劉晉州

摘要：VPN（虛擬專用網(wǎng)絡(luò)）通過公用網(wǎng)絡(luò)Internet建立安全、穩(wěn)定的連接。很多企事業(yè)單位借此進(jìn)行內(nèi)部網(wǎng)的擴(kuò)展，提供網(wǎng)絡(luò)接入。該文首先對VPN原理進(jìn)行了解析，對幾種基于VPN的實際運用進(jìn)行了比較，在此基礎(chǔ)上，以某校園網(wǎng)為例，從適用性、管理性與安全性三個方面，對VPN的計算機(jī)虛擬網(wǎng)絡(luò)技術(shù)實際應(yīng)用進(jìn)行了介紹。

關(guān)鍵詞：VPN；技術(shù)原理；應(yīng)用

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）07-0049-02

1 VPN技術(shù)原理

1.1 VPN定義

VPN是英文全稱Virtual Private Network 的縮寫，譯為漢語即“虛擬專用網(wǎng)絡(luò)”。它不需要真正的光纜線路，只是借用Internet連接，加上特殊的加密的通訊協(xié)議而為內(nèi)部設(shè)置的一條專有通訊線路。在這條線路上傳輸?shù)男畔ⅲ瑢崿F(xiàn)了完整性與真實性，又保證了私有性。

1.2 VPN工作原理

如何滿足用戶需求呢？通過IPsec協(xié)議棧，從而產(chǎn)生一個和諧的安全框架，有Internet的密鑰交換（IKE）、負(fù)載安全封裝（ESP）及認(rèn)證頭（AH）協(xié)議，該協(xié)議保證了VPN的機(jī)密性、完整性、源認(rèn)證及防重放的四大功能。以VPN的機(jī)密性為例：VPN采用的加密算法一般是DES和3DES.兩者都是20世紀(jì)的產(chǎn)物，前者由IBM開發(fā)研制的，有效密鑰長度為56位；后者由NIST在DES的基礎(chǔ)上所創(chuàng)建，有效密鑰長度為168位；2002年NITS采用了最先進(jìn)的AES數(shù)據(jù)塊加密算法，目前是IPsecVPN中最常用、最安全的算法。

2 VPN技術(shù)應(yīng)用實踐

信息化的快速發(fā)展，為了實現(xiàn)資源優(yōu)化整合，很多學(xué)校都建立了校園網(wǎng)。為了保證網(wǎng)絡(luò)安全，防止電腦黑客入侵，運用VPN技術(shù)可以在基于公共互聯(lián)網(wǎng)的校園網(wǎng)中較好地解決校園網(wǎng)多網(wǎng)區(qū)，遠(yuǎn)程訪問及管理等問題。即通過VPN技術(shù)，在校園網(wǎng)里，將校內(nèi)外人員直接連接到校園局域網(wǎng)。VPN技術(shù)可以實現(xiàn)辦公自動化，無論校園有多少信息點，都可以連至于INTERNET用戶。使用VPN技術(shù)，校園網(wǎng)可以降低使用費，通過當(dāng)?shù)氐腎SP申請賬戶登錄到Internet，以此為通道與校園內(nèi)部網(wǎng)絡(luò)相連，可以降低通信費用。現(xiàn)以某高校為例，論證一下VPN技術(shù)的應(yīng)用。

2.1 校園網(wǎng)VPN方案設(shè)計

校園網(wǎng)給師生帶來資源共享的便利，但安全風(fēng)險隱患很大，如非法授權(quán)訪問，信息泄漏或丟失，以非法手段刪除、修改或插入某些信息，干擾網(wǎng)絡(luò)服務(wù)系統(tǒng)，利用網(wǎng)絡(luò)傳播計算機(jī)病毒等等。VPN的通道協(xié)議、身份驗證和數(shù)據(jù)加密的安全功能可以消除上述安全風(fēng)險。校園網(wǎng)內(nèi)的VPN服務(wù)器接收到遠(yuǎn)程外網(wǎng)客戶機(jī)的請求后，會對其進(jìn)行身份質(zhì)詢，然后根據(jù)用戶數(shù)據(jù)庫檢驗客戶機(jī)發(fā)出的加密信息，檢驗合格方接受此連接，然后即可在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級別。具體運行方案如圖1所示。

