摘 要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展以及學校招生人數(shù)及校區(qū)的增加，原有的校園網(wǎng)已經(jīng)很難滿足學校的需求，VPN技術(shù)將原有的校園網(wǎng)連接起來。本文主要介紹了VPN的概念、特點、技術(shù)和接入方式。

關(guān)鍵詞：VPN 技術(shù) 配置

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2013）02（a）-0004-02

隨著學校招生人數(shù)的增加，今年我校在校學生數(shù)達3000多人，分布在校本部、部隊校區(qū)、越海校區(qū)三個校區(qū)。由于三個校區(qū)相距較遠，傳統(tǒng)意義上的校園網(wǎng)已經(jīng)很難滿足學校發(fā)展的需求。那么在多校區(qū)中，怎樣能使有限的資源（師資、圖書資源等）得到充分共享？在得到共享的同時并在不增加過多費用的前提下，能夠保證安全和高效。VPN技術(shù)以其特有的優(yōu)勢成為多校區(qū)校園網(wǎng)建設(shè)的首選，為學校分校區(qū)成功聯(lián)入校本部，也為出差教師、培訓教師、學生等聯(lián)入校園網(wǎng)提供了可能性。

1 VPN介紹及特點

VPN（Virtual Private Network），中文名稱為“虛擬專用網(wǎng)”，是企業(yè)內(nèi)部網(wǎng)在INTERNET等公共網(wǎng)絡(luò)上的延伸，它通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接，將在公共網(wǎng)絡(luò)上位于不同地方的兩個或多個內(nèi)部網(wǎng)之間建立專有的邏輯通訊線路，而非真正的物理線路，從而構(gòu)成一個虛擬網(wǎng)。

與傳統(tǒng)網(wǎng)絡(luò)相比，VPN具有以下一些特點。

（1）經(jīng)濟性，就是可以減少開支，這是VPN技術(shù)為網(wǎng)絡(luò)用戶帶來的最重要的、最直接的好處。一方面使用VPN技術(shù)可以利用原有的校園網(wǎng)，只需要在原有的基礎(chǔ)上增加VPN服務(wù)器就能實現(xiàn)，或者將原有的服務(wù)器設(shè)置成VPN服務(wù)器也可以實現(xiàn)。另外根據(jù)預測，國內(nèi)分支機構(gòu)間采用VPN技術(shù)后將節(jié)省20%～80%的通訊費用（與租用專線相比）。

（2）安全性得到很大提高。VPN技術(shù)采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)來提高網(wǎng)絡(luò)的安全性。

（3）良好的擴展性。由于VPN采用了虛擬鏈接，擺脫了固有物理網(wǎng)絡(luò)的限制，用戶增加、刪除節(jié)點只需做邏輯上的操作，具有良好的拓展性。

（4）方便的管理和維護。采用VPN技術(shù)后，大量的網(wǎng)絡(luò)管理工作可以由公網(wǎng)服務(wù)提供商來進行，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)管理員的負擔。

2 VPN所使用的安全技術(shù)

VPN技術(shù)主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（1）隧道技術(shù)（Tunneling），隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)。主要負責將需要傳輸?shù)臄?shù)據(jù)進行加密、協(xié)議封裝，再裝入另一個協(xié)議數(shù)據(jù)包進入網(wǎng)絡(luò)，然后進行傳輸。在這過程中只有該虛擬專用網(wǎng)絡(luò)授權(quán)的用戶才能對隧道中傳輸?shù)臄?shù)據(jù)包進行解釋和處理，從而保證了VPN的安全。VPN隧道協(xié)議有4種：PPTP、L2TP、IpSec和SOCK v5。各協(xié)議工作在OSI模型的不同層次，適合不同的網(wǎng)絡(luò)環(huán)境。

（2）加解密技術(shù)（Encryption& Decryption），為了保證數(shù)據(jù)的安全傳輸，確保未授權(quán)用戶無法竊取信息，VPN對公開信道上的VPN流量進行了加密。一般過程是發(fā)送方在數(shù)據(jù)發(fā)送前對數(shù)據(jù)進行加密，接收方在數(shù)據(jù)到達后進行解密。密碼技術(shù)有兩種，即對稱加解密技術(shù)和不對稱加解密技術(shù)。

（3）密鑰管理技術(shù)（Key Management）：由于加解密技術(shù)需要用密鑰來加密和解密。因此密鑰的管理首先要保證在傳遞過程中不被竊取。一般采用SKIP和ISAKMP/OAKLEY兩種技術(shù)。

（4）身份認證技術(shù)（Authentication），它是一種用來驗證雙方是否具有真實身份的手段。目前常用的方式是使用數(shù)字證書或非對稱密鑰算法來鑒定用戶的身份。

3 基于校園網(wǎng)的VPN技術(shù)的實現(xiàn)

（1）硬件方面，由于三個校區(qū)原本就有各自的LAN，只需要在主校區(qū)增設(shè)一臺VPN服務(wù)器，需要兩張網(wǎng)卡，如果資金允許，可以添加一臺AD服務(wù)器，實現(xiàn)授權(quán)訪問控制。

