◆俞富榮

VPN技術(shù)在局域網(wǎng)中的組網(wǎng)的應(yīng)用探討

◆俞富榮

（中國(guó)石油集團(tuán)電能有限公司電力研究設(shè)計(jì)院信息部 黑龍江 163000）

在眾多資源共享平臺(tái)中局域網(wǎng)是非常關(guān)鍵的構(gòu)成，并且其有利于工作效率的提升。而且在信息技術(shù)快速發(fā)展的推進(jìn)下，對(duì)局域網(wǎng)關(guān)注的人也是越來(lái)越多。企業(yè)運(yùn)行會(huì)受到局域網(wǎng)安全性的重要影響，因此局域網(wǎng)安全性提升成為重要課題。對(duì)此，VPN技術(shù)憑借其更低的成本、更加靈活以及能夠?qū)崿F(xiàn)通道加密等優(yōu)勢(shì)，在局域網(wǎng)中應(yīng)用非常廣泛。本課題主要介紹VPN技術(shù)原理、組網(wǎng)方法和優(yōu)劣勢(shì)等，使其在局域網(wǎng)組網(wǎng)過(guò)程中能夠更好地應(yīng)用。

VPN技術(shù)；安全性；局域網(wǎng)；組網(wǎng)應(yīng)用

1 VPN技術(shù)原理

企業(yè)員工外出工作時(shí)若存在與企業(yè)網(wǎng)絡(luò)連接的需求時(shí)，傳統(tǒng)方式為遠(yuǎn)程撥號(hào)，例如利用FR幀中繼方式連接、數(shù)字專(zhuān)線DDN撥號(hào)連接等。雖然這些傳統(tǒng)方法能夠完成連接，但是缺陷在于風(fēng)險(xiǎn)大、成本高，非法用戶(hù)侵入企業(yè)網(wǎng)絡(luò)的可能性更大。VPN遠(yuǎn)程訪問(wèn)技術(shù)是以聯(lián)通、移動(dòng)和電信網(wǎng)絡(luò)為基礎(chǔ)建立的。企業(yè)員工外出工作時(shí)利用VPN技術(shù)能夠更加快捷方便連接企業(yè)內(nèi)網(wǎng)。將VPN服務(wù)器安裝在企業(yè)內(nèi)部局域網(wǎng)中，員工外出工作時(shí)與企業(yè)VPN服務(wù)器連接可以通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)，通過(guò)認(rèn)證以后就能夠?qū)ζ髽I(yè)內(nèi)網(wǎng)進(jìn)行應(yīng)用。

VPN技術(shù)能夠?qū)崿F(xiàn)通道加密，這樣數(shù)據(jù)在傳遞過(guò)程中風(fēng)險(xiǎn)就會(huì)更小，并且通道加密以后雖然公用性的本質(zhì)并未改變，不過(guò)未經(jīng)授權(quán)的用戶(hù)無(wú)法應(yīng)用。因此員工無(wú)論在哪里工作，只要能夠使用互聯(lián)網(wǎng)就可以與企業(yè)內(nèi)網(wǎng)連接。

2 VPN技術(shù)主要特征

數(shù)據(jù)在傳輸過(guò)程中的安全性因?yàn)橥ǖ兰用芏靡蕴嵘?，SEC技術(shù)就是當(dāng)下應(yīng)用非常廣泛的一種。正是如此，企業(yè)使用過(guò)程中VPN不需要建立網(wǎng)絡(luò)環(huán)境，只要向電信運(yùn)營(yíng)商申請(qǐng)就能夠?qū)崿F(xiàn)由服務(wù)商完成網(wǎng)絡(luò)建設(shè)，因此企業(yè)成本會(huì)有顯著縮減。與傳統(tǒng)的FR技術(shù)和DDN技術(shù)等比較分析，VPN優(yōu)勢(shì)主要表現(xiàn)為四點(diǎn)：

