虛擬專用網(wǎng)（VPN）——走出校園的校園網(wǎng)

江西省贛縣中學(xué) 梁峰
[內(nèi)容提要]：本文主要就虛擬專用網(wǎng)（VPN）在學(xué)校校園網(wǎng)中的應(yīng)用做初淺的探索，提出校園網(wǎng)資源遠(yuǎn)程訪問的一種安全、低廉的解決方案，為眾多已建和在建的校園網(wǎng)提供一定的啟發(fā)與參考。
[關(guān)鍵字]：虛擬專用網(wǎng)、VPN、校園網(wǎng)資源、隧道技術(shù)、數(shù)據(jù)加密算法、路由

近年來，隨著計(jì)算機(jī)多媒體網(wǎng)絡(luò)技術(shù)的快速發(fā)展、學(xué)校信息化建設(shè)的加快，校園網(wǎng)已經(jīng)成為學(xué)校信息化建設(shè)的重要組成部分。校園網(wǎng)應(yīng)用在教學(xué)過程中，不僅可以改變傳統(tǒng)的教學(xué)模式、教學(xué)方法和教學(xué)手段，而且將會促進(jìn)教育觀念、教學(xué)思想的轉(zhuǎn)變。豐富的教育資源為教師的教學(xué)和學(xué)生的學(xué)習(xí)提供了優(yōu)良的軟件環(huán)境。但為了校園網(wǎng)的安全，學(xué)校在校園網(wǎng)建設(shè)時(shí)，通常是將公網(wǎng)與私網(wǎng)進(jìn)行物理隔離，使外網(wǎng)無法訪問內(nèi)網(wǎng)資源。這樣勢必導(dǎo)致住在校外的教師和學(xué)生在家中無法使用校園網(wǎng)內(nèi)部資源。要解決這個(gè)問題，虛擬專用網(wǎng)（VPN）就是一種安全、低廉的解決方案。
一、虛擬專用網(wǎng)（VPN）簡介
虛擬私有網(wǎng)絡(luò)VPN(Virtual Private Network)是利用公眾網(wǎng)資源為客戶構(gòu)成專用網(wǎng)的一種業(yè)務(wù)，這是相對于實(shí)際的專有網(wǎng)絡(luò)而言的，它是基于Internet/Intranet等公用開放的傳輸媒體，通過加密和驗(yàn)證等安全機(jī)制建立虛擬的數(shù)據(jù)傳輸通道，以保障在公共網(wǎng)上傳輸私有數(shù)據(jù)信息不被竊取、篡改，從而向用戶提供相當(dāng)于專用網(wǎng)絡(luò)的安全服務(wù)，是目前廣泛應(yīng)用于電子商務(wù)、電子政務(wù)、大型企業(yè)等應(yīng)用安全保護(hù)的安全技術(shù)。VPN有兩層含義：
1、Virtual：它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時(shí)才建立；
2、Private：它是利用公眾網(wǎng)絡(luò)設(shè)施構(gòu)成的私有專用網(wǎng)。
虛擬專用網(wǎng)（VPN）代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QOS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡單和低成本），能夠提供遠(yuǎn)程訪問，外部網(wǎng)和內(nèi)部網(wǎng)的連接，價(jià)格比專線或者幀中繼網(wǎng)絡(luò)要低得多。而且，VPN在降低成本的同時(shí)滿足了對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，因此，VPN的特性決定了它在教育行業(yè)的應(yīng)用前景將非常廣泛。
二、虛擬專用網(wǎng)（VPN）在教育行業(yè)的應(yīng)用前景
虛擬專用網(wǎng)（VPN）用于教育行業(yè)的實(shí)例很少，其實(shí)虛擬專用網(wǎng)（VPN）在教育行業(yè)的應(yīng)用前景也很廣泛，它的安全、低廉的特征很符合教育行業(yè)應(yīng)用高要求、低投入的特性，它在教育行業(yè)可應(yīng)用于以下幾方面：
1、校園網(wǎng)建設(shè)
學(xué)校建設(shè)校園網(wǎng)的目的是為了提供一個(gè)先進(jìn)、開放、實(shí)用的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，進(jìn)一步提供網(wǎng)上教學(xué)、科研活動、學(xué)校行政管理信息系統(tǒng)和其他現(xiàn)代化的網(wǎng)絡(luò)通信服務(wù)，但這些應(yīng)用僅局限在校園網(wǎng)內(nèi)部，虛擬專用網(wǎng)（VPN）的應(yīng)用就可以實(shí)現(xiàn)校園網(wǎng)應(yīng)用的擴(kuò)展，可以把校園網(wǎng)的各種網(wǎng)絡(luò)通信服務(wù)延伸到教師和學(xué)生家里，教師可以在家中使用校園網(wǎng)內(nèi)部的教育資源庫進(jìn)行備課，學(xué)生可以從校園網(wǎng)中獲得各種學(xué)習(xí)資源、實(shí)現(xiàn)網(wǎng)上學(xué)習(xí)。
2、網(wǎng)上遠(yuǎn)程教育
