林虹虹

摘 要：將職業(yè)院校的跨地域分布特征結(jié)合VPN技術(shù)的分析研究，通過VPN技術(shù)的虛擬共享功能，針對構(gòu)建高安全的職業(yè)院校校園網(wǎng)絡(luò)資源共享提供解決措施，更進(jìn)一步將網(wǎng)絡(luò)數(shù)據(jù)的傳輸變得更加高效、安全、靈活以及經(jīng)濟(jì)，校區(qū)互聯(lián)、移動辦公等方面均可以在該技術(shù)的拓展應(yīng)用基礎(chǔ)上安全實現(xiàn)。

關(guān)鍵詞：校園網(wǎng) VPN 組網(wǎng)技術(shù)

中圖分類號：TP393.03 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）01（c）-0035-02

不同學(xué)校合并、設(shè)立異地分校等現(xiàn)象隨著互聯(lián)網(wǎng)的發(fā)展呈現(xiàn)出普遍發(fā)的趨勢，進(jìn)而形成不少職業(yè)院校跨地區(qū)多校區(qū)的地理分布特點。因此，不同校區(qū)之間的資源數(shù)據(jù)的溝通也和學(xué)生管理、教學(xué)計劃規(guī)模呈正比例增長，再加上校外居住或者外地出差的教師也會頻繁使用校園網(wǎng)數(shù)據(jù)資源，這些問題已經(jīng)逐步成為當(dāng)今校園網(wǎng)發(fā)展道路上的絆腳石。傳統(tǒng)的單一校園網(wǎng)技術(shù)不僅DDN成本過高，Modem遠(yuǎn)程撥號的訪問速度過慢，所以已經(jīng)不能達(dá)到發(fā)展要求；擁有成本低、安全性高、可靠性高等特征的VPN遠(yuǎn)程組網(wǎng)技術(shù)已經(jīng)趨于成熟，可以更好地滿足發(fā)展要求。VPN虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)的內(nèi)部網(wǎng)建立可信的安全連接，能保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，再有就是虛擬專用網(wǎng)解決方案能減少用戶費用在遠(yuǎn)程網(wǎng)絡(luò)連接上的開銷，同時，這也將簡化網(wǎng)絡(luò)的設(shè)計和管理。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。這種技術(shù)的應(yīng)用使院校的各地資源的所有網(wǎng)絡(luò)在Internet上組成一個安全的、虛擬的大局域網(wǎng)，從而為校園網(wǎng)的公共平臺設(shè)計提供新的解決方案。本文通過對VPN技術(shù)特點的分析和研究，提出基于VPN技術(shù)解決跨區(qū)域職業(yè)學(xué)校的校園網(wǎng)建設(shè)的方案。

1 VPN概述[1]

a.VPN也就是虛擬專用網(wǎng)，它是某個機(jī)構(gòu)的專用網(wǎng)，通過公共互聯(lián)網(wǎng)實現(xiàn)利用私有隧道建立一條在公共數(shù)據(jù)網(wǎng)絡(luò)上的點到點的專線的技術(shù)。通過某種公共網(wǎng)資源上邏輯網(wǎng)絡(luò)動態(tài)來形成虛擬VPN中兩個節(jié)點之間并不存在的端到端的物理鏈路；因為在互聯(lián)網(wǎng)上需要通過身份驗證才能安全訪問傳送中的加密過的用戶數(shù)據(jù)，VPN既利用此項來達(dá)到安全傳送數(shù)據(jù)，又利用的因特網(wǎng)的網(wǎng)絡(luò)資源。

1.1 VPN安全技術(shù)特點[2～4]

目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（Tunneling）、

加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

1.1.1 隧道技術(shù)

隧道技術(shù)是VPN的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等；第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸，第三層隧道協(xié)議有VTP、IPSec等。

1.1.2 VPN的功能

VPN重點在于建立安全的數(shù)據(jù)通道，對于這個安全通道的協(xié)議必須具備一些條件：

（1）確保數(shù)據(jù)真實性，通信主機(jī)必須是經(jīng)過授權(quán)。

（2）確保數(shù)據(jù)的完整性。

（3）確保通道的機(jī)密性。

（4）可提供運態(tài)密鑰交換功能。

（5）可提供安全防護(hù)措施和訪問控制。

1.1.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公共數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行的密鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。

