VPN技术在计算机网络实训室的应用

摘要：分析了使用VPN技术来解决校外用户连接进入网络实训室进行远程实验的要求，给出了实现VPN的安全的技术保障，阐述了三种常见的VPN及应用场合和优缺点，并给出了使用access vpn具体在网络实训室的实现应用与实现方法。在网络设备路由器上实现Access VPN的配置过程，重点介绍VPN如何在路由器上进行配置，配置时的注意事项，技术特点，技术难点等问题。

关键词：VPN；计算机网络；实训室

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)11-20254-03

1 引言

在校园网中，经常要对校园网内部的主机、服务器进行有效的屏蔽，大多使用了网络地址变换（NAT）功能，在校园网之外，只能访问对外开放了端口的服务器，如web服务器等。而住在校外的师生如果想要能够访问校内的特定资源，为了共享这些私有数据，就需要将各个在远程（校园网之外）的师生与校园网之间联网，特别是做远程实验，把校内的计算机网络实训室对外开放，形成共用型计算机网络实训室。由于信息点过于分散，同时还有移动用户的存在，不可能把每个用户都使用专线连接到校园网，或者通过PSTN使用拨号连接到实验室。当前，大多数个人用户都是使用ADSL等动态IP地址的方式上互联网。如何经济有效的解决这些问题又最大限度的节约资金？目前，可以有很多方法来实现这种需求，其中比较经济和安全的方法就是建立网络实训室自己的VPN网络，使得在校外的师生同样能够像在校内一样使用计算机网络实训室这个私有资源。

2 VPN概述

VPN（虚拟专用网，他在建立联接的时候，要经历一个拨事情过程，所以有时也叫VPDN）指的是依靠ISP，以公用网络尤其是以Internet为基础通道，综合运用隧道技术、认证、加密、访问控制等多种网络协议和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的数据通信网络的技术。在VPN中，任意两个节点之间的连接并没有像传统专网那样的端到端的物理链路，而是利用公用网的资源动态组成的，形成一条虚拟的端到端链路。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。因此，虽然VPN并不是真正的专用网络，但却能够实现专用网络的功能。

2.1 VPN的安全技术

目前，VPN主要采用四项技术来保证传输数据的安全，这四项技术分别是：隧道技术、加解密技术、密钥管理技术和身份认证技术。

2.1.1 隧道技术

隧道技术是VPN的基本技术，类似于点对点连接技术。它是在公用网中建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二层、第三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议之中；这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议常见的有L2F、 PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中。形成的数据包依靠第三层协议进行传输；第三层隧道协议常见的有IPSec等， IPSec是由一组RFC文档组成，它定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在网络层提供安全保障。

2.1.2 加解密技术

加密技术是数据通信中一项较成熟的技术。利用加密技术保证传输数据的安全是VPN安全技术的核心。为了适应VPN工作特点，目前VPN中均采用对称加密体制和公钥加密体制相结合的方法。

2.1.3 密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAK MP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAK MP中，双方都有两把密钥，分别用于公用、私用。

2.1.4 身份认证技术

最常用的是使用者名称与密码或卡片式认证等方式。

2.2 VPN技术的优势

与以往的封闭式的专线连接为主的网络相比，VPN具有以下优势。

2.2.1 实现网络安全

VPN技术利用可靠的认证加密技术，在内部网络之间建立隧道，能够保证通讯数据的机密性和完整性，保证信息不被泄露或暴露给未授权的实体，保证信息不被未授权的实体改变、删除和替代。

2.2.2简化网络设计

对于网络管理者来说，利用VPN技术可以极大地简化网络的设计、与外部通信所需的接口，同时也简化了与远程用户认证、授权和记账相关的设备和处理。

2.2.3 降低成本

主要包括降低移动用户通信成本、租用线路成本、设备成本等。

2.2.4 可扩充性和灵活性

VPN能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

3 常见的VPN解决方案

3.1 VPN的分类

目前，主要有三种类型的VPN可以供企业/校园网选择：远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网，这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

3.1.1 Access VPN

Access VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包能够安全快速地连接移动用户、远程工作者或分支机构。Access VPN最适用于企业内部经常有流动人员远程办公的情况，或者商家需要提供B2C的安全访问服务。如图1所示，为Access VPN常见的的拓扑图。

3.1.2 Intranet VPN

越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN技术可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。Intranet VPN网络拓扑结构如图2所示。

3.1.3 Extranet VPN

随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换也日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。Extranet VPN的拓扑结构如图3所示。