现在位置:范文先生网>教学论文>信息技术论文>虚拟专用网VPN——走出校园的校园网

虚拟专用网VPN——走出校园的校园网

时间:2023-02-21 19:07:04 信息技术论文 我要投稿
  • 相关推荐

虚拟专用网(VPN)——走出校园的校园网

江西省赣县中学 梁峰
[内容提要]:本文主要就虚拟专用网(VPN)在学校校园网中的应用做初浅的探索,提出校园网资源远程访问的一种安全、低廉的解决方案,为众多已建和在建的校园网提供一定的启发与参考。
[关键字]:虚拟专用网、VPN、校园网资源、隧道技术、数据加密算法、路由

近年来,随着计算机多媒体网络技术的快速发展、学校信息化建设的加快,校园网已经成为学校信息化建设的重要组成部分。校园网应用在教学过程中,不仅可以改变传统的教学模式、教学方法和教学手段,而且将会促进教育观念、教学思想的转变。丰富的教育资源为教师的教学和学生的学习提供了优良的软件环境。但为了校园网的安全,学校在校园网建设时,通常是将公网与私网进行物理隔离,使外网无法访问内网资源。这样势必导致住在校外的教师和学生在家中无法使用校园网内部资源。要解决这个问题,虚拟专用网(VPN)就是一种安全、低廉的解决方案。
一、虚拟专用网(VPN)简介
虚拟私有网络VPN(Virtual Private Network)是利用公众网资源为客户构成专用网的一种业务,这是相对于实际的专有网络而言的,它是基于Internet/Intranet等公用开放的传输媒体,通过加密和验证等安全机制建立虚拟的数据传输通道,以保障在公共网上传输私有数据信息不被窃取、篡改,从而向用户提供相当于专用网络的安全服务,是目前广泛应用于电子商务、电子政务、大型企业等应用安全保护的安全技术。VPN有两层含义:
1、Virtual:它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
2、Private:它是利用公众网络设施构成的私有专用网。
虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN的特性决定了它在教育行业的应用前景将非常广泛。
二、虚拟专用网(VPN)在教育行业的应用前景
虚拟专用网(VPN)用于教育行业的实例很少,其实虚拟专用网(VPN)在教育行业的应用前景也很广泛,它的安全、低廉的特征很符合教育行业应用高要求、低投入的特性,它在教育行业可应用于以下几方面:
1、校园网建设
学校建设校园网的目的是为了提供一个先进、开放、实用的计算机网络环境,进一步提供网上教学、科研活动、学校行政管理信息系统和其他现代化的网络通信服务,但这些应用仅局限在校园网内部,虚拟专用网(VPN)的应用就可以实现校园网应用的扩展,可以把校园网的各种网络通信服务延伸到教师和学生家里,教师可以在家中使用校园网内部的教育资源库进行备课,学生可以从校园网中获得各种学习资源、实现网上学习。
2、网上远程教育
网上远程教育作为一个崭新的教育形式。将最大限度利用现有教育资源,是实现教育的大众化、现代化、终身化和国际化的新型教育形式和必然途径。网络作为远程教育的重要载体之一,在应用过程中,网络的优势日趋显现。虚拟专用网(VPN)在这一领域的应用,可以实现跨地域建立一个虚拟专用教学网,使教与学的过程就像在一个内部网中进行,实现远程教学的开放与安全、自主与协作的和谐统一。
3、教育城域网建设以及“校校通”工程
教育城域网建设是把各个学校零散的校园网组成一个大型网络,它对于大面积的提高教育教学的质量、充分的共享教育资源、减少教育信息化建设的整体投入起着极大的作用。现今城域网的建设动辄用铺设专线,租用光纤等高投入的方式,虽然极大的提高了网络的速度及安全,但这种投入与产出在现阶段是不成正比的。虚拟专用网(VPN)作为廉价的解决方案,将是近阶段城域网建设最重要的手段之一。尤其在全国“校校通”工程的建设中,虚拟专用网(VPN)有着其它方式不可比拟的优势。
三、虚拟专用网(VPN)技术详解
VPN(Virtual Private Network)是采用隧道技术以及加密、身份认证等方法,在公共网络上构建虚拟专用网络的技术。
1、虚拟专用网(VPN)的核心——隧道技术
隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器:
(1) PC上的Modem卡和有VPN拨号功能的软件,该软件已经打包在WINDOWS系列操作系统中;
(2) 客户端网络中有VPN功能的路由器;
(3) 网络服务商站点中有VPN功能的路由器。
隧道终端器的任务是使隧道到此终止,充当隧道终端器的网络设备和软件有:
(1) 专用的隧道终端器;
    (2) 网络中的防火墙;
    (3) 网络服务商路由器上的VPN网关。
隧道包括点到点和端到端隧道两种。在点到点隧道中,隧道由远程用户的PC延伸到企业服务器,两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网。在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。
    2、虚拟专用网(VPN)的协议——隧道协议
           虚拟专用网(VPN)技术中的隧道是由隧道协议形成的,正如网络是依靠相应的网络协议完成的一样。虚拟专用网(VPN)使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(1) 点到点隧道协议(PPTP):PPTP支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。 PPTP协议捆绑在Windows系列操作系统中。在VPN中应用最广。
           (2) 第二层隧道协议(L2TP):L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是,L2TP使用新的网际协议安全(IPSec)机制来进行身份验证和数据加密。
    3、虚拟专用网(VPN)的安全保障——加密和解密技术