1.2 VPN應(yīng)用分類[5]

依據(jù)不同的需要，VPN分三種情況的用途：

（1）內(nèi)部VPN。

這種方式通過公共網(wǎng)絡(luò)把一個不通的各個分支機(jī)構(gòu)聯(lián)結(jié)而成的網(wǎng)絡(luò)。這種聯(lián)結(jié)安全度高，這種方式被稱為Intranet。

（2）遠(yuǎn)程訪問VPN。

此方法通過本地的信息提供商（ISP）訪問Internet，并在不同分支機(jī)構(gòu)間建立一條加密通道，具有較高安全度的訪問，有加密和身份驗證及過濾等功能。

（3）外聯(lián)網(wǎng)VPN。

這種方式是外聯(lián)網(wǎng)VPN為遠(yuǎn)地的用戶提供安全性的訪問。主要目標(biāo)是保證數(shù)據(jù)傳輸過程中不被修改、保護(hù)網(wǎng)絡(luò)資源等。

1.2.1 Access VPN（遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò)）

Access VPN特點在于遠(yuǎn)端用戶不再像傳統(tǒng)的遠(yuǎn)程訪問那樣，需要通過電話撥號到本地網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問，而是采用撥號接入遠(yuǎn)端用戶本地的ISP，利用VPN系統(tǒng)在公用網(wǎng)絡(luò)上建立一個從遠(yuǎn)程用戶端到本地網(wǎng)關(guān)的安全傳輸通道。

1.2.2 Intranet VPN（內(nèi)部虛擬專用網(wǎng)絡(luò)）

Intranet VPN特點主要是指利用Internet互聯(lián)網(wǎng)組建世界范圍的虛擬Intranet，利用互聯(lián)網(wǎng)的公共線路保證網(wǎng)絡(luò)的連通性，用VPN的隧道技術(shù)、數(shù)據(jù)壓縮加密、用戶身份認(rèn)證等特性，確保信息在Intranet VPN上的傳輸安全性。

1.2.3 Extranet VPN（擴(kuò)展內(nèi)部虛擬專用網(wǎng)絡(luò)）

Extranet VPN特點主要是互聯(lián)的虛擬局域網(wǎng)面對的是若干個大型公司或企業(yè)門戶的信息資源共享。

2 VPN組網(wǎng)方案設(shè)計[6～8]

2.1 VPN組網(wǎng)技術(shù)要求

成功的VPN方案應(yīng)該能為用戶分配專用網(wǎng)絡(luò)上的地址并確保其安全性，并對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密。在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中，VPN必須具有能夠生成并更新客戶端和服務(wù)器的加密、提供身份審查、具有審計和記費等功能，還必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議。endprint

2.2 VPN校園網(wǎng)組網(wǎng)方案

在設(shè)計VPN校園網(wǎng)過程中，基于職業(yè)院校分校比較多以及共享教職工資源的特征和校園局域網(wǎng)、遠(yuǎn)程用戶的要求，通過將Access VPN及Intranet VPN組合的方式達(dá)到目的。為了讓接入互聯(lián)網(wǎng)的終端用戶可以通過網(wǎng)絡(luò)進(jìn)入到企事業(yè)單位的局域網(wǎng)網(wǎng)絡(luò)資源，Access VPN通過使用點對網(wǎng)的方式實現(xiàn)。該終端通過與局域網(wǎng)內(nèi)部一樣的使用資源的方式來實現(xiàn)資源利用。也可以說是PPP 撥號訪問方式；Intranet VPN是將兩個局域網(wǎng)之間利用因特網(wǎng)聯(lián)接的網(wǎng)對網(wǎng)的方式；就像是一同一個局域網(wǎng)的不同子網(wǎng)，并且兩個局域網(wǎng)中的任意終端均能相互共享對方的內(nèi)部資源。所以，異地之間相互訪問內(nèi)部網(wǎng)絡(luò)可以通過建議不同小區(qū)的局域網(wǎng)來實現(xiàn)。

