[摘 要]本文論述了VPN系統(tǒng)的優(yōu)點(diǎn)，產(chǎn)生的歷史原因和適用范圍，以及VPN系統(tǒng)在國(guó)內(nèi)外發(fā)展的現(xiàn)狀。分析了高職院校中校園網(wǎng)的現(xiàn)狀及存在的問題。為了更好地解決學(xué)校在移動(dòng)辦公、遠(yuǎn)程辦公、分校區(qū)的通信和資源共享以及通信安全等方面的問題，同時(shí)考慮到節(jié)約費(fèi)用和靈活配置，提出了構(gòu)建適合高職校需要的VPN網(wǎng)絡(luò)的方法與步驟。

[關(guān)鍵詞]VPN技術(shù) 虛擬專用網(wǎng) 校園網(wǎng)

[中圖分類號(hào)] TP393.071[文獻(xiàn)標(biāo)識(shí)碼] A[文章編號(hào)] 2095-3437（2012）11-0068-02

隨著我國(guó)經(jīng)濟(jì)建設(shè)的飛速發(fā)展，教育事業(yè)近年來也突飛猛進(jìn)，各高校校園網(wǎng)建設(shè)步伐不斷加快，同時(shí)校園網(wǎng)規(guī)模擴(kuò)大，甚至是跨地域分布，且遠(yuǎn)程教育也越來越普及。這使得校園網(wǎng)的應(yīng)用和管理面臨著很大的技術(shù)和經(jīng)濟(jì)壓力。如何既利用好互聯(lián)網(wǎng)的豐富資源，又能夠保證數(shù)據(jù)傳輸?shù)母咝?、安全、低成本，是?dāng)前校園網(wǎng)建設(shè)的一個(gè)難題。同時(shí)，如何使地理及物理上分布分散的若干校區(qū)網(wǎng)絡(luò)能從邏輯上有效集成，實(shí)現(xiàn)資源有效共享；如何使學(xué)校的老師、學(xué)生、家長(zhǎng)以及外出人員根據(jù)需要隨時(shí)隨地聯(lián)入校園網(wǎng)等，這些問題都成為制約高校校園網(wǎng)建設(shè)和發(fā)展的一個(gè)瓶頸。虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)的誕生就很好地解決了這一問題。

一、VPN 簡(jiǎn)介

（一）VPN概述

虛擬專用網(wǎng)VPN（Virtual Private Network） 是利用公眾網(wǎng)資源為客戶構(gòu)成專用網(wǎng)的一種業(yè)務(wù)。相對(duì)于實(shí)際的專有網(wǎng)絡(luò)而言的，它是利用虛擬專用網(wǎng)的隧道技術(shù)、認(rèn)證和加密技術(shù)，能夠在Internet/Intranet 等公用開放的傳輸媒體上，為兩個(gè)單獨(dú)實(shí)體之間建立一條安全可信的專用信道。

它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和 QOS ）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡(jiǎn)單和低成本），能夠提供遠(yuǎn)程訪問，外部網(wǎng)和內(nèi)部網(wǎng)的連接，價(jià)格比DDN專線或者幀中繼網(wǎng)絡(luò)要低得多。而且， VPN 在降低成本的同時(shí)滿足了對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求。

（二）VPN關(guān)鍵技術(shù)分析

VPN具有專線連接的專用、安全、保密、高性能等特點(diǎn)，通過對(duì)數(shù)據(jù)包的頭部信息和有效的封裝加密來保證數(shù)據(jù)包安全性，通過散列功能的處理保證數(shù)據(jù)的完整性。構(gòu)建一個(gè)VPN，需要解決的關(guān)鍵技術(shù)包括隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)[1]。

（三）VPN技術(shù)應(yīng)用

根據(jù)VPN應(yīng)用的類型，可以將VPN分為三類：遠(yuǎn)程訪問虛擬專網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（Intranet VPN）和擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）[2]

二、 IPSec 協(xié)議與 IPSec VPN

（一）IPSec協(xié)議的體系結(jié)構(gòu)[3]