VPN技术的安全保障主要就是靠加密、解密技术来实现的,除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能,虚拟专用网(VPN)使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。
在VPN中,IPsec的安全性是最好的。在建立安全隧道和使用安全策略时,各个过程进行得更加严格。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
4、虚拟专用网(VPN)的生命——身份认证和安全策略
虚拟专用网(VPN)是一种通过公众网资源为客户构成专用网的一种业务,如果安全技术不过关,势必给黑客造成可乘之机,将给使用它的用户带来不可估量的损失,所以说身份认证和安全策略是它的生命。在隧道建立过程中,采取一系列的步骤以保证数据在公共网络中传输的安全性。
(1) 用户认证:由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。用户把姓名、口令通过增强用户握手认证协议(CHAP—Challenge Handshake Authentication Protocol),发送到ISP网络。ISP网络联系企业RADIUS服务器,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。
(2) 进行设备确认:建立安全隧道。隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。
(3) 使用安全策略:下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。
               VPN网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器(RADIUS—Remote Authorization Dial-In User Service) 。VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。VPN和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。
四、虚拟专用网(VPN)校园网应用解决方案
    虚拟专用网(VPN)的基本原理都是一致的,但具体到应用解决方案种类却很多,选择一种合适的解决方案决定了学校校园网运行中的安全性、稳定性,同时要考虑投入问题。
1、虚拟专用网(VPN)解决方案的选择
       针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、内部虚拟网(Intranet VPN)和扩展虚拟网(Extranet VPN),这三种类型的VPN分别对应传统的远程访问网络、内部的以及Intranet和相关内部网所构成的Extranet相对应。
       (1) 远程访问虚拟网Access VPN
     Access VPN,通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
  Access VPN由它的特性决定最适用于学校教师住在校园外,通过ISP提供的拨号上网、ADSL等方式在家中接入因特网,再通过VPN拨号软件连入学校校园网,由校园网中的RADIUS服务器可对教师进行验证和授权,保证连接的安全,并且无需为此支付额外的费用。
(2) 内部虚拟网Intranet VPN
     越来越多的学校从发展的角度考虑,纷纷开发新校区,或兼并其它学校来壮大自己,这样在校园网建设中就面临两个甚至几个校区网络互联的问题,传统的网络连接方式一般是租用专线。显然,租用专线的费用非常昂贵。利用VPN特性可以在Internet上组建跨地域的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接各校区,它们拥有与专用网络的相同政策,包括安全、服务质量、可管理性和可靠性。同时这种方式同样适用于教育城域网建设,用Intranet VPN将所有学校校园网构建成一个大的整体。实现资源的充分共享与信息的自由的交流。
         (3) 扩展虚拟网Extranet VPN 
随着网络远程教育的普及,校园网的应用将越来越倾向于为广大教师和学生同时提供服务,开展网络远程教学、教师网上辅导、学生自主学习和互动学习等功能。Internet为这样的一种发展趋势提供了良好的基础,由于学生在使用网络时的不确定性,将给校园网的安全运行带来一定的隐患,而如何利用Internet进行有效的管理,是网络远程教育发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向广大学生提供有效的信息服务,又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施,将广大师生连接到校园内部网,Extranet VPN并不是真正意义上的开放,它可以提供充分的访问控制,但同时使得学生远离校园网内部资料;Extranet VPN结构的主要好处是,能容易地对外部网进行部署和管理,学生的接入可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。学生计算机可通过与教师不同的接入许可,连接至校园网内部,实现校园内部网的安全管理。
    2、实战虚拟专用网(VPN)
       (1) 基于专用VPN硬件的系统解决方案:
基于硬件的VPN产品一般为VPN路由器。VPN 路由器是一个高度集成化VPN解决方案,它结合了业界领先的高速路由技术及VPN 服务套件。VPN 路由器集成了 VPN 隧道的关键特性如:数据加密、安全、高级带宽管理和服务级确认,基于VPN路由器的系统解决方案优点在于:解决方案简单、设备投入低以及高安全性,因为他们把密钥存储在设备内的芯片里,所以他们的安全性比其它解决方案好。图1为基于VPN路由器的Access VPN应用解决方案;图2为基于VPN路由器的Intranet VPN应用解决方案拓扑图。
图1:基于VPN路由器的Access VPN应用解决方案拓扑图