而VPN混合方案的實現(xiàn)主要是采用基于IPSec的第三層VPN路由器組網(wǎng)方案，是可以在全動態(tài)IP的廣域網(wǎng)上（Internet/城域網(wǎng)），同時支持ADSL，Cable Modem，DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的VPN網(wǎng)絡(luò)。然而，IPsec這種方式也存在一定的問題，這主要取決于VPN的一個主要特點，那就是必須在每一臺機(jī)器上安裝并配置客戶端軟件，才能使用VPN。就IPSes本身來說，它很難用于部署遠(yuǎn)程接入或外部網(wǎng)。針對這種情況，引入一種基于Secure Sockets Layer（SSL）協(xié)議的VPN，它可以安全的替代IPsec VPN。幾乎所有的商業(yè)瀏覽器產(chǎn)品都支持SSL協(xié)議，它的安全性也得到了證實。

SSL是由多個子協(xié)議組成，其中兩個最主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。

（1）握手協(xié)議允許服務(wù)器和客戶端“在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙”。在數(shù)據(jù)傳輸期間。

（2）記錄協(xié)議利用握手協(xié)議生成的密匙加密和解密后來交換的數(shù)據(jù)。

以上兩個協(xié)議的工作原理是這樣的：客戶端會發(fā)送信息給服務(wù)器端特定的TCP端口，請求一個新的握手協(xié)議。這個信息包含了密碼規(guī)格列表，還有客戶端瀏覽器支持的壓縮協(xié)議和客戶端產(chǎn)生隨機(jī)數(shù)。這個隨機(jī)數(shù)是由32位的UNIX timestamp value加上客戶端瀏覽器生成的28位的pseudo-random number組成。服務(wù)器也發(fā)送一個同樣的信息響應(yīng)客戶端，這個信息包括它根據(jù)隨機(jī)數(shù)值（服務(wù)器隨機(jī)數(shù)）選擇的密碼規(guī)格和服務(wù)器對客戶端的認(rèn)證，密碼規(guī)格和客戶端隨機(jī)數(shù)的格式相同。

鑒于以上分析，根據(jù)移動辦公和學(xué)校資源共享的需求，則在VPN的校園網(wǎng)建設(shè)中，提出如下Access VPN和Intranet VPN兩類綜合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的應(yīng)用

我們知道在校外訪問校園網(wǎng)內(nèi)資源的遠(yuǎn)程用戶移動辦公地址不是固定的，因此，遠(yuǎn)程用戶端需通過VPN接入校園網(wǎng)，而遠(yuǎn)程用戶端需安裝使用VPN功能的軟件，配置為隧道開通器，通過ISP接入Internet并訪問校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)和服務(wù)器。也就是要在校園網(wǎng)內(nèi)建立VPN網(wǎng)關(guān)和服務(wù)器，遠(yuǎn)程用戶使用軟件進(jìn)行VPN配置后訪問校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)及服務(wù)器。對于目前來說， 校園網(wǎng)絡(luò)用戶使用的操作系統(tǒng)平臺多為Windows系列，而Windows 2003 Server中的RAS（路由和遠(yuǎn)程訪問服務(wù)）可以被用來建立使用PPTP或L2TP的VPN 連接，因此，可以選擇在校園網(wǎng)內(nèi)使用Windows 2003 Server建立VPN服務(wù)器及CA認(rèn)證中心，而終端用戶只要在Windows系列的平臺上配置VPN客戶端，便可通過遠(yuǎn)程的VPN服務(wù)器和身份認(rèn)證訪問總部的校園專用網(wǎng)。