網(wǎng)上遠(yuǎn)程教育作為一個(gè)嶄新的教育形式。將最大限度利用現(xiàn)有教育資源，是實(shí)現(xiàn)教育的大眾化、現(xiàn)代化、終身化和國際化的新型教育形式和必然途徑。網(wǎng)絡(luò)作為遠(yuǎn)程教育的重要載體之一，在應(yīng)用過程中，網(wǎng)絡(luò)的優(yōu)勢日趨顯現(xiàn)。虛擬專用網(wǎng)（VPN）在這一領(lǐng)域的應(yīng)用，可以實(shí)現(xiàn)跨地域建立一個(gè)虛擬專用教學(xué)網(wǎng)，使教與學(xué)的過程就像在一個(gè)內(nèi)部網(wǎng)中進(jìn)行，實(shí)現(xiàn)遠(yuǎn)程教學(xué)的開放與安全、自主與協(xié)作的和諧統(tǒng)一。
3、教育城域網(wǎng)建設(shè)以及“校校通”工程
教育城域網(wǎng)建設(shè)是把各個(gè)學(xué)校零散的校園網(wǎng)組成一個(gè)大型網(wǎng)絡(luò)，它對于大面積的提高教育教學(xué)的質(zhì)量、充分的共享教育資源、減少教育信息化建設(shè)的整體投入起著極大的作用。現(xiàn)今城域網(wǎng)的建設(shè)動輒用鋪設(shè)專線，租用光纖等高投入的方式，雖然極大的提高了網(wǎng)絡(luò)的速度及安全，但這種投入與產(chǎn)出在現(xiàn)階段是不成正比的。虛擬專用網(wǎng)（VPN）作為廉價(jià)的解決方案，將是近階段城域網(wǎng)建設(shè)最重要的手段之一。尤其在全國“校校通”工程的建設(shè)中，虛擬專用網(wǎng)（VPN）有著其它方式不可比擬的優(yōu)勢。
三、虛擬專用網(wǎng)（VPN）技術(shù)詳解
VPN（Virtual Private Network）是采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公共網(wǎng)絡(luò)上構(gòu)建虛擬專用網(wǎng)絡(luò)的技術(shù)。
1、虛擬專用網(wǎng)（VPN）的核心——隧道技術(shù)
隧道技術(shù)是VPN的核心。隧道是基于網(wǎng)絡(luò)協(xié)議在兩點(diǎn)或兩端建立的通信，隧道由隧道開通器和隧道終端器建立。隧道開通器的任務(wù)是在公用網(wǎng)絡(luò)中開出一條隧道。多種網(wǎng)絡(luò)設(shè)備和軟件可以充當(dāng)隧道開通器：
(1) PC上的Modem卡和有VPN撥號功能的軟件,該軟件已經(jīng)打包在WINDOWS系列操作系統(tǒng)中；
(2) 客戶端網(wǎng)絡(luò)中有VPN功能的路由器；
(3) 網(wǎng)絡(luò)服務(wù)商站點(diǎn)中有VPN功能的路由器。
隧道終端器的任務(wù)是使隧道到此終止，充當(dāng)隧道終端器的網(wǎng)絡(luò)設(shè)備和軟件有：
(1) 專用的隧道終端器；
    (2) 網(wǎng)絡(luò)中的防火墻；
    (3) 網(wǎng)絡(luò)服務(wù)商路由器上的VPN網(wǎng)關(guān)。
隧道包括點(diǎn)到點(diǎn)和端到端隧道兩種。在點(diǎn)到點(diǎn)隧道中，隧道由遠(yuǎn)程用戶的PC延伸到企業(yè)服務(wù)器，兩邊的設(shè)備負(fù)責(zé)隧道的建立以及兩點(diǎn)之間數(shù)據(jù)的加密和解密。第二種隧道是端到端隧道，隧道終止于防火墻等網(wǎng)絡(luò)邊緣設(shè)備，主要是連接兩端局域網(wǎng)。在數(shù)據(jù)包傳輸中，數(shù)據(jù)包可能通過一系列隧道，才能到達(dá)目的地。
    2、虛擬專用網(wǎng)（VPN）的協(xié)議——隧道協(xié)議
           虛擬專用網(wǎng)（VPN）技術(shù)中的隧道是由隧道協(xié)議形成的，正如網(wǎng)絡(luò)是依靠相應(yīng)的網(wǎng)絡(luò)協(xié)議完成的一樣。虛擬專用網(wǎng)（VPN）使用兩種隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。
(1) 點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）：PPTP支持通過公共網(wǎng)絡(luò)（如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP可以建立隧道或?qū)�IP、IPX或NetBEUI協(xié)議封裝在PPP數(shù)據(jù)包內(nèi)，因此允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。PPTP在基于TCP/IP協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建VPN連接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用服務(wù)器的安全數(shù)據(jù)傳輸。VPN服務(wù)器執(zhí)行所有的安全檢查和驗(yàn)證，并啟用數(shù)據(jù)加密，使得在不安全的網(wǎng)絡(luò)上發(fā)送信息變得更加安全。通過啟用PPTP的VPN傳輸數(shù)據(jù)就象在企業(yè)的一個(gè)局域網(wǎng)內(nèi)那樣安全。另外還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡(luò)。 PPTP協(xié)議捆綁在Windows系列操作系統(tǒng)中。在VPN中應(yīng)用最廣。