（1）安全性。在局域網(wǎng)中信息是否能夠安全傳輸決定局域網(wǎng)運(yùn)行是否正常。無(wú)論是校園辦公系統(tǒng)、網(wǎng)上銀行還是電子商務(wù)網(wǎng)站，都必須以安全機(jī)制的建立健全為基礎(chǔ)保障，否則企業(yè)必然會(huì)在資源和經(jīng)濟(jì)方面承擔(dān)巨大風(fēng)險(xiǎn)和損失。提升安全性的技術(shù)有多種，VPN就是其中一種，可以實(shí)現(xiàn)局域網(wǎng)安全性的提升。利用通道加密技術(shù)，VPN實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)钠鹗键c(diǎn)就可以對(duì)企業(yè)認(rèn)證服務(wù)器進(jìn)行分布式認(rèn)證；而且，VPN技術(shù)在多種加密協(xié)議兼容性都較好，包括MPPE和Ipsec等。

（2）成本很小。上面已經(jīng)提到在以前員工外出工作若要應(yīng)用企業(yè)局域網(wǎng)資源需要通過(guò)遠(yuǎn)程訪問(wèn)來(lái)實(shí)現(xiàn)，企業(yè)要?jiǎng)?chuàng)建網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營(yíng)成本自然會(huì)大幅提高。但若是通過(guò)VPN技術(shù)來(lái)訪問(wèn)企業(yè)內(nèi)網(wǎng)，與傳統(tǒng)方法相比網(wǎng)絡(luò)結(jié)構(gòu)不需要?jiǎng)?chuàng)建，這樣企業(yè)在安裝線路和建立網(wǎng)絡(luò)時(shí)成本就會(huì)更少；除以此外，應(yīng)用VPN技術(shù)后，企業(yè)安裝與維護(hù)局域網(wǎng)設(shè)備以及遠(yuǎn)程訪問(wèn)設(shè)備都是由電信服務(wù)商負(fù)責(zé)，這使企業(yè)成本可以很大程度的降低，并且在局域網(wǎng)方面的投資金額也會(huì)大幅減少。

（3）擴(kuò)展性強(qiáng)。首先，應(yīng)用VPN技術(shù)后，賬號(hào)的建立在于電信服務(wù)商完成合同的簽訂就能夠?qū)崿F(xiàn)，而不需要再投入局域網(wǎng)設(shè)備和網(wǎng)絡(luò)硬件，因此VPN技術(shù)的擴(kuò)展性更強(qiáng)，無(wú)論是日后升級(jí)或者網(wǎng)絡(luò)擴(kuò)容都非常便捷；其次，對(duì)于VPN用戶(hù)的增加和減少，無(wú)須再購(gòu)買(mǎi)新的物理網(wǎng)絡(luò)，而是通過(guò)邏輯操作就能夠?qū)崿F(xiàn)，這是VPN技術(shù)擴(kuò)展性強(qiáng)的又一個(gè)關(guān)鍵因素。

（4）新興業(yè)務(wù)的應(yīng)用。隨著技術(shù)不斷發(fā)展，業(yè)務(wù)也在不斷創(chuàng)新，在這種情況下傳統(tǒng)網(wǎng)絡(luò)顯然無(wú)法滿(mǎn)足技術(shù)和業(yè)務(wù)的需求，QOS無(wú)法保證。例如交互業(yè)務(wù)網(wǎng)絡(luò)軟件業(yè)務(wù)如微信等利用DDN或FR等無(wú)法完成網(wǎng)絡(luò)建立，并且多媒體視頻點(diǎn)播等業(yè)務(wù)對(duì)于帶寬提出更高要求，傳統(tǒng)技術(shù)顯然服務(wù)水平較低。針對(duì)新業(yè)務(wù)的技術(shù)要求，顯然VPN技術(shù)能夠更好滿(mǎn)足，以現(xiàn)在的影音業(yè)務(wù)、視頻會(huì)議和點(diǎn)播等業(yè)務(wù)為例，VPN技術(shù)都非常適用；與此同時(shí)，VPN技術(shù)能夠支持的協(xié)議有很多，最普遍的有SNMP協(xié)議、MPLS標(biāo)簽交換協(xié)議和Ipv6協(xié)議等，VPN技術(shù)對(duì)于這些標(biāo)簽都是支持的，因此VPN網(wǎng)絡(luò)的多樣性和靈活性也得到更好的保障。