2.2.2 Intranet VPN的應(yīng)用

在職業(yè)學(xué)校的主校區(qū)和分校區(qū)之間建立Intranet VPN，可以通過Internet的公共網(wǎng)絡(luò)將其相連，以便學(xué)校的資源共享、信息交流和數(shù)據(jù)傳送。這樣既可以克服使用開放路由器方法時對訪問范圍的限制，也可以對數(shù)據(jù)的傳輸起到保護(hù)作用，還不用租用專線而節(jié)省了開支。學(xué)校總部一般來講是數(shù)據(jù)信息存放、處理的中心，及相關(guān)業(yè)務(wù)服務(wù)器集群存放點，因此網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實時性要求高；因此在兩個校區(qū)之間建立Intranet VPN，應(yīng)該采用帶VPN網(wǎng)關(guān)功能的Cisco系列高性能路由器作為接入服務(wù)器。對于實時要求很高的學(xué)校用戶，可以在總部采用兩臺Cisco作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸。通過對兩地路由器進(jìn)行路由、賬戶、地址池及協(xié)議的適當(dāng)配置，在主校區(qū)路由器和分校區(qū)路由器之間建立虛擬專用鏈路，從而實現(xiàn)不同區(qū)域高校的信息資源共享。針對以上描述，以Intranet及Access VPN技術(shù)綜合方案為基礎(chǔ)設(shè)計職業(yè)院校的校園網(wǎng)絡(luò)拓?fù)鋱D，拓?fù)鋱D如圖1所示。

由圖1可知，分校區(qū)與總部利用各自的VPN網(wǎng)關(guān)經(jīng)由Internet與主校區(qū)的VPN 網(wǎng)關(guān)完成校區(qū)與校間互聯(lián)，可實現(xiàn)資源共享和信息交流，出差或在家的教職工使用筆記本電腦或PC機(jī)中內(nèi)置的VPN軟件通過本地ISP連入Internet，采用PPTP或SSL協(xié)議，接入總部，可包括支持CDMA/GPRS及802.11b等無線移動接入，再與主校區(qū)或相應(yīng)校區(qū)的VPN設(shè)備相連來實現(xiàn)移動或家庭辦公；其次，為了保證系統(tǒng)的安全性，在此方案中，在總部設(shè)置CA認(rèn)證中心，加強(qiáng)用戶身份驗證，從而提高VPN虛擬局域網(wǎng)的整體安全，以及學(xué)校職工和學(xué)生的資源共享效率。

3 結(jié)語

VPN技術(shù)作為新興的網(wǎng)絡(luò)技術(shù)，提供了一種安全、高效、靈活和經(jīng)濟(jì)的組網(wǎng)方式，通過VPN的混合技術(shù)，可較好解決了不同區(qū)域教學(xué)資源共享及移動辦公資源共享的具體問題，而且隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善和發(fā)展，VPN技術(shù)將繼續(xù)在校園網(wǎng)，企業(yè)網(wǎng)等多個應(yīng)用領(lǐng)域發(fā)揮其越來越重要的作用。

參考文獻(xiàn)

[1] 黃新民，劉旺泉.VPN技術(shù)綜述[J].計算機(jī)安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龍，張國立.VPN技術(shù)及其發(fā)展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].福建電腦，2007（12）：160-161.

[5] 王達(dá).虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004：25-60.

[6] 周碧英.淺析計算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：17-19.

[7] 彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長春工業(yè)大學(xué)學(xué)報：自然科學(xué)版，2008，29（1）：91-94.

[8] 歐陽崢崢.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系的構(gòu)建[J].2008（4）：115-116.endprint

2.2 VPN校園網(wǎng)組網(wǎng)方案

在設(shè)計VPN校園網(wǎng)過程中，基于職業(yè)院校分校比較多以及共享教職工資源的特征和校園局域網(wǎng)、遠(yuǎn)程用戶的要求，通過將Access VPN及Intranet VPN組合的方式達(dá)到目的。為了讓接入互聯(lián)網(wǎng)的終端用戶可以通過網(wǎng)絡(luò)進(jìn)入到企事業(yè)單位的局域網(wǎng)網(wǎng)絡(luò)資源，Access VPN通過使用點對網(wǎng)的方式實現(xiàn)。該終端通過與局域網(wǎng)內(nèi)部一樣的使用資源的方式來實現(xiàn)資源利用。也可以說是PPP 撥號訪問方式；Intranet VPN是將兩個局域網(wǎng)之間利用因特網(wǎng)聯(lián)接的網(wǎng)對網(wǎng)的方式；就像是一同一個局域網(wǎng)的不同子網(wǎng)，并且兩個局域網(wǎng)中的任意終端均能相互共享對方的內(nèi)部資源。所以，異地之間相互訪問內(nèi)部網(wǎng)絡(luò)可以通過建議不同小區(qū)的局域網(wǎng)來實現(xiàn)。

