論VPN技術(shù)在高校校園網(wǎng)中的應(yīng)用

彭城

摘 要：高校的教育隨著網(wǎng)絡(luò)技術(shù)的發(fā)展正悄然的發(fā)生變化，實(shí)體的圍墻封閉不住數(shù)據(jù)包的傳遞，越來(lái)越多的高校校園網(wǎng)選擇VPN技術(shù)來(lái)擴(kuò)展自身的影響力。我們應(yīng)該首先認(rèn)清VPN技術(shù)的分類(lèi)與使用范圍，然后再根據(jù)高校校園網(wǎng)的實(shí)際情況有的放矢地搭建屬于自己的VPN。

關(guān)鍵詞：高校校園網(wǎng);VPN技術(shù);架設(shè)方案

中圖分類(lèi)號(hào)： G64 ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ?文章編號(hào)： 1673-1069（2016）30-159-2

0 ?引言

高校的信息化建設(shè)水平一直是國(guó)家教育事業(yè)發(fā)展的重點(diǎn)內(nèi)容，加快信息化的建設(shè)步伐不僅能夠提高學(xué)校的教育功能，更有利于加大學(xué)校在社會(huì)的影響力，將教育資源的應(yīng)用率發(fā)揮到最大。從傳統(tǒng)的學(xué)校面授到網(wǎng)絡(luò)幕課，帶給學(xué)生的改變不僅僅是“同學(xué)”數(shù)量的增加，而是全新的教學(xué)方式的改變。在校園網(wǎng)內(nèi)，師生可以利用電腦、手機(jī)等終端任意訪(fǎng)問(wèn)這些數(shù)字資源，可以說(shuō)這是一個(gè)永不閉館的數(shù)字學(xué)校。這些利用互聯(lián)網(wǎng)技術(shù)優(yōu)化教育資源的例子不勝枚舉，但是與此同時(shí)網(wǎng)絡(luò)的局限性也紛紛顯示了出來(lái)。高校擁有自己的教育網(wǎng)，用戶(hù)如果在教育網(wǎng)外訪(fǎng)問(wèn)網(wǎng)內(nèi)資源就會(huì)無(wú)法訪(fǎng)問(wèn)。同時(shí)，某些教學(xué)互動(dòng)軟件只能夠在局域網(wǎng)環(huán)境中使用，跨網(wǎng)絡(luò)的使用是無(wú)法進(jìn)行的。傳統(tǒng)的解決方式是使用端口映射，但是端口映射會(huì)增加安全隱患，同時(shí)操作起來(lái)也非常的煩瑣，穩(wěn)定性也不好，需要專(zhuān)業(yè)人員進(jìn)行維護(hù)。針對(duì)這樣的情況，越來(lái)越多的高校選擇利用VPN技術(shù)來(lái)解決上述的問(wèn)題。

1 ?VPN概述

所謂“VPN”就是“虛擬專(zhuān)用網(wǎng)絡(luò)”，換句話(huà)說(shuō)就是利用現(xiàn)有的網(wǎng)絡(luò)環(huán)境虛擬出一條專(zhuān)用線(xiàn)路，在這條虛擬專(zhuān)線(xiàn)上能夠?qū)崿F(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能。需要說(shuō)明的是，這種“專(zhuān)用網(wǎng)絡(luò)”是由Internet服務(wù)提供商（ISP）的網(wǎng)絡(luò)資源動(dòng)態(tài)組成的，先由訪(fǎng)問(wèn)發(fā)起端向當(dāng)?shù)豂SP提出要求，再由ISP負(fù)責(zé)與需訪(fǎng)問(wèn)端建立會(huì)話(huà)。高?？梢愿鶕?jù)自身網(wǎng)絡(luò)建設(shè)的具體要求，選擇一個(gè)最符合自己需求的網(wǎng)絡(luò)建設(shè)方案選擇。為此，我們要考慮到這樣幾個(gè)問(wèn)題：專(zhuān)線(xiàn)對(duì)面的終端是否足夠的信任，是否需要限制對(duì)方的訪(fǎng)問(wèn)權(quán)限？是否能夠快捷的將遠(yuǎn)程訪(fǎng)問(wèn)的VPN端與真實(shí)的本地局域網(wǎng)絡(luò)分隔通訊？如果遠(yuǎn)程端出現(xiàn)故障，是否可以方便快捷的解決故障？為此，我們必須需要先來(lái)探討一下VPN的實(shí)現(xiàn)技術(shù)。

