利用VPN技術實現多校區間的訪問

摘 要：隨著互聯網技術的發展以及學校招生人數及校區的增加，原有的校園網已經很難滿足學校的需求，VPN技術將原有的校園網連接起來。本文主要介紹了VPN的概念、特點、技術和接入方式。

關鍵詞：VPN 技術 配置

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2013）02（a）-0004-02

隨著學校招生人數的增加，今年我校在校學生數達3000多人，分布在校本部、部隊校區、越海校區三個校區。由于三個校區相距較遠，傳統意義上的校園網已經很難滿足學校發展的需求。那么在多校區中，怎樣能使有限的資源（師資、圖書資源等）得到充分共享？在得到共享的同時并在不增加過多費用的前提下，能夠保證安全和高效。VPN技術以其特有的優勢成為多校區校園網建設的首選，為學校分校區成功聯入校本部，也為出差教師、培訓教師、學生等聯入校園網提供了可能性。

1 VPN介紹及特點

VPN（Virtual Private Network），中文名稱為“虛擬專用網”，是企業內部網在INTERNET等公共網絡上的延伸，它通過一個私有的通道在公共網絡上創建一個安全的私有連接，將在公共網絡上位于不同地方的兩個或多個內部網之間建立專有的邏輯通訊線路，而非真正的物理線路，從而構成一個虛擬網。

與傳統網絡相比，VPN具有以下一些特點。

（1）經濟性，就是可以減少開支，這是VPN技術為網絡用戶帶來的最重要的、最直接的好處。一方面使用VPN技術可以利用原有的校園網，只需要在原有的基礎上增加VPN服務器就能實現，或者將原有的服務器設置成VPN服務器也可以實現。另外根據預測，國內分支機構間采用VPN技術后將節省20%～80%的通訊費用（與租用專線相比）。

（2）安全性得到很大提高。VPN技術采用了隧道技術、加解密技術、密鑰管理技術、身份認證技術來提高網絡的安全性。

（3）良好的擴展性。由于VPN采用了虛擬鏈接，擺脫了固有物理網絡的限制，用戶增加、刪除節點只需做邏輯上的操作，具有良好的拓展性。

（4）方便的管理和維護。采用VPN技術后，大量的網絡管理工作可以由公網服務提供商來進行，從而減輕了企業內部網絡管理員的負擔。

2 VPN所使用的安全技術

VPN技術主要采用隧道技術、加解密技術、密鑰管理技術、身份認證技術來保證數據傳輸的安全性。

（1）隧道技術（Tunneling），隧道技術是VPN的基本技術，類似于點對點連接技術。主要負責將需要傳輸的數據進行加密、協議封裝，再裝入另一個協議數據包進入網絡，然后進行傳輸。在這過程中只有該虛擬專用網絡授權的用戶才能對隧道中傳輸的數據包進行解釋和處理，從而保證了VPN的安全。VPN隧道協議有4種：PPTP、L2TP、IpSec和SOCK v5。各協議工作在OSI模型的不同層次，適合不同的網絡環境。

（2）加解密技術（Encryption& Decryption），為了保證數據的安全傳輸，確保未授權用戶無法竊取信息，VPN對公開信道上的VPN流量進行了加密。一般過程是發送方在數據發送前對數據進行加密，接收方在數據到達后進行解密。密碼技術有兩種，即對稱加解密技術和不對稱加解密技術。

（3）密鑰管理技術（Key Management）：由于加解密技術需要用密鑰來加密和解密。因此密鑰的管理首先要保證在傳遞過程中不被竊取。一般采用SKIP和ISAKMP/OAKLEY兩種技術。

