刘晋州

摘要：VPN（虚拟专用网络）通过公用网络Internet建立安全、稳定的连接。很多企事业单位借此进行内部网的扩展，提供网络接入。该文首先对VPN原理进行了解析，对几种基于VPN的实际运用进行了比较，在此基础上，以某校园网为例，从适用性、管理性与安全性三个方面，对VPN的计算机虚拟网络技术实际应用进行了介绍。

关键词：VPN；技术原理；应用

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）07-0049-02

1 VPN技术原理

1.1 VPN定义

VPN是英文全称Virtual Private Network 的缩写，译为汉语即“虚拟专用网络”。它不需要真正的光缆线路，只是借用Internet连接，加上特殊的加密的通讯协议而为内部设置的一条专有通讯线路。在这条线路上传输的信息，实现了完整性与真实性，又保证了私有性。

1.2 VPN工作原理

如何满足用户需求呢？通过IPsec协议栈，从而产生一个和谐的安全框架，有Internet的密钥交换（IKE）、负载安全封装（ESP）及认证头（AH）协议，该协议保证了VPN的机密性、完整性、源认证及防重放的四大功能。以VPN的机密性为例：VPN采用的加密算法一般是DES和3DES.两者都是20世纪的产物，前者由IBM开发研制的，有效密钥长度为56位；后者由NIST在DES的基础上所创建，有效密钥长度为168位；2002年NITS采用了最先进的AES数据块加密算法，目前是IPsecVPN中最常用、最安全的算法。

2 VPN技术应用实践

信息化的快速发展，为了实现资源优化整合，很多学校都建立了校园网。为了保证网络安全，防止电脑黑客入侵，运用VPN技术可以在基于公共互联网的校园网中较好地解决校园网多网区，远程访问及管理等问题。即通过VPN技术，在校园网里，将校内外人员直接连接到校园局域网。VPN技术可以实现办公自动化，无论校园有多少信息点，都可以连至于INTERNET用户。使用VPN技术，校园网可以降低使用费，通过当地的ISP申请账户登录到Internet，以此为通道与校园内部网络相连，可以降低通信费用。现以某高校为例，论证一下VPN技术的应用。

2.1 校园网VPN方案设计

校园网给师生带来资源共享的便利，但安全风险隐患很大，如非法授权访问，信息泄漏或丢失，以非法手段删除、修改或插入某些信息，干扰网络服务系统，利用网络传播计算机病毒等等。VPN的通道协议、身份验证和数据加密的安全功能可以消除上述安全风险。校园网内的VPN服务器接收到远程外网客户机的请求后，会对其进行身份质询，然后根据用户数据库检验客户机发出的加密信息，检验合格方接受此连接，然后即可在互联网公网上传输私有数据，达到私有网络的安全级别。具体运行方案如图1所示。

在具体操作方面，IPsec VPN和SSL VPN是目前校园网VPN方案采用最广泛的安全技术，但是两者还是有区别的，即前者比较适合校园网内分校与分校的连接；后者比较适合校园网与外网的连接。学校要根据自己的实际情况与现实需要来进行选择。

2.2 VPN在校园网的应用

采用VPN技术，校园网首先可以降低使用费，用户通过申请的账户可以远程登录到Internet，然后与校园内部专用网络连接就以Internet为通道，这样就大大降低了通信费用，相应的，学校购买和维护通信设备的费用也节省了。如果学校设有分校的话，利用VPN服务器，可以对分校进行Web通讯控制，实现各分校访问互通。以图书管理为例，为了师生共享图书资源，采用VPN加密技术，数据在Internet中传输时，IP地址会被Internet上的用户看到，但是数据包内包含的专用网络地址却看不到。这样既保证了校园图书馆的资源共享，又确保了校园图书资源的安全性（见图2）。

2.3 VPN在校园网的接入方式

校园网根据自身条件不同，网络接入方式也各有千秋。从模拟电话、ISDN、ADSL拨号上网到光纤、DDN、帧中继等专线上网都存在。本应用实践是基于IP、IPX及NetBUI协议的网络中的客户机。

某高校共有两个校区，彼此通过新校区的Cisco6513和老校区的Cisco6509

万兆相连。选择CISCO VPN安装在 Cisco6513上，则VPN配置如下：

启动aaa，将radius服务器的用户认证和cisco组本地用户授权配置打开：

aaa new - model

aaa authentication Iogin default group radius local

aaa authorization network cisco local

使用3des加密与共享密钥，远端VPN用户定义crypto和用group2产生密钥配置

crypto isakmp policy1

encr 3des

authentication pre-share

group 2

接下来创建组验证的用户名及密码，然后分派DNS地址，指定分配范围配置：

crypto isakmp invalid-spi-recovery

crypto isakmp keepalive 10

crypto isakmp nat keepalive 15

crypto isakmp quqth timeout 45

crypto isakmp client configurtion gurup cisco

key cisco

dns 202.194.126.10 202. 194.126.03

Pool remote-pool

Acl 101

最好创建一个合成的map，然后配置如下：

Crypto map client-map client auauthentication Iist default

Crypto map client-map isakmp auauthentication Iist cisco

rypto map client-map client configuration address respond

rypto map client-map ipsec-isakmp dynamic dynmap

3 小结

本文对技术方面谈及颇少，因为很多同行大多都熟悉操作。仅此例说明，作为校园网安全及实用原则，本设计方案既顾及到了网络设备的远程管理，又顾及到了校内外用户访问网络资源问题。实践验证，运用VPN技术，在远程访问、内外部连接方面会起到一定的安全保障作用。

参考文献：

[1] 安计勇，夏士雄.基于IPSEC协议的MPLS VPN的实现[J].计算机与信息技术，2010（Z1）.

[2] 郑智飞.VPN技术在多校区网络互联中的应用及安全性研究[J].青岛职业技术学院学报，2010（1）.

[3] 刘丽娟.MPLS VPN技术及其在校园网建设中的研究[J].电脑知识与技术，2010（4）.