對(duì)于高校校園網(wǎng)來(lái)說(shuō)，涉及辦公OA系統(tǒng)、學(xué)校資料管理、校園卡安全消費(fèi)等各個(gè)方面，因此對(duì)于VPN的安全技術(shù)要求非常高，同時(shí)VPN本身的技術(shù)也非常復(fù)雜，因此網(wǎng)絡(luò)的數(shù)據(jù)封裝與安全技術(shù)是高校VPN技術(shù)的核心。

VPN中源局域網(wǎng)與公網(wǎng)的接口連接稱(chēng)為隧道技術(shù)，如同架設(shè)一個(gè)隧道將內(nèi)、外網(wǎng)打通，如同修路一樣，隧道能否順利打通、如何打通是VPN構(gòu)建的核心要點(diǎn)。數(shù)據(jù)包在源局域網(wǎng)終端和公網(wǎng)終端之間傳輸時(shí)，發(fā)送數(shù)據(jù)的終端先將目標(biāo)地址寫(xiě)進(jìn)數(shù)據(jù)內(nèi)部，然后發(fā)送到自己一側(cè)的VPN網(wǎng)關(guān)，而VPN網(wǎng)關(guān)拿到數(shù)據(jù)并驗(yàn)證目標(biāo)地址屬于VPN網(wǎng)絡(luò)后，將數(shù)據(jù)進(jìn)行封裝，相當(dāng)于在信件的外面再套上一個(gè)信封，然后書(shū)寫(xiě)上接收端一側(cè)VPN網(wǎng)關(guān)的對(duì)外地址，這樣數(shù)據(jù)就可以在公網(wǎng)內(nèi)傳輸。接收端VPN網(wǎng)關(guān)拿到“信件”后，拆掉外層封裝的“信封”，就可以讀到目標(biāo)地址，并進(jìn)行數(shù)據(jù)的傳遞，反之亦然。在這個(gè)過(guò)程中，數(shù)據(jù)在傳輸時(shí)，源局域網(wǎng)、雙方VPN網(wǎng)關(guān)、所經(jīng)過(guò)的邏輯路徑就被稱(chēng)為“隧道”。

高校VPN架設(shè)主要有這樣幾種隧道協(xié)議：點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP協(xié)議）、第二層隧道協(xié)議（L2TP）協(xié)議、網(wǎng)絡(luò)協(xié)議安全協(xié)議（IPSec協(xié)議）和SSL VPN。應(yīng)用最為廣泛的是第二層隧道協(xié)議，該協(xié)議又稱(chēng)國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，最初是由IETF基于微軟的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 （PPTP）和思科2層轉(zhuǎn)發(fā)協(xié)議（L2F）進(jìn)行制定，因此它繼承了PPTP協(xié)議的優(yōu)點(diǎn)，通俗地來(lái)說(shuō)就是PPTP協(xié)議像景區(qū)的檢票口，它會(huì)將入口處的“散客游人”與“景區(qū)”進(jìn)行連接。而L2TP協(xié)議使用多隧道更像是旅行社組團(tuán)，并利用許多輛大巴車(chē)將游人直接送入景區(qū)，這樣就可以加大數(shù)據(jù)的吞吐量。而且，L2TP協(xié)議在傳輸數(shù)據(jù)時(shí)所使用的消息類(lèi)型有兩種：數(shù)據(jù)控制消息和數(shù)據(jù)傳輸消息，非常類(lèi)似于一個(gè)是導(dǎo)游，控制著數(shù)據(jù)傳輸路徑，一個(gè)是大巴車(chē)司機(jī)，專(zhuān)門(mén)負(fù)責(zé)數(shù)據(jù)的運(yùn)輸。但是，L2TP也有一個(gè)比較大的缺點(diǎn)是沒(méi)有數(shù)據(jù)加密的措施，如同游客乘坐的大巴車(chē)沒(méi)有任何車(chē)廂保護(hù)和安全措施，這樣就加大了數(shù)據(jù)被劫持、重放的風(fēng)險(xiǎn)。因此很多情況下，高校在架設(shè)自己的VPN網(wǎng)絡(luò)時(shí)大多采用L2TP+IPSec組合協(xié)議。用L2TP隧道協(xié)議傳輸數(shù)據(jù)，用IPSec協(xié)議保護(hù)數(shù)據(jù)。IPSec的安全協(xié)議主要包含兩個(gè)方面：認(rèn)證報(bào)頭AH和安全封裝ESP，需要說(shuō)明的是無(wú)論是AH還是ESP都具備了通信保護(hù)的功能，都可以提供數(shù)據(jù)完整性檢測(cè)和數(shù)據(jù)源認(rèn)證。雖然IPSec在IPV4規(guī)范中僅僅是作為選用，但是在IPV6中是強(qiáng)制的，在配置VPN網(wǎng)絡(luò)時(shí)要注意這一點(diǎn)。