而VPN混合方案的實現(xiàn)主要是采用基于IPSec的第三層VPN路由器組網(wǎng)方案，是可以在全動態(tài)IP的廣域網(wǎng)上（Internet/城域網(wǎng)），同時支持ADSL，Cable Modem，DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的VPN網(wǎng)絡(luò)。然而，IPsec這種方式也存在一定的問題，這主要取決于VPN的一個主要特點，那就是必須在每一臺機(jī)器上安裝并配置客戶端軟件，才能使用VPN。就IPSes本身來說，它很難用于部署遠(yuǎn)程接入或外部網(wǎng)。針對這種情況，引入一種基于Secure Sockets Layer（SSL）協(xié)議的VPN，它可以安全的替代IPsec VPN。幾乎所有的商業(yè)瀏覽器產(chǎn)品都支持SSL協(xié)議，它的安全性也得到了證實。

SSL是由多個子協(xié)議組成，其中兩個最主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。

（1）握手協(xié)議允許服務(wù)器和客戶端“在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙”。在數(shù)據(jù)傳輸期間。

（2）記錄協(xié)議利用握手協(xié)議生成的密匙加密和解密后來交換的數(shù)據(jù)。

以上兩個協(xié)議的工作原理是這樣的：客戶端會發(fā)送信息給服務(wù)器端特定的TCP端口，請求一個新的握手協(xié)議。這個信息包含了密碼規(guī)格列表，還有客戶端瀏覽器支持的壓縮協(xié)議和客戶端產(chǎn)生隨機(jī)數(shù)。這個隨機(jī)數(shù)是由32位的UNIX timestamp value加上客戶端瀏覽器生成的28位的pseudo-random number組成。服務(wù)器也發(fā)送一個同樣的信息響應(yīng)客戶端，這個信息包括它根據(jù)隨機(jī)數(shù)值（服務(wù)器隨機(jī)數(shù)）選擇的密碼規(guī)格和服務(wù)器對客戶端的認(rèn)證，密碼規(guī)格和客戶端隨機(jī)數(shù)的格式相同。

鑒于以上分析，根據(jù)移動辦公和學(xué)校資源共享的需求，則在VPN的校園網(wǎng)建設(shè)中，提出如下Access VPN和Intranet VPN兩類綜合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的應(yīng)用

我們知道在校外訪問校園網(wǎng)內(nèi)資源的遠(yuǎn)程用戶移動辦公地址不是固定的，因此，遠(yuǎn)程用戶端需通過VPN接入校園網(wǎng)，而遠(yuǎn)程用戶端需安裝使用VPN功能的軟件，配置為隧道開通器，通過ISP接入Internet并訪問校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)和服務(wù)器。也就是要在校園網(wǎng)內(nèi)建立VPN網(wǎng)關(guān)和服務(wù)器，遠(yuǎn)程用戶使用軟件進(jìn)行VPN配置后訪問校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)及服務(wù)器。對于目前來說， 校園網(wǎng)絡(luò)用戶使用的操作系統(tǒng)平臺多為Windows系列，而Windows 2003 Server中的RAS（路由和遠(yuǎn)程訪問服務(wù)）可以被用來建立使用PPTP或L2TP的VPN 連接，因此，可以選擇在校園網(wǎng)內(nèi)使用Windows 2003 Server建立VPN服務(wù)器及CA認(rèn)證中心，而終端用戶只要在Windows系列的平臺上配置VPN客戶端，便可通過遠(yuǎn)程的VPN服務(wù)器和身份認(rèn)證訪問總部的校園專用網(wǎng)。

