ＶＰＮ技術(shù)應(yīng)用研究

[摘要] 本文首先介紹了VPN技術(shù)的基本概念、基本技術(shù)，其次重點(diǎn)介紹了幾種VPN技術(shù)產(chǎn)品，最后討論分析了VPN技術(shù)在遠(yuǎn)程教育教學(xué)中的應(yīng)用及影響。

[關(guān)鍵詞] VPN隧道技術(shù)L2TP協(xié)議IPSec VPNMPLS VPN

一、引言

當(dāng)前以Internet為標(biāo)志的信息技術(shù)革命，正以驚人的速度改變著人們的生產(chǎn)、工作、學(xué)習(xí)和生活方式，Internet應(yīng)用已經(jīng)越來越成為人們生活中不可缺少的部分，教師的教學(xué)工作空間已不再局限于三尺講臺(tái)，他們完全可以在登陸網(wǎng)絡(luò)后完成備課、答疑、了解學(xué)生學(xué)習(xí)情況等教學(xué)工作。校園網(wǎng)的快速發(fā)展，使得學(xué)生不僅通過課堂和書本獲得知識(shí)，而且可以從網(wǎng)絡(luò)進(jìn)行協(xié)作學(xué)習(xí)和獲取大量對(duì)學(xué)習(xí)有益的學(xué)習(xí)信息。同時(shí)要保證教育的各種應(yīng)用得以順利實(shí)施，安全問題（如不向非授權(quán)的學(xué)生泄露教學(xué)內(nèi)容、試卷內(nèi)容等）也很重要，將VPN（Virtual Private Network，虛擬專用網(wǎng)）技術(shù)應(yīng)用于遠(yuǎn)程教育教學(xué)中，可達(dá)到保證數(shù)據(jù)的安全性，和節(jié)省異地遠(yuǎn)程用戶訪問費(fèi)用。

二、VPN技術(shù)

VPN（虛擬專用網(wǎng)）指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。簡單地說VPN就是通過專用的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)，本文更多討論的是遠(yuǎn)程教育教學(xué)用戶使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路動(dòng)態(tài)地聯(lián)接而成邏輯上的虛擬子網(wǎng)時(shí)，給教育教學(xué)帶來的安全性、便利性和可管理性。

目前VPN主要采用四項(xiàng)技術(shù)來保證數(shù)據(jù)安全，分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

VPN在公用網(wǎng)上建立一條數(shù)據(jù)通道（即隧道），讓數(shù)據(jù)包通過這條隧道，從而實(shí)現(xiàn)虛擬通信。進(jìn)行虛擬通信的兩個(gè)或多個(gè)設(shè)備之間傳輸?shù)臄?shù)據(jù)對(duì)于沒有參與虛擬通信的設(shè)備是保密的，而且他們也不會(huì)意識(shí)到這種虛擬通信。隧道由隧道協(xié)議組成，定義了一系列較為完整的數(shù)據(jù)封裝和安全協(xié)議及其算法。

第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等，其中L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)與二層轉(zhuǎn)發(fā)協(xié)議(L2F)而形成，特別適合組建遠(yuǎn)程接入方式的VPN。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（Internet Protocol Security，因特網(wǎng)安全協(xié)議）使用包括安全封裝協(xié)議（ESP）和數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）等已經(jīng)驗(yàn)證的加密技術(shù)，從認(rèn)證、完整性和加密三個(gè)方面來保證數(shù)據(jù)的安全性，在IPSec VPN里，通信雙方首先要采用一定的方式建立連接，確定所要采用的安全策略和使用模式，包括加密運(yùn)算法則和身份驗(yàn)證方法類型等。一旦IPSEC通道建立，所有其上層協(xié)議數(shù)據(jù)都被進(jìn)行加密，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。IPSec適合內(nèi)聯(lián)網(wǎng)VPN，將分布在不同地域的分校網(wǎng)絡(luò)互聯(lián)，為遠(yuǎn)程用戶提供增強(qiáng)的安全性。

