基于VPN技术的跨区域校园网络方案的设计

林虹虹

摘 要：将职业院校的跨地域分布特征结合VPN技术的分析研究，通过VPN技术的虚拟共享功能，针对构建高安全的职业院校校园网络资源共享提供解决措施，更进一步将网络数据的传输变得更加高效、安全、灵活以及经济，校区互联、移动办公等方面均可以在该技术的拓展应用基础上安全实现。

关键词：校园网 VPN 组网技术

中图分类号：TP393.03 文献标识码：A 文章编号：1672-3791（2014）01（c）-0035-02

不同学校合并、设立异地分校等现象随着互联网的发展呈现出普遍发的趋势，进而形成不少职业院校跨地区多校区的地理分布特点。因此，不同校区之间的资源数据的沟通也和学生管理、教学计划规模呈正比例增长，再加上校外居住或者外地出差的教师也会频繁使用校园网数据资源，这些问题已经逐步成为当今校园网发展道路上的绊脚石。传统的单一校园网技术不仅DDN成本过高，Modem远程拨号的访问速度过慢，所以已经不能达到发展要求；拥有成本低、安全性高、可靠性高等特征的VPN远程组网技术已经趋于成熟，可以更好地满足发展要求。VPN虚拟专用网可以帮助远程用户、分支机构的内部网建立可信的安全连接，能保证数据的安全传输。通过将数据流转移到低成本的网络上，再有就是虚拟专用网解决方案能减少用户费用在远程网络连接上的开销，同时，这也将简化网络的设计和管理。另外，虚拟专用网还可以保护现有的网络投资。这种技术的应用使院校的各地资源的所有网络在Internet上组成一个安全的、虚拟的大局域网，从而为校园网的公共平台设计提供新的解决方案。本文通过对VPN技术特点的分析和研究，提出基于VPN技术解决跨区域职业学校的校园网建设的方案。

1 VPN概述[1]

a.VPN也就是虚拟专用网，它是某个机构的专用网，通过公共互联网实现利用私有隧道建立一条在公共数据网络上的点到点的专线的技术。通过某种公共网资源上逻辑网络动态来形成虚拟VPN中两个节点之间并不存在的端到端的物理链路；因为在互联网上需要通过身份验证才能安全访问传送中的加密过的用户数据，VPN既利用此项来达到安全传送数据，又利用的因特网的网络资源。

1.1 VPN安全技术特点[2～4]

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、

加解密技术（Encryption&Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

1.1.1 隧道技术

隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等；第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输，第三层隧道协议有VTP、IPSec等。

1.1.2 VPN的功能

VPN重点在于建立安全的数据通道，对于这个安全通道的协议必须具备一些条件：

（1）确保数据真实性，通信主机必须是经过授权。

（2）确保数据的完整性。

（3）确保通道的机密性。

（4）可提供运态密钥交换功能。

（5）可提供安全防护措施和访问控制。

1.1.3 密钥管理技术

密钥管理技术的主要任务是如何在公共数据网上安全地传递密钥而不被窃取。现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。

1.2 VPN应用分类[5]

依据不同的需要，VPN分三种情况的用途：

（1）内部VPN。

这种方式通过公共网络把一个不通的各个分支机构联结而成的网络。这种联结安全度高，这种方式被称为Intranet。

（2）远程访问VPN。

此方法通过本地的信息提供商（ISP）访问Internet，并在不同分支机构间建立一条加密通道，具有较高安全度的访问，有加密和身份验证及过滤等功能。

（3）外联网VPN。

这种方式是外联网VPN为远地的用户提供安全性的访问。主要目标是保证数据传输过程中不被修改、保护网络资源等。

1.2.1 Access VPN（远程访问虚拟专用网络）

Access VPN特点在于远端用户不再像传统的远程访问那样，需要通过电话拨号到本地网络进行远程访问，而是采用拨号接入远端用户本地的ISP，利用VPN系统在公用网络上建立一个从远程用户端到本地网关的安全传输通道。