（4）身份認證技術（Authentication），它是一種用來驗證雙方是否具有真實身份的手段。目前常用的方式是使用數字證書或非對稱密鑰算法來鑒定用戶的身份。

3 基于校園網的VPN技術的實現

（1）硬件方面，由于三個校區原本就有各自的LAN，只需要在主校區增設一臺VPN服務器，需要兩張網卡，如果資金允許，可以添加一臺AD服務器，實現授權訪問控制。

（2）軟件實現。軟件實現分為兩個部分，分別為VPN服務器端的設置和VPN客戶端的設置。首先進行服務器端的設置，VPN服務器可以是安裝有Windows 2003 server的服務器，VPN服務器端的設置包括VPN服務器的設置和授權訪問權限設置。①VPN服務器的設置：選擇“開始”-“程序”-“管理工具”-“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口；再在窗口左側右擊本地計算機名，選擇“配置并啟用路由和遠程訪問”，在彈出的“路由和遠程訪問服務器安裝向導”中可以選擇遠程訪問、虛擬專用網絡訪問和NAT，由于要實現NAT共享上網和VPN撥入服務器的功能，所以選擇“自定義配置”選項，點下一步；選擇“VPN訪問”和“NAT和基本防火墻”選項，點下一步，在彈出的對話框中點“完成”，系統會提示是否啟動服務，點“是”，系統會按剛才的配置啟動路由和遠程訪問服務；下來配置NAT服務：右擊“NAT/基本防火墻”選項，選擇“新增接口”，根據自己的網絡環境選擇連接Internet的接口，選擇“wan”接口，點“確定”，彈出“網絡地址轉換-wan屬性”對話框，由于網卡是連接外網的所以選擇“公用接口連接到Internet”和“在此接口上啟用NAT”選項并選擇“在此接口上啟用基本防火墻”選項，這對服務器的安全是非常重要的。點“服務和端口”設置服務器允許對外提供PPTP VPN服務，在“服務和端口”界面里點“VPN網關（PPTP）”，在彈出的“編輯服務”對話框中設置端口和地址；再回到“服務和端口”選項卡，確保選中“VPN網關（PPTP）”；根據需要設置VPN服務，設置連接數。設置IP地址：右擊右邊樹形目錄里的本地服務器名，選擇“屬性”并切換到IP選項卡。選擇“靜態地址池”點“添加”，根據需要接入數量任意添加一個地址范圍，但是不要和本地IP地址沖突。②設置遠程訪問策略：允許指定用戶撥入，需要新建用戶和組：點“開始”-“程序”-“管理工具”-“計算機管理”，彈出“計算機管理”對話框；選擇“本地用戶和組”，右擊“用戶”-“新用戶”進行新用戶和密碼的設置；再點擊“創建”新增一個用戶；在右邊的樹形目錄中右擊“組”-“新建組”，添入“組名”，點“添加”在彈出的“選擇用戶”對話框中，點“高級”-“立即查找”，選擇剛才建立的新用戶，把用戶加入剛才建立的組；設置遠程訪問策略：在“路由和遠程訪問”窗口，右擊右面樹形目錄中的“遠程訪問策略”，選擇“新建遠程訪問策略”，在彈出的對話框中點“下一步”，填入方便記憶的“策略名”，點“下一步”，選擇“VPN”選項，點“下一步”，點“添加”把剛才新建的組加入到這里，點“下一步”，“下一步”，“下一步”，“完成”，就完成了遠程策略的設置，后面如果需要新的用戶需要VPN服務，只要為該用戶新建一個賬號，并加入剛才新建的組就可以了。

再進行VPN客戶端配置：相對VPN服務器端的設置，客戶端的配置相對簡單得多，只需新建一個到VPN服務器端的連接就可以了。但首要條件是客戶端必須要接入Internet網絡，由于分校區的電腦都是通過局域網連入Internet的，因此不存在以上問題。客戶端的操作系統可以是Windows 2000、Windows 2003，WinXP都可以，具體步驟為：第一步，在“網上鄰居”處右鍵選擇屬性，然后雙擊“新建連接向導”打開向導窗口后，點擊下一步；接著在“網絡連接類型”窗口里點選擇“連接到我的工作場所的網絡”，繼續下一步，在網絡連接方式窗口里選擇“虛擬專用網絡連接”；接著為此連接命名后點擊下一步。第二步，在“VPN服務器選擇”窗口里，等待我們輸入的是VPN服務端的固定內容；接著出現的“可用連接”窗口保持“只是我使用”的默認選項；最后輸入訪問VPN服務端合法帳戶后的操作就跟“遠程桌面”功能一樣了。連接成功后在右下角狀態欄會有圖標顯示了。

連接后的共享操作，一種辦法是通過“網上鄰居”查找VPN服務端共享目錄；另一種辦法是在瀏覽器里輸入VPN服務端固定IP地址或動態域名也可打開共享目錄資源。

4 結語

VPN技術已經成為越來越多的企業的網絡連接方式，為學校分校區成功聯入校本部，也為出差教師、培訓教師、學生等聯入校園網提供了可能性。

參考文獻

[1]周翔.VPN技術在校園網中的應用研究[D].揚州大學，2009.

[2]胡道元，閔京華.網絡安全[M].清華大學出版社，2007.

[3]雷震甲.網絡工程師教程[M].清華大學出版社，2004.