论VPN技术在高校校园网中的应用

2016-11-18 21:29彭城
中小企业管理与科技·下旬刊 2016年10期

彭城

摘 要:高校的教育随着网络技术的发展正悄然的发生变化,实体的围墙封闭不住数据包的传递,越来越多的高校校园网选择VPN技术来扩展自身的影响力。我们应该首先认清VPN技术的分类与使用范围,然后再根据高校校园网的实际情况有的放矢地搭建属于自己的VPN。

关键词:高校校园网;VPN技术;架设方案

中图分类号: G64            文献标识码: A            文章编号: 1673-1069(2016)30-159-2

0  引言

高校的信息化建设水平一直是国家教育事业发展的重点内容,加快信息化的建设步伐不仅能够提高学校的教育功能,更有利于加大学校在社会的影响力,将教育资源的应用率发挥到最大。从传统的学校面授到网络幕课,带给学生的改变不仅仅是“同学”数量的增加,而是全新的教学方式的改变。在校园网内,师生可以利用电脑、手机等终端任意访问这些数字资源,可以说这是一个永不闭馆的数字学校。这些利用互联网技术优化教育资源的例子不胜枚举,但是与此同时网络的局限性也纷纷显示了出来。高校拥有自己的教育网,用户如果在教育网外访问网内资源就会无法访问。同时,某些教学互动软件只能够在局域网环境中使用,跨网络的使用是无法进行的。传统的解决方式是使用端口映射,但是端口映射会增加安全隐患,同时操作起来也非常的烦琐,稳定性也不好,需要专业人员进行维护。针对这样的情况,越来越多的高校选择利用VPN技术来解决上述的问题。

1  VPN概述

所谓“VPN”就是“虚拟专用网络”,换句话说就是利用现有的网络环境虚拟出一条专用线路,在这条虚拟专线上能够实现专用网络的功能。需要说明的是,这种“专用网络”是由Internet服务提供商(ISP)的网络资源动态组成的,先由访问发起端向当地ISP提出要求,再由ISP负责与需访问端建立会话。高校可以根据自身网络建设的具体要求,选择一个最符合自己需求的网络建设方案选择。为此,我们要考虑到这样几个问题:专线对面的终端是否足够的信任,是否需要限制对方的访问权限?是否能够快捷的将远程访问的VPN端与真实的本地局域网络分隔通讯?如果远程端出现故障,是否可以方便快捷的解决故障?为此,我们必须需要先来探讨一下VPN的实现技术。

对于高校校园网来说,涉及办公OA系统、学校资料管理、校园卡安全消费等各个方面,因此对于VPN的安全技术要求非常高,同时VPN本身的技术也非常复杂,因此网络的数据封装与安全技术是高校VPN技术的核心。

VPN中源局域网与公网的接口连接称为隧道技术,如同架设一个隧道将内、外网打通,如同修路一样,隧道能否顺利打通、如何打通是VPN构建的核心要点。数据包在源局域网终端和公网终端之间传输时,发送数据的终端先将目标地址写进数据内部,然后发送到自己一侧的VPN网关,而VPN网关拿到数据并验证目标地址属于VPN网络后,将数据进行封装,相当于在信件的外面再套上一个信封,然后书写上接收端一侧VPN网关的对外地址,这样数据就可以在公网内传输。接收端VPN网关拿到“信件”后,拆掉外层封装的“信封”,就可以读到目标地址,并进行数据的传递,反之亦然。在这个过程中,数据在传输时,源局域网、双方VPN网关、所经过的逻辑路径就被称为“隧道”。

高校VPN架设主要有这样几种隧道协议:点对点隧道协议(PPTP协议)、第二层隧道协议(L2TP)协议、网络协议安全协议(IPSec协议)和SSL VPN。应用最为广泛的是第二层隧道协议,该协议又称国际标准隧道协议,最初是由IETF基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)进行制定,因此它继承了PPTP协议的优点,通俗地来说就是PPTP协议像景区的检票口,它会将入口处的“散客游人”与“景区”进行连接。而L2TP协议使用多隧道更像是旅行社组团,并利用许多辆大巴车将游人直接送入景区,这样就可以加大数据的吞吐量。而且,L2TP协议在传输数据时所使用的消息类型有两种:数据控制消息和数据传输消息,非常类似于一个是导游,控制着数据传输路径,一个是大巴车司机,专门负责数据的运输。但是,L2TP也有一个比较大的缺点是没有数据加密的措施,如同游客乘坐的大巴车没有任何车厢保护和安全措施,这样就加大了数据被劫持、重放的风险。因此很多情况下,高校在架设自己的VPN网络时大多采用L2TP+IPSec组合协议。用L2TP隧道协议传输数据,用IPSec协议保护数据。IPSec的安全协议主要包含两个方面:认证报头AH和安全封装ESP,需要说明的是无论是AH还是ESP都具备了通信保护的功能,都可以提供数据完整性检测和数据源认证。虽然IPSec在IPV4规范中仅仅是作为选用,但是在IPV6中是强制的,在配置VPN网络时要注意这一点。

