李智宏（江門市技師學(xué)院，廣東江門，529090）

?

VPN技術(shù)在局域網(wǎng)中的應(yīng)用

李智宏
（江門市技師學(xué)院，廣東江門，529090）

摘要：在信息技術(shù)迅速發(fā)展的今天，用戶對(duì)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全及其網(wǎng)絡(luò)應(yīng)用的要求也正越來(lái)越高，一種組網(wǎng)更加靈活、成本更低的虛擬專網(wǎng)（VPN）也由此應(yīng)運(yùn)而生。VPN技術(shù)是一種建立在互聯(lián)網(wǎng)公共網(wǎng)絡(luò)架構(gòu)之上，以取代原有連接方式的標(biāo)準(zhǔn)廣域網(wǎng)，并通過(guò)一定的技術(shù)手段以達(dá)到類似私有專網(wǎng)的數(shù)據(jù)安全傳輸。

關(guān)鍵詞：VPN技術(shù)；局域網(wǎng)；校內(nèi)組網(wǎng)；應(yīng)用

0　引言

計(jì)算機(jī)局域網(wǎng)絡(luò)的應(yīng)用正越來(lái)越廣泛，目前在我國(guó)各高校中都紛紛通過(guò)組建局域網(wǎng)，以實(shí)現(xiàn)信息資源的交流共享與數(shù)據(jù)的快速傳輸。尤其在一些高安全要求或者大型的局域網(wǎng)中，VPN組網(wǎng)方案無(wú)疑是一個(gè)更好的選擇，利用其安全通道、可擴(kuò)展性、組網(wǎng)靈活性以及低成本的特點(diǎn)，可以實(shí)現(xiàn)大范圍、多節(jié)點(diǎn)的校園內(nèi)部組網(wǎng)方案。

1　VPN技術(shù)的概念及特點(diǎn)

1.1VPN的概念

VPN（Virtual Private Network）即虛擬專用網(wǎng)，是指在Internet網(wǎng)絡(luò)的基礎(chǔ)上，利用ISP所提供的Internet接入線路，在公網(wǎng)上組建自己私有網(wǎng)絡(luò)的一種技術(shù)與方法。它能通過(guò)私有隧道技術(shù)，在公網(wǎng)中仿真一條點(diǎn)對(duì)點(diǎn)的專線，從而構(gòu)建了一條安全、穩(wěn)定的網(wǎng)絡(luò)通信隧道，保證了信息的安全傳輸。

其中，“Virtual”（虛擬）是指沒(méi)有物理的連接存在于兩個(gè)網(wǎng)絡(luò)之間，它主要是通過(guò)Internet網(wǎng)的路由來(lái)完成私有網(wǎng)絡(luò)的組建；“Private”（專用）是指?jìng)鬏敂?shù)據(jù)的保密性，它通過(guò)加密技術(shù)和隧道技術(shù)來(lái)加以實(shí)現(xiàn)；“Network”（網(wǎng)絡(luò)）是指利用各種網(wǎng)絡(luò)（私有、公用、有線、無(wú)線等）構(gòu)成的通信手段。

1.2VPN的特點(diǎn)

對(duì)于校內(nèi)通信以及校際間通信而言，VPN技術(shù)能提供一條安全、可靠的Internet訪問(wèn)通道，為校園信息化的進(jìn)一步發(fā)展提供了可靠的技術(shù)保障，而且各高校不需要建立自己的網(wǎng)絡(luò)維護(hù)系統(tǒng)，而可以將這一繁重的工作交由專業(yè)的ISP來(lái)完成。相比普遍的專用網(wǎng)絡(luò)，VPN的特點(diǎn)集中在以下方面：

1.2.1安全性

高度的安全性，對(duì)當(dāng)前局域網(wǎng)絡(luò)的運(yùn)行非常重要。近年來(lái)，各種新興的網(wǎng)絡(luò)服務(wù)如在線交易、在線銀行等都需要絕對(duì)的安全，而VPN即使則能通過(guò)多種方式以增強(qiáng)局域網(wǎng)絡(luò)的安全性與智能性。一方面，VPN技術(shù)能在隧道的起點(diǎn)，對(duì)現(xiàn)有高校的認(rèn)證服務(wù)器提供分布用戶的認(rèn)證；另一方面，VPN技術(shù)還可支持各種類型的加密協(xié)議，如IPsec加密、Microsoft點(diǎn)對(duì)點(diǎn)加密等。

