VPN 网络监控系统的开发与设计

吴义三

湖北省咸宁职业技术学院(咸宁 437100)

VPN(Virtual Private Network，虚拟专用网)能够借助公共网络(一般为互联网)建立安全的连接，可以使远程用户通过Internet 安全的连接到企业内部的局域网，可对企业内部的网络资源信息进行访问。虚拟专用网能够帮助协助远距离用户、公司分支组织、商业合伙人等，经过互联网在每一个内部网络之间设置能够互信的安全网络连接，并保障相关数据的传送安全[1]。基于VPN 架构中，远程用户客户机可以像其他位于内部网络的客户机一样连接到企业的网络中完成公务。

1 VPN 网络

VPN 是一种设立在公共网络的专用网络的技术。虚拟专用网VPN 穿越专用网络和公用网络(如Internet)在VPN 客户端与VPN 服务器之间建立逻辑连接，这不是直接的物理连接，但这是安全的点对点的连接。VPN 客户端对VPN 服务器上的虚拟性端口上实行虚拟性呼叫，访问远距离服务器应答虚拟性呼叫，并可对呼叫者身份实行验证，身份验证通过后建立连接，然后在VPN 客户端与VPN 服务器之间传输数据，通过该连接所发送的数据以加密方式传输。

远程访问VPN 连接使在家中或路途工作的用户可以随时使用Internet 访问企业专用网络上的服务器，VPN 客户端与VPN 服务器之间使用基于TCP/IP 的隧道协议连接，如图1 所示。从用户的角度来看，VPN是客户端与企业服务器之间的点对点连接。VPN 以逻辑形式出现，仿佛数据通过专用链路发送一样[2]。

2 VPN 网络监控系统的需求分析

2.1 VPN 连接的身份验证

VPN 连接的身份验证采用三种不同的形式：

(1)使用PPP 身份验证的用户级身份验证。为了建立VPN 连接，VPN 服务器使用点对点协议(PPP)用户级身份验证方法对正在尝试连接的VPN 客户端进行身份验证，并验证VPN 客户端是否拥有相应的授权。如果使用相互身份验证，VPN 客户端也将对VPN 服务器进行身份验证[3]。

(2)运用Internet 密钥互换(IKE)的电脑级的身份验证。为能够设立 Internet 协议安全 IPsec(Internet Protocol Security)的安全连接，VPN 客户端和VPN 服务器使用IKE 协议交换计算机证书或预共享密钥。以这种方式连接，VPN 客户端和VPN 服务器都在计算机级别进行相互身份验证。强烈建议使用计算机证书身份验证，因为这种身份验证方法其安全性要强大得多。在Windows Server 2008 中对L2TP/IPsec 连接执行计算机级身份验证。

2.2 VPN 的数据加密

为了保证数据在共享传输网络或公用传输网络上传递过程时数据信息的保密性，由传递方实行对数据的加密处理，由收取方对接收数据实行解密处理，发送方和接收方使用通用加密密钥，加密和解密过程的完成依赖于收发双方。

不具有能够运用通用加密性密钥资质的用户，即便对在经过VPN 连接的传送网络传送的数据包进行了截取，也不能够解析相关数据。作为主要的安全参数的加密性密钥的长度，显得异常重要的是应该运用最大化的密钥来保障传送的数据保密性。但是，这种方法随着加密密钥的增大，加密和解密的速度会降低，就需要更强的计算能力和更多的计算时间，因此要根据实际情况权衡，选择适当的密钥长度。