高層協(xié)議有SOCK5協(xié)議和SSL（Secure Sockets Layer，安全套接層協(xié)議層）協(xié)議;SSL是Netscape公司提出的基于WEB應(yīng)用的安全協(xié)議，它指定了一種在應(yīng)用程序協(xié)議（如Http，Telenet，Nmtp，F(xiàn)tp）和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為TCP/IP連接提供數(shù)據(jù)加密，每個(gè)SSL會(huì)話都必須通過數(shù)字簽名或者預(yù)先分配的密鑰進(jìn)行認(rèn)證；不符合安全策略的數(shù)據(jù)包都被丟棄。SOCKS v5工作在OSI（Open System Internet）模型中的第五層——會(huì)話層，可作為建立高度安全的VPN基礎(chǔ)。能同低層協(xié)議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)；能為認(rèn)證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術(shù)；SOCKS v5可根據(jù)規(guī)則過濾數(shù)據(jù)流，包括Java Applet和Actives控制。但是，它性能比低層次協(xié)議差，必須制定更復(fù)雜的安全管理策略，它最適合用于客戶機(jī)到服務(wù)器的連接模式，適用于外部網(wǎng)VPN和遠(yuǎn)程訪問VPN。

VPN并非單一產(chǎn)品技術(shù)，除了上面提到的多種VPN技術(shù)，多協(xié)議標(biāo)記交換（MPLS）是專用的組網(wǎng)協(xié)議，配置在服務(wù)供應(yīng)商的核心網(wǎng)絡(luò)，MPLS VPN運(yùn)行在IP+ATM或者IP環(huán)境下， VPN成員資格由服務(wù)供應(yīng)商決定，這是根據(jù)邏輯端口和惟一路由描述符所組成的環(huán)境功能實(shí)現(xiàn)的；對(duì)VPN組未經(jīng)過認(rèn)證的訪問被設(shè)備配置所拒絕具有高度的可伸縮性，適合于校際網(wǎng)互聯(lián)。越來越受到行業(yè)專家青睞。

三、VPN技術(shù)在教育教學(xué)中的應(yīng)用

1.校園VPN應(yīng)用及其建設(shè)

本文主要討論VPN應(yīng)用在遠(yuǎn)程教育用戶訪問學(xué)校網(wǎng)絡(luò)教學(xué)資源上。由于VPN低廉的使用成本和良好的安全性，不論何種VPN策略，可提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的可管理性、可擴(kuò)展性以及簡單性的基礎(chǔ)之上，還進(jìn)一步擴(kuò)展網(wǎng)絡(luò)連接。現(xiàn)在高校普遍有自己的分校區(qū)，還有不少函授課程，學(xué)校之間也在加強(qiáng)交流合作，這些都使VPN技術(shù)應(yīng)該成為校園網(wǎng)發(fā)展技術(shù)之一。一般在IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN時(shí)，外包VPN是較好的選擇。電信企業(yè)、IDC目前提供的VPN服務(wù)，可以整合現(xiàn)有資源（如：網(wǎng)絡(luò)優(yōu)勢(shì)、托管和技術(shù)力量）來為用戶提供整體的服務(wù)。外包VPN建立時(shí)間快而迅速，可擴(kuò)展性很強(qiáng)，易于管理。通過提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全，ISP的VPN專家還可幫助進(jìn)行VPN決策。不過，雖然VPN外包能避免技術(shù)過時(shí)，但并不意味著可以節(jié)省開支。同樣降低了學(xué)校對(duì)校園網(wǎng)的控制等級(jí)。且網(wǎng)絡(luò)越大，就越依賴于外包VPN供應(yīng)商。在有足夠的資金和人力資源投入做保證的情況下，則可以自己建立VPN，將各個(gè)機(jī)構(gòu)低成本且安全地連接在一起。建立自己的VPN，最大的優(yōu)勢(shì)在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。在教育教學(xué)中應(yīng)用VPN促進(jìn)教育教學(xué)，可以根據(jù)實(shí)際應(yīng)用需要，綜合采用不同建設(shè)方式為最佳思路。如內(nèi)聯(lián)網(wǎng)采用自建的辦法，校際網(wǎng)互聯(lián)則采用外包，既可以相對(duì)節(jié)約經(jīng)費(fèi)，還可以使學(xué)校對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要。可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用，并且能將現(xiàn)有的遠(yuǎn)程訪問和端到端的網(wǎng)絡(luò)集成起來，以獲取最佳性價(jià)比的VPN。