1.2.2 Intranet VPN（内部虚拟专用网络）

Intranet VPN特点主要是指利用Internet互联网组建世界范围的虚拟Intranet，利用互联网的公共线路保证网络的连通性，用VPN的隧道技术、数据压缩加密、用户身份认证等特性，确保信息在Intranet VPN上的传输安全性。

1.2.3 Extranet VPN（扩展内部虚拟专用网络）

Extranet VPN特点主要是互联的虚拟局域网面对的是若干个大型公司或企业门户的信息资源共享。

2 VPN组网方案设计[6～8]

2.1 VPN组网技术要求

成功的VPN方案应该能为用户分配专用网络上的地址并确保其安全性，并对通过公共互联网络传递的数据必须经过加密。在网络数据传输过程中，VPN必须具有能够生成并更新客户端和服务器的加密、提供身份审查、具有审计和记费等功能，还必须支持公共互联网络上普遍使用的基本协议。endprint

2.2 VPN校园网组网方案

在设计VPN校园网过程中，基于职业院校分校比较多以及共享教职工资源的特征和校园局域网、远程用户的要求，通过将Access VPN及Intranet VPN组合的方式达到目的。为了让接入互联网的终端用户可以通过网络进入到企事业单位的局域网网络资源，Access VPN通过使用点对网的方式实现。该终端通过与局域网内部一样的使用资源的方式来实现资源利用。也可以说是PPP 拨号访问方式；Intranet VPN是将两个局域网之间利用因特网联接的网对网的方式；就像是一同一个局域网的不同子网，并且两个局域网中的任意终端均能相互共享对方的内部资源。所以，异地之间相互访问内部网络可以通过建议不同小区的局域网来实现。

而VPN混合方案的实现主要是采用基于IPSec的第三层VPN路由器组网方案，是可以在全动态IP的广域网上（Internet/城域网），同时支持ADSL，Cable Modem，DDN等宽带接入方式，在接入方式不同的异构网络上搭建统一的VPN网络。然而，IPsec这种方式也存在一定的问题，这主要取决于VPN的一个主要特点，那就是必须在每一台机器上安装并配置客户端软件，才能使用VPN。就IPSes本身来说，它很难用于部署远程接入或外部网。针对这种情况，引入一种基于Secure Sockets Layer（SSL）协议的VPN，它可以安全的替代IPsec VPN。几乎所有的商业浏览器产品都支持SSL协议，它的安全性也得到了证实。

SSL是由多个子协议组成，其中两个最主要的子协议是握手协议和记录协议。

（1）握手协议允许服务器和客户端“在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙”。在数据传输期间。

（2）记录协议利用握手协议生成的密匙加密和解密后来交换的数据。

以上两个协议的工作原理是这样的：客户端会发送信息给服务器端特定的TCP端口，请求一个新的握手协议。这个信息包含了密码规格列表，还有客户端浏览器支持的压缩协议和客户端产生随机数。这个随机数是由32位的UNIX timestamp value加上客户端浏览器生成的28位的pseudo-random number组成。服务器也发送一个同样的信息响应客户端，这个信息包括它根据随机数值（服务器随机数）选择的密码规格和服务器对客户端的认证，密码规格和客户端随机数的格式相同。

鉴于以上分析，根据移动办公和学校资源共享的需求，则在VPN的校园网建设中，提出如下Access VPN和Intranet VPN两类综合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的应用

我们知道在校外访问校园网内资源的远程用户移动办公地址不是固定的，因此，远程用户端需通过VPN接入校园网，而远程用户端需安装使用VPN功能的软件，配置为隧道开通器，通过ISP接入Internet并访问校园网内的VPN网关和服务器。也就是要在校园网内建立VPN网关和服务器，远程用户使用软件进行VPN配置后访问校园网内的VPN网关及服务器。对于目前来说， 校园网络用户使用的操作系统平台多为Windows系列，而Windows 2003 Server中的RAS（路由和远程访问服务）可以被用来建立使用PPTP或L2TP的VPN 连接，因此，可以选择在校园网内使用Windows 2003 Server建立VPN服务器及CA认证中心，而终端用户只要在Windows系列的平台上配置VPN客户端，便可通过远程的VPN服务器和身份认证访问总部的校园专用网。

