VPN技術在局域網中的應用

李智宏（江門市技師學院，廣東江門，529090）

?

VPN技術在局域網中的應用

李智宏
（江門市技師學院，廣東江門，529090）

摘要：在信息技術迅速發展的今天，用戶對網絡服務、網絡安全及其網絡應用的要求也正越來越高，一種組網更加靈活、成本更低的虛擬專網（VPN）也由此應運而生。VPN技術是一種建立在互聯網公共網絡架構之上，以取代原有連接方式的標準廣域網，并通過一定的技術手段以達到類似私有專網的數據安全傳輸。

關鍵詞：VPN技術；局域網；校內組網；應用

0　引言

計算機局域網絡的應用正越來越廣泛，目前在我國各高校中都紛紛通過組建局域網，以實現信息資源的交流共享與數據的快速傳輸。尤其在一些高安全要求或者大型的局域網中，VPN組網方案無疑是一個更好的選擇，利用其安全通道、可擴展性、組網靈活性以及低成本的特點，可以實現大范圍、多節點的校園內部組網方案。

1　VPN技術的概念及特點

1.1VPN的概念

VPN（Virtual Private Network）即虛擬專用網，是指在Internet網絡的基礎上，利用ISP所提供的Internet接入線路，在公網上組建自己私有網絡的一種技術與方法。它能通過私有隧道技術，在公網中仿真一條點對點的專線，從而構建了一條安全、穩定的網絡通信隧道，保證了信息的安全傳輸。

其中，“Virtual”（虛擬）是指沒有物理的連接存在于兩個網絡之間，它主要是通過Internet網的路由來完成私有網絡的組建；“Private”（專用）是指傳輸數據的保密性，它通過加密技術和隧道技術來加以實現；“Network”（網絡）是指利用各種網絡（私有、公用、有線、無線等）構成的通信手段。

1.2VPN的特點

對于校內通信以及校際間通信而言，VPN技術能提供一條安全、可靠的Internet訪問通道，為校園信息化的進一步發展提供了可靠的技術保障，而且各高校不需要建立自己的網絡維護系統，而可以將這一繁重的工作交由專業的ISP來完成。相比普遍的專用網絡，VPN的特點集中在以下方面：

1.2.1安全性

高度的安全性，對當前局域網絡的運行非常重要。近年來，各種新興的網絡服務如在線交易、在線銀行等都需要絕對的安全，而VPN即使則能通過多種方式以增強局域網絡的安全性與智能性。一方面，VPN技術能在隧道的起點，對現有高校的認證服務器提供分布用戶的認證；另一方面，VPN技術還可支持各種類型的加密協議，如IPsec加密、Microsoft點對點加密等。

1.2.2低成本

一方面，利用VPN技術組網，可以部分代替或全部代替原集中式內部撥號遠程訪問的基礎結構與服務，從而起到有效降低用戶通信成本、線路組建成本以及主要設備購置成本的作用；另一方面，利用VPN技術組網，還可以使各高校不必投入大量的人力與物力去安裝與維護WAN設備和遠程訪問設備，這些工作都可以交給專業的ISP來完成。

1.2.3易于擴展

如果學校想擴大原虛擬專用網VPN的容量與覆蓋范圍，只需要與新的ISP簽約并建立賬戶，或者與原有ISP重簽合約，擴大服務范圍即可，因此它非常易于擴展。同時，VPN用戶的增加與刪除，只是邏輯上的操作，而無需另外購置專業的物理設備或連接，這也方便了VPN網絡的擴展。

1.2.4支持各種新興應用

許多專用網絡對目前各種類型的新興應用準備不足，例如部分要求高帶寬的多媒體應用或協作交互式應用，就無法提供支持服務。而VPN技術則可以支持各種高級的應用，如IP語音、IP傳真、遠程視頻、遠程會議等，同時它還能支持各種協議標準，如IPv6、MPLS、SNMPv3、RSIP等，這都確保了其組網非常靈活，并能支持各種新興應用。

2　VPN技術在局域網中應用的關鍵技術

VPN在局域網中應用的關鍵技術，主要包括了安全隧道技術、用戶認證技術、加密技術等。

2.1安全隧道技術

VPN與普遍專用網最大的區別，就是隧道的建立。通過安全隧道技術，能將需要傳輸的數據進行封裝，并在局域網中建立一條數據傳輸通道，使數據包經過這一隧道進行傳輸，見下圖1所示。經過這樣處理后的信息，只有源端與目標端的用戶方能對隧道中的信息進行處理與解釋，而對于其它用戶則是無意義的信息，從而有效確保了信息傳輸的安全。

圖1　VPN安全隧道技術原理圖

目前，生成VPN安全隧道的協議主要包括了兩種，即第二層隧道和第三層隧道協議。其中，用于數據鏈路層實現數據封裝的協議，被統稱為第二層隧道協議，常見有L2TP協議、PPTP協議等；用于網絡層實現數據封裝的協議則被稱為第三層隧道協議，常見的有IPSsc協議、SOCKSv5協議等。