1.2.2低成本

一方面，利用VPN技術(shù)組網(wǎng)，可以部分代替或全部代替原集中式內(nèi)部撥號(hào)遠(yuǎn)程訪問(wèn)的基礎(chǔ)結(jié)構(gòu)與服務(wù)，從而起到有效降低用戶通信成本、線路組建成本以及主要設(shè)備購(gòu)置成本的作用；另一方面，利用VPN技術(shù)組網(wǎng)，還可以使各高校不必投入大量的人力與物力去安裝與維護(hù)WAN設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備，這些工作都可以交給專業(yè)的ISP來(lái)完成。

1.2.3易于擴(kuò)展

如果學(xué)校想擴(kuò)大原虛擬專用網(wǎng)VPN的容量與覆蓋范圍，只需要與新的ISP簽約并建立賬戶，或者與原有ISP重簽合約，擴(kuò)大服務(wù)范圍即可，因此它非常易于擴(kuò)展。同時(shí)，VPN用戶的增加與刪除，只是邏輯上的操作，而無(wú)需另外購(gòu)置專業(yè)的物理設(shè)備或連接，這也方便了VPN網(wǎng)絡(luò)的擴(kuò)展。

1.2.4支持各種新興應(yīng)用

許多專用網(wǎng)絡(luò)對(duì)目前各種類型的新興應(yīng)用準(zhǔn)備不足，例如部分要求高帶寬的多媒體應(yīng)用或協(xié)作交互式應(yīng)用，就無(wú)法提供支持服務(wù)。而VPN技術(shù)則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音、IP傳真、遠(yuǎn)程視頻、遠(yuǎn)程會(huì)議等，同時(shí)它還能支持各種協(xié)議標(biāo)準(zhǔn)，如IPv6、MPLS、SNMPv3、RSIP等，這都確保了其組網(wǎng)非常靈活，并能支持各種新興應(yīng)用。

2　VPN技術(shù)在局域網(wǎng)中應(yīng)用的關(guān)鍵技術(shù)

VPN在局域網(wǎng)中應(yīng)用的關(guān)鍵技術(shù)，主要包括了安全隧道技術(shù)、用戶認(rèn)證技術(shù)、加密技術(shù)等。

2.1安全隧道技術(shù)

VPN與普遍專用網(wǎng)最大的區(qū)別，就是隧道的建立。通過(guò)安全隧道技術(shù)，能將需要傳輸?shù)臄?shù)據(jù)進(jìn)行封裝，并在局域網(wǎng)中建立一條數(shù)據(jù)傳輸通道，使數(shù)據(jù)包經(jīng)過(guò)這一隧道進(jìn)行傳輸，見(jiàn)下圖1所示。經(jīng)過(guò)這樣處理后的信息，只有源端與目標(biāo)端的用戶方能對(duì)隧道中的信息進(jìn)行處理與解釋，而對(duì)于其它用戶則是無(wú)意義的信息，從而有效確保了信息傳輸?shù)陌踩?/p>

圖1　VPN安全隧道技術(shù)原理圖

目前，生成VPN安全隧道的協(xié)議主要包括了兩種，即第二層隧道和第三層隧道協(xié)議。其中，用于數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議，被統(tǒng)稱為第二層隧道協(xié)議，常見(jiàn)有L2TP協(xié)議、PPTP協(xié)議等；用于網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議則被稱為第三層隧道協(xié)議，常見(jiàn)的有IPSsc協(xié)議、SOCKSv5協(xié)議等。

2.2用戶認(rèn)證技術(shù)

利用VPN技術(shù)組建的局域網(wǎng)絡(luò)，通常是為了使各高校教師及員工能更加方便、安全的訪問(wèn)校園網(wǎng)絡(luò)資源，然而由于部分網(wǎng)絡(luò)資源較為敏感和重要，這就需要通過(guò)用戶認(rèn)證技術(shù)以實(shí)現(xiàn)對(duì)訪問(wèn)者身份的鑒別。