2.2.2 Intranet VPN的应用

在职业学校的主校区和分校区之间建立Intranet VPN，可以通过Internet的公共网络将其相连，以便学校的资源共享、信息交流和数据传送。这样既可以克服使用开放路由器方法时对访问范围的限制，也可以对数据的传输起到保护作用，还不用租用专线而节省了开支。学校总部一般来讲是数据信息存放、处理的中心，及相关业务服务器集群存放点，因此网络内部主机数量多，数据流量大，安全性和实时性要求高；因此在两个校区之间建立Intranet VPN，应该采用带VPN网关功能的Cisco系列高性能路由器作为接入服务器。对于实时要求很高的学校用户，可以在总部采用两台Cisco作双机备份，保证稳定数据传输。通过对两地路由器进行路由、账户、地址池及协议的适当配置，在主校区路由器和分校区路由器之间建立虚拟专用链路，从而实现不同区域高校的信息资源共享。针对以上描述，以Intranet及Access VPN技术综合方案为基础设计职业院校的校园网络拓扑图，拓扑图如图1所示。

由图1可知，分校区与总部利用各自的VPN网关经由Internet与主校区的VPN 网关完成校区与校间互联，可实现资源共享和信息交流，出差或在家的教职工使用笔记本电脑或PC机中内置的VPN软件通过本地ISP连入Internet，采用PPTP或SSL协议，接入总部，可包括支持CDMA/GPRS及802.11b等无线移动接入，再与主校区或相应校区的VPN设备相连来实现移动或家庭办公；其次，为了保证系统的安全性，在此方案中，在总部设置CA认证中心，加强用户身份验证，从而提高VPN虚拟局域网的整体安全，以及学校职工和学生的资源共享效率。

3 结语

VPN技术作为新兴的网络技术，提供了一种安全、高效、灵活和经济的组网方式，通过VPN的混合技术，可较好解决了不同区域教学资源共享及移动办公资源共享的具体问题，而且随着互联网基础设施的不断完善和发展，VPN技术将继续在校园网，企业网等多个应用领域发挥其越来越重要的作用。

参考文献

[1] 黄新民，刘旺泉.VPN技术综述[J].计算机安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龙，张国立.VPN技术及其发展[J]. 福建电脑，2008（2）：1，24.

[4] 黄宏杰，陈朗钦.VPN技术在网络中的应用[J].福建电脑，2007（12）：160-161.

[5] 王达.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2004：25-60.

[6] 周碧英.浅析计算机网络安全技术[J].甘肃科技，2008，24（3）：17-19.

[7] 彭晏飞，杨德权.基于VPN技术的高校校园网建设[J].长春工业大学学报：自然科学版，2008，29（1）：91-94.

[8] 欧阳峥峥.基于校园网的网络安全体系的构建[J].2008（4）：115-116.endprint

2.2 VPN校园网组网方案

在设计VPN校园网过程中，基于职业院校分校比较多以及共享教职工资源的特征和校园局域网、远程用户的要求，通过将Access VPN及Intranet VPN组合的方式达到目的。为了让接入互联网的终端用户可以通过网络进入到企事业单位的局域网网络资源，Access VPN通过使用点对网的方式实现。该终端通过与局域网内部一样的使用资源的方式来实现资源利用。也可以说是PPP 拨号访问方式；Intranet VPN是将两个局域网之间利用因特网联接的网对网的方式；就像是一同一个局域网的不同子网，并且两个局域网中的任意终端均能相互共享对方的内部资源。所以，异地之间相互访问内部网络可以通过建议不同小区的局域网来实现。

