吳義三

湖北省咸寧職業(yè)技術學院(咸寧 437100)

VPN(Virtual Private Network，虛擬專用網)能夠借助公共網絡(一般為互聯(lián)網)建立安全的連接，可以使遠程用戶通過Internet 安全的連接到企業(yè)內部的局域網，可對企業(yè)內部的網絡資源信息進行訪問。虛擬專用網能夠幫助協(xié)助遠距離用戶、公司分支組織、商業(yè)合伙人等，經過互聯(lián)網在每一個內部網絡之間設置能夠互信的安全網絡連接，并保障相關數據的傳送安全[1]?；赩PN 架構中，遠程用戶客戶機可以像其他位于內部網絡的客戶機一樣連接到企業(yè)的網絡中完成公務。

1 VPN 網絡

VPN 是一種設立在公共網絡的專用網絡的技術。虛擬專用網VPN 穿越專用網絡和公用網絡(如Internet)在VPN 客戶端與VPN 服務器之間建立邏輯連接，這不是直接的物理連接，但這是安全的點對點的連接。VPN 客戶端對VPN 服務器上的虛擬性端口上實行虛擬性呼叫，訪問遠距離服務器應答虛擬性呼叫，并可對呼叫者身份實行驗證，身份驗證通過后建立連接，然后在VPN 客戶端與VPN 服務器之間傳輸數據，通過該連接所發(fā)送的數據以加密方式傳輸。

遠程訪問VPN 連接使在家中或路途工作的用戶可以隨時使用Internet 訪問企業(yè)專用網絡上的服務器，VPN 客戶端與VPN 服務器之間使用基于TCP/IP 的隧道協(xié)議連接，如圖1 所示。從用戶的角度來看，VPN是客戶端與企業(yè)服務器之間的點對點連接。VPN 以邏輯形式出現(xiàn)，仿佛數據通過專用鏈路發(fā)送一樣[2]。

2 VPN 網絡監(jiān)控系統(tǒng)的需求分析

2.1 VPN 連接的身份驗證

VPN 連接的身份驗證采用三種不同的形式：

(1)使用PPP 身份驗證的用戶級身份驗證。為了建立VPN 連接，VPN 服務器使用點對點協(xié)議(PPP)用戶級身份驗證方法對正在嘗試連接的VPN 客戶端進行身份驗證，并驗證VPN 客戶端是否擁有相應的授權。如果使用相互身份驗證，VPN 客戶端也將對VPN 服務器進行身份驗證[3]。

(2)運用Internet 密鑰互換(IKE)的電腦級的身份驗證。為能夠設立 Internet 協(xié)議安全 IPsec(Internet Protocol Security)的安全連接，VPN 客戶端和VPN 服務器使用IKE 協(xié)議交換計算機證書或預共享密鑰。以這種方式連接，VPN 客戶端和VPN 服務器都在計算機級別進行相互身份驗證。強烈建議使用計算機證書身份驗證，因為這種身份驗證方法其安全性要強大得多。在Windows Server 2008 中對L2TP/IPsec 連接執(zhí)行計算機級身份驗證。

2.2 VPN 的數據加密

為了保證數據在共享傳輸網絡或公用傳輸網絡上傳遞過程時數據信息的保密性，由傳遞方實行對數據的加密處理，由收取方對接收數據實行解密處理，發(fā)送方和接收方使用通用加密密鑰，加密和解密過程的完成依賴于收發(fā)雙方。

不具有能夠運用通用加密性密鑰資質的用戶，即便對在經過VPN 連接的傳送網絡傳送的數據包進行了截取，也不能夠解析相關數據。作為主要的安全參數的加密性密鑰的長度，顯得異常重要的是應該運用最大化的密鑰來保障傳送的數據保密性。但是，這種方法隨著加密密鑰的增大，加密和解密的速度會降低，就需要更強的計算能力和更多的計算時間，因此要根據實際情況權衡，選擇適當的密鑰長度。