3 局域網(wǎng)運(yùn)用VPN技術(shù)過(guò)程中主要技術(shù)分析

（1）安全隧道技術(shù)。VPN技術(shù)中隧道的建立是其最為顯著的特征，并且通過(guò)安全隧道技術(shù)的應(yīng)用，數(shù)據(jù)在傳輸過(guò)程中就可以進(jìn)行封裝，而且還可以在局域網(wǎng)內(nèi)部完成數(shù)據(jù)傳輸專(zhuān)用通道的建立，以此為前提實(shí)現(xiàn)數(shù)據(jù)包在安全隧道中傳遞。所有信息對(duì)數(shù)據(jù)網(wǎng)站完成處理以后，網(wǎng)絡(luò)總體對(duì)于數(shù)據(jù)包目標(biāo)端和有源端用戶(hù)才可以處理并解釋安全隧道內(nèi)傳輸?shù)臄?shù)據(jù)，但是對(duì)于其他用戶(hù)來(lái)說(shuō)，隧道中傳遞的數(shù)據(jù)包都是沒(méi)有意義的，因此安全性能更高。

第二層和第三層隧道協(xié)議是當(dāng)下VPN安全隧道生成中應(yīng)用到的。第二層隧道協(xié)議是指在數(shù)據(jù)鏈路層完成數(shù)據(jù)分裝協(xié)議的實(shí)現(xiàn)，以目前應(yīng)用為例；第三層隧道協(xié)議使用最頻繁的協(xié)議包括SONCKSvs協(xié)議、IPSSC協(xié)議和數(shù)據(jù)分裝協(xié)議等。

（2）用戶(hù)認(rèn)證技術(shù)。通常來(lái)說(shuō)，高校會(huì)通過(guò)VPN技術(shù)完成局域網(wǎng)的建立，這主要是為了保證教師和各部門(mén)員工能夠?qū)π@資源更快和更加安全的訪問(wèn)，不過(guò)局域網(wǎng)絡(luò)中的資源有很大一部分重要性很高或者是信息非常敏感，所以，在訪問(wèn)網(wǎng)絡(luò)資源過(guò)程為了使身份鑒別效力更加顯著，一般會(huì)選擇用戶(hù)認(rèn)證技術(shù)來(lái)測(cè)試。

握手認(rèn)證協(xié)議、PAP密碼認(rèn)證協(xié)議以及點(diǎn)對(duì)點(diǎn)PPP協(xié)議是當(dāng)下VPN技術(shù)中用戶(hù)認(rèn)證技術(shù)應(yīng)用最為普遍的幾種，科學(xué)合理的運(yùn)用這幾種協(xié)議可以保證應(yīng)用網(wǎng)絡(luò)資源的各用戶(hù)身份都能夠進(jìn)行更高效的確定，以此為前提可以更好保證高效控制系統(tǒng)整體訪問(wèn)網(wǎng)絡(luò)資源，或者經(jīng)過(guò)合理授權(quán)后再進(jìn)行訪問(wèn)。