而VPN混合方案的实现主要是采用基于IPSec的第三层VPN路由器组网方案，是可以在全动态IP的广域网上（Internet/城域网），同时支持ADSL，Cable Modem，DDN等宽带接入方式，在接入方式不同的异构网络上搭建统一的VPN网络。然而，IPsec这种方式也存在一定的问题，这主要取决于VPN的一个主要特点，那就是必须在每一台机器上安装并配置客户端软件，才能使用VPN。就IPSes本身来说，它很难用于部署远程接入或外部网。针对这种情况，引入一种基于Secure Sockets Layer（SSL）协议的VPN，它可以安全的替代IPsec VPN。几乎所有的商业浏览器产品都支持SSL协议，它的安全性也得到了证实。

SSL是由多个子协议组成，其中两个最主要的子协议是握手协议和记录协议。

（1）握手协议允许服务器和客户端“在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙”。在数据传输期间。

（2）记录协议利用握手协议生成的密匙加密和解密后来交换的数据。

以上两个协议的工作原理是这样的：客户端会发送信息给服务器端特定的TCP端口，请求一个新的握手协议。这个信息包含了密码规格列表，还有客户端浏览器支持的压缩协议和客户端产生随机数。这个随机数是由32位的UNIX timestamp value加上客户端浏览器生成的28位的pseudo-random number组成。服务器也发送一个同样的信息响应客户端，这个信息包括它根据随机数值（服务器随机数）选择的密码规格和服务器对客户端的认证，密码规格和客户端随机数的格式相同。

鉴于以上分析，根据移动办公和学校资源共享的需求，则在VPN的校园网建设中，提出如下Access VPN和Intranet VPN两类综合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的应用

我们知道在校外访问校园网内资源的远程用户移动办公地址不是固定的，因此，远程用户端需通过VPN接入校园网，而远程用户端需安装使用VPN功能的软件，配置为隧道开通器，通过ISP接入Internet并访问校园网内的VPN网关和服务器。也就是要在校园网内建立VPN网关和服务器，远程用户使用软件进行VPN配置后访问校园网内的VPN网关及服务器。对于目前来说， 校园网络用户使用的操作系统平台多为Windows系列，而Windows 2003 Server中的RAS（路由和远程访问服务）可以被用来建立使用PPTP或L2TP的VPN 连接，因此，可以选择在校园网内使用Windows 2003 Server建立VPN服务器及CA认证中心，而终端用户只要在Windows系列的平台上配置VPN客户端，便可通过远程的VPN服务器和身份认证访问总部的校园专用网。

2.2.2 Intranet VPN的应用

在职业学校的主校区和分校区之间建立Intranet VPN，可以通过Internet的公共网络将其相连，以便学校的资源共享、信息交流和数据传送。这样既可以克服使用开放路由器方法时对访问范围的限制，也可以对数据的传输起到保护作用，还不用租用专线而节省了开支。学校总部一般来讲是数据信息存放、处理的中心，及相关业务服务器集群存放点，因此网络内部主机数量多，数据流量大，安全性和实时性要求高；因此在两个校区之间建立Intranet VPN，应该采用带VPN网关功能的Cisco系列高性能路由器作为接入服务器。对于实时要求很高的学校用户，可以在总部采用两台Cisco作双机备份，保证稳定数据传输。通过对两地路由器进行路由、账户、地址池及协议的适当配置，在主校区路由器和分校区路由器之间建立虚拟专用链路，从而实现不同区域高校的信息资源共享。针对以上描述，以Intranet及Access VPN技术综合方案为基础设计职业院校的校园网络拓扑图，拓扑图如图1所示。