（2）軟件實現(xiàn)。軟件實現(xiàn)分為兩個部分，分別為VPN服務(wù)器端的設(shè)置和VPN客戶端的設(shè)置。首先進行服務(wù)器端的設(shè)置，VPN服務(wù)器可以是安裝有Windows 2003 server的服務(wù)器，VPN服務(wù)器端的設(shè)置包括VPN服務(wù)器的設(shè)置和授權(quán)訪問權(quán)限設(shè)置。①VPN服務(wù)器的設(shè)置：選擇“開始”-“程序”-“管理工具”-“路由和遠程訪問”，打開“路由和遠程訪問”服務(wù)窗口；再在窗口左側(cè)右擊本地計算機名，選擇“配置并啟用路由和遠程訪問”，在彈出的“路由和遠程訪問服務(wù)器安裝向?qū)А敝锌梢赃x擇遠程訪問、虛擬專用網(wǎng)絡(luò)訪問和NAT，由于要實現(xiàn)NAT共享上網(wǎng)和VPN撥入服務(wù)器的功能，所以選擇“自定義配置”選項，點下一步；選擇“VPN訪問”和“NAT和基本防火墻”選項，點下一步，在彈出的對話框中點“完成”，系統(tǒng)會提示是否啟動服務(wù)，點“是”，系統(tǒng)會按剛才的配置啟動路由和遠程訪問服務(wù)；下來配置NAT服務(wù)：右擊“NAT/基本防火墻”選項，選擇“新增接口”，根據(jù)自己的網(wǎng)絡(luò)環(huán)境選擇連接Internet的接口，選擇“wan”接口，點“確定”，彈出“網(wǎng)絡(luò)地址轉(zhuǎn)換-wan屬性”對話框，由于網(wǎng)卡是連接外網(wǎng)的所以選擇“公用接口連接到Internet”和“在此接口上啟用NAT”選項并選擇“在此接口上啟用基本防火墻”選項，這對服務(wù)器的安全是非常重要的。點“服務(wù)和端口”設(shè)置服務(wù)器允許對外提供PPTP VPN服務(wù)，在“服務(wù)和端口”界面里點“VPN網(wǎng)關(guān)（PPTP）”，在彈出的“編輯服務(wù)”對話框中設(shè)置端口和地址；再回到“服務(wù)和端口”選項卡，確保選中“VPN網(wǎng)關(guān)（PPTP）”；根據(jù)需要設(shè)置VPN服務(wù)，設(shè)置連接數(shù)。設(shè)置IP地址：右擊右邊樹形目錄里的本地服務(wù)器名，選擇“屬性”并切換到IP選項卡。選擇“靜態(tài)地址池”點“添加”，根據(jù)需要接入數(shù)量任意添加一個地址范圍，但是不要和本地IP地址沖突。②設(shè)置遠程訪問策略：允許指定用戶撥入，需要新建用戶和組：點“開始”-“程序”-“管理工具”-“計算機管理”，彈出“計算機管理”對話框；選擇“本地用戶和組”，右擊“用戶”-“新用戶”進行新用戶和密碼的設(shè)置；再點擊“創(chuàng)建”新增一個用戶；在右邊的樹形目錄中右擊“組”-“新建組”，添入“組名”，點“添加”在彈出的“選擇用戶”對話框中，點“高級”-“立即查找”，選擇剛才建立的新用戶，把用戶加入剛才建立的組；設(shè)置遠程訪問策略：在“路由和遠程訪問”窗口，右擊右面樹形目錄中的“遠程訪問策略”，選擇“新建遠程訪問策略”，在彈出的對話框中點“下一步”，填入方便記憶的“策略名”，點“下一步”，選擇“VPN”選項，點“下一步”，點“添加”把剛才新建的組加入到這里，點“下一步”，“下一步”，“下一步”，“完成”，就完成了遠程策略的設(shè)置，后面如果需要新的用戶需要VPN服務(wù)，只要為該用戶新建一個賬號，并加入剛才新建的組就可以了。

再進行VPN客戶端配置：相對VPN服務(wù)器端的設(shè)置，客戶端的配置相對簡單得多，只需新建一個到VPN服務(wù)器端的連接就可以了。但首要條件是客戶端必須要接入Internet網(wǎng)絡(luò)，由于分校區(qū)的電腦都是通過局域網(wǎng)連入Internet的，因此不存在以上問題?？蛻舳说牟僮飨到y(tǒng)可以是Windows 2000、Windows 2003，WinXP都可以，具體步驟為：第一步，在“網(wǎng)上鄰居”處右鍵選擇屬性，然后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤?，點擊下一步；接著在“網(wǎng)絡(luò)連接類型”窗口里點選擇“連接到我的工作場所的網(wǎng)絡(luò)”，繼續(xù)下一步，在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”；接著為此連接命名后點擊下一步。第二步，在“VPN服務(wù)器選擇”窗口里，等待我們輸入的是VPN服務(wù)端的固定內(nèi)容；接著出現(xiàn)的“可用連接”窗口保持“只是我使用”的默認選項；最后輸入訪問VPN服務(wù)端合法帳戶后的操作就跟“遠程桌面”功能一樣了。連接成功后在右下角狀態(tài)欄會有圖標顯示了。

連接后的共享操作，一種辦法是通過“網(wǎng)上鄰居”查找VPN服務(wù)端共享目錄；另一種辦法是在瀏覽器里輸入VPN服務(wù)端固定IP地址或動態(tài)域名也可打開共享目錄資源。

4 結(jié)語

VPN技術(shù)已經(jīng)成為越來越多的企業(yè)的網(wǎng)絡(luò)連接方式，為學校分校區(qū)成功聯(lián)入校本部，也為出差教師、培訓教師、學生等聯(lián)入校園網(wǎng)提供了可能性。

參考文獻

[1]周翔.VPN技術(shù)在校園網(wǎng)中的應(yīng)用研究[D].揚州大學，2009.

[2]胡道元，閔京華.網(wǎng)絡(luò)安全[M].清華大學出版社，2007.

[3]雷震甲.網(wǎng)絡(luò)工程師教程[M].清華大學出版社，2004.