2.2.2 Intranet VPN的應(yīng)用

在職業(yè)學(xué)校的主校區(qū)和分校區(qū)之間建立Intranet VPN，可以通過Internet的公共網(wǎng)絡(luò)將其相連，以便學(xué)校的資源共享、信息交流和數(shù)據(jù)傳送。這樣既可以克服使用開放路由器方法時對訪問范圍的限制，也可以對數(shù)據(jù)的傳輸起到保護(hù)作用，還不用租用專線而節(jié)省了開支。學(xué)?？偛恳话銇碇v是數(shù)據(jù)信息存放、處理的中心，及相關(guān)業(yè)務(wù)服務(wù)器集群存放點，因此網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實時性要求高；因此在兩個校區(qū)之間建立Intranet VPN，應(yīng)該采用帶VPN網(wǎng)關(guān)功能的Cisco系列高性能路由器作為接入服務(wù)器。對于實時要求很高的學(xué)校用戶，可以在總部采用兩臺Cisco作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸。通過對兩地路由器進(jìn)行路由、賬戶、地址池及協(xié)議的適當(dāng)配置，在主校區(qū)路由器和分校區(qū)路由器之間建立虛擬專用鏈路，從而實現(xiàn)不同區(qū)域高校的信息資源共享。針對以上描述，以Intranet及Access VPN技術(shù)綜合方案為基礎(chǔ)設(shè)計職業(yè)院校的校園網(wǎng)絡(luò)拓?fù)鋱D，拓?fù)鋱D如圖1所示。

由圖1可知，分校區(qū)與總部利用各自的VPN網(wǎng)關(guān)經(jīng)由Internet與主校區(qū)的VPN 網(wǎng)關(guān)完成校區(qū)與校間互聯(lián)，可實現(xiàn)資源共享和信息交流，出差或在家的教職工使用筆記本電腦或PC機(jī)中內(nèi)置的VPN軟件通過本地ISP連入Internet，采用PPTP或SSL協(xié)議，接入總部，可包括支持CDMA/GPRS及802.11b等無線移動接入，再與主校區(qū)或相應(yīng)校區(qū)的VPN設(shè)備相連來實現(xiàn)移動或家庭辦公；其次，為了保證系統(tǒng)的安全性，在此方案中，在總部設(shè)置CA認(rèn)證中心，加強(qiáng)用戶身份驗證，從而提高VPN虛擬局域網(wǎng)的整體安全，以及學(xué)校職工和學(xué)生的資源共享效率。

3 結(jié)語

VPN技術(shù)作為新興的網(wǎng)絡(luò)技術(shù)，提供了一種安全、高效、靈活和經(jīng)濟(jì)的組網(wǎng)方式，通過VPN的混合技術(shù)，可較好解決了不同區(qū)域教學(xué)資源共享及移動辦公資源共享的具體問題，而且隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善和發(fā)展，VPN技術(shù)將繼續(xù)在校園網(wǎng)，企業(yè)網(wǎng)等多個應(yīng)用領(lǐng)域發(fā)揮其越來越重要的作用。

參考文獻(xiàn)

[1] 黃新民，劉旺泉.VPN技術(shù)綜述[J].計算機(jī)安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龍，張國立.VPN技術(shù)及其發(fā)展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].福建電腦，2007（12）：160-161.

[5] 王達(dá).虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004：25-60.

[6] 周碧英.淺析計算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：17-19.

[7] 彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長春工業(yè)大學(xué)學(xué)報：自然科學(xué)版，2008，29（1）：91-94.

[8] 歐陽崢崢.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系的構(gòu)建[J].2008（4）：115-116.endprint

