李智宏(江门市技师学院,广东江门,529090)
VPN技术在局域网中的应用
李智宏
(江门市技师学院,广东江门,529090)
摘要:在信息技术迅速发展的今天,用户对网络服务、网络安全及其网络应用的要求也正越来越高,一种组网更加灵活、成本更低的虚拟专网(VPN)也由此应运而生。VPN技术是一种建立在互联网公共网络架构之上,以取代原有连接方式的标准广域网,并通过一定的技术手段以达到类似私有专网的数据安全传输。
关键词:VPN技术;局域网;校内组网;应用
计算机局域网络的应用正越来越广泛,目前在我国各高校中都纷纷通过组建局域网,以实现信息资源的交流共享与数据的快速传输。尤其在一些高安全要求或者大型的局域网中,VPN组网方案无疑是一个更好的选择,利用其安全通道、可扩展性、组网灵活性以及低成本的特点,可以实现大范围、多节点的校园内部组网方案。
1.1VPN的概念
VPN(Virtual Private Network)即虚拟专用网,是指在Internet网络的基础上,利用ISP所提供的Internet接入线路,在公网上组建自己私有网络的一种技术与方法。它能通过私有隧道技术,在公网中仿真一条点对点的专线,从而构建了一条安全、稳定的网络通信隧道,保证了信息的安全传输。
其中,“Virtual”(虚拟)是指没有物理的连接存在于两个网络之间,它主要是通过Internet网的路由来完成私有网络的组建;“Private”(专用)是指传输数据的保密性,它通过加密技术和隧道技术来加以实现;“Network”(网络)是指利用各种网络(私有、公用、有线、无线等)构成的通信手段。
1.2VPN的特点
对于校内通信以及校际间通信而言,VPN技术能提供一条安全、可靠的Internet访问通道,为校园信息化的进一步发展提供了可靠的技术保障,而且各高校不需要建立自己的网络维护系统,而可以将这一繁重的工作交由专业的ISP来完成。相比普遍的专用网络,VPN的特点集中在以下方面:
1.2.1安全性
高度的安全性,对当前局域网络的运行非常重要。近年来,各种新兴的网络服务如在线交易、在线银行等都需要绝对的安全,而VPN即使则能通过多种方式以增强局域网络的安全性与智能性。一方面,VPN技术能在隧道的起点,对现有高校的认证服务器提供分布用户的认证;另一方面,VPN技术还可支持各种类型的加密协议,如IPsec加密、Microsoft点对点加密等。
1.2.2低成本
一方面,利用VPN技术组网,可以部分代替或全部代替原集中式内部拨号远程访问的基础结构与服务,从而起到有效降低用户通信成本、线路组建成本以及主要设备购置成本的作用;另一方面,利用VPN技术组网,还可以使各高校不必投入大量的人力与物力去安装与维护WAN设备和远程访问设备,这些工作都可以交给专业的ISP来完成。
1.2.3易于扩展
如果学校想扩大原虚拟专用网VPN的容量与覆盖范围,只需要与新的ISP签约并建立账户,或者与原有ISP重签合约,扩大服务范围即可,因此它非常易于扩展。同时,VPN用户的增加与删除,只是逻辑上的操作,而无需另外购置专业的物理设备或连接,这也方便了VPN网络的扩展。
1.2.4支持各种新兴应用
许多专用网络对目前各种类型的新兴应用准备不足,例如部分要求高带宽的多媒体应用或协作交互式应用,就无法提供支持服务。而VPN技术则可以支持各种高级的应用,如IP语音、IP传真、远程视频、远程会议等,同时它还能支持各种协议标准,如IPv6、MPLS、SNMPv3、RSIP等,这都确保了其组网非常灵活,并能支持各种新兴应用。
VPN在局域网中应用的关键技术,主要包括了安全隧道技术、用户认证技术、加密技术等。
2.1安全隧道技术
VPN与普遍专用网最大的区别,就是隧道的建立。通过安全隧道技术,能将需要传输的数据进行封装,并在局域网中建立一条数据传输通道,使数据包经过这一隧道进行传输,见下图1所示。经过这样处理后的信息,只有源端与目标端的用户方能对隧道中的信息进行处理与解释,而对于其它用户则是无意义的信息,从而有效确保了信息传输的安全。
图1 VPN安全隧道技术原理图
目前,生成VPN安全隧道的协议主要包括了两种,即第二层隧道和第三层隧道协议。其中,用于数据链路层实现数据封装的协议,被统称为第二层隧道协议,常见有L2TP协议、PPTP协议等;用于网络层实现数据封装的协议则被称为第三层隧道协议,常见的有IPSsc协议、SOCKSv5协议等。
2.2用户认证技术
利用VPN技术组建的局域网络,通常是为了使各高校教师及员工能更加方便、安全的访问校园网络资源,然而由于部分网络资源较为敏感和重要,这就需要通过用户认证技术以实现对访问者身份的鉴别。
目前,VPN提供了PPP(点到点)协议、PAP(密码认证)协议、CHAP(握手认证)协议等多种用户认证技术,可有效确认用户的身份,以便系统进一步实施资源的访问控制,或者进行用户的授权访问。
2.3加密技术
