利用VPN技术实现多校区间的访问

摘 要：随着互联网技术的发展以及学校招生人数及校区的增加，原有的校园网已经很难满足学校的需求，VPN技术将原有的校园网连接起来。本文主要介绍了VPN的概念、特点、技术和接入方式。

关键词：VPN 技术 配置

中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2013）02（a）-0004-02

随着学校招生人数的增加，今年我校在校学生数达3000多人，分布在校本部、部队校区、越海校区三个校区。由于三个校区相距较远，传统意义上的校园网已经很难满足学校发展的需求。那么在多校区中，怎样能使有限的资源（师资、图书资源等）得到充分共享？在得到共享的同时并在不增加过多费用的前提下，能够保证安全和高效。VPN技术以其特有的优势成为多校区校园网建设的首选，为学校分校区成功联入校本部，也为出差教师、培训教师、学生等联入校园网提供了可能性。

1 VPN介绍及特点

VPN（Virtual Private Network），中文名称为“虚拟专用网”，是企业内部网在INTERNET等公共网络上的延伸，它通过一个私有的通道在公共网络上创建一个安全的私有连接，将在公共网络上位于不同地方的两个或多个内部网之间建立专有的逻辑通讯线路，而非真正的物理线路，从而构成一个虚拟网。

与传统网络相比，VPN具有以下一些特点。

（1）经济性，就是可以减少开支，这是VPN技术为网络用户带来的最重要的、最直接的好处。一方面使用VPN技术可以利用原有的校园网，只需要在原有的基础上增加vpn服务器就能实现，或者将原有的服务器设置成VPN服务器也可以实现。另外根据预测，国内分支机构间采用VPN技术后将节省20%～80%的通讯费用（与租用专线相比）。

（2）安全性得到很大提高。VPN技术采用了隧道技术、加解密技术、密钥管理技术、身份认证技术来提高网络的安全性。

（3）良好的扩展性。由于VPN采用了虚拟链接，摆脱了固有物理网络的限制，用户增加、删除节点只需做逻辑上的操作，具有良好的拓展性。

（4）方便的管理和维护。采用VPN技术后，大量的网络管理工作可以由公网服务提供商来进行，从而减轻了企业内部网络管理员的负担。

2 VPN所使用的安全技术

VPN技术主要采用隧道技术、加解密技术、密钥管理技术、身份认证技术来保证数据传输的安全性。

（1）隧道技术（Tunneling），隧道技术是VPN的基本技术，类似于点对点连接技术。主要负责将需要传输的数据进行加密、协议封装，再装入另一个协议数据包进入网络，然后进行传输。在这过程中只有该虚拟专用网络授权的用户才能对隧道中传输的数据包进行解释和处理，从而保证了VPN的安全。VPN隧道协议有4种：PPTP、L2TP、IpSec和SOCK v5。各协议工作在OSI模型的不同层次，适合不同的网络环境。

（2）加解密技术（Encryption& Decryption），为了保证数据的安全传输，确保未授权用户无法窃取信息，VPN对公开信道上的VPN流量进行了加密。一般过程是发送方在数据发送前对数据进行加密，接收方在数据到达后进行解密。密码技术有两种，即对称加解密技术和不对称加解密技术。

（3）密钥管理技术（Key Management）：由于加解密技术需要用密钥来加密和解密。因此密钥的管理首先要保证在传递过程中不被窃取。一般采用SKIP和ISAKMP/OAKLEY两种技术。