（3）加密技術(shù)。從VPN技術(shù)在安全應(yīng)用的角度來(lái)分析，安全應(yīng)用應(yīng)用到的技術(shù)有很多，其中加密技術(shù)就是非常關(guān)鍵的一種，在VPN技術(shù)中的加密技術(shù)的實(shí)現(xiàn)過(guò)程會(huì)對(duì)IPSeC中的ESP應(yīng)用。而且，VPN技術(shù)還會(huì)從用戶(hù)安全配置以及網(wǎng)絡(luò)實(shí)際應(yīng)用的安全協(xié)議的真實(shí)情況充分考慮，提供適用性強(qiáng)的多種加密算法，比如在實(shí)際運(yùn)用時(shí)，SHA和MDS等信息驗(yàn)證碼算法是應(yīng)用非常廣泛的加密技術(shù)，在數(shù)據(jù)傳輸過(guò)程中利用以上科學(xué)有效的信息驗(yàn)證碼算法能夠?yàn)閿?shù)據(jù)完整性提供保障。除此以外，VPN技術(shù)下的加密技術(shù)還提供多種對(duì)稱(chēng)密鑰加密算法，最常用的為AES、IDEA和3-ES等算法，提供給用戶(hù)應(yīng)用，用戶(hù)利用以上幾種對(duì)稱(chēng)密鑰加密算法之后，數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)安全性和機(jī)密性都能夠得到大幅提升；而且VPN技術(shù)下的加密技術(shù)還提供了多種數(shù)字簽名算法，常見(jiàn)的數(shù)字簽名算法包括RSA算法和DSA算法等，用戶(hù)應(yīng)用以上算法可以確保數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)具有抗否認(rèn)性。

4 VPN技術(shù)在局域網(wǎng)中應(yīng)用方法相關(guān)探究

（1）VPN技術(shù)在內(nèi)聯(lián)網(wǎng)中的應(yīng)用探究

VPN技術(shù)應(yīng)用到內(nèi)聯(lián)網(wǎng)中最主要的表現(xiàn)就是校園內(nèi)部網(wǎng)絡(luò)，利用內(nèi)聯(lián)網(wǎng)VPN業(yè)務(wù)實(shí)現(xiàn)校園內(nèi)網(wǎng)整體的各種局域網(wǎng)之間的聯(lián)通，并保證其安全性。簡(jiǎn)單理解就是指校園內(nèi)部網(wǎng)絡(luò)的總部和各個(gè)分支機(jī)構(gòu)間完成安全連接的建立，并保證連接的有效性，保證所有高校專(zhuān)用網(wǎng)絡(luò)數(shù)量都能夠得到保證并不斷提高，同時(shí)新建立的寬帶也能不斷提升；除此以外，VPN技術(shù)應(yīng)用在校園內(nèi)部網(wǎng)絡(luò)中一方面使高校建立專(zhuān)用線路所需要的費(fèi)用大幅降低，另一方面使高校網(wǎng)絡(luò)覆蓋的面積更大并且覆蓋程度不斷加強(qiáng)，在保證這一點(diǎn)以后，高校總部和多個(gè)分支機(jī)構(gòu)間網(wǎng)絡(luò)數(shù)據(jù)與信息的共享程度會(huì)不斷提升，因此網(wǎng)絡(luò)資源共享需求得到更好的滿(mǎn)足。

（2）VPN技術(shù)在外聯(lián)網(wǎng)中的應(yīng)用探究

VPN技術(shù)在外聯(lián)網(wǎng)中的應(yīng)用具體是指各高校對(duì)于擴(kuò)展局域網(wǎng)時(shí)應(yīng)用到的，這樣多個(gè)高校之間的VPN網(wǎng)絡(luò)就能夠完成連接，進(jìn)而建立時(shí)間虛擬內(nèi)部網(wǎng)絡(luò)，并且使得該虛擬內(nèi)部網(wǎng)絡(luò)規(guī)模更加廣闊，由此各個(gè)高校包括高校用戶(hù)的交流互通靈活性和安全性都得到加強(qiáng)。

