ＶＰＮ在校园网网络服务中的应用

【摘要】  　　目的 在校园网中应用VPN技术，突破了校园网中应用服务的地域限制，优化了校园网管理及应用。方法 运用VPN技术对校园网应用服务进行扩展。结果 运用VPN技术可以充分利用互联网扩展校园网应用服务。结论 应用VPN技术消除地域限制,扩展应用服务是可行的。

【关键词】  VPN;校园网;网络服务;应用

　　The Application of ＶＰＮ in Campus Network Service

    YANG Mu,CHEN Jun,SHU Hui

    (Center of Educational Technology,Chengdu Medical College,Chengdu 610083,China)

    Abstract：Objective To apply the VPN technique in the campus network,break through the restrict of service region in the campus network and optimize the campus net management and the application. Methods Making use of the technique of VPN to apply the service to carry on the expanding of the campus net.Results Making use of the technique of VPN could make use of the Internet to expand the campus net application service well.Conclusion VPN could remove the region restrict and expand the application service.

    Key words：VPN;campus network;network service;application

     随着高等院校建设规模的不断扩大，许多高校都建立了新校区，形成了地理上比较分散的高校格局，由此引发的不同校区之间如何安全地进行校园网的信息共享和交流、在外出差或学习的教职工如何访问学校的内部网络资源、如果不区分具体情部都采用光纤直接连接必然投资成本较高，然而随着网络技术的发展采用VPN（Virtual Private Network）［1］是一种比较好的实现方法，分校区可以通过专线或拨号等通过公网实现连接。通过使用VPN技术构建远程虚拟专用网络，则可借助公共互联网，用更低的成本，更安全、更高效地将学校总部和各分校区联结在一起。虚拟专用网是对原校园网的扩展，它可以帮助远程用户、分校区间建立可信的安全连接，并保证数据的安全传输。虚拟专用网VPN 正是满足这种要求的解决方案，它代表了Internet发展的一个重要方向。

    1  VPN的原理及特点

    1.1  虚拟专用网（VPN）包含两层含义

    1.1.1  它是虚拟的网，即没有固定的物理连接，只有用户需要时网路才会建立；

    1.1.2  它是利用公众网设施（如Internet）构成的专用网。

    VPN是运用加密的IP隧道，实现私有IP包和其它网络协议（如IPX，NetBEUI）包在Internet上的传输，从而实现位于广域网（WAN）上的不同LAN 的各种协议的虚拟连接如图1所示。VPN 兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活，高效结合在一起，是介于公众网和专用网之间的一种网［2］。虚拟专用网（VPN）是使得远程端点之间可以通过公共分组交换网络实现相互之间的连接。通过在公共分组交换网络中建立隧道，并通过隧道实现两个远程端点之间的点对点连接，使其效果、安全性和采用专用线路实现点对点连接一样。对于VPN，每一个端点只需和本地ISP建立物理连接，这种物理连接可以采用专用线路实现，但由于端点和本地ISP之间的距离一般较短，其通信费用和两个端点之间的远距离专用线路相比，要便宜很多，尤为可贵的是，不管和多少个远程端点建立隧道连接，端点用户设备和本地ISP之间的物理连接只需一条。虚拟专用网可以利用廉价的电话网、校园网，也可以利用IP网络、帧中继网络FR（Frame Relay）和ATM网络来建设。VPN具有和专线网络同样的可靠性、安全性、可管理性等特点，除此之外，还有高效、易扩展等特点，再加上Internet本身的开放性，VPN将成为下一代Internet发展的关键技术。

    图1  VPN工作原理

    Fig.1  The operating principle of VPN

    1.2  VPN的优点［3］1.2.1  VPN降低了成本  VPN通过本地ISP减少了长途费用和租用线路费用；同时支持通过拨号访问外部资源，使单位可以利用本地话费进行长途业务的处理。构建VPN还可以继续使用传统的设备，保护了用户在现有硬件和软件上的投资。

    1.2.2  VPN简化了网络设计  网络管理员可以使用VPN代替租用线路来实现单位各分支机构的连接，这样就可以对远程链路进行安装、配置和管理，极大地简化了广域网的设计。完全控制主动权。VPN上的设施和服务完全掌握在单位手中。例如，单位可以把拨号访问交给网络服务商去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

    1.2.3  VPN增加了灵活性  使得高校能够在公用通信网络中灵活、安全地进行数据交换，实现信息资源的充分利用，可以非常方便地访问教育网资源。

    2  构建VPN的关键技术

    虚拟专用网主要采用了4项技术来保证安全，这4项技术分别是隧道技术(Tunneling)、加解密技术(Encryption &Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。其中隧道技术是核心，其它三种是用来加强隧道技术的。隧道技术利用互联网络框架结构，把数据从一个网络传送到另一个网络。被传送的载荷可以是其它协议的分组或数据帧。隧道协议用另外附加的报头封装数据帧。附加头中提供了路由信息，于是被封装的载荷可以在中间的网络中传送。常用的隧道协议有［4］：点到点隧道协议（PPTP），在IP网络上传送IP、IPX、NetBEUI数据流；第二层隧道协议（L2TP），在任何支持点到点数据报传递的媒体上传送IP、IPX、NetBEUI数据IPSec协议，在IP网络上传送经过加密、再次封装的IP数据流，即通常所说媒体上传送IP、IPX、NetBEUI数据的IP In IP。在Internet或国际互联网工程工作组(IETF)制定的IPSec标准下，在公众网中形成单位的安全、机密、顺畅的专用链路。当前构建VPN大多都是用IPSec协议。IPSec协议族提供了一种标准的、健壮的及内容广泛的安全机制，可用它为IP层及上层协议(TCP、UDP)提供安全保证。IPSec协议族提供了2种安全协议：认证头(AH)如图2所示和封装安全负荷(ESP)如图3所示，其中AH为IP提供无连接的完整性，数据源认证和可选的、有限的抗重放服务；ESP除了具有AH的所有能力外，还对数据包提供机密性保护。AH 和ESP都支持2种不同的应用模式：传输模式和隧道模式．其中传输模式是对封装在IP数据包中的上层协议(TCP、UDP)提供安全服务，一般用于主机到主机的保护；隧道模式是对整个IP数据包提供安全服，用于网关到网关的保护。ESP和AH提供的安全保证依赖于它们使用的加密算法，常用的散列算法有HMAC,MD5和SHA等。