在实际操作过程中,我们会发现IPSec VPN虽然成熟、安全,但是需要在终端安装专用软件才能正常使用,这样一方面让动手能力弱的电脑望而却步,也让越来越普及的手机用户望而兴叹,基于这种原因SSL VPN应运而生。SSL存在于任意一个浏览器内,工作在应用层,指定了浏览器与TCP/IP数据交换时的安全机制,并提供数据加密、用户认证、客户机选择以及数据的封装与加密等功能支持。在数据传输之初,SSL VPN首先确认双方身份,统一加密算法,最有将数据加密密钥传输给双方。数据传输过程中借助的是可靠的传输协议如TCP,传输质量非常稳定。并且由于使用的是浏览器接口,隐藏了终端和服务器,避免了病毒或者黑客对内部服务器的破坏。

2  VPN架设方案

2.1 VPN方案的选择

在建立VPN网络时需要先期将学校的校园网络建设完成,并能正常连接互联网,这里不再赘述。在实际使用过程中,在校园网中的VPN要能够给出差在外地的老师、分校区员工、不在校园网内的学生等提供直接连接到校园局域网的服务。同时还应该考虑到分校区间多媒体教学的需要。因此在构建VPN网络时综合考虑网络的负载平衡,确定VPN网关的吞吐能力和数据加密的性能。学校网络连接互联网的方式也是需要构建VPN网络时需要考虑的问题,客户端可以采取拨号或者光纤的接入方式,而服务器端要采用固定IP地址的连接方式,这样才能够方便连接。在服务器端还应配备VPN的数据接入服务器,在多用户同时接入时服务器应能够自动平衡负载。校园网常用的VPN方案主要就是IPsec VPN和SSL VPN,如果VPN承担的主要工作是各个校区之间的数据连接,那么可以选择IPSEC VPN;如果VPN承担的主要工作是零散终端就可以选择SSL VPN。

2.2 VPN方案的部署方式

首先要借助VPN的管理系统在网络内部建立域方便管理相关的VPN设备,特别是防火墙和VPN网关等重要设备更要做到实时的监控。目前常用的管理软件都可以对建立的域进行“内部域名”的编辑,将同一域内的网络设备“捆绑”在一个域名下,相关的域又可以建立多达三层的子域,大大方便了VPN的管理。在此基础上,管理员还可以为不同子域配备不同的“区域”管理人员。针对手机、平板电脑等移动用户,要在管理系统里部署不同权限的组,新用户加入时先对其用户身份进行甄别,然后将用户加入到不同权限的组内,以获得访问权限,当用户退出VPN网络时只需将用户从组内删除,这样可以加快移动端访问VPN网络的速度。

3  校园网在使用VPN时应注意的问题

VPN在高校工作中应用意义重大,可以将校园教科研延伸到校外,但是网络的速度受限于ISP提供的网速,同时稳定性也不在学校的控制下。因此在VPN部署过程中先要仔细分析和规划,认真选择软硬件,避免兼容性不好的问题。在运行过程中还应由专业技术人员仔细监控各个环节的运行情况。在规划VPN网络是要留足升级的空间,特别是针对用户数量增加后软硬件的升级更要考虑到。

4  总结

可以说日益成熟的校园网VPN技术无限地扩展了教师办公和学生学习的距离,构建学校自己的虚拟专用网不仅可以提高教学效率,还能最大化的发挥内网资源的利用率。而这些提升不需要太多的改变校园网的网络架构,成本低廉。相信随着网络技术的发展VPN在校园网中的作用将越来越重要。

参 考 文 献

[1] 杨沛.VPN技术在图书管理信息系统中的应用[J].现代情报,2005(05).

[2] 薛芳,何世珍.利用VPN技术实现内网与外网的联通[J].采矿技术,2005(01).