由图1可知，分校区与总部利用各自的VPN网关经由Internet与主校区的VPN 网关完成校区与校间互联，可实现资源共享和信息交流，出差或在家的教职工使用笔记本电脑或PC机中内置的VPN软件通过本地ISP连入Internet，采用PPTP或SSL协议，接入总部，可包括支持CDMA/GPRS及802.11b等无线移动接入，再与主校区或相应校区的VPN设备相连来实现移动或家庭办公；其次，为了保证系统的安全性，在此方案中，在总部设置CA认证中心，加强用户身份验证，从而提高VPN虚拟局域网的整体安全，以及学校职工和学生的资源共享效率。

3 结语

VPN技术作为新兴的网络技术，提供了一种安全、高效、灵活和经济的组网方式，通过VPN的混合技术，可较好解决了不同区域教学资源共享及移动办公资源共享的具体问题，而且随着互联网基础设施的不断完善和发展，VPN技术将继续在校园网，企业网等多个应用领域发挥其越来越重要的作用。

参考文献

[1] 黄新民，刘旺泉.VPN技术综述[J].计算机安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龙，张国立.VPN技术及其发展[J]. 福建电脑，2008（2）：1，24.

[4] 黄宏杰，陈朗钦.VPN技术在网络中的应用[J].福建电脑，2007（12）：160-161.

[5] 王达.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2004：25-60.

[6] 周碧英.浅析计算机网络安全技术[J].甘肃科技，2008，24（3）：17-19.

[7] 彭晏飞，杨德权.基于VPN技术的高校校园网建设[J].长春工业大学学报：自然科学版，2008，29（1）：91-94.

[8] 欧阳峥峥.基于校园网的网络安全体系的构建[J].2008（4）：115-116.endprint

2.2 VPN校园网组网方案

在设计VPN校园网过程中，基于职业院校分校比较多以及共享教职工资源的特征和校园局域网、远程用户的要求，通过将Access VPN及Intranet VPN组合的方式达到目的。为了让接入互联网的终端用户可以通过网络进入到企事业单位的局域网网络资源，Access VPN通过使用点对网的方式实现。该终端通过与局域网内部一样的使用资源的方式来实现资源利用。也可以说是PPP 拨号访问方式；Intranet VPN是将两个局域网之间利用因特网联接的网对网的方式；就像是一同一个局域网的不同子网，并且两个局域网中的任意终端均能相互共享对方的内部资源。所以，异地之间相互访问内部网络可以通过建议不同小区的局域网来实现。

而VPN混合方案的实现主要是采用基于IPSec的第三层VPN路由器组网方案，是可以在全动态IP的广域网上（Internet/城域网），同时支持ADSL，Cable Modem，DDN等宽带接入方式，在接入方式不同的异构网络上搭建统一的VPN网络。然而，IPsec这种方式也存在一定的问题，这主要取决于VPN的一个主要特点，那就是必须在每一台机器上安装并配置客户端软件，才能使用VPN。就IPSes本身来说，它很难用于部署远程接入或外部网。针对这种情况，引入一种基于Secure Sockets Layer（SSL）协议的VPN，它可以安全的替代IPsec VPN。几乎所有的商业浏览器产品都支持SSL协议，它的安全性也得到了证实。

SSL是由多个子协议组成，其中两个最主要的子协议是握手协议和记录协议。

（1）握手协议允许服务器和客户端“在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙”。在数据传输期间。

（2）记录协议利用握手协议生成的密匙加密和解密后来交换的数据。

以上两个协议的工作原理是这样的：客户端会发送信息给服务器端特定的TCP端口，请求一个新的握手协议。这个信息包含了密码规格列表，还有客户端浏览器支持的压缩协议和客户端产生随机数。这个随机数是由32位的UNIX timestamp value加上客户端浏览器生成的28位的pseudo-random number组成。服务器也发送一个同样的信息响应客户端，这个信息包括它根据随机数值（服务器随机数）选择的密码规格和服务器对客户端的认证，密码规格和客户端随机数的格式相同。

鉴于以上分析，根据移动办公和学校资源共享的需求，则在VPN的校园网建设中，提出如下Access VPN和Intranet VPN两类综合方案以供使用。在VPN混和方案中引入SSL的VPN方式。

