VPN技术及其在校园网中的应用(精)

2008年第11期福建电脑VPN技术及其在校园网中的应用张铭(贵阳中医学院贵州贵阳550002【摘要】:VPN技术在校园网中的应用,提高了校园网的可管理性、灵活性和安全性。本文就虚拟专用网(VPN的原理和技术做了详细介绍,利用VPN技术解决了高校资源的远程访问问题,并阐述了详细操作步骤。【关键词】:虚拟专用网;校园网;隧道;图书馆0、引言近年来,随着计算机网络技术的快速发展、学校信息化建设的加快,校园网已经成为学校信息化建设的重要组成部分。丰富的教育资源为教师教学和学生学习提供了优良的软件环境。但学校在校园网建设时,通常是将公网与区域内的私网进行物理隔离,使外网无法访问内网资源。这样势必导致教师和学生离开本校园就无法使用校园网的内部资源,虚拟专用网(VPN就是一种既可保障安全、又可保障网络开放的低廉易行的解决方案,可以使信息用户随时随地享用内网资源。1、VPN技术1.1VPN概念VPN是虚拟专用网VirtualPrivateNetwork的缩写,是在Internet基础上开发的供企业专用的虚拟网络。该网络利用可靠度不高的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络类似的安全性能,从而实现对重要信息的安全传输。1.2VPN原理VPN是在Internet网络中建立一条虚拟的专用通道,让两个远距离的网络用户能在一个专用的网络通道中相互传递数据信息。任何VPN技术的核心都是隧道(Tunneling技术。隧道允许VPN的数据流被路由通过lP网络,而不管生成该数据流的是何种类型的网络或设备。从这个意义上说,VPN的操作独立于其他的网络协议,隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。因此,VPN是通过跨越基于IP协议的公用网建立起一条安全专用通道来实现公网私用。客户只需连入lnternet,就可以lnternet网来访问单位内部网络资源。1.3VPN技术VPN主要采用的技术:隧道技术、加解密技术、身份认证技术。1.3.1隧道技术隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器组成。隧道开通器的任务是在公用网络中开出一条隧道。PC上的Modem卡和有VPN拨号功能的软件(该软件已经打包在WINDOWS系列操作系统中、客户端网络中有VPN功能的路由器、网络服务商站点中有VPN功能的路由器等都可以充当隧道开通器。隧道终端器的任务是使隧道到此终止,可以充当隧道终端器的网络设备和软件有专用的隧道终端器、网络中的防火墙以及网络服务商路由器上的VPN网关等。1.3.2隧道协议虚拟专用网(VPN使用两种隧道协议:点到点隧道协议(PPTP和第二层隧道协议(L2TP。1、点到点隧道协议(PPTPPPTP支持通过公共网络(如Internet建立按需的、多协议的、虚拟专用网络。PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得安全。通过启用PPTP的VPN传输数据就像在一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。PPTP协议捆绑在Windows系列操作系统中,因此在VPN中应用最广。2、第二层隧道协议(L2TPL2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是,L2TP使用新的网际协议安全(IPSec机制来进行身份验证和数据加密。1.3.3加密和解密技术VPN技术的安全保障主要就是靠加密、解密技术来实现的。除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能。虚拟专用网(VPN使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。IPsec在VPN中的安全性最好。在建立安全隧道和使用安全策略时,各个过程进行得更加严格嘲。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样,在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。1.3.4身份认证和安全策略虚拟专用网(VPN是依托开放的公众网资源构建而成的一种专用网,在隧道建立过程中,必须采取一系列的步骤以保证数据在公共网络中传输的安全性。(1用户认证:由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。用户把姓名、口令通过增强用户握手认证协议(CHAP-ChallengeHandshakeAuthenticationProtoco1,发送到ISP网络。ISP网络联系RADIUS服务器(远程拨入用户安全服务器,RADIUS-RemoteAuthorizationDial-InUserService,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。(2进行设备确认,建立安全隧道:隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。(3使用安全策略:下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。2、VPN技术的应用下面以高校图书馆构建VPN网络系统为例,说明VPN技术在资源远程访问中的应用。2.1图书馆实例图书馆局域网内有丰富的数字资源,在校园网内可直接访问。现在图书馆内建立一个VPN服务器,校外用户便可通过它从校外远程访问图书馆数字资源,并通过适当的访问策略配置,保证网络安全。