虛擬專用網VPN——走出校園的校園網

虛擬專用網（VPN）——走出校園的校園網

江西省贛縣中學 梁峰
[內容提要]：本文主要就虛擬專用網（VPN）在學校校園網中的應用做初淺的探索，提出校園網資源遠程訪問的一種安全、低廉的解決方案，為眾多已建和在建的校園網提供一定的啟發與參考。
[關鍵字]：虛擬專用網、VPN、校園網資源、隧道技術、數據加密算法、路由

近年來，隨著計算機多媒體網絡技術的快速發展、學校信息化建設的加快，校園網已經成為學校信息化建設的重要組成部分。校園網應用在教學過程中，不僅可以改變傳統的教學模式、教學方法和教學手段，而且將會促進教育觀念、教學思想的轉變。豐富的教育資源為教師的教學和學生的學習提供了優良的軟件環境。但為了校園網的安全，學校在校園網建設時，通常是將公網與私網進行物理隔離，使外網無法訪問內網資源。這樣勢必導致住在校外的教師和學生在家中無法使用校園網內部資源。要解決這個問題，虛擬專用網（VPN）就是一種安全、低廉的解決方案。
一、虛擬專用網（VPN）簡介
虛擬私有網絡VPN(Virtual Private Network)是利用公眾網資源為客戶構成專用網的一種業務，這是相對于實際的專有網絡而言的，它是基于Internet/Intranet等公用開放的傳輸媒體，通過加密和驗證等安全機制建立虛擬的數據傳輸通道，以保障在公共網上傳輸私有數據信息不被竊取、篡改，從而向用戶提供相當于專用網絡的安全服務，是目前廣泛應用于電子商務、電子政務、大型企業等應用安全保護的安全技術。VPN有兩層含義：
1、Virtual：它是虛擬的網，即沒有固定的物理連接，網路只有用戶需要時才建立；
2、Private：它是利用公眾網絡設施構成的私有專用網。
虛擬專用網（VPN）代表了當今網絡發展的最新趨勢，它綜合了傳統數據網絡的性能優點（安全和QOS）和共享數據網絡結構的優點（簡單和低成本），能夠提供遠程訪問，外部網和內部網的連接，價格比專線或者幀中繼網絡要低得多。而且，VPN在降低成本的同時滿足了對網絡帶寬、接入和服務不斷增加的需求，因此，VPN的特性決定了它在教育行業的應用前景將非常廣泛。
二、虛擬專用網（VPN）在教育行業的應用前景
虛擬專用網（VPN）用于教育行業的實例很少，其實虛擬專用網（VPN）在教育行業的應用前景也很廣泛，它的安全、低廉的特征很符合教育行業應用高要求、低投入的特性，它在教育行業可應用于以下幾方面：
1、校園網建設
學校建設校園網的目的是為了提供一個先進、開放、實用的計算機網絡環境，進一步提供網上教學、科研活動、學校行政管理信息系統和其他現代化的網絡通信服務，但這些應用僅局限在校園網內部，虛擬專用網（VPN）的應用就可以實現校園網應用的擴展，可以把校園網的各種網絡通信服務延伸到教師和學生家里，教師可以在家中使用校園網內部的教育資源庫進行備課，學生可以從校園網中獲得各種學習資源、實現網上學習。
2、網上遠程教育
網上遠程教育作為一個嶄新的教育形式。將最大限度利用現有教育資源，是實現教育的大眾化、現代化、終身化和國際化的新型教育形式和必然途徑。網絡作為遠程教育的重要載體之一，在應用過程中，網絡的優勢日趨顯現。虛擬專用網（VPN）在這一領域的應用，可以實現跨地域建立一個虛擬專用教學網，使教與學的過程就像在一個內部網中進行，實現遠程教學的開放與安全、自主與協作的和諧統一。
3、教育城域網建設以及“校校通”工程
教育城域網建設是把各個學校零散的校園網組成一個大型網絡，它對于大面積的提高教育教學的質量、充分的共享教育資源、減少教育信息化建設的整體投入起著極大的作用。現今城域網的建設動輒用鋪設專線，租用光纖等高投入的方式，雖然極大的提高了網絡的速度及安全，但這種投入與產出在現階段是不成正比的。虛擬專用網（VPN）作為廉價的解決方案，將是近階段城域網建設最重要的手段之一。尤其在全國“校校通”工程的建設中，虛擬專用網（VPN）有著其它方式不可比擬的優勢。
三、虛擬專用網（VPN）技術詳解
VPN（Virtual Private Network）是采用隧道技術以及加密、身份認證等方法，在公共網絡上構建虛擬專用網絡的技術。
1、虛擬專用網（VPN）的核心——隧道技術
隧道技術是VPN的核心。隧道是基于網絡協議在兩點或兩端建立的通信，隧道由隧道開通器和隧道終端器建立。隧道開通器的任務是在公用網絡中開出一條隧道。多種網絡設備和軟件可以充當隧道開通器：
(1) PC上的Modem卡和有VPN撥號功能的軟件,該軟件已經打包在WINDOWS系列操作系統中；
(2) 客戶端網絡中有VPN功能的路由器；
(3) 網絡服務商站點中有VPN功能的路由器。