    我们采用第二种方法建立VPN。因为校园网是地理位置囿于校园内的计算机网络，它通过CERNET或CHINANET与Internet相连，它有运行于Internet的公网IP地址，有自己的路由设备、网络管理和维护机构，对校园网络有很强的自主管理权和技术支持。所以，在校园网基础上建立VPN完全可以不依赖于ISP，学校自身进行建设。这样可以有更大的自主性，也可以节省经费。具体方案校园网中使用VPN技术，无外乎有两个目的：多校区间进行无缝链接；校园网认证用户可以远程访问校园网。以上面第一个目的为例，说明如何构建一个校园网。在多个校区之间建立VPN，策略上允许两地间的所有用户互访，像在一个网络内一样。安全性级别可以不要求太高， 因为安全级别越高，开销越大， 数据通信传送也就越困难，尤其在很多用户使用VPN网络时。尽管IPSec和L2TP的安全性比PPTP的安全性要高，而使用PPTP则更容易实现，所以在两个校区之间的VPN连接采用使用PPTP协议的VPN。结合现有的网络结构，在两地之间建立VPN，需要在两端的VPN设备中配置路由，使所有到对方校区的访问通过VPN。虽然鉴于校园网用户大多使用的是Windows系统平台，可以利用Windows系统在两地分别建立VPN路由。

    3  具体方案

    在实例中我们以windows2003为VPN拔入服务器其主要配置见图4。

    图4  路由和远程访问的配置

    Fig.4  Configuration of route and remote visit

    3.1  windows 2003VPN服务端安装配置

    在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

    3.1.1  依次选择“开始”——“管理工具”——“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名，选择“配置并启用路由和远程访问”，如图4所示:

    3.1.2  在出现的配置向导窗口点下一步，进入服务选择窗口，如图5所示。如果你的服务器如某些资料所说的那样只有一块网卡，那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的，如果你服务器有两块网卡，则可有针对性的选择第一项或第三项。然后一路点击下一步，完成开启配置后即可开始VPN服务了。

    图5  自定义配置

    Fig.5  Definition configuration

    3.1.3  到这里还没完，以上两步只是开启了VPN服务，还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题，右击右边树形目录里的本地服务器名，选择“属性”并切换到IP选项卡如图6所示。

    图6  IP范围的设定

    Fig.6  The definition of IP scope

    注意:如果你的internet拉入方式为宽带路由接入即DHCP方式，那就不需要改，不过根据笔者的经验，采用DHCP动态IP的网络速度相对较慢;而使用静态IP可减少IP地址解析时间，提升网络速度，其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段，也可自行定义，比如常见的局域网段“192.168.0.X”。

    3.1.4  我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。

    3.2  VPN客户端配置

    这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接着笔者同样以windows xp客户端为例说明，其它的win2K操作系统设置都大同小异。

    3.2.1  在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在如图7所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。

    图7  选择连接类型

    Fig.7  Type of choice conjunction

    最后，为方便操作，可以勾选“在桌面上建立快捷方式”选项，单击完成即会先出现VPN连接窗口。输入用户名密码，并等待服务器验证如图7所示。连接成功后在右下角状态栏会有图标显示。

    3.2.2  在“VPN服务器选择”窗口里，输入的是VPN服务端的IP地址如图8所示。

    图８  设定服务器IP

    Fig.8  Set the server IP

    4  结束语

    随着VPN技术的发展，VPN产品已广泛地应用于旅游、保险、连锁经营、政府机构和远程教育中，并得到了良好的运行和稳定的工作。VPN技术为校园网的建设提供了高度的灵活性和可靠的网络安全管理手段，显示出独特的优点。利用VPN技术，根据不同需要实施不同策略，统筹规划，科学设计，可以建设稳定性好、管理性强、安全性高的超大型校园网络。因此，本文提出的以VPN技术为基础的校园网的构建策略，为在多校区环境下，组建实用、高效、先进、安全，能满足多种业务需求的综合性校园网提供了一套可行的解决方案。

【参考文献】
  ［1］Jones A，Ohlund J．Network Programming for Mi—crosoft Windows(Second Edition)［M］．北京：清华大学出版社，2002：10-12．

［2］Rich Hehon，Johennie Hehon．Java Security Solutions［M］.北京：清华大学出版社，2003:75-77.

［3］Jeffrey Richter,Windows核心编程［M］．北京：机械工来出版社，2000：274－285．

［4］Joncs A.Ohlund J.Network Programming for Microsoft Windows(Second Edition)［M］．北京：清华大学出版社.2002：10.

［5］Wislson Doak.虚拟专用网的创建与实现［M］．北京：机械工业出版社，2002：120～121．