           (2) 第二層隧道協(xié)議（L2TP）：L2TP是一個(gè)工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP也會壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協(xié)議，同樣允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議安全（IPSec）機(jī)制來進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密。
    3、虛擬專用網(wǎng)（VPN）的安全保障——加密和解密技術(shù)
VPN技術(shù)的安全保障主要就是靠加密、解密技術(shù)來實(shí)現(xiàn)的，除了用隧道技術(shù)確保在兩點(diǎn)或兩端之間建立一條通信專用通道之外，兩邊的設(shè)備還必須增加建立于信任關(guān)系基礎(chǔ)之上的加密、解密功能，虛擬專用網(wǎng)（VPN）使用的是標(biāo)準(zhǔn)Internet安全技術(shù)，進(jìn)行數(shù)據(jù)加密、用戶身份認(rèn)證等工作。
在VPN中，IPsec的安全性是最好的。在建立安全隧道和使用安全策略時(shí)，各個(gè)過程進(jìn)行得更加嚴(yán)格。IPsec使用了IPsec隧道模式。在這種隧道模式中，用戶的數(shù)據(jù)包加密后，封裝進(jìn)新的IP。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務(wù)器的地址。
4、虛擬專用網(wǎng)（VPN）的生命——身份認(rèn)證和安全策略
虛擬專用網(wǎng)（VPN）是一種通過公眾網(wǎng)資源為客戶構(gòu)成專用網(wǎng)的一種業(yè)務(wù)，如果安全技術(shù)不過關(guān)，勢必給黑客造成可乘之機(jī)，將給使用它的用戶帶來不可估量的損失，所以說身份認(rèn)證和安全策略是它的生命。在隧道建立過程中，采取一系列的步驟以保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸?shù)陌踩�性�?br /> (1) 用戶認(rèn)證：由于VPN跨越了無安全保障的公共網(wǎng)絡(luò)平臺，一些非授權(quán)的隧道建立請求和冒名連接的闖入不可避免。用戶把姓名、口令通過增強(qiáng)用戶握手認(rèn)證協(xié)議（CHAP—Challenge Handshake Authentication Protocol），發(fā)送到ISP網(wǎng)絡(luò)。ISP網(wǎng)絡(luò)聯(lián)系企業(yè)RADIUS服務(wù)器，進(jìn)行用戶確認(rèn)，收到確認(rèn)后，ISP網(wǎng)絡(luò)又以CHAP將應(yīng)答傳給用戶。同時(shí)ISP收到企業(yè)服務(wù)器發(fā)回的用戶IP及子網(wǎng)掩碼分配，以及隧道終端器的IP地址分配。
(2) 進(jìn)行設(shè)備確認(rèn)：建立安全隧道。隧道開通器使用自己的私鑰進(jìn)行數(shù)字簽名，并發(fā)送給隧道終端器，隧道終端器使用隧道開通器的公鑰，對隧道開通器進(jìn)行簽名確認(rèn)。反之，隧道開通器對終端器進(jìn)行確認(rèn)。然后雙方協(xié)商對數(shù)據(jù)進(jìn)行加密時(shí)使用的算法。
(3) 使用安全策略：下一步確認(rèn)對本次傳輸?shù)奶囟ㄓ脩舨扇〉陌踩�策略。用戶身份級別越高，消息認(rèn)證等過程就越嚴(yán)格。
               VPN網(wǎng)絡(luò)中通常還有一個(gè)或多個(gè)安全服務(wù)器。其中最重要的是遠(yuǎn)程撥入用戶安全服務(wù)器（RADIUS—Remote Authorization Dial-In User Service) 。VPN根據(jù)RADIUS服務(wù)器上的用戶中心數(shù)據(jù)庫對訪問用戶進(jìn)行權(quán)限控制。RADIUS服務(wù)器確認(rèn)用戶是否有存取權(quán)限，如果該用戶沒有存取權(quán)限，隧道就此終止。同時(shí)RADIUS服務(wù)器向被訪問的設(shè)備發(fā)送用戶的IP地址分配、用戶最長接入時(shí)間及該用戶被允許使用的撥入電話號碼等。VPN和訪問服務(wù)器參照這些內(nèi)容，對用戶進(jìn)行驗(yàn)證，如果情況完全相符，就允許建立隧道通信。
四、虛擬專用網(wǎng)（VPN）校園網(wǎng)應(yīng)用解決方案
    虛擬專用網(wǎng)（VPN）的基本原理都是一致的，但具體到應(yīng)用解決方案種類卻很多，選擇一種合適的解決方案決定了學(xué)校校園網(wǎng)運(yùn)行中的安全性、穩(wěn)定性，同時(shí)要考慮投入問題。
1、虛擬專用網(wǎng)（VPN）解決方案的選擇
       針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、內(nèi)部虛擬網(wǎng)（Intranet VPN）和擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別對應(yīng)傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、內(nèi)部的以及Intranet和相關(guān)內(nèi)部網(wǎng)所構(gòu)成的Extranet相對應(yīng)。
