VPN技術在校園局域網(wǎng)中的應用

左源岸等

【摘 要】如今網(wǎng)絡技術在日常生活中的應用范圍越來越廣，怎樣確保網(wǎng)絡內(nèi)部數(shù)據(jù)安全成為目前網(wǎng)絡應用領域的一大難題，VPN（虛擬專用網(wǎng)絡）可以為用戶創(chuàng)建隧道通過互聯(lián)網(wǎng)或者是Internet，并能提供和專用網(wǎng)絡同樣的功能和安全保障，VPN技術是利用隧道技術、身份認證、加密等方法，在公共網(wǎng)絡或Internet上創(chuàng)建專用網(wǎng)絡技術，數(shù)據(jù)信息可以通過安全的“加密管道”在Internet中進行傳播。主要介紹的是VPN技術的特點，同時還要達到使用VPN（虛擬專用網(wǎng)絡）實現(xiàn)不同的組件和資源之間的相互連接，不僅如此，我們還要通過VPN技術實現(xiàn)各分校區(qū)與本部校區(qū)局域網(wǎng)互聯(lián)，共享數(shù)據(jù)資源，實現(xiàn)各分校區(qū)與本部校區(qū)網(wǎng)絡資源的優(yōu)化管理和教師校外移動辦公的目的。除此之外，在校園網(wǎng)中應用VPN技術不僅成本低且安全有效。

【關鍵詞】VPN；安全；局域網(wǎng)互聯(lián)；移動辦公；隧道

1 VPN的介紹

VPN是“Virtual Private Network”的縮寫。VPN是實現(xiàn)安全的數(shù)據(jù)流傳送是通過隧道技術在公共網(wǎng)絡上仿真一條點到點的專線。從VPN的實際應用而言，它是通過公共網(wǎng)絡來安全有效地對內(nèi)部網(wǎng)絡進行遠程訪問的一種技術。這種技術的關鍵就在于要在VPN服務器和遠程用戶之間創(chuàng)建一條加密的隧道，并在外部封裝新的協(xié)議包頭，同時將原始的數(shù)據(jù)包進行加密。通過這種方法來解開數(shù)據(jù)包就只有知道密鑰的通信雙方才行，這保障了數(shù)據(jù)包在公共煤質(zhì)上傳送的安全性，再也不用擔心數(shù)據(jù)包會被非法的VPN用戶截取。

2 實現(xiàn)VPN的關鍵技術

隧道技術：

隧道技術是一種數(shù)據(jù)傳遞的方式，主要通過使用互聯(lián)網(wǎng)絡的基礎設施來實現(xiàn)，其中包括數(shù)據(jù)封裝、傳輸和解包的全過程。隧道技術需要使用到一種關鍵的協(xié)議，即隧道協(xié)議，雖然使用隧道傳遞數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包，但是隧道協(xié)議能夠?qū)⑵渌鼌f(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送，從而使新的包頭提供了路由信息，保證封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡來傳遞。

3 設計與實現(xiàn)

在本部校區(qū)與各分院都已接入Internet的情況下，才可以利用VPN技術來實現(xiàn)本部校區(qū)與各分校區(qū)互連的目的。我們采用基于軟件的方式，這種方式要求在Windows的環(huán)境下實現(xiàn)，并要求在本部校區(qū)和各分院都各配置一臺VPN服務器，這種方式相對而言不僅簡單而且快速。

基于軟件的方式則只需在各分院與本部校區(qū)各配置一臺VPN服務器，不需要配置專用的VPN設備。在WindowsServer2003下具體作法如下。

首先配置VPN服務器。

安裝WindowsServer2003的計算機將其作為VPN服務器，通過服務器的配置授權合法用戶對VPN服務器保護的校園內(nèi)部網(wǎng)絡資源進行訪問，并阻止非授權的用戶訪問校園內(nèi)部網(wǎng)絡資源，將這臺服務器放置在本部校區(qū)。由于該服務器具有合法的靜態(tài)IP地址，所以可以將其直接接入互聯(lián)網(wǎng)。其具體的配置方法和步驟如下：（1）首先選擇“開始”，然后選擇“程序”，接著選擇“管理工具”，最后選擇“路由和遠程訪問”，緊接著用鼠標右鍵單擊本地計算機的名稱，點擊“啟用并配置路由器和遠程訪問”，出現(xiàn)“啟用并配置路由器和遠程訪問服務器安裝導向”的對話框。（2）選擇“VPN（虛擬專用網(wǎng)絡）服務器”，鼠標左鍵單擊“下一步”按鈕，選擇“是，所有可用的協(xié)議都在列表上”的這個選項，在此處選擇默認的VPN訪問協(xié)議。（3）選擇VPN用戶所使用的互聯(lián)網(wǎng)進行連接，選擇“本地連接”。（4）選擇遠程客戶端的IP地址，為其指定一個合理的IP地址范圍。（5）接下來選擇一個遠程身份驗證撥號服務R來管理多個VPN服務器，此處可以采用默認設置。（6）單擊“完成”按鈕，系統(tǒng)會自動進行路由初始化和遠程訪問，這個過程就完成了VPN服務器的相關配置工作。