图2:基于硬件VPN路由器的Intranet VPN应用解决方案拓扑图
(2) 基于含VPN功能防火墙的系统解决方案:
基于防火墙的VPN充分利用防火墙的安全机制,包括对内部网络的访问限制。它还执行地址转换,符合强认证要求,发出实时警报,并提供广泛记录功能。在什么情况下最好选择基于防火墙的VPN?当远程用户或网络有可能不友善时最好使用这种产品。网络管理员建立一个所谓的停火区网段,一般在防火墙使用一个第三方接口,配以之间的访问控制规则。黑客可能会进入停火区,但他们不能破坏内部网段。对于纯内部网来说,使用基于防火墙的VPN很经济,而且易于加固和管理。基于含VPN功能防火墙的系统解决方案的拓扑图与使用VPN路由的解决方案不同仅在于设备本身不同,网络结构基本相同,如图3

图3:基于VPN防火墙的应用解决方案内部网拓扑图
(3) 基于独立VPN软件(VPN服务器)的系统解决方案:
基于独立VPN软件的系统解决方案优点是更为灵活。硬件产品一般不是根据协议给所有通信量建立相应的隧道,而软件产品根据地址或协议建立隧道。如果远程站的混合通信量的一部分通过VPN传输,而另一部分不通过VPN传输,根据通信量类型建立隧道有好处。在性能要求不高的情况下(例如用户采用拨号连接),软件产品可能是最好的选择。而且WIN2000操作系统本身就集成了VPN远程访问服务器,可以在校园网现有设备基础上实现,无需另处增加设备,但基于软件的系统存在的问题是通常难以管理,配置上可能较为复杂。这要求管理员熟悉服务器的操作系统、应用程序以及适当的安全机制。如图4,VPN服务器其中一根与主交换机公网VLAN相连,一根接在私网VLAN上。
  
图4:基于独立VPN软件的系统解决方案内部网拓扑图
图4中VPN服务器可选用微软WINDOWS2000的虚拟专用网(VPN)远程访问服务器作为VPN软件,使用它的好处在于:一般校园网操作系统选用的WINDOWS2000,无需另外投入购买软件,而且客户端软件在WINDOWS系列操作系统中均内置有相应的拨号软件,减少客户端建设的工作量。在部署虚拟专用网(VPN)远程访问服务器时,决定在网络的什么位置部署服务器,特别要考虑与防火墙和其他网络资源的部署位置之间的关系。在拨号远程访问设计中,服务器通常位于防火墙的后面。因为 VPN 设计包含 Internet 连接,所以服务器与防火墙的相对位置是一个非常重要的问题。VPN 远程访问设计最常见的配置是将 VPN 服务器放在防火墙后面。在这种配置中,防火墙连接到 Internet 上,而 VPN 服务器是连接到周边网络的 Intranet 资源。VPN 服务器在周边网络和 Intranet 上都有一个接口。Internet 防火墙(Internet 和 VPN 服务器之间的防火墙)过滤来自 Internet 客户端的所有通信。Intranet 防火墙(VPN 服务器和 Intranet 之间的防火墙)过滤来自 VPN 客户端的所有 Intranet 通信。
五、我选用的应用解决方案
我校校园网现已基本建设完成,但在网络设计初期没有考虑到虚拟专用网(VPN),所以没有采购集成VPN功能的设备,在网络使用中感觉到虚拟专用网(VPN)的必要性。而需要在现有网络上实现VPN服务又不增加设备投入,则基于独立VPN软件(VPN服务器)的系统解决方案就成了我的首选。现将我校虚拟专用网(VPN)建设过程总结如下:
1、我校网络情况介绍
我校校园网是基于三层交换结构的网络,通过三层交换将整个校园按楼栋划分了若干子网,大致网络结构如图5所示,光纤收发器光转电后接入三层交换机中划出的5口的公网静态IP用的VLAN,其中一口连接至防火墙的外网端口,从防火墙内网端口连接至交换机提供给整个校园网各子网的上行端口,防火墙的停火区端口连接至WEB服务器。内部资源服务器与交换机相连。