2.2 VPN校園網(wǎng)組網(wǎng)方案

在設(shè)計VPN校園網(wǎng)過程中，基于職業(yè)院校分校比較多以及共享教職工資源的特征和校園局域網(wǎng)、遠(yuǎn)程用戶的要求，通過將Access VPN及Intranet VPN組合的方式達(dá)到目的。為了讓接入互聯(lián)網(wǎng)的終端用戶可以通過網(wǎng)絡(luò)進(jìn)入到企事業(yè)單位的局域網(wǎng)網(wǎng)絡(luò)資源，Access VPN通過使用點對網(wǎng)的方式實現(xiàn)。該終端通過與局域網(wǎng)內(nèi)部一樣的使用資源的方式來實現(xiàn)資源利用。也可以說是PPP 撥號訪問方式；Intranet VPN是將兩個局域網(wǎng)之間利用因特網(wǎng)聯(lián)接的網(wǎng)對網(wǎng)的方式；就像是一同一個局域網(wǎng)的不同子網(wǎng)，并且兩個局域網(wǎng)中的任意終端均能相互共享對方的內(nèi)部資源。所以，異地之間相互訪問內(nèi)部網(wǎng)絡(luò)可以通過建議不同小區(qū)的局域網(wǎng)來實現(xiàn)。

而VPN混合方案的實現(xiàn)主要是采用基于IPSec的第三層VPN路由器組網(wǎng)方案，是可以在全動態(tài)IP的廣域網(wǎng)上（Internet/城域網(wǎng)），同時支持ADSL，Cable Modem，DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的VPN網(wǎng)絡(luò)。然而，IPsec這種方式也存在一定的問題，這主要取決于VPN的一個主要特點，那就是必須在每一臺機(jī)器上安裝并配置客戶端軟件，才能使用VPN。就IPSes本身來說，它很難用于部署遠(yuǎn)程接入或外部網(wǎng)。針對這種情況，引入一種基于Secure Sockets Layer（SSL）協(xié)議的VPN，它可以安全的替代IPsec VPN。幾乎所有的商業(yè)瀏覽器產(chǎn)品都支持SSL協(xié)議，它的安全性也得到了證實。

SSL是由多個子協(xié)議組成，其中兩個最主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。

（1）握手協(xié)議允許服務(wù)器和客戶端“在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙”。在數(shù)據(jù)傳輸期間。

（2）記錄協(xié)議利用握手協(xié)議生成的密匙加密和解密后來交換的數(shù)據(jù)。

以上兩個協(xié)議的工作原理是這樣的：客戶端會發(fā)送信息給服務(wù)器端特定的TCP端口，請求一個新的握手協(xié)議。這個信息包含了密碼規(guī)格列表，還有客戶端瀏覽器支持的壓縮協(xié)議和客戶端產(chǎn)生隨機(jī)數(shù)。這個隨機(jī)數(shù)是由32位的UNIX timestamp value加上客戶端瀏覽器生成的28位的pseudo-random number組成。服務(wù)器也發(fā)送一個同樣的信息響應(yīng)客戶端，這個信息包括它根據(jù)隨機(jī)數(shù)值（服務(wù)器隨機(jī)數(shù)）選擇的密碼規(guī)格和服務(wù)器對客戶端的認(rèn)證，密碼規(guī)格和客戶端隨機(jī)數(shù)的格式相同。

鑒于以上分析，根據(jù)移動辦公和學(xué)校資源共享的需求，則在VPN的校園網(wǎng)建設(shè)中，提出如下Access VPN和Intranet VPN兩類綜合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的應(yīng)用

我們知道在校外訪問校園網(wǎng)內(nèi)資源的遠(yuǎn)程用戶移動辦公地址不是固定的，因此，遠(yuǎn)程用戶端需通過VPN接入校園網(wǎng)，而遠(yuǎn)程用戶端需安裝使用VPN功能的軟件，配置為隧道開通器，通過ISP接入Internet并訪問校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)和服務(wù)器。也就是要在校園網(wǎng)內(nèi)建立VPN網(wǎng)關(guān)和服務(wù)器，遠(yuǎn)程用戶使用軟件進(jìn)行VPN配置后訪問校園網(wǎng)內(nèi)的VPN網(wǎng)關(guān)及服務(wù)器。對于目前來說， 校園網(wǎng)絡(luò)用戶使用的操作系統(tǒng)平臺多為Windows系列，而Windows 2003 Server中的RAS（路由和遠(yuǎn)程訪問服務(wù)）可以被用來建立使用PPTP或L2TP的VPN 連接，因此，可以選擇在校園網(wǎng)內(nèi)使用Windows 2003 Server建立VPN服務(wù)器及CA認(rèn)證中心，而終端用戶只要在Windows系列的平臺上配置VPN客戶端，便可通過遠(yuǎn)程的VPN服務(wù)器和身份認(rèn)證訪問總部的校園專用網(wǎng)。