VPN技術(shù)在外聯(lián)網(wǎng)中充分應(yīng)用，有利于高校內(nèi)部以及各高校間數(shù)據(jù)傳輸效率的提升以及信息傳輸速度的加快，同時(shí)數(shù)據(jù)傳輸過(guò)程中安全性能也大幅提高；從組網(wǎng)模式進(jìn)行分析，VPN技術(shù)在外聯(lián)網(wǎng)中的應(yīng)用以及在內(nèi)聯(lián)網(wǎng)中的應(yīng)用本質(zhì)上是相同的，不過(guò)外聯(lián)網(wǎng)中的應(yīng)用主要是以用戶(hù)之間的連接以及各高校之間的連接為重點(diǎn)，所以，數(shù)據(jù)傳輸過(guò)程中也更容易發(fā)生安全方面的問(wèn)題；建設(shè)組網(wǎng)時(shí)對(duì)于身份驗(yàn)證制度以及接入機(jī)制必須進(jìn)行加強(qiáng)。除此以外，網(wǎng)絡(luò)整體還要完成內(nèi)部防火墻的配置，這樣數(shù)據(jù)傳輸過(guò)程中才能保證安全，也可以通過(guò)加密傳輸方法的應(yīng)用來(lái)實(shí)現(xiàn)這個(gè)目的。

（3）VPN技術(shù)在遠(yuǎn)程接入中應(yīng)用探究

對(duì)公共網(wǎng)絡(luò)撥號(hào)最大限度的利用、應(yīng)用IDSN和PSND等有關(guān)接入網(wǎng)絡(luò)等就是VPN技術(shù)在遠(yuǎn)程接入中的應(yīng)用，目的是為了各高校之間內(nèi)部網(wǎng)絡(luò)能夠?qū)崿F(xiàn)連接，在具體應(yīng)用的過(guò)程中，是以漫游用戶(hù)訪問(wèn)校園內(nèi)部網(wǎng)絡(luò)資源為主要目的。

目前高校內(nèi)部員工和教師外出學(xué)習(xí)和交流的機(jī)會(huì)越來(lái)越多，對(duì)于校園內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)的次數(shù)越來(lái)越多，應(yīng)用的方式也更加多樣，對(duì)于外部實(shí)現(xiàn)訪問(wèn)校園內(nèi)部網(wǎng)資源的安全性保證，同時(shí)對(duì)遠(yuǎn)程訪問(wèn)校園內(nèi)部網(wǎng)絡(luò)資源的局限性進(jìn)行打破，可以通過(guò)對(duì)VPN技術(shù)的使用來(lái)實(shí)現(xiàn)，具體是通過(guò)Ⅲ網(wǎng)絡(luò)的使用使用戶(hù)業(yè)務(wù)承載得以實(shí)現(xiàn)，由此在校園外部訪問(wèn)和應(yīng)用校內(nèi)網(wǎng)絡(luò)資源時(shí)安全性就能夠得到很好的保障。

本文針對(duì)VNP技術(shù)在局域網(wǎng)中的組網(wǎng)應(yīng)用展開(kāi)探究，從VPN技術(shù)本身出發(fā)，對(duì)VPN技術(shù)工作原理進(jìn)行介紹，并對(duì)關(guān)鍵技術(shù)和網(wǎng)絡(luò)技術(shù)對(duì)比分析，對(duì)局域網(wǎng)建立過(guò)程中應(yīng)用VPN技術(shù)的優(yōu)勢(shì)進(jìn)行闡述，希望對(duì)同行業(yè)的探究和應(yīng)用提供幫助。

[1]賴(lài)建中.局域網(wǎng)組網(wǎng)拓?fù)浼鞍踩烙到y(tǒng)設(shè)計(jì)特征[J].中國(guó)新技術(shù)新產(chǎn)品，2019（18）：22-23.

[2]薛國(guó)斌.通信組網(wǎng)中計(jì)算機(jī)無(wú)線局域網(wǎng)技術(shù)的應(yīng)用研究[J].通訊世界，2019，26（04）：86-87.

[3]劉顯靜，吳學(xué)智，沈釗.基于Mesh結(jié)構(gòu)的海上無(wú)線局域網(wǎng)組網(wǎng)性能研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013，23（06）：162-165.

[4]溫曉軍，文光斌.基于IEEE 802.11標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)組網(wǎng)方案[J].計(jì)算機(jī)應(yīng)用研究，2002（03）：120-122.