3 VPN 网络监控系统的设计

为何要称为虚拟网，主体是由于完整VPN 网络的随意两个节点中间的连接并无固有专网中所需要的从端到端的物理链路，却是构架在公共网络服务商所供给的网络平台(如国际互联网络Internet，ATM，Frame Relay 等)之上的逻辑性网络，用户数据信息传输通过逻辑链路来完成。并经过VPN可以模拟点对应点专线链路的形式，经过同享或公共网络在两台电脑中间进行数据交换。虚拟性的专用联网则是创立和设置虚拟性专用网的做法。需要进行模拟点对应点链路的方式，应该包装或压缩或数据信息，并赠添上一个供给路由信息所使用的报头，此报头能够使数据信息经过共享或公共网络抵达其终端。为起到安全保密性的功效，倘若要进行模拟专用性链路通道，则还应对数据信息进行加密处理。只需进行了加密处理，如果不知晓密钥数据，即便自同享或是公共网络对数据包进行了截取，也是很难解密的。封装和加密专用数据之外的连接是VPN 连接。在家里或者旅途中工作的用户可以使用VPN 连接建立到企业内网的服务器的远程访问。

对监视器有效用的管控信息是由代理汇集和保存的，然则代理如何将此类信息传递给监视器呢? 有两类技术可使用在代理和监视器中间的通信过程当中。一类称为轮询(Polling)，一类称为事件汇报(Event Reporting)。轮询是一类要求呼应式的交结功用，即从监视器对代理发出要求，问询其要需求的信息数值，代理再来呼应监视器的要求，从其所存储的管控信息资源库中获取要求的相关信息，再次回传给予到监视器。请求可以采用各种不同的形式，例如列出一些变量的名字，要求代理返回变量的值：或者给出一种匹配模式，要求代理搜索与模式匹配的所有变量的值；监视器可能要查询它所管理的系统的配置，或者周期地询问被管理系统配置改变的情况；监视器也可能在收到一个报警后用轮询方式详细调查某个区域的真实情况，或者根据用户的要求通过轮询生成一个配置报告。

事件报告是由代理主动发送给管理站的消息。代理可以根据管理站的需求(期间、形式等)限定时间地传送状况汇报，也或许在检验到某类特殊限定的事情(例如型态变化)或非寻常事情(例如产生故障)时生成事态汇告，传送给予管理站。事件报告对于及时发现网络中的问题是很有用的，特别对于监控状态信息不经常改变的管理对象更有效。

路由即是指经过互相连接的网络， 将数据信息自起源位置转移 到目的位置的行动。普遍 而言，在对路由的进程中，最少会通过一个或多个中段节点来传送数据信息。经常，人们会将路由过程和互换过程作为对比，这关键是由于在一般用户认为两者所达成的功能是全部相同的。实际上，路由和互换彼此的重要区分即是互换产生在OSI 参照模型的第二层级(即数据的链路层级)，而路由则产生在第三层级，即网络层级。

路由器作为互联网中的重要节点设置。路由器经过路由确定数据信息的转化发送。转化发送策略被称之为路由抉择(Routing)，此亦是路由器称谓的来源(由英文Router 翻译而来)。作为相异网络之间互相联结的关键，路由器系统组成了基于TCP/IP 之上的国际互联网络Internet 的主要分布网络，也能够说，国际互联网络Internet 的骨架是由路由器所组成。其处置速率 是网络通信当中的重要桎梏之一，其真实性则直接对网络互联的品质产生着影响。由此，现今在各类的园区网、地域网，甚至整体的国际互联网络Internet探究范围中，路由器技术一直处在核心位置，其进展过程及目标，作为整体的国际互联网络探究的一种写照。

4 结论

VPN 连接可以让用户访问网络，也可以提供两台路由器之间的连接。它具有很强的灵活性，并且只需要每一方都有网络连接、VPN 软件、必要的协议以及相同的加密机制，一旦VPN 连接建立起来，用户就可以像拨号那样访问目标网络的资源。

[1]赵菁.基于量子密钥的VPN 密钥管理模型研究[J].计算机安全,2014,(02).

[2]单家凌,谢志成,赵崇聂.基于SSL 技术的VPN 网关在无线网络中的应用[J].计算机系统应用,2014,(02).

[3]姚汝,肖尧.网络安全技术在校园网中的应用研究[J].网络安全技术与应用,2014,(01).