2、部署配置VPN 远程访问服务器
(1) 作为VPN远程访问服务器条件是:
首先必须拥有一个公网的静态IP地址,只有这样远程访问才有“址”可循;
其次服务器需要配置两个连接,一个用于Internet连接,一个用于Intranet连接,可通过安装两块网卡分别指定内、外网IP地址来实现。有了以上两个条件,就可以将您的服务器配置为虚拟专用网VPN 远程访问服务器了。
(2) 启用VPN 远程访问服务器:
在WINDOWS2000服务器集成了程序,在“管理工具”中可以找到,启动“路由和远程访问”。
(3) 配置VPN 服务器上TCP/IP
外网IP地址为公网的静态IP地址(如:我校所用的218.87.XXX.XXX),内网IP地址可设置为与VPN要访问的校园网同一个网段(如我校内部资源服务器IP地址为192.168.1.1,那么VPN服务器内网卡IP地址可设置为192.168.1.XXX),也可设置在不同网段,通过添加路由的方式来实现VPN服务器与内部资源服务器互通,在与 VPN 服务器之间传送数据包时,Internet 和 VPN 服务器之间的 NAT 将发布的 IP 地址转换为专用的 IP 地址。由于与自动配置 TCP/IP 有关的路由问题,建议不要将 VPN 服务器配置为 DHCP 客户端。而是手动在 VPN 服务器的 Intranet 接口上配置 TCP/IP。使用默认网关配置 VPN 服务器的 Internet 接口。不要使用默认网关配置 VPN 服务器的 Intranet 接口。
(4) 配置VPN 服务器上路由
要使 VPN 服务器能够将通信正确地传送到 Intranet 中的各个位置,必须给它配置以下设置之一:汇总 Intranet 中所有可能 IP 地址的静态路由或者使 VPN 服务器能够用作动态路由器的路由协议,该协议自动将 Intranet 子网的路由添加到其路由表中。
一般情况VPN客户端(住在校外的教师)进入Intranet后,只允许对校园网中内部资源服务器进行访问,所以在我校虚拟专用网(VPN)建设中,VPN服务器内网IP与内部资源服务器处于同一网段,这样省去很多关于路由方面设置的麻烦。
3、部属 VPN 客户端
在部属VPN客户端时,由于选用的是基于WINDOWS2000虚拟专用网(VPN)远程访问服务器软件,所以在客户端只需使用WINDOWS系列操作系统集成的VPN拨号软件即可。以现在最流行的操作系统WINDOWS XP为例,具体实施过程如下:
(1) 建立虚拟专用网络连接
在“控制面板”中打开“网络连接”,“创建新的连接”,在新建连接向导中选择“连接到工作场所的网络”,选择“虚拟专用网络连接”,根据提示输入连接名称、IP地址(VPN服务器外网卡地址),最后输入用户名与密码,就建好了VPN连接。
实际上客户端的设置远不止这些,比如安全策略,路由等,由于我校建设VPN的目的是为了教师可以远程访问并使用内部资源服务器的资源,为了降低教师在家中的VPN连接设置的难度,所以就不再做其它设置。
(2) 使用虚拟专用网VPN
在使用前应先使用ADSL或其它方式拨入Internet,在使用虚拟专用网络连接拨入校园网内部,现在就可以坐在家中使用校园网内部的资源了,实际上无论你身处何地,只要你的计算机能够连入Internet,就可以通过虚拟专用网(VPN)进入校园网内部,就如同实际连接到校园网的 Intranet一样。
图6虚拟专用网(VPN)建设完成后我校网络拓扑图
总之,虚拟专用网(VPN)在教育行业的应用前景非常广泛,一旦它在学校成功运用,就像是为校园网插上了一对翅膀,成为一个能走出校园的校园网,如果在“校校通”工程上用好虚拟专用网(VPN),将为“校校通”的早日实现做出巨大的贡献。

【虚拟专用网VPN——走出校园的校园网】相关文章:

VPN帮你轻松实现虚拟专用网08-06

校园网站设计08-06

校园网站设计08-06

校园网的建设与管理08-17

校园网设计与建设08-17

校园网络管理初探08-07

走出校园作文11-28

走出校园作文03-08

VPN技术综述及应用08-06