VPN技术及其在校园网中的应用(精)

VPN技术及其在校园网中的应用

张铭

(贵阳中医学院贵州贵阳550002

【摘要】:VPN技术在校园网中的应用,提高了校园网的可管理性、灵活性和安全性。本文就虚拟专用网(VPN的原理和技术做了详细介绍,利用VPN技术解决了高校资源的远程访问问题,并阐述了详细操作步骤。

【关键词】:虚拟专用网;校园网;隧道;图书馆

0、引言

近年来,随着计算机网络技术的快速发展、学校信息化建设的加快,校园网已经成为学校信息化建设的重要组成部分。丰富的教育资源为教师教学和学生学习提供了优良的软件环境。但学校在校园网建设时,通常是将公网与区域内的私网进行物理隔离,使无法访问内网资源。这样势必导致教师和学生离开本校园就无法使用校园网的内部资源,虚拟专用网(VPN就是一种既可保障安全、又可保障网络开放的低廉易行的解决方案,可以使信息用户随时随地享用内网资源。

1、VPN技术

1.1VPN概念

VPN是虚拟专用网Virtual Private Network的缩写,是在Internet基础上开发的供企业专用的虚拟网络。该网络利用可靠度不高的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络类似的安全性能,从而实现对重要信息的安全传输。

1.2VPN原理

VPN是在Internet网络中建立一条虚拟的专用通道,让两个远距离的网络用户能在一个专用的网络通道中相互传递数据信息。任何VPN技术的核心都是"隧道"(Tunneling技术。隧道允许VPN的数据流被路由通过lP网络,而不管生成该数据流的是何种类型的网络或设备。从这个意义上说,VPN的操作于其他的网络协议,隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。因此,VPN是通过跨越基于IP协议的公用网建立起一条安全专用通道来实现公网私用。客户只需连入lnternet,就可以lnternet网来访问单位内部网络资源。

1.3VPN技术

VPN主要采用的技术:隧道技术、加解密技术、身份认证技术。

1.3.1隧道技术

隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器组成。隧道开通器的任务是在公用网络中开出一条隧道。PC上的Modem卡和有VPN拨号功能的软件(该软件已经打包在WINDOWS系列操作系统中、客户端网络中有VPN功能的路由器、网络服务商站点中有VPN功能的路由器等都可以充当隧道开通器。隧道终端器的任务是使隧道到此终止,可以充当隧道终端器的网络设备和软件有专用的隧道终端器、网络中的防火墙以及网络服务商路由器上的VPN网关等。

1.3.2隧道协议

虚拟专用网(VPN使用两种隧道协议:点到点隧道协议(PPTP和第二层隧道协议(L2TP。

1、点到点隧道协议(PPTP

PPTP支持通过公共网络(如Internet建立按需的、多协议的、虚拟专用网络。PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得安全。通过启用PPTP的VPN 传输数据就像在一个局域网内那样安全。另外还可以使用PPTP 建立专用LAN到LAN的网络。PPTP协议捆绑在Windows系列操作系统中,因此在VPN中应用最广。

2、第二层隧道协议(L2TP

L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是,L2TP使用新的网际协议安全(IPSec机制来进行身份验证和数据加密。

1.3.3加密和解密技术

VPN技术的安全保障主要就是靠加密、解密技术来实现的。除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能。虚拟专用网(VPN使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。IPsec在VPN中的安全性最好。在建立安全隧道和使用安全策略时,各个过程进行得更加严格嘲。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样,在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。

1.3.4身份认证和安全策略

虚拟专用网(VPN是依托开放的公众网资源构建而成的一种专用网,在隧道建立过程中,必须采取一系列的步骤以保证数据在公共网络中传输的安全性。

(1用户认证:由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。用户把姓名、口令通过增强用户握手认证协议(CHAP-Challenge HandshakeAuthentication Protoco1,发送到ISP网络。ISP网络联系RADIUS服务器(远程拨入用户安全服务器,RADIUS-Remote Authorization Dial-In User Service,进行用户确认,收到确认后, ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。

(2进行设备确认,建立安全隧道:隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。

(3使用安全策略:下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。2、VPN技术的应用

下面以高校图书馆构建VPN网络系统为例,说明VPN技术在资源远程访问中的应用。

2.1图书馆实例

图书馆局域网内有丰富的数字资源,在校园网内可直接访问。现在图书馆内建立一个VPN服务器,校外用户便可通过它从校外远程访问图书馆数字资源,并通过适当的访问策略配置,保证网络安全。图书馆通过校园网连接至Internet,在运行Windows2000Advance Server的服务器上,安装两块网卡,一块连接内部网络,命名为"本地连接跟图书馆动态分配的IP范

179

2008年第11期

福建电脑

11111111111111111111111111111111111111111111111 (上接第175页

servletRequest.setAttribute("save",userActionForm.getSave(;

servletRequest.setAttribute("functionList",functionList;

return actionMapping.findForward("functionList";

}

从数据库中取得的用户权限信息及所有功能列表信息,都将被UserAction类返回到视图层,在JSP页面上通过简单处理之后,即可以向管理员显示所有子系统功能列表,并在列表前显示复选框,管理员通过勾选/取消复选框即可以实现对这名用户的权限授予与收回。当然,这些操作都必须被提交到另一个用于控制权限操作的UserRightAction类才能写入数据库而生效。

参考文献:

1.孙卫琴著.精通Struts:基于MVC的Java Web设计与开发.

电子工业出版社,2004.

2.阎宏《Java与模式》电子工业出版社2003年

3.[美]Cay S.Horstmann,Gary Cornell著.李如豹,刚冬梅译.Java核心技术.机械工业出版社,2002.