隧道終端器的任務是使隧道到此終止，充當隧道終端器的網絡設備和軟件有：
(1) 專用的隧道終端器；
    (2) 網絡中的防火墻；
    (3) 網絡服務商路由器上的VPN網關。
隧道包括點到點和端到端隧道兩種。在點到點隧道中，隧道由遠程用戶的PC延伸到企業服務器，兩邊的設備負責隧道的建立以及兩點之間數據的加密和解密。第二種隧道是端到端隧道，隧道終止于防火墻等網絡邊緣設備，主要是連接兩端局域網。在數據包傳輸中，數據包可能通過一系列隧道，才能到達目的地。
    2、虛擬專用網（VPN）的協議——隧道協議
           虛擬專用網（VPN）技術中的隧道是由隧道協議形成的，正如網絡是依靠相應的網絡協議完成的一樣。虛擬專用網（VPN）使用兩種隧道協議：點到點隧道協議（PPTP）和第二層隧道協議（L2TP）。
(1) 點到點隧道協議（PPTP）：PPTP支持通過公共網絡（如Internet）建立按需的、多協議的、虛擬專用網絡。PPTP可以建立隧道或將IP、IPX或NetBEUI協議封裝在PPP數據包內，因此允許用戶遠程運行依賴特定網絡協議的應用程序。PPTP在基于TCP/IP協議的數據網絡上創建VPN連接，實現從遠程計算機到專用服務器的安全數據傳輸。VPN服務器執行所有的安全檢查和驗證，并啟用數據加密，使得在不安全的網絡上發送信息變得更加安全。通過啟用PPTP的VPN傳輸數據就象在企業的一個局域網內那樣安全。另外還可以使用PPTP建立專用LAN到LAN的網絡。 PPTP協議捆綁在Windows系列操作系統中。在VPN中應用最廣。
           (2) 第二層隧道協議（L2TP）：L2TP是一個工業標準的Internet隧道協議，它和PPTP的功能大致相同。L2TP也會壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協議，同樣允許用戶遠程運行依賴特定網絡協議的應用程序。與PPTP不同的是，L2TP使用新的網際協議安全（IPSec）機制來進行身份驗證和數據加密。
    3、虛擬專用網（VPN）的安全保障——加密和解密技術
VPN技術的安全保障主要就是靠加密、解密技術來實現的，除了用隧道技術確保在兩點或兩端之間建立一條通信專用通道之外，兩邊的設備還必須增加建立于信任關系基礎之上的加密、解密功能，虛擬專用網（VPN）使用的是標準Internet安全技術，進行數據加密、用戶身份認證等工作。
在VPN中，IPsec的安全性是最好的。在建立安全隧道和使用安全策略時，各個過程進行得更加嚴格。IPsec使用了IPsec隧道模式。在這種隧道模式中，用戶的數據包加密后，封裝進新的IP。這樣在新的數據包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務器的地址。
4、虛擬專用網（VPN）的生命——身份認證和安全策略
虛擬專用網（VPN）是一種通過公眾網資源為客戶構成專用網的一種業務，如果安全技術不過關，勢必給黑客造成可乘之機，將給使用它的用戶帶來不可估量的損失，所以說身份認證和安全策略是它的生命。在隧道建立過程中，采取一系列的步驟以保證數據在公共網絡中傳輸的安全性。
(1) 用戶認證：由于VPN跨越了無安全保障的公共網絡平臺，一些非授權的隧道建立請求和冒名連接的闖入不可避免。用戶把姓名、口令通過增強用戶握手認證協議（CHAP—Challenge Handshake Authentication Protocol），發送到ISP網絡。ISP網絡聯系企業RADIUS服務器，進行用戶確認，收到確認后，ISP網絡又以CHAP將應答傳給用戶。同時ISP收到企業服務器發回的用戶IP及子網掩碼分配，以及隧道終端器的IP地址分配。
(2) 進行設備確認：建立安全隧道。隧道開通器使用自己的私鑰進行數字簽名，并發送給隧道終端器，隧道終端器使用隧道開通器的公鑰，對隧道開通器進行簽名確認。反之，隧道開通器對終端器進行確認。然后雙方協商對數據進行加密時使用的算法。
(3) 使用安全策略：下一步確認對本次傳輸的特定用戶采取的安全策略。用戶身份級別越高，消息認證等過程就越嚴格。
               VPN網絡中通常還有一個或多個安全服務器。其中最重要的是遠程撥入用戶安全服務器（RADIUS—Remote Authorization Dial-In User Service) 。VPN根據RADIUS服務器上的用戶中心數據庫對訪問用戶進行權限控制。RADIUS服務器確認用戶是否有存取權限，如果該用戶沒有存取權限，隧道就此終止。同時RADIUS服務器向被訪問的設備發送用戶的IP地址分配、用戶最長接入時間及該用戶被允許使用的撥入電話號碼等。VPN和訪問服務器參照這些內容，對用戶進行驗證，如果情況完全相符，就允許建立隧道通信。