目前，VPN提供了PPP（點(diǎn)到點(diǎn)）協(xié)議、PAP（密碼認(rèn)證）協(xié)議、CHAP（握手認(rèn)證）協(xié)議等多種用戶認(rèn)證技術(shù)，可有效確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實(shí)施資源的訪問(wèn)控制，或者進(jìn)行用戶的授權(quán)訪問(wèn)。

2.3加密技術(shù)

加密技術(shù)也是確保VPN應(yīng)用安全性的核心技術(shù)之一，它主要通過(guò)IPSec中的ESP（封裝安全負(fù)載）來(lái)加以實(shí)現(xiàn)。同時(shí)，VPN還可根據(jù)使用網(wǎng)絡(luò)的安全協(xié)議以及用戶的配置情況，提供多種加密算法，例如提供了MD5、SHA等消息驗(yàn)證碼算法，以保證數(shù)據(jù)傳遞的完整性；提供了3-DES、IDEA、AES等對(duì)稱密鑰加密算法，以保證數(shù)據(jù)傳遞機(jī)密性與安全性；提供了DSA、RSA等數(shù)字簽名算法，以保證數(shù)據(jù)傳遞的抗否認(rèn)性。

3　VPN在局域網(wǎng)中的應(yīng)用方式

根據(jù)應(yīng)用環(huán)境及用戶使用情況的不同，VPN技術(shù)在局域網(wǎng)中主要分為了三種典型的應(yīng)用方式，它們分別是內(nèi)聯(lián)網(wǎng)VPN業(yè)務(wù)應(yīng)用、外聯(lián)網(wǎng)VPN業(yè)務(wù)應(yīng)用和遠(yuǎn)程接入VPN業(yè)務(wù)應(yīng)用。

3.1內(nèi)聯(lián)網(wǎng)VPN應(yīng)用

圖2　內(nèi)聯(lián)網(wǎng)VPN的結(jié)構(gòu)框架圖

內(nèi)聯(lián)網(wǎng)VPN業(yè)務(wù)，主要用于實(shí)現(xiàn)校園內(nèi)部網(wǎng)絡(luò)中各局域網(wǎng)的安全互聯(lián)，它通過(guò)建立總部及分支機(jī)構(gòu)之間的安全連接，從而增加各高?，F(xiàn)有的專線網(wǎng)絡(luò)或者建立新的帶寬。利用VPN技術(shù)，不僅可以節(jié)省大量專線費(fèi)用，而且可以極大的增強(qiáng)各高校網(wǎng)絡(luò)的地域覆蓋性，以快速滿足總校與各分校的網(wǎng)絡(luò)資源需求。內(nèi)聯(lián)網(wǎng)VPN的結(jié)構(gòu)框架，詳見(jiàn)下圖2所示。

3.2外聯(lián)網(wǎng)VPN應(yīng)用

外聯(lián)網(wǎng)VPN業(yè)務(wù)應(yīng)用，主要是將校園局域網(wǎng)的范圍向外擴(kuò)張，并將若干個(gè)校園VPN網(wǎng)絡(luò)結(jié)合起來(lái)，以構(gòu)建出一個(gè)更加龐大的虛擬內(nèi)部網(wǎng)絡(luò)，從而為各高校及其用戶提供更安全、靈活的通信方式。

外聯(lián)網(wǎng)VPN的結(jié)構(gòu)框架，詳見(jiàn)下圖3所示。其最大的優(yōu)勢(shì)就是可以改善校內(nèi)及校際間信息傳遞的速率、效率與安全性。在基本組網(wǎng)模式方面，外聯(lián)網(wǎng)VPN與內(nèi)聯(lián)網(wǎng)VPN在業(yè)務(wù)應(yīng)用上的差別不大，但由于校園外聯(lián)網(wǎng)VPN需要連接不同的高校與用戶，容易引發(fā)一系列安全問(wèn)題。因此必須強(qiáng)化組網(wǎng)過(guò)程中的接入控制機(jī)制與身份驗(yàn)證機(jī)制，并通過(guò)采用內(nèi)部防火墻、加密傳輸?shù)确绞剑源_保數(shù)據(jù)傳遞過(guò)程中的安全性。