3 VPN 網絡監(jiān)控系統(tǒng)的設計

為何要稱為虛擬網，主體是由于完整VPN 網絡的隨意兩個節(jié)點中間的連接并無固有專網中所需要的從端到端的物理鏈路，卻是構架在公共網絡服務商所供給的網絡平臺(如國際互聯(lián)網絡Internet，ATM，F(xiàn)rame Relay 等)之上的邏輯性網絡，用戶數據信息傳輸通過邏輯鏈路來完成。并經過VPN可以模擬點對應點專線鏈路的形式，經過同享或公共網絡在兩臺電腦中間進行數據交換。虛擬性的專用聯(lián)網則是創(chuàng)立和設置虛擬性專用網的做法。需要進行模擬點對應點鏈路的方式，應該包裝或壓縮或數據信息，并贈添上一個供給路由信息所使用的報頭，此報頭能夠使數據信息經過共享或公共網絡抵達其終端。為起到安全保密性的功效，倘若要進行模擬專用性鏈路通道，則還應對數據信息進行加密處理。只需進行了加密處理，如果不知曉密鑰數據，即便自同享或是公共網絡對數據包進行了截取，也是很難解密的。封裝和加密專用數據之外的連接是VPN 連接。在家里或者旅途中工作的用戶可以使用VPN 連接建立到企業(yè)內網的服務器的遠程訪問。

對監(jiān)視器有效用的管控信息是由代理匯集和保存的，然則代理如何將此類信息傳遞給監(jiān)視器呢? 有兩類技術可使用在代理和監(jiān)視器中間的通信過程當中。一類稱為輪詢(Polling)，一類稱為事件匯報(Event Reporting)。輪詢是一類要求呼應式的交結功用，即從監(jiān)視器對代理發(fā)出要求，問詢其要需求的信息數值，代理再來呼應監(jiān)視器的要求，從其所存儲的管控信息資源庫中獲取要求的相關信息，再次回傳給予到監(jiān)視器。請求可以采用各種不同的形式，例如列出一些變量的名字，要求代理返回變量的值：或者給出一種匹配模式，要求代理搜索與模式匹配的所有變量的值；監(jiān)視器可能要查詢它所管理的系統(tǒng)的配置，或者周期地詢問被管理系統(tǒng)配置改變的情況；監(jiān)視器也可能在收到一個報警后用輪詢方式詳細調查某個區(qū)域的真實情況，或者根據用戶的要求通過輪詢生成一個配置報告。

事件報告是由代理主動發(fā)送給管理站的消息。代理可以根據管理站的需求(期間、形式等)限定時間地傳送狀況匯報，也或許在檢驗到某類特殊限定的事情(例如型態(tài)變化)或非尋常事情(例如產生故障)時生成事態(tài)匯告，傳送給予管理站。事件報告對于及時發(fā)現(xiàn)網絡中的問題是很有用的，特別對于監(jiān)控狀態(tài)信息不經常改變的管理對象更有效。

路由即是指經過互相連接的網絡， 將數據信息自起源位置轉移 到目的位置的行動。普遍 而言，在對路由的進程中，最少會通過一個或多個中段節(jié)點來傳送數據信息。經常，人們會將路由過程和互換過程作為對比，這關鍵是由于在一般用戶認為兩者所達成的功能是全部相同的。實際上，路由和互換彼此的重要區(qū)分即是互換產生在OSI 參照模型的第二層級(即數據的鏈路層級)，而路由則產生在第三層級，即網絡層級。

路由器作為互聯(lián)網中的重要節(jié)點設置。路由器經過路由確定數據信息的轉化發(fā)送。轉化發(fā)送策略被稱之為路由抉擇(Routing)，此亦是路由器稱謂的來源(由英文Router 翻譯而來)。作為相異網絡之間互相聯(lián)結的關鍵，路由器系統(tǒng)組成了基于TCP/IP 之上的國際互聯(lián)網絡Internet 的主要分布網絡，也能夠說，國際互聯(lián)網絡Internet 的骨架是由路由器所組成。其處置速率 是網絡通信當中的重要桎梏之一，其真實性則直接對網絡互聯(lián)的品質產生著影響。由此，現(xiàn)今在各類的園區(qū)網、地域網，甚至整體的國際互聯(lián)網絡Internet探究范圍中，路由器技術一直處在核心位置，其進展過程及目標，作為整體的國際互聯(lián)網絡探究的一種寫照。

4 結論

VPN 連接可以讓用戶訪問網絡，也可以提供兩臺路由器之間的連接。它具有很強的靈活性，并且只需要每一方都有網絡連接、VPN 軟件、必要的協(xié)議以及相同的加密機制，一旦VPN 連接建立起來，用戶就可以像撥號那樣訪問目標網絡的資源。

[1]趙菁.基于量子密鑰的VPN 密鑰管理模型研究[J].計算機安全,2014,(02).

[2]單家凌,謝志成,趙崇聶.基于SSL 技術的VPN 網關在無線網絡中的應用[J].計算機系統(tǒng)應用,2014,(02).

[3]姚汝,肖堯.網絡安全技術在校園網中的應用研究[J].網絡安全技術與應用,2014,(01).