2.VPN技術(shù)對(duì)遠(yuǎn)程教育教學(xué)的影響

(1)高度靈活性和可管理性，便于實(shí)現(xiàn)個(gè)性化學(xué)習(xí)，有利于實(shí)現(xiàn)移動(dòng)學(xué)習(xí)

VPN能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。從利用電話線作為傳輸介質(zhì)的PSTN、xDSL，到依靠有線電纜電視的Cable Modem，直到城域網(wǎng)Ethernet接入，各種新技術(shù)層出不窮，更新?lián)Q代極快。用戶不論在家中、在出差途中，或是在其他任何環(huán)境中，只要該用戶能夠接入Internet，便能夠安全地接入校園網(wǎng)內(nèi)部。既不受地域限制，也不受接入方式限制。從用戶角度還可方便地進(jìn)行管理、維護(hù)。VPN技術(shù)除了能夠方便地將新的子網(wǎng)擴(kuò)充到高校的網(wǎng)絡(luò)外，由于Internet的全球連通性，還可以讓教師和學(xué)生隨時(shí)安全地在全球范圍存取信息。

(2)高安全性，有利于交互功能的完美實(shí)現(xiàn)

依靠先進(jìn)成熟的VPN技術(shù)，用戶不僅可以隨時(shí)隨地遠(yuǎn)程訪問校園網(wǎng)絡(luò)平臺(tái)，同時(shí)又可以擺脫P(yáng)STN撥號(hào)接入的帶寬限制，雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。通道在無連接的IP網(wǎng)絡(luò)中創(chuàng)建了邏輯端到端連接。加密通道利用對(duì)數(shù)據(jù)進(jìn)行擾碼的方式提供網(wǎng)絡(luò)數(shù)據(jù)和私密性，從而只有指定的發(fā)送者和接收者才能明白。所有的流量均經(jīng)過加密和壓縮后在網(wǎng)絡(luò)中傳輸，為用戶信息提供了最高的安全性保證。

(3)VPN的服務(wù)質(zhì)量保證（QoS），有利于教育資源共享

VPN網(wǎng)為數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。對(duì)于移動(dòng)用戶，提供廣泛的連接和覆蓋性；而對(duì)于擁有眾多分支的專線VPN網(wǎng)絡(luò)，交互式的應(yīng)用則能提供良好的穩(wěn)定性;對(duì)于其他應(yīng)用（如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)應(yīng)用的需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN可以充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS（服務(wù)質(zhì)量）功能可以通過排隊(duì)、防治網(wǎng)絡(luò)阻塞、流量整形和數(shù)據(jù)包分類，以及采用優(yōu)化的路由協(xié)議的VPN路由服務(wù)等方式得以實(shí)現(xiàn)。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

四、結(jié)束語

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，因特網(wǎng)帶寬和服務(wù)質(zhì)量QoS問題不斷完善，IP寬帶網(wǎng)中的VPN 可以大幅降低網(wǎng)絡(luò)的建設(shè)和維護(hù)費(fèi)用，提供足夠安全的保障，可以使用戶數(shù)據(jù)不被查看、修改，由于其優(yōu)良的性價(jià)比，在不遠(yuǎn)的將來，VPN應(yīng)用于教育必將在未來幾年內(nèi)得到迅猛發(fā)展。另外，需要注意的一個(gè)實(shí)際問題是，虛擬專用網(wǎng)(VPN)的用戶可以訪問學(xué)校內(nèi)網(wǎng)，它們將弱化的桌面操作系統(tǒng)置于學(xué)校防火墻的防護(hù)之外，因而VPN用戶的訪問對(duì)內(nèi)網(wǎng)的安全又造成了巨大的威脅。因此只需賦予它們所需要的訪問權(quán)限級(jí)別即可，避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。

參考文獻(xiàn):

[1]C Adams，S Farrel Internet X.509 Public Key Infrastructure，Certificate Management Protocols[J].RFC2510，March，1999

[2][美]Naganand Doraswamy，Dan Harkins. IPSec新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].機(jī)械工業(yè)出版社，2000

[3]http://www.infosecurity.org.cn/article/secprotocol/vpn/index.html

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。