2.2用戶認證技術

利用VPN技術組建的局域網絡，通常是為了使各高校教師及員工能更加方便、安全的訪問校園網絡資源，然而由于部分網絡資源較為敏感和重要，這就需要通過用戶認證技術以實現對訪問者身份的鑒別。

目前，VPN提供了PPP（點到點）協議、PAP（密碼認證）協議、CHAP（握手認證）協議等多種用戶認證技術，可有效確認用戶的身份，以便系統進一步實施資源的訪問控制，或者進行用戶的授權訪問。

2.3加密技術

加密技術也是確保VPN應用安全性的核心技術之一，它主要通過IPSec中的ESP（封裝安全負載）來加以實現。同時，VPN還可根據使用網絡的安全協議以及用戶的配置情況，提供多種加密算法，例如提供了MD5、SHA等消息驗證碼算法，以保證數據傳遞的完整性；提供了3-DES、IDEA、AES等對稱密鑰加密算法，以保證數據傳遞機密性與安全性；提供了DSA、RSA等數字簽名算法，以保證數據傳遞的抗否認性。

3　VPN在局域網中的應用方式

根據應用環境及用戶使用情況的不同，VPN技術在局域網中主要分為了三種典型的應用方式，它們分別是內聯網VPN業務應用、外聯網VPN業務應用和遠程接入VPN業務應用。

3.1內聯網VPN應用

圖2　內聯網VPN的結構框架圖

內聯網VPN業務，主要用于實現校園內部網絡中各局域網的安全互聯，它通過建立總部及分支機構之間的安全連接，從而增加各高校現有的專線網絡或者建立新的帶寬。利用VPN技術，不僅可以節省大量專線費用，而且可以極大的增強各高校網絡的地域覆蓋性，以快速滿足總校與各分校的網絡資源需求。內聯網VPN的結構框架，詳見下圖2所示。

3.2外聯網VPN應用

外聯網VPN業務應用，主要是將校園局域網的范圍向外擴張，并將若干個校園VPN網絡結合起來，以構建出一個更加龐大的虛擬內部網絡，從而為各高校及其用戶提供更安全、靈活的通信方式。

外聯網VPN的結構框架，詳見下圖3所示。其最大的優勢就是可以改善校內及校際間信息傳遞的速率、效率與安全性。在基本組網模式方面，外聯網VPN與內聯網VPN在業務應用上的差別不大，但由于校園外聯網VPN需要連接不同的高校與用戶，容易引發一系列安全問題。因此必須強化組網過程中的接入控制機制與身份驗證機制，并通過采用內部防火墻、加密傳輸等方式，以確保數據傳遞過程中的安全性。

圖3　外聯網VPN的結構框架圖

3.3遠程接入VPN應用

遠程接入VPN業務，是指利用PSDN、ISDN等接入網或者公共網絡的撥號，與校園內部局域網之間進行遠程互聯，其主要業務應用是為了滿足漫游用戶訪問校園內部資源的需求。遠程接入VPN的結構框架圖，詳見下圖4所示。

圖4　遠程接入VPN的結構框架圖

當前，由于工作的需要，許多高校的教師及員工需要外出交流、考察、座談等，而出于安全的考慮，一般不允許其訪問學校內部的服務器，這也極大限制了教師對校園內部網絡資源的使用。而基于遠程接入VPN業務的應用，它不僅能通過IP網絡承載用戶業務，使業務成本費用極大降低，而且還能通過L2TP協議和IPSec協議中的身份驗證機制、加密機制及授權機制，以確保用戶在使用校園內部網絡資源的過程中的安全性。

4　總結

文章從VPN技術的概念及特點出發，并著重探討與研究了VPN技術在校園局域網中的應用。尤其是在當前一些高安全要求，或者大型的高校局域網中，VPN組網方案無疑是一個更好的選擇，利用其安全通道、可擴展性、組網靈活性以及低成本的特點，可以實現大范圍、多節點的校園內部組網方案，從而有效保證了校園局域網內部通信與外部通信的安全。

參考文獻

［1］李彥新.虛擬專用網（VPN）技術及其應用［J］.交通與計算機，2012（2）：12-13.

［2］王春海，張曉莉，等.VPN網絡組建案例實錄［M］.北京：科學出版社，2008：37-39.

［3］于九紅.網絡安全設計［M］.上海：華東理工大學出版社，2012：204-209.

［4］高海英，薛元星.VPN技術［M］.北京：機械工業出版社，2004：3-14.

Application of VPN technology in local area network

Li Zhihong
（technician college， Guangdong， Jiangmen， Jiangmen， 529090）

Abstract：In the rapid development of information technology today，users of network services，network security and network application requirements is also more and more high，a network is more flexible，lower cost of virtual private network（VPN） has thus arises at the historic moment.VPN technology is a built on the public Internet network architecture，to replace the original connection standard way of wide area network，and through certain technical means to achieve similar private network transmission of data security.

Keywords：VPN technology；local area network；campus network；application

作者簡介

李智宏，男，1976年1月，籍貫福建省三明市，本科，計算機講師，研究方向：計算機軟件工程，數據庫設計。