四、虛擬專用網（VPN）校園網應用解決方案
    虛擬專用網（VPN）的基本原理都是一致的，但具體到應用解決方案種類卻很多，選擇一種合適的解決方案決定了學校校園網運行中的安全性、穩定性，同時要考慮投入問題。
1、虛擬專用網（VPN）解決方案的選擇
       針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網（Access VPN）、內部虛擬網（Intranet VPN）和擴展虛擬網（Extranet VPN），這三種類型的VPN分別對應傳統的遠程訪問網絡、內部的以及Intranet和相關內部網所構成的Extranet相對應。
       (1) 遠程訪問虛擬網Access VPN
　　   Access VPN，通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。Access VPN能使用戶隨時、隨地以其所需的方式訪問企業資源。Access VPN包括模擬、撥號、ISDN、數字用戶線路 (xDSL)、移動IP和電纜技術，能夠安全地連接移動用戶、遠程工作者或分支機構。
　　Access VPN由它的特性決定最適用于學校教師住在校園外，通過ISP提供的撥號上網、ADSL等方式在家中接入因特網，再通過VPN撥號軟件連入學校校園網，由校園網中的RADIUS服務器可對教師進行驗證和授權，保證連接的安全，并且無需為此支付額外的費用。
(2) 內部虛擬網Intranet VPN
　　   越來越多的學校從發展的角度考慮，紛紛開發新校區，或兼并其它學校來壯大自己，這樣在校園網建設中就面臨兩個甚至幾個校區網絡互聯的問題，傳統的網絡連接方式一般是租用專線。顯然，租用專線的費用非常昂貴。利用VPN特性可以在Internet上組建跨地域的Intranet VPN。利用Internet的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。Intranet VPN 通過一個使用專用連接的共享基礎設施，連接各校區，它們擁有與專用網絡的相同政策，包括安全、服務質量、可管理性和可靠性。同時這種方式同樣適用于教育城域網建設，用Intranet VPN將所有學校校園網構建成一個大的整體。實現資源的充分共享與信息的自由的交流。
    　　   (3) 擴展虛擬網Extranet VPN　
隨著網絡遠程教育的普及，校園網的應用將越來越傾向于為廣大教師和學生同時提供服務，開展網絡遠程教學、教師網上輔導、學生自主學習和互動學習等功能。Internet為這樣的一種發展趨勢提供了良好的基礎，由于學生在使用網絡時的不確定性，將給校園網的安全運行帶來一定的隱患，而如何利用Internet進行有效的管理，是網絡遠程教育發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet，既可以向廣大學生提供有效的信息服務，又可以保證自身的內部網絡的安全。Extranet VPN通過一個使用專用連接的共享基礎設施，將廣大師生連接到校園內部網，Extranet VPN并不是真正意義上的開放,它可以提供充分的訪問控制，但同時使得學生遠離校園網內部資料;Extranet VPN結構的主要好處是，能容易地對外部網進行部署和管理，學生的接入可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。學生計算機可通過與教師不同的接入許可，連接至校園網內部，實現校園內部網的安全管理。
    2、實戰虛擬專用網（VPN）
       (1) 基于專用VPN硬件的系統解決方案：
基于硬件的VPN產品一般為VPN路由器。VPN 路由器是一個高度集成化VPN解決方案，它結合了業界領先的高速路由技術及VPN 服務套件。VPN 路由器集成了 VPN 隧道的關鍵特性如：數據加密、安全、高級帶寬管理和服務級確認，基于VPN路由器的系統解決方案優點在于：解決方案簡單、設備投入低以及高安全性，因為他們把密鑰存儲在設備內的芯片里，所以他們的安全性比其它解決方案好。圖1為基于VPN路由器的Access VPN應用解決方案；圖2為基于VPN路由器的Intranet VPN應用解決方案拓撲圖。
圖1:基于VPN路由器的Access VPN應用解決方案拓撲圖