IPSec（Internet Protocol Security，網(wǎng)際協(xié)議安全）是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，它實(shí)際上是一個(gè)協(xié)議包。IPSec在IP層上對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性與反重放、數(shù)據(jù)機(jī)密性、抗重播和有限的通信流機(jī)密性等安全服務(wù)，具有良好的安全一致性、共享性及應(yīng)用范圍。IPSec可連續(xù)或遞歸應(yīng)用，實(shí)現(xiàn)端到端安全、虛擬專用網(wǎng)和安全隧道技術(shù)。[4]

IPSec主要包括驗(yàn)證頭協(xié)議（AH）、封裝安全載荷協(xié)議Encapsulating Security Payload （ESP）、密鑰分配協(xié)議Internet KeyExchange（IKE）以及用于網(wǎng)絡(luò)認(rèn)證和加密的一些算法。

（二）IPSec VPN的優(yōu)缺點(diǎn)

1.IPSEC VPN的優(yōu)點(diǎn)

（1）IPSEC是與應(yīng)用無關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對(duì)應(yīng)用層協(xié)議完全透明。

并且IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，所以其具有通用性。

（2）IPSec VPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能，整合性非常好。

2.IPSEC VPN的缺點(diǎn)

（1）IPSEC VPN配置部署復(fù)雜，需要專門的客戶端軟件，而且不同提供商之間的設(shè)備兼容性較差。

（2）網(wǎng)絡(luò)適應(yīng)性不佳，由于是IP層的協(xié)議，對(duì)于防火墻等訪問控制設(shè)備不透明，對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和應(yīng)用代理（Proxy）等穿透性差。

（3）應(yīng)用層安全性方面，只能提供IP地址和傳輸層端口這種粒度的訪問控制，對(duì)應(yīng)用層協(xié)議的細(xì)粒度強(qiáng)訪問控制能力較弱，入侵檢測(cè)與防御、防病毒、抗攻擊等深層次的安全功能也相對(duì)薄弱。

三、SSL 協(xié)議與 SSL VPN

（一）SSL協(xié)議的體系結(jié)構(gòu)

SSL VPN是指采用SSL （Security Socket Layer）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。

作為應(yīng)用層協(xié)議，SSL使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不能保證信息的不可抵賴性。[5]

SSL安全協(xié)議主要提供三方面的服務(wù)：

1.認(rèn)證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上；

2.加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；

3.確保數(shù)據(jù)的完整性，以便其在傳輸過程中不被改變。

SSL協(xié)議包括SSL記錄協(xié)議、握手協(xié)議、密鑰更改協(xié)議和警告協(xié)議，它們共同為應(yīng)用訪問連接提供認(rèn)證、加密和防篡改功能。

四、2SSL VPN技術(shù)及優(yōu)缺點(diǎn)

（一）SSL VPN技術(shù)

SSL VPN技術(shù)幫助用戶通過標(biāo)準(zhǔn)的Web瀏覽器就可以訪問重要的企業(yè)資源。這使得移動(dòng)辦公入員僅僅通過一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問企業(yè)資源，這為企業(yè)提高了效率也帶來了方便。SSL VPN網(wǎng)關(guān)位于企業(yè)網(wǎng)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶之間，控制二者的通信。

掌握三個(gè)關(guān)鍵術(shù)語的含義有助于理解SSL VPN是如何實(shí)現(xiàn)的。即：代理（proxying）、應(yīng)用轉(zhuǎn)換（application translation）、端口轉(zhuǎn)發(fā)（portforwarding）。

（二）SSL VPN優(yōu)缺點(diǎn)

作為一種新的VPN技術(shù)，SSL VPN相對(duì)于傳統(tǒng)的IPSEC VPN有其自身的技術(shù)特點(diǎn)。

1.SSL VPN的主要優(yōu)點(diǎn)：①應(yīng)用的客戶端程序，如常用瀏覽器等已經(jīng)預(yù)裝在了終端設(shè)備中，因此維護(hù)方便。②安全性突出，抵御外部系統(tǒng)和病毒攻擊效果明顯。③網(wǎng)絡(luò)部署靈活方便，適合大多數(shù)設(shè)備與操作系統(tǒng)。

