。

2.1 VPN原理

VPN通過Internet公用網(wǎng)絡(luò)建立隧道，將兩個不同的私有網(wǎng)絡(luò)實現(xiàn)相互通信，在兩個私有網(wǎng)絡(luò)連接公用網(wǎng)絡(luò)的接入處實現(xiàn)端到端的認證。建立VPN通道需要一個專門的過程和依賴一系列不同的協(xié)議，一個完整的VPN系統(tǒng)包括VPN服務(wù)器、VPN客戶端、VPN數(shù)據(jù)通道。

2.2 VPN優(yōu)點

VPN采用隧道建立的端到端的連接，其優(yōu)點有：安全保障，采用數(shù)據(jù)加密、身份驗證技術(shù)保障網(wǎng)絡(luò)通過公網(wǎng)的安全性；容易擴展和管理，支持多種接入方式，可以隨時添加新用戶，能方便集中進行管理和維護；成本低、高可靠，不需要專線接入網(wǎng)絡(luò)，但是可以達到專線接入效果，同時能為不同用戶提供不同級別的服務(wù)質(zhì)量保證，能合理高效地利用網(wǎng)絡(luò)帶寬。

3 VPN安全技術(shù)和實現(xiàn)方式

3.1 VPN安全技術(shù)

在利用VPN技術(shù)構(gòu)建安全的通信時，常使用的安全技術(shù)包括：密鑰管理技術(shù)，主要實現(xiàn)公網(wǎng)數(shù)據(jù)網(wǎng)上安全地傳輸密鑰；加解密技術(shù)，VPN加解密融合了對稱加密技術(shù)和非對稱加密技術(shù)，常用的加密算法有DES、AES、RAS；身份認證技術(shù)，VPN客戶端請求通信時，VPN隧道另一端設(shè)備身份驗證，通常有預共享密鑰（PSK）認證、非對稱RSA密鑰認證和證書認證三種方式。

3.2 VPN實現(xiàn)方式

（1）PPTPVPN

PPTP（Point to Point Tunneling Protocol），點對點隧道協(xié)議。支持多協(xié)議虛擬專用網(wǎng)（VPN），可以通過密碼驗證協(xié)議（PAP）、可擴展認證協(xié)議（EAP）等方法增強安全性。VPN建立隧道時，選用PPTP協(xié)議，可以使遠程用戶通過撥入ISP、通過直接連接Internet或其它網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。

（2）SSLVPN

SSL VPN即指采用SSL（Security Socket Layer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL（安全套接層協(xié)議）是網(wǎng)景公司提出的基于Web應(yīng)用的在兩臺機器之間提供安全通道的協(xié)議。它具有保護傳輸數(shù)據(jù)積極識別通信機器的功能。SSL主要采用公開密鑰體制和X509數(shù)字證書技術(shù)在Internet上提供服務(wù)器認證、客戶認證、SSL鏈路上的數(shù)據(jù)保密性的安全性保證。它被廣泛用于Web瀏覽器與服務(wù)器之間的身份認證和加密傳輸。

SSL VPN必須滿足兩個最基本的要求：使用SSL協(xié)議進行認證和加密；直接使用瀏覽器完成操作，無需安裝獨立的客戶端。

（3）IPSEC VPN

IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)。IPSec是一個標準的第三層安全協(xié)議，在隧道外面再封裝，保證了傳輸過程中的安全性。IPSec的主要特征是可以對所有IP級的通信進行加密和認證，使IPSec可以確保包括遠程登錄、電子郵件、文件傳輸及WEB訪問在內(nèi)多種應(yīng)用程序的安全。

（4）MPLS VPN

MPLS VPN是一種基于MPLS技術(shù)的IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（Multiprotocol Label Switching，多協(xié)議標記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN），可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。

4 VPN技術(shù)在教育培訓機構(gòu)中的應(yīng)用

在品牌驅(qū)動下的新型教育市場，教育培訓機構(gòu)為能突顯競爭能力，分散在不同區(qū)域的培訓機構(gòu)區(qū)需要滿足穩(wěn)定、安全、可靠地連接總部培訓機構(gòu)資源庫的網(wǎng)絡(luò)需求，以及各培訓機構(gòu)能獨立高效地進行網(wǎng)絡(luò)訪問，同時能實現(xiàn)員工遠程訪問內(nèi)部資源。