圖2:基于硬件VPN路由器的Intranet VPN應用解決方案拓撲圖
(2) 基于含VPN功能防火墻的系統解決方案：
基于防火墻的VPN充分利用防火墻的安全機制，包括對內部網絡的訪問限制。它還執行地址轉換，符合強認證要求，發出實時警報，并提供廣泛記錄功能。在什么情況下最好選擇基于防火墻的VPN？當遠程用戶或網絡有可能不友善時最好使用這種產品。網絡管理員建立一個所謂的停火區網段，一般在防火墻使用一個第三方接口，配以之間的訪問控制規則。黑客可能會進入停火區，但他們不能破壞內部網段。對于純內部網來說，使用基于防火墻的VPN很經濟，而且易于加固和管理。基于含VPN功能防火墻的系統解決方案的拓撲圖與使用VPN路由的解決方案不同僅在于設備本身不同，網絡結構基本相同，如圖3

圖3：基于VPN防火墻的應用解決方案內部網拓撲圖
(3) 基于獨立VPN軟件（VPN服務器）的系統解決方案：
基于獨立VPN軟件的系統解決方案優點是更為靈活。硬件產品一般不是根據協議給所有通信量建立相應的隧道，而軟件產品根據地址或協議建立隧道。如果遠程站的混合通信量的一部分通過VPN傳輸，而另一部分不通過VPN傳輸，根據通信量類型建立隧道有好處。在性能要求不高的情況下（例如用戶采用撥號連接），軟件產品可能是最好的選擇。而且WIN2000操作系統本身就集成了VPN遠程訪問服務器，可以在校園網現有設備基礎上實現，無需另處增加設備，但基于軟件的系統存在的問題是通常難以管理，配置上可能較為復雜。這要求管理員熟悉服務器的操作系統、應用程序以及適當的安全機制。如圖4，VPN服務器其中一根與主交換機公網VLAN相連，一根接在私網VLAN上。
  
圖4：基于獨立VPN軟件的系統解決方案內部網拓撲圖
圖4中VPN服務器可選用微軟WINDOWS2000的虛擬專用網（VPN）遠程訪問服務器作為VPN軟件，使用它的好處在于：一般校園網操作系統選用的WINDOWS2000，無需另外投入購買軟件，而且客戶端軟件在WINDOWS系列操作系統中均內置有相應的撥號軟件，減少客戶端建設的工作量。在部署虛擬專用網（VPN）遠程訪問服務器時，決定在網絡的什么位置部署服務器，特別要考慮與防火墻和其他網絡資源的部署位置之間的關系。在撥號遠程訪問設計中，服務器通常位于防火墻的后面。因為 VPN 設計包含 Internet 連接，所以服務器與防火墻的相對位置是一個非常重要的問題。VPN 遠程訪問設計最常見的配置是將 VPN 服務器放在防火墻后面。在這種配置中，防火墻連接到 Internet 上，而 VPN 服務器是連接到周邊網絡的 Intranet 資源。VPN 服務器在周邊網絡和 Intranet 上都有一個接口。Internet 防火墻（Internet 和 VPN 服務器之間的防火墻）過濾來自 Internet 客戶端的所有通信。Intranet 防火墻（VPN 服務器和 Intranet 之間的防火墻）過濾來自 VPN 客戶端的所有 Intranet 通信。
五、我選用的應用解決方案
我校校園網現已基本建設完成，但在網絡設計初期沒有考慮到虛擬專用網（VPN），所以沒有采購集成VPN功能的設備，在網絡使用中感覺到虛擬專用網（VPN）的必要性。而需要在現有網絡上實現VPN服務又不增加設備投入，則基于獨立VPN軟件（VPN服務器）的系統解決方案就成了我的首選。現將我校虛擬專用網（VPN）建設過程總結如下：
1、我校網絡情況介紹
我校校園網是基于三層交換結構的網絡，通過三層交換將整個校園按樓棟劃分了若干子網，大致網絡結構如圖5所示，光纖收發器光轉電后接入三層交換機中劃出的5口的公網靜態IP用的VLAN，其中一口連接至防火墻的外網端口，從防火墻內網端口連接至交換機提供給整個校園網各子網的上行端口，防火墻的停火區端口連接至WEB服務器。內部資源服務器與交換機相連。