（4）身份认证技术（Authentication），它是一种用来验证双方是否具有真实身份的手段。目前常用的方式是使用数字证书或非对称密钥算法来鉴定用户的身份。

3 基于校园网的VPN技术的实现

（1）硬件方面，由于三个校区原本就有各自的LAN，只需要在主校区增设一台VPN服务器，需要两张网卡，如果资金允许，可以添加一台AD服务器，实现授权访问控制。

（2）软件实现。软件实现分为两个部分，分别为VPN服务器端的设置和VPN客户端的设置。首先进行服务器端的设置，VPN服务器可以是安装有Windows 2003 server的服务器，VPN服务器端的设置包括VPN服务器的设置和授权访问权限设置。①VPN服务器的设置：选择“开始”-“程序”-“管理工具”-“路由和远程访问”，打开“路由和远程访问”服务窗口；再在窗口左侧右击本地计算机名，选择“配置并启用路由和远程访问”，在弹出的“路由和远程访问服务器安装向导”中可以选择远程访问、虚拟专用网络访问和NAT，由于要实现NAT共享上网和VPN拨入服务器的功能，所以选择“自定义配置”选项，点下一步；选择“VPN访问”和“NAT和基本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动服务，点“是”，系统会按刚才的配置启动路由和远程访问服务；下来配置NAT服务：右击“NAT/基本防火墙”选项，选择“新增接口”，根据自己的网络环境选择连接Internet的接口，选择“wan”接口，点“确定”，弹出“网络地址转换-wan属性”对话框，由于网卡是连接外网的所以选择“公用接口连接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项，这对服务器的安全是非常重要的。点“服务和端口”设置服务器允许对外提供PPTP VPN服务，在“服务和端口”界面里点“VPN网关（PPTP）”，在弹出的“编辑服务”对话框中设置端口和地址；再回到“服务和端口”选项卡，确保选中“VPN网关（PPTP）”；根据需要设置VPN服务，设置连接数。设置IP地址：右击右边树形目录里的本地服务器名，选择“属性”并切换到IP选项卡。选择“静态地址池”点“添加”，根据需要接入数量任意添加一个地址范围，但是不要和本地IP地址冲突。②设置远程访问策略：允许指定用户拨入，需要新建用户和组：点“开始”-“程序”-“管理工具”-“计算机管理”，弹出“计算机管理”对话框；选择“本地用户和组”，右击“用户”-“新用户”进行新用户和密码的设置；再点击“创建”新增一个用户；在右边的树形目录中右击“组”-“新建组”，添入“组名”，点“添加”在弹出的“选择用户”对话框中，点“高级”-“立即查找”，选择刚才建立的新用户，把用户加入刚才建立的组；设置远程访问策略：在“路由和远程访问”窗口，右击右面树形目录中的“远程访问策略”，选择“新建远程访问策略”，在弹出的对话框中点“下一步”，填入方便记忆的“策略名”，点“下一步”，选择“VPN”选项，点“下一步”，点“添加”把刚才新建的组加入到这里，点“下一步”，“下一步”，“下一步”，“完成”，就完成了远程策略的设置，后面如果需要新的用户需要VPN服务，只要为该用户新建一个账号，并加入刚才新建的组就可以了。

再进行VPN客户端配置：相对VPN服务器端的设置，客户端的配置相对简单得多，只需新建一个到VPN服务器端的连接就可以了。但首要条件是客户端必须要接入Internet网络，由于分校区的电脑都是通过局域网连入Internet的，因此不存在以上问题。客户端的操作系统可以是Windows 2000、Windows 2003，WinXP都可以，具体步骤为：第一步，在“网上邻居”处右键选择属性，然后双击“新建连接向导”打开向导窗口后，点击下一步；接着在“网络连接类型”窗口里点选择“连接到我的工作场所的网络”，继续下一步，在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点击下一步。第二步，在“VPN服务器选择”窗口里，等待我们输入的是VPN服务端的固定内容；接着出现的“可用连接”窗口保持“只是我使用”的默认选项；最后输入访问VPN服务端合法帐户后的操作就跟“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示了。

连接后的共享操作，一种办法是通过“网上邻居”查找VPN服务端共享目录；另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。

4 结语

VPN技术已经成为越来越多的企业的网络连接方式，为学校分校区成功联入校本部，也为出差教师、培训教师、学生等联入校园网提供了可能性。

参考文献

[1] 周翔.VPN技术在校园网中的应用研究[D].扬州大学，2009.

[2] 胡道元，闵京华.网络安全[M].清华大学出版社，2007.

[3] 雷震甲.网络工程师教程[M].清华大学出版社，2004.