圖3　外聯(lián)網(wǎng)VPN的結(jié)構(gòu)框架圖

3.3遠(yuǎn)程接入VPN應(yīng)用

遠(yuǎn)程接入VPN業(yè)務(wù)，是指利用PSDN、ISDN等接入網(wǎng)或者公共網(wǎng)絡(luò)的撥號(hào)，與校園內(nèi)部局域網(wǎng)之間進(jìn)行遠(yuǎn)程互聯(lián)，其主要業(yè)務(wù)應(yīng)用是為了滿足漫游用戶訪問(wèn)校園內(nèi)部資源的需求。遠(yuǎn)程接入VPN的結(jié)構(gòu)框架圖，詳見(jiàn)下圖4所示。

圖4　遠(yuǎn)程接入VPN的結(jié)構(gòu)框架圖

當(dāng)前，由于工作的需要，許多高校的教師及員工需要外出交流、考察、座談等，而出于安全的考慮，一般不允許其訪問(wèn)學(xué)校內(nèi)部的服務(wù)器，這也極大限制了教師對(duì)校園內(nèi)部網(wǎng)絡(luò)資源的使用。而基于遠(yuǎn)程接入VPN業(yè)務(wù)的應(yīng)用，它不僅能通過(guò)IP網(wǎng)絡(luò)承載用戶業(yè)務(wù)，使業(yè)務(wù)成本費(fèi)用極大降低，而且還能通過(guò)L2TP協(xié)議和IPSec協(xié)議中的身份驗(yàn)證機(jī)制、加密機(jī)制及授權(quán)機(jī)制，以確保用戶在使用校園內(nèi)部網(wǎng)絡(luò)資源的過(guò)程中的安全性。

4　總結(jié)

文章從VPN技術(shù)的概念及特點(diǎn)出發(fā)，并著重探討與研究了VPN技術(shù)在校園局域網(wǎng)中的應(yīng)用。尤其是在當(dāng)前一些高安全要求，或者大型的高校局域網(wǎng)中，VPN組網(wǎng)方案無(wú)疑是一個(gè)更好的選擇，利用其安全通道、可擴(kuò)展性、組網(wǎng)靈活性以及低成本的特點(diǎn)，可以實(shí)現(xiàn)大范圍、多節(jié)點(diǎn)的校園內(nèi)部組網(wǎng)方案，從而有效保證了校園局域網(wǎng)內(nèi)部通信與外部通信的安全。

參考文獻(xiàn)

［1］李彥新.虛擬專用網(wǎng)（VPN）技術(shù)及其應(yīng)用［J］.交通與計(jì)算機(jī)，2012（2）：12-13.

［2］王春海，張曉莉，等.VPN網(wǎng)絡(luò)組建案例實(shí)錄［M］.北京：科學(xué)出版社，2008：37-39.

［3］于九紅.網(wǎng)絡(luò)安全設(shè)計(jì)［M］.上海：華東理工大學(xué)出版社，2012：204-209.

［4］高海英，薛元星.VPN技術(shù)［M］.北京：機(jī)械工業(yè)出版社，2004：3-14.

Application of VPN technology in local area network

Li Zhihong
（technician college， Guangdong， Jiangmen， Jiangmen， 529090）

Abstract：In the rapid development of information technology today，users of network services，network security and network application requirements is also more and more high，a network is more flexible，lower cost of virtual private network（VPN） has thus arises at the historic moment.VPN technology is a built on the public Internet network architecture，to replace the original connection standard way of wide area network，and through certain technical means to achieve similar private network transmission of data security.

Keywords：VPN technology；local area network；campus network；application

作者簡(jiǎn)介

李智宏，男，1976年1月，籍貫福建省三明市，本科，計(jì)算機(jī)講師，研究方向：計(jì)算機(jī)軟件工程，數(shù)據(jù)庫(kù)設(shè)計(jì)。