       (1) 遠(yuǎn)程訪問虛擬網(wǎng)Access VPN
　　   Access VPN，通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。Access VPN能使用戶隨時(shí)、隨地以其所需的方式訪問企業(yè)資源。Access VPN包括模擬、撥號、ISDN、數(shù)字用戶線路 (xDSL)、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。
　　Access VPN由它的特性決定最適用于學(xué)校教師住在校園外，通過ISP提供的撥號上網(wǎng)、ADSL等方式在家中接入因特網(wǎng)，再通過VPN撥號軟件連入學(xué)校校園網(wǎng)，由校園網(wǎng)中的RADIUS服務(wù)器可對教師進(jìn)行驗(yàn)證和授權(quán)，保證連接的安全，并且無需為此支付額外的費(fèi)用。
(2) 內(nèi)部虛擬網(wǎng)Intranet VPN
　　   越來越多的學(xué)校從發(fā)展的角度考慮，紛紛開發(fā)新校區(qū)，或兼并其它學(xué)校來壯大自己，這樣在校園網(wǎng)建設(shè)中就面臨兩個(gè)甚至幾個(gè)校區(qū)網(wǎng)絡(luò)互聯(lián)的問題，傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，租用專線的費(fèi)用非常昂貴。利用VPN特性可以在Internet上組建跨地域的Intranet VPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個(gè)Intranet VPN上安全傳輸。Intranet VPN 通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接各校區(qū)，它們擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量、可管理性和可靠性。同時(shí)這種方式同樣適用于教育城域網(wǎng)建設(shè)，用Intranet VPN將所有學(xué)校校園網(wǎng)構(gòu)建成一個(gè)大的整體。實(shí)現(xiàn)資源的充分共享與信息的自由的交流。
    　　   (3) 擴(kuò)展虛擬網(wǎng)Extranet VPN　
隨著網(wǎng)絡(luò)遠(yuǎn)程教育的普及，校園網(wǎng)的應(yīng)用將越來越傾向于為廣大教師和學(xué)生同時(shí)提供服務(wù)，開展網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、教師網(wǎng)上輔導(dǎo)、學(xué)生自主學(xué)習(xí)和互動學(xué)習(xí)等功能。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，由于學(xué)生在使用網(wǎng)絡(luò)時(shí)的不確定性，將給校園網(wǎng)的安全運(yùn)行帶來一定的隱患，而如何利用Internet進(jìn)行有效的管理，是網(wǎng)絡(luò)遠(yuǎn)程教育發(fā)展中不可避免的一個(gè)關(guān)鍵問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向廣大學(xué)生提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Extranet VPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將廣大師生連接到校園內(nèi)部網(wǎng)，Extranet VPN并不是真正意義上的開放,它可以提供充分的訪問控制，但同時(shí)使得學(xué)生遠(yuǎn)離校園網(wǎng)內(nèi)部資料;Extranet VPN結(jié)構(gòu)的主要好處是，能容易地對外部網(wǎng)進(jìn)行部署和管理，學(xué)生的接入可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。學(xué)生計(jì)算機(jī)可通過與教師不同的接入許可，連接至校園網(wǎng)內(nèi)部，實(shí)現(xiàn)校園內(nèi)部網(wǎng)的安全管理。
    2、實(shí)戰(zhàn)虛擬專用網(wǎng)（VPN）
       (1) 基于專用VPN硬件的系統(tǒng)解決方案：
基于硬件的VPN產(chǎn)品一般為VPN路由器。VPN 路由器是一個(gè)高度集成化VPN解決方案，它結(jié)合了業(yè)界領(lǐng)先的高速路由技術(shù)及VPN 服務(wù)套件。VPN 路由器集成了 VPN 隧道的關(guān)鍵特性如：數(shù)據(jù)加密、安全、高級帶寬管理和服務(wù)級確認(rèn)，基于VPN路由器的系統(tǒng)解決方案優(yōu)點(diǎn)在于：解決方案簡單、設(shè)備投入低以及高安全性，因?yàn)樗麄儼衙荑�存儲在設(shè)備內(nèi)的芯片里，所以他們的安全性比其它解決方案好。圖1為基于VPN路由器的Access VPN應(yīng)用解決方案；圖2為基于VPN路由器的Intranet VPN應(yīng)用解決方案拓?fù)鋱D。
圖1:基于VPN路由器的Access VPN應(yīng)用解決方案拓?fù)鋱D