在實(shí)際操作過(guò)程中，我們會(huì)發(fā)現(xiàn)IPSec VPN雖然成熟、安全，但是需要在終端安裝專(zhuān)用軟件才能正常使用，這樣一方面讓動(dòng)手能力弱的電腦望而卻步，也讓越來(lái)越普及的手機(jī)用戶(hù)望而興嘆，基于這種原因SSL VPN應(yīng)運(yùn)而生。SSL存在于任意一個(gè)瀏覽器內(nèi)，工作在應(yīng)用層，指定了瀏覽器與TCP/IP數(shù)據(jù)交換時(shí)的安全機(jī)制，并提供數(shù)據(jù)加密、用戶(hù)認(rèn)證、客戶(hù)機(jī)選擇以及數(shù)據(jù)的封裝與加密等功能支持。在數(shù)據(jù)傳輸之初，SSL VPN首先確認(rèn)雙方身份，統(tǒng)一加密算法，最有將數(shù)據(jù)加密密鑰傳輸給雙方。數(shù)據(jù)傳輸過(guò)程中借助的是可靠的傳輸協(xié)議如TCP，傳輸質(zhì)量非常穩(wěn)定。并且由于使用的是瀏覽器接口，隱藏了終端和服務(wù)器，避免了病毒或者黑客對(duì)內(nèi)部服務(wù)器的破壞。

2 ?VPN架設(shè)方案

2.1 VPN方案的選擇

在建立VPN網(wǎng)絡(luò)時(shí)需要先期將學(xué)校的校園網(wǎng)絡(luò)建設(shè)完成，并能正常連接互聯(lián)網(wǎng)，這里不再贅述。在實(shí)際使用過(guò)程中，在校園網(wǎng)中的VPN要能夠給出差在外地的老師、分校區(qū)員工、不在校園網(wǎng)內(nèi)的學(xué)生等提供直接連接到校園局域網(wǎng)的服務(wù)。同時(shí)還應(yīng)該考慮到分校區(qū)間多媒體教學(xué)的需要。因此在構(gòu)建VPN網(wǎng)絡(luò)時(shí)綜合考慮網(wǎng)絡(luò)的負(fù)載平衡，確定VPN網(wǎng)關(guān)的吞吐能力和數(shù)據(jù)加密的性能。學(xué)校網(wǎng)絡(luò)連接互聯(lián)網(wǎng)的方式也是需要構(gòu)建VPN網(wǎng)絡(luò)時(shí)需要考慮的問(wèn)題，客戶(hù)端可以采取撥號(hào)或者光纖的接入方式，而服務(wù)器端要采用固定IP地址的連接方式，這樣才能夠方便連接。在服務(wù)器端還應(yīng)配備VPN的數(shù)據(jù)接入服務(wù)器，在多用戶(hù)同時(shí)接入時(shí)服務(wù)器應(yīng)能夠自動(dòng)平衡負(fù)載。校園網(wǎng)常用的VPN方案主要就是IPsec VPN和SSL VPN，如果VPN承擔(dān)的主要工作是各個(gè)校區(qū)之間的數(shù)據(jù)連接，那么可以選擇IPSEC VPN;如果VPN承擔(dān)的主要工作是零散終端就可以選擇SSL VPN。