加密技术也是确保VPN应用安全性的核心技术之一,它主要通过IPSec中的ESP(封装安全负载)来加以实现。同时,VPN还可根据使用网络的安全协议以及用户的配置情况,提供多种加密算法,例如提供了MD5、SHA等消息验证码算法,以保证数据传递的完整性;提供了3-DES、IDEA、AES等对称密钥加密算法,以保证数据传递机密性与安全性;提供了DSA、RSA等数字签名算法,以保证数据传递的抗否认性。
根据应用环境及用户使用情况的不同,VPN技术在局域网中主要分为了三种典型的应用方式,它们分别是内联网VPN业务应用、外联网VPN业务应用和远程接入VPN业务应用。
3.1内联网VPN应用
图2 内联网VPN的结构框架图
内联网VPN业务,主要用于实现校园内部网络中各局域网的安全互联,它通过建立总部及分支机构之间的安全连接,从而增加各高校现有的专线网络或者建立新的带宽。利用VPN技术,不仅可以节省大量专线费用,而且可以极大的增强各高校网络的地域覆盖性,以快速满足总校与各分校的网络资源需求。内联网VPN的结构框架,详见下图2所示。
3.2外联网VPN应用
外联网VPN业务应用,主要是将校园局域网的范围向外扩张,并将若干个校园VPN网络结合起来,以构建出一个更加庞大的虚拟内部网络,从而为各高校及其用户提供更安全、灵活的通信方式。
外联网VPN的结构框架,详见下图3所示。其最大的优势就是可以改善校内及校际间信息传递的速率、效率与安全性。在基本组网模式方面,外联网VPN与内联网VPN在业务应用上的差别不大,但由于校园外联网VPN需要连接不同的高校与用户,容易引发一系列安全问题。因此必须强化组网过程中的接入控制机制与身份验证机制,并通过采用内部防火墙、加密传输等方式,以确保数据传递过程中的安全性。
图3 外联网VPN的结构框架图
3.3远程接入VPN应用
远程接入VPN业务,是指利用PSDN、ISDN等接入网或者公共网络的拨号,与校园内部局域网之间进行远程互联,其主要业务应用是为了满足漫游用户访问校园内部资源的需求。远程接入VPN的结构框架图,详见下图4所示。
图4 远程接入VPN的结构框架图
当前,由于工作的需要,许多高校的教师及员工需要外出交流、考察、座谈等,而出于安全的考虑,一般不允许其访问学校内部的服务器,这也极大限制了教师对校园内部网络资源的使用。而基于远程接入VPN业务的应用,它不仅能通过IP网络承载用户业务,使业务成本费用极大降低,而且还能通过L2TP协议和IPSec协议中的身份验证机制、加密机制及授权机制,以确保用户在使用校园内部网络资源的过程中的安全性。
文章从VPN技术的概念及特点出发,并着重探讨与研究了VPN技术在校园局域网中的应用。尤其是在当前一些高安全要求,或者大型的高校局域网中,VPN组网方案无疑是一个更好的选择,利用其安全通道、可扩展性、组网灵活性以及低成本的特点,可以实现大范围、多节点的校园内部组网方案,从而有效保证了校园局域网内部通信与外部通信的安全。
参考文献
[1]李彦新.虚拟专用网(VPN)技术及其应用[J].交通与计算机,2012(2):12-13.
[2]王春海,张晓莉,等.VPN网络组建案例实录[M].北京:科学出版社,2008:37-39.
[3]于九红.网络安全设计[M].上海:华东理工大学出版社,2012:204-209.
[4]高海英,薛元星.VPN技术[M].北京:机械工业出版社,2004:3-14.
Application of VPN technology in local area network
Li Zhihong
(technician college, Guangdong, Jiangmen, Jiangmen, 529090)
Abstract:In the rapid development of information technology today,users of network services,network security and network application requirements is also more and more high,a network is more flexible,lower cost of virtual private network(VPN) has thus arises at the historic moment.VPN technology is a built on the public Internet network architecture,to replace the original connection standard way of wide area network,and through certain technical means to achieve similar private network transmission of data security.
Keywords:VPN technology;local area network;campus network;application
作者简介
李智宏,男,1976年1月,籍贯福建省三明市,本科,计算机讲师,研究方向:计算机软件工程,数据库设计。