2.2.2 Intranet VPN的應(yīng)用

在職業(yè)學(xué)校的主校區(qū)和分校區(qū)之間建立Intranet VPN，可以通過Internet的公共網(wǎng)絡(luò)將其相連，以便學(xué)校的資源共享、信息交流和數(shù)據(jù)傳送。這樣既可以克服使用開放路由器方法時對訪問范圍的限制，也可以對數(shù)據(jù)的傳輸起到保護(hù)作用，還不用租用專線而節(jié)省了開支。學(xué)?？偛恳话銇碇v是數(shù)據(jù)信息存放、處理的中心，及相關(guān)業(yè)務(wù)服務(wù)器集群存放點，因此網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實時性要求高；因此在兩個校區(qū)之間建立Intranet VPN，應(yīng)該采用帶VPN網(wǎng)關(guān)功能的Cisco系列高性能路由器作為接入服務(wù)器。對于實時要求很高的學(xué)校用戶，可以在總部采用兩臺Cisco作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸。通過對兩地路由器進(jìn)行路由、賬戶、地址池及協(xié)議的適當(dāng)配置，在主校區(qū)路由器和分校區(qū)路由器之間建立虛擬專用鏈路，從而實現(xiàn)不同區(qū)域高校的信息資源共享。針對以上描述，以Intranet及Access VPN技術(shù)綜合方案為基礎(chǔ)設(shè)計職業(yè)院校的校園網(wǎng)絡(luò)拓?fù)鋱D，拓?fù)鋱D如圖1所示。

由圖1可知，分校區(qū)與總部利用各自的VPN網(wǎng)關(guān)經(jīng)由Internet與主校區(qū)的VPN 網(wǎng)關(guān)完成校區(qū)與校間互聯(lián)，可實現(xiàn)資源共享和信息交流，出差或在家的教職工使用筆記本電腦或PC機(jī)中內(nèi)置的VPN軟件通過本地ISP連入Internet，采用PPTP或SSL協(xié)議，接入總部，可包括支持CDMA/GPRS及802.11b等無線移動接入，再與主校區(qū)或相應(yīng)校區(qū)的VPN設(shè)備相連來實現(xiàn)移動或家庭辦公；其次，為了保證系統(tǒng)的安全性，在此方案中，在總部設(shè)置CA認(rèn)證中心，加強(qiáng)用戶身份驗證，從而提高VPN虛擬局域網(wǎng)的整體安全，以及學(xué)校職工和學(xué)生的資源共享效率。

3 結(jié)語

VPN技術(shù)作為新興的網(wǎng)絡(luò)技術(shù)，提供了一種安全、高效、靈活和經(jīng)濟(jì)的組網(wǎng)方式，通過VPN的混合技術(shù)，可較好解決了不同區(qū)域教學(xué)資源共享及移動辦公資源共享的具體問題，而且隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷完善和發(fā)展，VPN技術(shù)將繼續(xù)在校園網(wǎng)，企業(yè)網(wǎng)等多個應(yīng)用領(lǐng)域發(fā)揮其越來越重要的作用。

參考文獻(xiàn)

[1] 黃新民，劉旺泉.VPN技術(shù)綜述[J].計算機(jī)安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龍，張國立.VPN技術(shù)及其發(fā)展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].福建電腦，2007（12）：160-161.

[5] 王達(dá).虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學(xué)出版社，2004：25-60.

[6] 周碧英.淺析計算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24（3）：17-19.

[7] 彭晏飛，楊德權(quán).基于VPN技術(shù)的高校校園網(wǎng)建設(shè)[J].長春工業(yè)大學(xué)學(xué)報：自然科學(xué)版，2008，29（1）：91-94.

[8] 歐陽崢崢.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系的構(gòu)建[J].2008（4）：115-116.endprint