圖1 教育培訓機構(gòu)VPN組網(wǎng)方案拓撲圖

4.1 教育培訓機構(gòu)VPN方案設(shè)備選擇

根據(jù)培訓機構(gòu)網(wǎng)絡(luò)使用需求和總體網(wǎng)絡(luò)規(guī)劃，在培訓機構(gòu)總部的出口選擇艾泰科技公司的UTT3640安全網(wǎng)關(guān)，它主要是為有VPN需求的中型企業(yè)、學校、分支機構(gòu)而設(shè)計的防火墻路由器，采用Intel IXP CPU核心,具備強大的硬件處理能力。UTT 3640具備上網(wǎng)行為管理功能，加強網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)維護管理；支持IPsec、L2TP以及PPTP等多種形式的VPN功能，可以通過Site-to-Site或遠程撥號的多種方式建立互聯(lián)互通的VPN網(wǎng)絡(luò)。

在各個區(qū)域的教育培訓機構(gòu)的網(wǎng)絡(luò)出口選擇艾泰U2000 VPN/防火墻，U2000支持靜態(tài)、動態(tài)IP地址和PPOE撥號等主流網(wǎng)絡(luò)接入；WEB界面管理，配置簡單，支持配置備份，遠程管理；支持IPSec、L2TP以及PPTP等多種形式的VPN功能。

4.2 VPN服務(wù)配置

在總部網(wǎng)絡(luò)出口UTT3640上的“VPN配置—IPSec”頁面配置VPN，以本地綁定接口為WAN 1口為例。

圖2 IPSec VPN配置

連接方式可選擇網(wǎng)關(guān)到網(wǎng)關(guān)、動態(tài)連接到網(wǎng)關(guān)和對方動態(tài)連接到本地（對端如果ADSL撥號上網(wǎng)，選擇此）。在各教育培訓機構(gòu)出口U2000上也做同樣的IPSEC配置，只是把地址換成總部培訓機構(gòu)的IP地址。

為遠程移動辦公用戶配置PPTPVPN登陸路由器的管理界面，選擇“VPN配置”—“PPTP和L2TP”—“撥入（服務(wù)器）”—“用戶類型”選擇“移動用戶”，創(chuàng)建一個用戶名和密碼即可，對于“描述”是自定義的，如圖3所示。

圖3PPTP和L2TPVPN配置

4.3 客戶端設(shè)置

在客戶機系統(tǒng)新建一個VPN用戶撥號連接(也可以使用專門的撥號軟件)，輸入分配的用戶名和密碼。撥號成功后，教育培訓機構(gòu)可以訪問總部培訓機構(gòu)資料，但是客戶端將有兩個網(wǎng)關(guān)，一個是VPN的網(wǎng)關(guān)，另一個是自己本身上網(wǎng)的網(wǎng)關(guān)，教育培訓機構(gòu)要實現(xiàn)單獨上網(wǎng)和訪問總部培訓機構(gòu)兩種功能需求，必須在VPN撥號成功的圖標上，點擊右鍵——屬性選擇Internet協(xié)議（TCP/IP）——點擊屬性按鈕——高級按鈕，然后在“高級”的“常規(guī)”標簽里面取消勾選“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”。

提示：VPN建立連接后出現(xiàn)無法訪問，請關(guān)閉PC或路由器上的防火墻功能，再次嘗試。

5 結(jié)束語

VPN技術(shù)具有安全性好、實用性強、運營成本低、易于管理、可靠性高等優(yōu)點，越來越地應(yīng)用在具有多個分部的企業(yè)和事業(yè)單位。在教育培訓機構(gòu)統(tǒng)一品牌和資源建設(shè)的情況下，VPN的技術(shù)和產(chǎn)品將受到更多用戶的青睞和重視。

[1]王松江.VPN技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2013，124-125.

[2]高媛.VPN技術(shù)在高校圖書館網(wǎng)絡(luò)資源共享中的實踐與思考[J].圖書館工作與研究，2012，(07)：43-44.

[3]王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究[J].計算機技術(shù)與發(fā)展，2012，(09)：250-250.

[4]艾泰科技技術(shù)服務(wù)文檔[EB/OL].http：//www.utt.com.cn.