圖2:基于硬件VPN路由器的Intranet VPN應(yīng)用解決方案拓?fù)鋱D
(2) 基于含VPN功能防火墻的系統(tǒng)解決方案：
基于防火墻的VPN充分利用防火墻的安全機(jī)制，包括對內(nèi)部網(wǎng)絡(luò)的訪問限制。它還執(zhí)行地址轉(zhuǎn)換，符合強(qiáng)認(rèn)證要求，發(fā)出實(shí)時(shí)警報(bào)，并提供廣泛記錄功能。在什么情況下最好選擇基于防火墻的VPN？當(dāng)遠(yuǎn)程用戶或網(wǎng)絡(luò)有可能不友善時(shí)最好使用這種產(chǎn)品。網(wǎng)絡(luò)管理員建立一個(gè)所謂的�；饏^(qū)網(wǎng)段，一般在防火墻使用一個(gè)第三方接口，配以之間的訪問控制規(guī)則。黑客可能會進(jìn)入停火區(qū)，但他們不能破壞內(nèi)部網(wǎng)段。對于純內(nèi)部網(wǎng)來說，使用基于防火墻的VPN很經(jīng)濟(jì)，而且易于加固和管理�；�于含VPN功能防火墻的系統(tǒng)解決方案的拓?fù)鋱D與使用VPN路由的解決方案不同僅在于設(shè)備本身不同，網(wǎng)絡(luò)結(jié)構(gòu)基本相同，如圖3