2.SSL VPN的主要不足：①SSL VPN安全認(rèn)證是通過單向的證書方式實(shí)現(xiàn)的。 ②SSl VPN應(yīng)用受到限制。一般都用于B/S模式，用戶只能訪問基于Web服務(wù)器的應(yīng)用。③SSL VPN 加密在應(yīng)用層，性能相對(duì)會(huì)有一定的影響。 ④SSL VPN不適用做點(diǎn)對(duì)點(diǎn)的VPN，后者通常是使用IPSec/IKE技術(shù)。

五、IPSec VPN與SSL VPN比較

通過以上IPSEL與SSL優(yōu)缺點(diǎn)的分析，我們可以得出以下結(jié)論：

VPN的架構(gòu)決定了兩者之間的不同。IPSEC VPN主要應(yīng)用在網(wǎng)絡(luò)層，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，而SSL VPN是工作在應(yīng)用層（基于HTTP協(xié)議）和TCP層之間的，從整體的安全等級(jí)看，它們都能提供遠(yuǎn)程安全接入。但是，IPSEC VPN技術(shù)主要用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，所以它更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN則更適合應(yīng)用于移動(dòng)辦公人員的安全接入。

六、IPSec VPN與SSL VPN一體化解決方案

IPSec VPN解決方案是提供網(wǎng)絡(luò)層接入和加密。它需要用戶必須安裝特定的客戶端軟件，這需要專業(yè)技術(shù)人員進(jìn)行操作。此外IPSec VPN不能透過NET防火墻。且IPSec VPN 不允許從公網(wǎng)計(jì)算機(jī)接入專網(wǎng)。

SSL VPN解決方案則提供應(yīng)用層接入和加密，它不需要安裝任何客戶端軟件，用戶只需輸入SSL服務(wù)器的URL，然后再輸入用戶名及密碼，即可完成遠(yuǎn)程登錄的操作。

故SSL VPN最適合學(xué)校遠(yuǎn)程訪問接入。而Ipsec VPN適合校區(qū)間點(diǎn)對(duì)點(diǎn)連接。

目前SSL VPN和IPSEC VPN應(yīng)用在不同的領(lǐng)域，各有千秋，相互不能取代，在未來一段時(shí)間內(nèi)兩者將共存。因此選擇集成IPSEC VPN和SSL VPN一體化的方案，將是我校的最佳選擇，同時(shí)它也是未來VPN的發(fā)展趨勢(shì)之一。

通過重點(diǎn)研究與分析比較IPSec VPN和SSL VPN的這兩種VPN解決方案，同時(shí)結(jié)合高職院校中網(wǎng)絡(luò)的實(shí)際情況，提出了基于策略和路由的VPN實(shí)現(xiàn)解決方案，從而突破了校園專用網(wǎng)的區(qū)域性限制，進(jìn)一步解決了當(dāng)前校園網(wǎng)中存在的一些問題。

[參考文獻(xiàn)]

[1]常青.VPN技術(shù)綜述（上）[J].中國(guó)計(jì)算機(jī)用戶，2006，（31）：47-48.

[2]Zhensheng Zhang，Ya-Qin Zhang，Xiaowen Chun，BoLi.An Overview of Virtual Private Network （VPN）： IP VPN and Optical VPN[J].Photonic Network Communications，2007，7（3）：213-225.

[3]張煥明.基于IPSec的VPN關(guān)鍵技術(shù)研究[J].微計(jì)算機(jī)信息，2006，22（3）：56，58，130.

[3]趙金水.IPSec與MPLS實(shí)現(xiàn)VPN的對(duì)比與融合[J].電信技術(shù)，2004，（5）.

[5]汪穎，吳俊，陳朝峰.VPN技術(shù)在專用網(wǎng)絡(luò)中的應(yīng)用[J].九江學(xué)院學(xué)報(bào)，2008，（3）.

[責(zé)任編輯：戴禎杰]

[收稿時(shí)間]2012-09-11

[作者簡(jiǎn)介] 谷巖（1975-），男，江蘇淮安人，本科，講師，主要從事計(jì)算機(jī)方的教學(xué)和研究工作。