在具體操作方面，IPsec VPN和SSL VPN是目前校園網(wǎng)VPN方案采用最廣泛的安全技術(shù)，但是兩者還是有區(qū)別的，即前者比較適合校園網(wǎng)內(nèi)分校與分校的連接；后者比較適合校園網(wǎng)與外網(wǎng)的連接。學(xué)校要根據(jù)自己的實際情況與現(xiàn)實需要來進(jìn)行選擇。

2.2 VPN在校園網(wǎng)的應(yīng)用

采用VPN技術(shù)，校園網(wǎng)首先可以降低使用費，用戶通過申請的賬戶可以遠(yuǎn)程登錄到Internet，然后與校園內(nèi)部專用網(wǎng)絡(luò)連接就以Internet為通道，這樣就大大降低了通信費用，相應(yīng)的，學(xué)校購買和維護(hù)通信設(shè)備的費用也節(jié)省了。如果學(xué)校設(shè)有分校的話，利用VPN服務(wù)器，可以對分校進(jìn)行Web通訊控制，實現(xiàn)各分校訪問互通。以圖書管理為例，為了師生共享圖書資源，采用VPN加密技術(shù)，數(shù)據(jù)在Internet中傳輸時，IP地址會被Internet上的用戶看到，但是數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址卻看不到。這樣既保證了校園圖書館的資源共享，又確保了校園圖書資源的安全性（見圖2）。

2.3 VPN在校園網(wǎng)的接入方式

校園網(wǎng)根據(jù)自身條件不同，網(wǎng)絡(luò)接入方式也各有千秋。從模擬電話、ISDN、ADSL撥號上網(wǎng)到光纖、DDN、幀中繼等專線上網(wǎng)都存在。本應(yīng)用實踐是基于IP、IPX及NetBUI協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)。

某高校共有兩個校區(qū)，彼此通過新校區(qū)的Cisco6513和老校區(qū)的Cisco6509

萬兆相連。選擇CISCO VPN安裝在 Cisco6513上，則VPN配置如下：

啟動aaa，將radius服務(wù)器的用戶認(rèn)證和cisco組本地用戶授權(quán)配置打開：

aaa new - model

aaa authentication Iogin default group radius local

aaa authorization network cisco local

使用3des加密與共享密鑰，遠(yuǎn)端VPN用戶定義crypto和用group2產(chǎn)生密鑰配置

crypto isakmp policy1

encr 3des

authentication pre-share

group 2

接下來創(chuàng)建組驗證的用戶名及密碼，然后分派DNS地址，指定分配范圍配置：

crypto isakmp invalid-spi-recovery

crypto isakmp keepalive 10

crypto isakmp nat keepalive 15

crypto isakmp quqth timeout 45

crypto isakmp client configurtion gurup cisco

key cisco

dns 202.194.126.10 202. 194.126.03

Pool remote-pool

Acl 101

最好創(chuàng)建一個合成的map，然后配置如下：

Crypto map client-map client auauthentication Iist default

Crypto map client-map isakmp auauthentication Iist cisco

rypto map client-map client configuration address respond

rypto map client-map ipsec-isakmp dynamic dynmap

3 小結(jié)

本文對技術(shù)方面談及頗少，因為很多同行大多都熟悉操作。僅此例說明，作為校園網(wǎng)安全及實用原則，本設(shè)計方案既顧及到了網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理，又顧及到了校內(nèi)外用戶訪問網(wǎng)絡(luò)資源問題。實踐驗證，運用VPN技術(shù)，在遠(yuǎn)程訪問、內(nèi)外部連接方面會起到一定的安全保障作用。

參考文獻(xiàn)：

[1] 安計勇，夏士雄.基于IPSEC協(xié)議的MPLS VPN的實現(xiàn)[J].計算機(jī)與信息技術(shù)，2010（Z1）.

[2] 鄭智飛.VPN技術(shù)在多校區(qū)網(wǎng)絡(luò)互聯(lián)中的應(yīng)用及安全性研究[J].青島職業(yè)技術(shù)學(xué)院學(xué)報，2010（1）.

[3] 劉麗娟.MPLS VPN技術(shù)及其在校園網(wǎng)建設(shè)中的研究[J].電腦知識與技術(shù)，2010（4）.