圖3：基于VPN防火墻的應(yīng)用解決方案內(nèi)部網(wǎng)拓?fù)鋱D
(3) 基于獨(dú)立VPN軟件（VPN服務(wù)器）的系統(tǒng)解決方案：
基于獨(dú)立VPN軟件的系統(tǒng)解決方案優(yōu)點(diǎn)是更為靈活。硬件產(chǎn)品一般不是根據(jù)協(xié)議給所有通信量建立相應(yīng)的隧道，而軟件產(chǎn)品根據(jù)地址或協(xié)議建立隧道。如果遠(yuǎn)程站的混合通信量的一部分通過VPN傳輸，而另一部分不通過VPN傳輸，根據(jù)通信量類型建立隧道有好處。在性能要求不高的情況下（例如用戶采用撥號連接），軟件產(chǎn)品可能是最好的選擇。而且WIN2000操作系統(tǒng)本身就集成了VPN遠(yuǎn)程訪問服務(wù)器，可以在校園網(wǎng)現(xiàn)有設(shè)備基礎(chǔ)上實(shí)現(xiàn)，無需另處增加設(shè)備，但基于軟件的系統(tǒng)存在的問題是通常難以管理，配置上可能較為復(fù)雜。這要求管理員熟悉服務(wù)器的操作系統(tǒng)、應(yīng)用程序以及適當(dāng)?shù)陌踩珯C(jī)制。如圖4，VPN服務(wù)器其中一根與主交換機(jī)公網(wǎng)VLAN相連，一根接在私網(wǎng)VLAN上。
  