2、部署配置VPN 遠程訪問服務器
(1) 作為VPN遠程訪問服務器條件是：
首先必須擁有一個公網的靜態IP地址，只有這樣遠程訪問才有“址”可循；
其次服務器需要配置兩個連接，一個用于Internet連接，一個用于Intranet連接，可通過安裝兩塊網卡分別指定內、外網IP地址來實現。有了以上兩個條件，就可以將您的服務器配置為虛擬專用網VPN 遠程訪問服務器了。
(2) 啟用VPN 遠程訪問服務器：
在WINDOWS2000服務器集成了程序，在“管理工具”中可以找到，啟動“路由和遠程訪問”。
(3) 配置VPN 服務器上TCP/IP
外網IP地址為公網的靜態IP地址（如：我校所用的218.87.XXX.XXX）,內網IP地址可設置為與VPN要訪問的校園網同一個網段（如我校內部資源服務器IP地址為192.168.1.1,那么VPN服務器內網卡IP地址可設置為192.168.1.XXX），也可設置在不同網段，通過添加路由的方式來實現VPN服務器與內部資源服務器互通，在與 VPN 服務器之間傳送數據包時，Internet 和 VPN 服務器之間的 NAT 將發布的 IP 地址轉換為專用的 IP 地址。由于與自動配置 TCP/IP 有關的路由問題，建議不要將 VPN 服務器配置為 DHCP 客戶端。而是手動在 VPN 服務器的 Intranet 接口上配置 TCP/IP。使用默認網關配置 VPN 服務器的 Internet 接口。不要使用默認網關配置 VPN 服務器的 Intranet 接口。
(4) 配置VPN 服務器上路由
要使 VPN 服務器能夠將通信正確地傳送到 Intranet 中的各個位置，必須給它配置以下設置之一：匯總 Intranet 中所有可能 IP 地址的靜態路由或者使 VPN 服務器能夠用作動態路由器的路由協議，該協議自動將 Intranet 子網的路由添加到其路由表中。
一般情況VPN客戶端（住在校外的教師）進入Intranet后，只允許對校園網中內部資源服務器進行訪問，所以在我校虛擬專用網（VPN）建設中，VPN服務器內網IP與內部資源服務器處于同一網段，這樣省去很多關于路由方面設置的麻煩。
3、部屬 VPN 客戶端
在部屬VPN客戶端時，由于選用的是基于WINDOWS2000虛擬專用網（VPN）遠程訪問服務器軟件，所以在客戶端只需使用WINDOWS系列操作系統集成的VPN撥號軟件即可。以現在最流行的操作系統WINDOWS XP為例，具體實施過程如下：
(1) 建立虛擬專用網絡連接
在“控制面板”中打開“網絡連接”，“創建新的連接”，在新建連接向導中選擇“連接到工作場所的網絡”，選擇“虛擬專用網絡連接”，根據提示輸入連接名稱、IP地址（VPN服務器外網卡地址），最后輸入用戶名與密碼，就建好了VPN連接。
實際上客戶端的設置遠不止這些，比如安全策略，路由等，由于我校建設VPN的目的是為了教師可以遠程訪問并使用內部資源服務器的資源，為了降低教師在家中的VPN連接設置的難度，所以就不再做其它設置。
(2) 使用虛擬專用網VPN
在使用前應先使用ADSL或其它方式撥入Internet，在使用虛擬專用網絡連接撥入校園網內部，現在就可以坐在家中使用校園網內部的資源了，實際上無論你身處何地，只要你的計算機能夠連入Internet，就可以通過虛擬專用網（VPN）進入校園網內部，就如同實際連接到校園網的 Intranet一樣。
圖6虛擬專用網（VPN）建設完成后我校網絡拓撲圖
總之，虛擬專用網（VPN）在教育行業的應用前景非常廣泛，一旦它在學校成功運用，就像是為校園網插上了一對翅膀，成為一個能走出校園的校園網，如果在“校校通”工程上用好虛擬專用網（VPN），將為“校校通”的早日實現做出巨大的貢獻。

【虛擬專用網VPN——走出校園的校園網】相關文章：

VPN幫你輕松實現虛擬專用網08-06

校園網站設計08-06

校園網站設計08-06

校園網的建設與管理08-17

校園網設計與建設08-17

校園網絡管理初探08-07

走出校園作文11-28

走出校園作文03-08

VPN技術綜述及應用08-06