2.2 VPN方案的部署方式

首先要借助VPN的管理系統(tǒng)在網(wǎng)絡(luò)內(nèi)部建立域方便管理相關(guān)的VPN設(shè)備，特別是防火墻和VPN網(wǎng)關(guān)等重要設(shè)備更要做到實(shí)時(shí)的監(jiān)控。目前常用的管理軟件都可以對(duì)建立的域進(jìn)行“內(nèi)部域名”的編輯，將同一域內(nèi)的網(wǎng)絡(luò)設(shè)備“捆綁”在一個(gè)域名下，相關(guān)的域又可以建立多達(dá)三層的子域，大大方便了VPN的管理。在此基礎(chǔ)上，管理員還可以為不同子域配備不同的“區(qū)域”管理人員。針對(duì)手機(jī)、平板電腦等移動(dòng)用戶(hù)，要在管理系統(tǒng)里部署不同權(quán)限的組，新用戶(hù)加入時(shí)先對(duì)其用戶(hù)身份進(jìn)行甄別，然后將用戶(hù)加入到不同權(quán)限的組內(nèi)，以獲得訪(fǎng)問(wèn)權(quán)限，當(dāng)用戶(hù)退出VPN網(wǎng)絡(luò)時(shí)只需將用戶(hù)從組內(nèi)刪除，這樣可以加快移動(dòng)端訪(fǎng)問(wèn)VPN網(wǎng)絡(luò)的速度。

3 ?校園網(wǎng)在使用VPN時(shí)應(yīng)注意的問(wèn)題

VPN在高校工作中應(yīng)用意義重大，可以將校園教科研延伸到校外，但是網(wǎng)絡(luò)的速度受限于ISP提供的網(wǎng)速，同時(shí)穩(wěn)定性也不在學(xué)校的控制下。因此在VPN部署過(guò)程中先要仔細(xì)分析和規(guī)劃，認(rèn)真選擇軟硬件，避免兼容性不好的問(wèn)題。在運(yùn)行過(guò)程中還應(yīng)由專(zhuān)業(yè)技術(shù)人員仔細(xì)監(jiān)控各個(gè)環(huán)節(jié)的運(yùn)行情況。在規(guī)劃VPN網(wǎng)絡(luò)是要留足升級(jí)的空間，特別是針對(duì)用戶(hù)數(shù)量增加后軟硬件的升級(jí)更要考慮到。

4 ?總結(jié)

可以說(shuō)日益成熟的校園網(wǎng)VPN技術(shù)無(wú)限地?cái)U(kuò)展了教師辦公和學(xué)生學(xué)習(xí)的距離，構(gòu)建學(xué)校自己的虛擬專(zhuān)用網(wǎng)不僅可以提高教學(xué)效率，還能最大化的發(fā)揮內(nèi)網(wǎng)資源的利用率。而這些提升不需要太多的改變校園網(wǎng)的網(wǎng)絡(luò)架構(gòu)，成本低廉。相信隨著網(wǎng)絡(luò)技術(shù)的發(fā)展VPN在校園網(wǎng)中的作用將越來(lái)越重要。

參 考 文 獻(xiàn)

[1] 楊沛.VPN技術(shù)在圖書(shū)管理信息系統(tǒng)中的應(yīng)用[J].現(xiàn)代情報(bào)，2005（05）.

[2] 薛芳，何世珍.利用VPN技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的聯(lián)通[J].采礦技術(shù)，2005（01）.