劉晉州

摘要：VPN（虛擬專用網(wǎng)絡）通過公用網(wǎng)絡Internet建立安全、穩(wěn)定的連接。很多企事業(yè)單位借此進行內部網(wǎng)的擴展，提供網(wǎng)絡接入。該文首先對VPN原理進行了解析，對幾種基于VPN的實際運用進行了比較，在此基礎上，以某校園網(wǎng)為例，從適用性、管理性與安全性三個方面，對VPN的計算機虛擬網(wǎng)絡技術實際應用進行了介紹。

關鍵詞：VPN；技術原理；應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）07-0049-02

1 VPN技術原理

1.1 VPN定義

VPN是英文全稱Virtual Private Network 的縮寫，譯為漢語即“虛擬專用網(wǎng)絡”。它不需要真正的光纜線路，只是借用Internet連接，加上特殊的加密的通訊協(xié)議而為內部設置的一條專有通訊線路。在這條線路上傳輸?shù)男畔?，實現(xiàn)了完整性與真實性，又保證了私有性。

1.2 VPN工作原理

如何滿足用戶需求呢？通過IPsec協(xié)議棧，從而產生一個和諧的安全框架，有Internet的密鑰交換（IKE）、負載安全封裝（ESP）及認證頭（AH）協(xié)議，該協(xié)議保證了VPN的機密性、完整性、源認證及防重放的四大功能。以VPN的機密性為例：VPN采用的加密算法一般是DES和3DES.兩者都是20世紀的產物，前者由IBM開發(fā)研制的，有效密鑰長度為56位；后者由NIST在DES的基礎上所創(chuàng)建，有效密鑰長度為168位；2002年NITS采用了最先進的AES數(shù)據(jù)塊加密算法，目前是IPsecVPN中最常用、最安全的算法。

2 VPN技術應用實踐

信息化的快速發(fā)展，為了實現(xiàn)資源優(yōu)化整合，很多學校都建立了校園網(wǎng)。為了保證網(wǎng)絡安全，防止電腦黑客入侵，運用VPN技術可以在基于公共互聯(lián)網(wǎng)的校園網(wǎng)中較好地解決校園網(wǎng)多網(wǎng)區(qū)，遠程訪問及管理等問題。即通過VPN技術，在校園網(wǎng)里，將校內外人員直接連接到校園局域網(wǎng)。VPN技術可以實現(xiàn)辦公自動化，無論校園有多少信息點，都可以連至于INTERNET用戶。使用VPN技術，校園網(wǎng)可以降低使用費，通過當?shù)氐腎SP申請賬戶登錄到Internet，以此為通道與校園內部網(wǎng)絡相連，可以降低通信費用?，F(xiàn)以某高校為例，論證一下VPN技術的應用。

2.1 校園網(wǎng)VPN方案設計

校園網(wǎng)給師生帶來資源共享的便利，但安全風險隱患很大，如非法授權訪問，信息泄漏或丟失，以非法手段刪除、修改或插入某些信息，干擾網(wǎng)絡服務系統(tǒng)，利用網(wǎng)絡傳播計算機病毒等等。VPN的通道協(xié)議、身份驗證和數(shù)據(jù)加密的安全功能可以消除上述安全風險。校園網(wǎng)內的VPN服務器接收到遠程外網(wǎng)客戶機的請求后，會對其進行身份質詢，然后根據(jù)用戶數(shù)據(jù)庫檢驗客戶機發(fā)出的加密信息，檢驗合格方接受此連接，然后即可在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)，達到私有網(wǎng)絡的安全級別。具體運行方案如圖1所示。

在具體操作方面，IPsec VPN和SSL VPN是目前校園網(wǎng)VPN方案采用最廣泛的安全技術，但是兩者還是有區(qū)別的，即前者比較適合校園網(wǎng)內分校與分校的連接；后者比較適合校園網(wǎng)與外網(wǎng)的連接。學校要根據(jù)自己的實際情況與現(xiàn)實需要來進行選擇。

2.2 VPN在校園網(wǎng)的應用

采用VPN技術，校園網(wǎng)首先可以降低使用費，用戶通過申請的賬戶可以遠程登錄到Internet，然后與校園內部專用網(wǎng)絡連接就以Internet為通道，這樣就大大降低了通信費用，相應的，學校購買和維護通信設備的費用也節(jié)省了。如果學校設有分校的話，利用VPN服務器，可以對分校進行Web通訊控制，實現(xiàn)各分校訪問互通。以圖書管理為例，為了師生共享圖書資源，采用VPN加密技術，數(shù)據(jù)在Internet中傳輸時，IP地址會被Internet上的用戶看到，但是數(shù)據(jù)包內包含的專用網(wǎng)絡地址卻看不到。這樣既保證了校園圖書館的資源共享，又確保了校園圖書資源的安全性（見圖2）。

2.3 VPN在校園網(wǎng)的接入方式

校園網(wǎng)根據(jù)自身條件不同，網(wǎng)絡接入方式也各有千秋。從模擬電話、ISDN、ADSL撥號上網(wǎng)到光纖、DDN、幀中繼等專線上網(wǎng)都存在。本應用實踐是基于IP、IPX及NetBUI協(xié)議的網(wǎng)絡中的客戶機。

某高校共有兩個校區(qū)，彼此通過新校區(qū)的Cisco6513和老校區(qū)的Cisco6509

萬兆相連。選擇CISCO VPN安裝在 Cisco6513上，則VPN配置如下：

啟動aaa，將radius服務器的用戶認證和cisco組本地用戶授權配置打開：

aaa new - model

aaa authentication Iogin default group radius local

aaa authorization network cisco local

使用3des加密與共享密鑰，遠端VPN用戶定義crypto和用group2產生密鑰配置

crypto isakmp policy1

encr 3des

authentication pre-share

group 2

接下來創(chuàng)建組驗證的用戶名及密碼，然后分派DNS地址，指定分配范圍配置：

crypto isakmp invalid-spi-recovery

crypto isakmp keepalive 10

crypto isakmp nat keepalive 15

crypto isakmp quqth timeout 45

crypto isakmp client configurtion gurup cisco

key cisco

dns 202.194.126.10 202. 194.126.03

Pool remote-pool

Acl 101

最好創(chuàng)建一個合成的map，然后配置如下：

Crypto map client-map client auauthentication Iist default

Crypto map client-map isakmp auauthentication Iist cisco

rypto map client-map client configuration address respond

rypto map client-map ipsec-isakmp dynamic dynmap

3 小結

本文對技術方面談及頗少，因為很多同行大多都熟悉操作。僅此例說明，作為校園網(wǎng)安全及實用原則，本設計方案既顧及到了網(wǎng)絡設備的遠程管理，又顧及到了校內外用戶訪問網(wǎng)絡資源問題。實踐驗證，運用VPN技術，在遠程訪問、內外部連接方面會起到一定的安全保障作用。

參考文獻：

[1] 安計勇，夏士雄.基于IPSEC協(xié)議的MPLS VPN的實現(xiàn)[J].計算機與信息技術，2010（Z1）.

[2] 鄭智飛.VPN技術在多校區(qū)網(wǎng)絡互聯(lián)中的應用及安全性研究[J].青島職業(yè)技術學院學報，2010（1）.

[3] 劉麗娟.MPLS VPN技術及其在校園網(wǎng)建設中的研究[J].電腦知識與技術，2010（4）.