图书馆通过校园网连接至Internet,在运行Windows2000AdvanceServer的服务器上,安装两块网卡,一块连接内部网络,命名为本地连接,跟图书馆动态分配的IP范1792008年第11期福建电脑11111111111111111111111111111111111111111111111(上接第175页servletRequest.setAttribute(save,userActionForm.getSave(;servletRequest.setAttribute(functionList,functionList;returnactionMapping.findForward(functionList;}从数据库中取得的用户权限信息及所有功能列表信息,都将被UserAction类返回到视图层,在JSP页面上通过简单处理之后,即可以向管理员显示所有子系统功能列表,并在列表前显示复选框,管理员通过勾选/取消复选框即可以实现对这名用户的权限授予与收回。当然,这些操作都必须被提交到另一个用于控制权限操作的UserRightAction类才能写入数据库而生效。参考文献:1.孙卫琴著.精通Struts:基于MVC的JavaWeb设计与开发.电子工业出版社,2004.2.阎宏《Java与模式》电子工业出版社2003年3.[美]CayS.Horstmann,GaryCornell著.李如豹,刚冬梅译.Java核心技术.机械工业出版社,2002.4.马黎明,熊前兴.基于Struts架构的Web应用系统开发研究.交通与计算机,2004年第1期96~98.围在同一个网段中;一块连接Internet,命名为Internet连接。以此服务器充当远程访问VPN服务器。校外客户端运行Windows系列的系统平台,并能够连接到Internet上。2.2实施步骤由于Microsoft操作系统使用的普遍性,利用Windows2000构建图书馆的VPN网络系统,重点是服务器端的部署,客户端只需创建相应的VPN连接即可。2.2.1服务器端(1VPN服务器的安装:启用Windows2000AdvanceServer下的VPN服务,开始-程序-管理工具-路由和远程访问,在路由和远程访问服务主界面中,右键单击服务器,选择配置并启用路由和远程访问,出现路由和远程访问服务器安装向导,单击虚拟专用网络(VPN服务器,单击下一步;在远程客户协议中,验证远程访问VPN客户端所使用的协议是否都存在,必要时可添加其他协议,本方案只用到TCP/IP协议,单击下一步:按提示完成VPN服务器的安装及基本配置。(2VPN服务器的属性配置:在远程访问VPN服务器安装完后尚需对其属性进行配置或更改。在服务器属性中,可以从常规、安全、IP等方面进行配置。在常规选项卡中可以设置这台服务器在路由和远程访问服务中所担当的角色,只要选择了远程访问服务器就将支持VPN用户。在安全选项卡中可以设置验证远程客户身份的方法,有Windows身份验证和RADIUS身份验证方法,可选择Win-dows身份验证。还需要启用Microsoft加密身份验证版本2(MS-CHAPv2和Microsoft加密身份验证(MS-CHAP。在Internet连接对话框中,选中一个用于Internet连接的网卡,单击下一步。出现IP地址指定对话框,主要是选择如何对远程客户分配IP地址。在IP选项卡中设置服务器分配给远程客户的IP地址,如果选择动态主机配置协议(DHCP,则远程客户的IP地址由服务器的DHCP服务自动分配,但要求服务器已安装了DHCP服务。如果选择静态地址池,需要确定这个地址池中的lP地址范围,远程客户的IP地址则在这个地址池中分配。如果分配出去的IP地址不属于连接到内部网络的网卡所在的网段,必须在校园网的防火墙上添加指向这些IP的路由。(3远程访问策略配置:通过远程访问策略的设定,可根据用户的不同特征分配不同的权限。在系统默认的远程访问策略中,VPN客户端是无法连接到VPN服务器的,还需要修改缺省的远程访问策略。单击控制台目录树的远程访问策略:在系统默认的远程访问策略上右击,选择属性:采用缺省的条件和配置文件,设置如果用户符合上面的条件时授予远程访问权限。按照以上步骤,就启用了Windows2000AdvanceServer下的VPN服务。在执行VPN连接前,还必须考虑以下几个方面的问题:(1路由的配置高校图书馆都是通过校园网与Internet相连的,学校网络中心一般都设有防火墙,因此,图书馆在配置VPN服务器前应与学校网络中心进行沟通,允许VPN通信进出校园网服务器。(2安装计算机证书创建基于IPSec协议的L2TP隧道,必须在VPN客户端和服务器上安装计算机证书。证书服务并不是Windows2000默认要安装的一种服务,因此,我们必须在Windows组件中添加证书服务。(3配置隧道协议的端口系统在安装路由和远程访问服务时,默认的PPTP和L2TP的端口数都是5,但对于图书馆的VPN网络系统,5个端口是远不能满足需求的,需要重新配置隧道协议的端口数。通过右键单击控制台目录树的端口,然后单击属性。在端口属性对话框中,单击WAN微型端口(PPTP或WAN微型端口(L2TP,然后单击配置。在最多端口中,键入端口数,然后单击确定。2.2.2客户端远程用户和VPN服务器建立连接之前,必须先对VPN客户端软件进行配置。Windows用户配置VPN连接时,Win-dows2000/xp用户支持使用PPTP和L2TP的VPN连接,而Windows98只支持PPTP连接方式。下面以Windows2000系统为例进行客户端配置,具体步骤如下:在系统的网络和拔号连接中新建连接,在网络连接类型中选择通过Internet连接到专用网络,即通过Internet创建虚拟专用网络(VPN连接,在设置目标地址页面中输入VPN服务器的IP地址(公网IP地址,并为该VPN连接取个名称,如PUBLIC。至此,我们完成了VPN网络系统服务端和客