圖4：基于獨(dú)立VPN軟件的系統(tǒng)解決方案內(nèi)部網(wǎng)拓?fù)鋱D
圖4中VPN服務(wù)器可選用微軟WINDOWS2000的虛擬專用網(wǎng)（VPN）遠(yuǎn)程訪問服務(wù)器作為VPN軟件，使用它的好處在于：一般校園網(wǎng)操作系統(tǒng)選用的WINDOWS2000，無需另外投入購買軟件，而且客戶端軟件在WINDOWS系列操作系統(tǒng)中均內(nèi)置有相應(yīng)的撥號軟件，減少客戶端建設(shè)的工作量。在部署虛擬專用網(wǎng)（VPN）遠(yuǎn)程訪問服務(wù)器時(shí)，決定在網(wǎng)絡(luò)的什么位置部署服務(wù)器，特別要考慮與防火墻和其他網(wǎng)絡(luò)資源的部署位置之間的關(guān)系。在撥號遠(yuǎn)程訪問設(shè)計(jì)中，服務(wù)器通常位于防火墻的后面。因?yàn)?VPN 設(shè)計(jì)包含 Internet 連接，所以服務(wù)器與防火墻的相對位置是一個(gè)非常重要的問題。VPN 遠(yuǎn)程訪問設(shè)計(jì)最常見的配置是將 VPN 服務(wù)器放在防火墻后面。在這種配置中，防火墻連接到 Internet 上，而 VPN 服務(wù)器是連接到周邊網(wǎng)絡(luò)的 Intranet 資源。VPN 服務(wù)器在周邊網(wǎng)絡(luò)和 Intranet 上都有一個(gè)接口。Internet 防火墻（Internet 和 VPN 服務(wù)器之間的防火墻）過濾來自 Internet 客戶端的所有通信。Intranet 防火墻（VPN 服務(wù)器和 Intranet 之間的防火墻）過濾來自 VPN 客戶端的所有 Intranet 通信。
五、我選用的應(yīng)用解決方案
我校校園網(wǎng)現(xiàn)已基本建設(shè)完成，但在網(wǎng)絡(luò)設(shè)計(jì)初期沒有考慮到虛擬專用網(wǎng)（VPN），所以沒有采購集成VPN功能的設(shè)備，在網(wǎng)絡(luò)使用中感覺到虛擬專用網(wǎng)（VPN）的必要性。而需要在現(xiàn)有網(wǎng)絡(luò)上實(shí)現(xiàn)VPN服務(wù)又不增加設(shè)備投入，則基于獨(dú)立VPN軟件（VPN服務(wù)器）的系統(tǒng)解決方案就成了我的首選�，F(xiàn)將我校虛擬專用網(wǎng)（VPN）建設(shè)過程總結(jié)如下：
1、我校網(wǎng)絡(luò)情況介紹
我校校園網(wǎng)是基于三層交換結(jié)構(gòu)的網(wǎng)絡(luò)，通過三層交換將整個(gè)校園按樓棟劃分了若干子網(wǎng)，大致網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示，光纖收發(fā)器光轉(zhuǎn)電后接入三層交換機(jī)中劃出的5口的公網(wǎng)靜態(tài)IP用的VLAN，其中一口連接至防火墻的外網(wǎng)端口，從防火墻內(nèi)網(wǎng)端口連接至交換機(jī)提供給整個(gè)校園網(wǎng)各子網(wǎng)的上行端口，防火墻的�；饏^(qū)端口連接至WEB服務(wù)器。內(nèi)部資源服務(wù)器與交換機(jī)相連。