4.马黎明,熊前兴.基于Struts架构的Web应用系统开发研究.交通与计算机,2004年第1期96~98.

围在同一个网段中;一块连接Internet,命名为"Internet连接"。以此服务器充当远程访问VPN服务器。校外客户端运行Windows 系列的系统平台,并能够连接到Internet上。

2.2实施步骤

由于Microsoft操作系统使用的普遍性,利用Windows2000构建图书馆的VPN网络系统,重点是服务器端的部署,客户端只需创建相应的VPN连接即可。

2.2.1服务器端

(1VPN服务器的安装:启用Windows2000Advance Server下的VPN服务,开始-程序-管理工具-路由和远程访问,在"路由和远程访问"服务主界面中,右键单击服务器,选择"配置并启用路由和远程访问出现"路由和远程访问服务器安装向导单击"虚拟专用网络(VPN服务器单击下一步;在"远程客户协议"中,验证远程访问VPN客户端所使用的协议是否都存在,必要时可添加其他协议,本方案只用到"TCP/IP"协议,单击下一步:按提示完成VPN服务器的安装及基本配置。

(2VPN服务器的属性配置:在远程访问VPN服务器安装完后尚需对其属性进行配置或更改。在服务器"属性"中,可以从"常规"、"安全"、"IP"等方面进行配置。

在"常规"选项卡中可以设置这台服务器在"路由和远程访问"服务中所担当的角色,只要选择了"远程访问服务器"就将支持VPN用户。

在"安全"选项卡中可以设置验证远程客户身份的方法,有" Windows身份验证"和"RADIUS身份验证"方法,可选择"Win-dows身份验证"。还需要启用"Microsoft加密身份验证版本2 (MS-CHAPv2"和"Microsoft加密身份验证(MS-CHAP"。

在"Internet连接"对话框中,选中一个用于Internet连接的网卡,单击下一步。出现"IP地址指定"对话框,主要是选择如何对远程客户分配IP地址。

在"IP"选项卡中设置服务器分配给远程客户的IP地址,如果选择"动态主机配置协议(DHCP则远程客户的IP地址由服务器的DHCP服务自动分配,但要求服务器已安装了DHCP服务。如果选择"静态地址池需要确定这个地址池中的lP地址范围,远程客户的IP地址则在这个地址池中分配。如果分配出去的IP地址不属于连接到内部网络的网卡所在的网段,必须在校园网的防火墙上添加指向这些IP的路由。

(3远程访问策略配置:通过远程访问策略的设定,可根据用户的不同特征分配不同的权限。在系统默认的远程访问策略中, VPN客户端是无法连接到VPN服务器的,还需要修改缺省的远程访问策略。单击控制台目录树的"远程访问策略":在系统默认的远程访问策略上右击,选择属性:采用缺省的条件和配置文件,设置如果用户符合上面的条件时"授予远程访问权限"。

按照以上步骤,就启用了Windows2000AdvanceServer下的VPN服务。在执行VPN连接前,还必须考虑以下几个方面的问题:

(1路由的配置

高校图书馆都是通过校园网与Internet相连的,学校网络中心一般都设有防火墙,因此,图书馆在配置VPN服务器前应与学校网络中心进行沟通,允许VPN通信进出校园网服务器。

(2安装计算机证书

创建基于IPSec协议的L2TP隧道,必须在VPN客户端和服务器上安装计算机证书。"证书服务"并不是Windows2000默认要安装的一种服务,因此,我们必须在"Windows组件"中添加"证书服务"。

(3配置隧道协议的端口

系统在安装"路由和远程访问"服务时,默认的PPTP和L2TP的端口数都是5,但对于图书馆的VPN网络系统,5个端口是远不能满足需求的,需要重新配置隧道协议的端口数。通过右键单击控制台目录树的"端口然后单击"属性"。在"端口属性"对话框中,单击"WAN微型端口(PPTP"或"WAN微型端口(L2TP然后单击"配置"。在"最多端口"中,键入端口数,然后单击"确定"。

2.2.2客户端

远程用户和VPN服务器建立连接之前,必须先对VPN客户端软件进行配置。Windows用户配置VPN连接时,Win-dows2000/xp用户支持使用PPTP和L2TP的VPN连接,而Windows98只支持PPTP连接方式。下面以Windows2000系统为例进行客户端配置,具体步骤如下:

在系统的"网络和拔号连接"中"新建连接在"网络连接类型"中选择"通过Internet连接到专用网络即"通过Internet创建虚拟专用网络(VPN连接,在设置"目标地址"页面中输入VPN 服务器的IP地址(公网IP地址,并为该VPN连接取个名称,如"PUBLIC"。

至此,我们完成了VPN网络系统服务端和客户端的配置。校外用户通过VPN远程访问图书馆资源时,首先应连上Inter-net,然后再用前面创建的"PUBLIC"进行连接即可。连接时用到的帐户名称、密码和拨入属性应是VPN服务器上事先设置好的。连接成功后,会在Windows桌面右下角出现两个网络连接图标,一个连接到Internet图标,一个是VPN连接图标。此时,远程用户就获得了图书馆局域网的IP地址,可以对图书馆数字资源进行访问。

3、结束语

VPN技术使得校园网内部的重要信息在有安全保证的情况下传输,如同建立了专用的网络连接,提高了校园网的可管理性、灵活性和安全性。随着该技术的进一步发展完善,其对网络资源的共享利用以及安全保护会有很好的应用前景。

参考文献:

1.张涛.VPN技术在校园网中的应用与实例[J].南通航运职业技术学院学报,2006,5(4:26-28.

2.王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].图书馆学研,2006,(5:30-32.

3.李小志.VPN技术在校园网络中的应用[J].教育信息化,2006(8:32-3

4.

180