2.2.1 Access VPN的应用

我们知道在校外访问校园网内资源的远程用户移动办公地址不是固定的，因此，远程用户端需通过VPN接入校园网，而远程用户端需安装使用VPN功能的软件，配置为隧道开通器，通过ISP接入Internet并访问校园网内的VPN网关和服务器。也就是要在校园网内建立VPN网关和服务器，远程用户使用软件进行VPN配置后访问校园网内的VPN网关及服务器。对于目前来说， 校园网络用户使用的操作系统平台多为Windows系列，而Windows 2003 Server中的RAS（路由和远程访问服务）可以被用来建立使用PPTP或L2TP的VPN 连接，因此，可以选择在校园网内使用Windows 2003 Server建立VPN服务器及CA认证中心，而终端用户只要在Windows系列的平台上配置VPN客户端，便可通过远程的VPN服务器和身份认证访问总部的校园专用网。

2.2.2 Intranet VPN的应用

在职业学校的主校区和分校区之间建立Intranet VPN，可以通过Internet的公共网络将其相连，以便学校的资源共享、信息交流和数据传送。这样既可以克服使用开放路由器方法时对访问范围的限制，也可以对数据的传输起到保护作用，还不用租用专线而节省了开支。学校总部一般来讲是数据信息存放、处理的中心，及相关业务服务器集群存放点，因此网络内部主机数量多，数据流量大，安全性和实时性要求高；因此在两个校区之间建立Intranet VPN，应该采用带VPN网关功能的Cisco系列高性能路由器作为接入服务器。对于实时要求很高的学校用户，可以在总部采用两台Cisco作双机备份，保证稳定数据传输。通过对两地路由器进行路由、账户、地址池及协议的适当配置，在主校区路由器和分校区路由器之间建立虚拟专用链路，从而实现不同区域高校的信息资源共享。针对以上描述，以Intranet及Access VPN技术综合方案为基础设计职业院校的校园网络拓扑图，拓扑图如图1所示。

由图1可知，分校区与总部利用各自的VPN网关经由Internet与主校区的VPN 网关完成校区与校间互联，可实现资源共享和信息交流，出差或在家的教职工使用笔记本电脑或PC机中内置的VPN软件通过本地ISP连入Internet，采用PPTP或SSL协议，接入总部，可包括支持CDMA/GPRS及802.11b等无线移动接入，再与主校区或相应校区的VPN设备相连来实现移动或家庭办公；其次，为了保证系统的安全性，在此方案中，在总部设置CA认证中心，加强用户身份验证，从而提高VPN虚拟局域网的整体安全，以及学校职工和学生的资源共享效率。

3 结语

VPN技术作为新兴的网络技术，提供了一种安全、高效、灵活和经济的组网方式，通过VPN的混合技术，可较好解决了不同区域教学资源共享及移动办公资源共享的具体问题，而且随着互联网基础设施的不断完善和发展，VPN技术将继续在校园网，企业网等多个应用领域发挥其越来越重要的作用。

参考文献

[1] 黄新民，刘旺泉.VPN技术综述[J].计算机安全，2003（5）：25-28.

[2] http：//zhidao.baidu.com/question/1312585.html？si=4&pt=ylmf_ik.

[3] 高海龙，张国立.VPN技术及其发展[J]. 福建电脑，2008（2）：1，24.

[4] 黄宏杰，陈朗钦.VPN技术在网络中的应用[J].福建电脑，2007（12）：160-161.

[5] 王达.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2004：25-60.

[6] 周碧英.浅析计算机网络安全技术[J].甘肃科技，2008，24（3）：17-19.

[7] 彭晏飞，杨德权.基于VPN技术的高校校园网建设[J].长春工业大学学报：自然科学版，2008，29（1）：91-94.

[8] 欧阳峥峥.基于校园网的网络安全体系的构建[J].2008（4）：115-116.endprint