接下來配置VPN客戶機。個人用戶計算機可以在任意的Windows環(huán)境下運行，而對于路由器到路由器的VPN連接的計算機則需要在特定的Windows環(huán)境下運行。建立VPN連接的基本步驟如下：（1）打開“網(wǎng)絡和撥號連接”，然后雙擊其中的“新建連接”按鈕，進入到“網(wǎng)絡連接向?qū)А睂υ捒颉＃?）選擇“通過Internet連接到專用網(wǎng)絡”，然后從“自動撥此初始連接”選項中選擇一個已經(jīng)建立好的Internet連接，輸入VPN服務器的計算機名或者是IP地址，接下來選擇所有用戶能夠使用該連接來訪問外部網(wǎng)絡資源。（3）選擇默認值，及配置該連接共享來決定局域網(wǎng)中的其他計算機都能夠使用此連接來訪問外部網(wǎng)絡資源。（4）在彈出的虛擬專用網(wǎng)絡連接登錄對話框中輸入正確的用戶名和密碼，單擊“連接”按鈕，在彈出的提示框中單擊“完成”按鈕，如此便建立了客戶端和服務器之間的VPN連接。然后再選擇“屬性”按鈕，便可以對VPN客戶連接的屬性進行允許通過的協(xié)議和數(shù)據(jù)加密等方式的配置。

接下來我們便可以建立相應的網(wǎng)絡連接。VPN連接主要使用局域網(wǎng)和遠程訪問等網(wǎng)絡協(xié)議進行連接。Windows遠程訪問允許用戶訪問Unix和Internet網(wǎng)絡上的資源，同時支持TCP/IP協(xié)議以及IPX協(xié)議。當客戶機與遠程訪問服務器建立連接后，系統(tǒng)中的Internet應用都將無法正常使用，這是由于VPN系統(tǒng)會自動修改當前數(shù)流送路徑—路由表。另外VPN可以通過端口配置來建立多個VPN連接。端口的配置方法如下：（1）首先選擇“開始”，然后選擇“程序”，緊接著再選擇“管理工具”，最后選擇“路由和遠程訪問”，從本地計算機名字中選擇“端口”，便會出現(xiàn)已配置過的端口，用鼠標右鍵單擊某個“端口”，雙擊“狀態(tài)”項，便可查看該窗口當前的狀態(tài)。（2）用鼠標右鍵單擊“端口”選項，單擊“屬性”這一命令，會彈出一個“端口屬性”對話框，通過這個對話框便可以看到“WAN微型端口（PPTP）”和“WAN微型端口（L2TP）”設備項。在通常情況下一般是先使用PPTP協(xié)議，然后才使用L2TP協(xié)議，實際情況下可以根據(jù)需求自行調(diào)整。（3）選擇一個VPN設備，左鍵單擊“配置”按鈕，打開“配置設備”對話框，選擇“遠程訪問連接”復選框來啟用該項設備；接著選擇“請求撥號路由選擇連接”復選框。在“最多端口數(shù)”中調(diào)整支持動態(tài)端口的VPN連接可以同時打開的連接數(shù)。

在此我們可以利用Access VPN技術實現(xiàn)移動辦公人員校外辦公需求，“Access VPN”利用的是它遠程訪問虛擬專用網(wǎng)的功能，通過配置VPN服務器，使它能夠可以接入VPN網(wǎng)絡，并且要求該服務器在Internet上有固定的IP地址，然后再在服務器端配置相應的VPN用戶，并授予該用戶接入的權限；另外還需要配置VPN客戶端，在客戶端建立VPN連接使客戶機連入Internet后就可以進行VPN的連接與撥入了，接著在客戶機和遠端VPN服務器之間建立點到點的連接。

【參考文獻】

[1]戴宗坤.VPN與網(wǎng)絡安全[M].北京：電子工業(yè)出版社，2002.

[2]王達.虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學出版社，2004.

[3]Wilson Doak.虛擬專用網(wǎng)的創(chuàng)建于實現(xiàn)[M].北京：機械工業(yè)出版社，2000.

[4]陳振武.多校區(qū)高校VPN建設的探究與研究[J].電腦知識與技術，2005.

[5]胡海斌，陳亞軍.基于虛擬專用網(wǎng)（VPN）的局域網(wǎng)的遠程訪問[J].西華師范大學學報：自然科學版，2009，28（3）.

[責任編輯：鄧麗麗]