2、部署配置VPN 遠(yuǎn)程訪問服務(wù)器
(1) 作為VPN遠(yuǎn)程訪問服務(wù)器條件是：
首先必須擁有一個(gè)公網(wǎng)的靜態(tài)IP地址，只有這樣遠(yuǎn)程訪問才有“址”可循；
其次服務(wù)器需要配置兩個(gè)連接，一個(gè)用于Internet連接，一個(gè)用于Intranet連接，可通過安裝兩塊網(wǎng)卡分別指定內(nèi)、外網(wǎng)IP地址來實(shí)現(xiàn)。有了以上兩個(gè)條件，就可以將您的服務(wù)器配置為虛擬專用網(wǎng)VPN 遠(yuǎn)程訪問服務(wù)器了。
(2) 啟用VPN 遠(yuǎn)程訪問服務(wù)器：
在WINDOWS2000服務(wù)器集成了程序，在“管理工具”中可以找到，啟動“路由和遠(yuǎn)程訪問”。
(3) 配置VPN 服務(wù)器上TCP/IP
外網(wǎng)IP地址為公網(wǎng)的靜態(tài)IP地址（如：我校所用的218.87.XXX.XXX）,內(nèi)網(wǎng)IP地址可設(shè)置為與VPN要訪問的校園網(wǎng)同一個(gè)網(wǎng)段（如我校內(nèi)部資源服務(wù)器IP地址為192.168.1.1,那么VPN服務(wù)器內(nèi)網(wǎng)卡IP地址可設(shè)置為192.168.1.XXX），也可設(shè)置在不同網(wǎng)段，通過添加路由的方式來實(shí)現(xiàn)VPN服務(wù)器與內(nèi)部資源服務(wù)器互通，在與 VPN 服務(wù)器之間傳送數(shù)據(jù)包時(shí)，Internet 和 VPN 服務(wù)器之間的 NAT 將發(fā)布的 IP 地址轉(zhuǎn)換為專用的 IP 地址。由于與自動配置 TCP/IP 有關(guān)的路由問題，建議不要將 VPN 服務(wù)器配置為 DHCP 客戶端。而是手動在 VPN 服務(wù)器的 Intranet 接口上配置 TCP/IP。使用默認(rèn)網(wǎng)關(guān)配置 VPN 服務(wù)器的 Internet 接口。不要使用默認(rèn)網(wǎng)關(guān)配置 VPN 服務(wù)器的 Intranet 接口。
(4) 配置VPN 服務(wù)器上路由
要使 VPN 服務(wù)器能夠?qū)⑼ㄐ耪�確地傳送到 Intranet 中的各個(gè)位置，必須給它配置以下設(shè)置之一：匯總 Intranet 中所有可能 IP 地址的靜態(tài)路由或者使 VPN 服務(wù)器能夠用作動態(tài)路由器的路由協(xié)議，該協(xié)議自動將 Intranet 子網(wǎng)的路由添加到其路由表中。
一般情況VPN客戶端（住在校外的教師）進(jìn)入Intranet后，只允許對校園網(wǎng)中內(nèi)部資源服務(wù)器進(jìn)行訪問，所以在我校虛擬專用網(wǎng)（VPN）建設(shè)中，VPN服務(wù)器內(nèi)網(wǎng)IP與內(nèi)部資源服務(wù)器處于同一網(wǎng)段，這樣省去很多關(guān)于路由方面設(shè)置的麻煩。
3、部屬 VPN 客戶端
在部屬VPN客戶端時(shí)，由于選用的是基于WINDOWS2000虛擬專用網(wǎng)（VPN）遠(yuǎn)程訪問服務(wù)器軟件，所以在客戶端只需使用WINDOWS系列操作系統(tǒng)集成的VPN撥號軟件即可。以現(xiàn)在最流行的操作系統(tǒng)WINDOWS XP為例，具體實(shí)施過程如下：
(1) 建立虛擬專用網(wǎng)絡(luò)連接
在“控制面板”中打開“網(wǎng)絡(luò)連接”，“創(chuàng)建新的連接”，在新建連接向?qū)е羞x擇“連接到工作場所的網(wǎng)絡(luò)”，選擇“虛擬專用網(wǎng)絡(luò)連接”，根據(jù)提示輸入連接名稱、IP地址（VPN服務(wù)器外網(wǎng)卡地址），最后輸入用戶名與密碼，就建好了VPN連接。
實(shí)際上客戶端的設(shè)置遠(yuǎn)不止這些，比如安全策略，路由等，由于我校建設(shè)VPN的目的是為了教師可以遠(yuǎn)程訪問并使用內(nèi)部資源服務(wù)器的資源，為了降低教師在家中的VPN連接設(shè)置的難度，所以就不再做其它設(shè)置。
(2) 使用虛擬專用網(wǎng)VPN
在使用前應(yīng)先使用ADSL或其它方式撥入Internet，在使用虛擬專用網(wǎng)絡(luò)連接撥入校園網(wǎng)內(nèi)部，現(xiàn)在就可以坐在家中使用校園網(wǎng)內(nèi)部的資源了，實(shí)際上無論你身處何地，只要你的計(jì)算機(jī)能夠連入Internet，就可以通過虛擬專用網(wǎng)（VPN）進(jìn)入校園網(wǎng)內(nèi)部，就如同實(shí)際連接到校園網(wǎng)的 Intranet一樣。
圖6虛擬專用網(wǎng)（VPN）建設(shè)完成后我校網(wǎng)絡(luò)拓?fù)鋱D
總之，虛擬專用網(wǎng)（VPN）在教育行業(yè)的應(yīng)用前景非常廣泛，一旦它在學(xué)校成功運(yùn)用，就像是為校園網(wǎng)插上了一對翅膀，成為一個(gè)能走出校園的校園網(wǎng)，如果在“校校通”工程上用好虛擬專用網(wǎng)（VPN），將為“校校通”的早日實(shí)現(xiàn)做出巨大的貢獻(xiàn)。

【虛擬專用網(wǎng)VPN——走出校園的校園網(wǎng)】相關(guān)文章：

VPN幫你輕松實(shí)現(xiàn)虛擬專用網(wǎng)08-06

校園網(wǎng)站設(shè)計(jì)08-06

校園網(wǎng)站設(shè)計(jì)08-06

校園網(wǎng)的建設(shè)與管理08-17

校園網(wǎng)設(shè)計(jì)與建設(shè)08-17

校園網(wǎng)絡(luò)管理初探08-07

走出校園作文11-28

走出校園作文03-08

VPN技術(shù)綜述及應(yīng)用08-06