基于VPN的計算機虛擬網絡技術及應用

劉晉州

摘要：VPN（虛擬專用網絡）通過公用網絡Internet建立安全、穩定的連接。很多企事業單位借此進行內部網的擴展，提供網絡接入。該文首先對VPN原理進行了解析，對幾種基于VPN的實際運用進行了比較，在此基礎上，以某校園網為例，從適用性、管理性與安全性三個方面，對VPN的計算機虛擬網絡技術實際應用進行了介紹。

關鍵詞：VPN；技術原理；應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）07-0049-02

1 VPN技術原理

1.1 VPN定義

VPN是英文全稱Virtual Private Network 的縮寫，譯為漢語即“虛擬專用網絡”。它不需要真正的光纜線路，只是借用Internet連接，加上特殊的加密的通訊協議而為內部設置的一條專有通訊線路。在這條線路上傳輸的信息，實現了完整性與真實性，又保證了私有性。

1.2 VPN工作原理

如何滿足用戶需求呢？通過IPsec協議棧，從而產生一個和諧的安全框架，有Internet的密鑰交換（IKE）、負載安全封裝（ESP）及認證頭（AH）協議，該協議保證了VPN的機密性、完整性、源認證及防重放的四大功能。以VPN的機密性為例：VPN采用的加密算法一般是DES和3DES.兩者都是20世紀的產物，前者由IBM開發研制的，有效密鑰長度為56位；后者由NIST在DES的基礎上所創建，有效密鑰長度為168位；2002年NITS采用了最先進的AES數據塊加密算法，目前是IPsecVPN中最常用、最安全的算法。

2 VPN技術應用實踐

信息化的快速發展，為了實現資源優化整合，很多學校都建立了校園網。為了保證網絡安全，防止電腦黑客入侵，運用VPN技術可以在基于公共互聯網的校園網中較好地解決校園網多網區，遠程訪問及管理等問題。即通過VPN技術，在校園網里，將校內外人員直接連接到校園局域網。VPN技術可以實現辦公自動化，無論校園有多少信息點，都可以連至于INTERNET用戶。使用VPN技術，校園網可以降低使用費，通過當地的ISP申請賬戶登錄到Internet，以此為通道與校園內部網絡相連，可以降低通信費用?，F以某高校為例，論證一下VPN技術的應用。

2.1 校園網VPN方案設計

校園網給師生帶來資源共享的便利，但安全風險隱患很大，如非法授權訪問，信息泄漏或丟失，以非法手段刪除、修改或插入某些信息，干擾網絡服務系統，利用網絡傳播計算機病毒等等。VPN的通道協議、身份驗證和數據加密的安全功能可以消除上述安全風險。校園網內的VPN服務器接收到遠程外網客戶機的請求后，會對其進行身份質詢，然后根據用戶數據庫檢驗客戶機發出的加密信息，檢驗合格方接受此連接，然后即可在互聯網公網上傳輸私有數據，達到私有網絡的安全級別。具體運行方案如圖1所示。

在具體操作方面，IPsec VPN和SSL VPN是目前校園網VPN方案采用最廣泛的安全技術，但是兩者還是有區別的，即前者比較適合校園網內分校與分校的連接；后者比較適合校園網與外網的連接。學校要根據自己的實際情況與現實需要來進行選擇。

2.2 VPN在校園網的應用

采用VPN技術，校園網首先可以降低使用費，用戶通過申請的賬戶可以遠程登錄到Internet，然后與校園內部專用網絡連接就以Internet為通道，這樣就大大降低了通信費用，相應的，學校購買和維護通信設備的費用也節省了。如果學校設有分校的話，利用VPN服務器，可以對分校進行Web通訊控制，實現各分校訪問互通。以圖書管理為例，為了師生共享圖書資源，采用VPN加密技術，數據在Internet中傳輸時，IP地址會被Internet上的用戶看到，但是數據包內包含的專用網絡地址卻看不到。這樣既保證了校園圖書館的資源共享，又確保了校園圖書資源的安全性（見圖2）。

2.3 VPN在校園網的接入方式

校園網根據自身條件不同，網絡接入方式也各有千秋。從模擬電話、ISDN、ADSL撥號上網到光纖、DDN、幀中繼等專線上網都存在。本應用實踐是基于IP、IPX及NetBUI協議的網絡中的客戶機。

某高校共有兩個校區，彼此通過新校區的Cisco6513和老校區的Cisco6509

萬兆相連。選擇CISCO VPN安裝在 Cisco6513上，則VPN配置如下：

啟動aaa，將radius服務器的用戶認證和cisco組本地用戶授權配置打開：

aaa new - model

aaa authentication Iogin default group radius local

aaa authorization network cisco local

使用3des加密與共享密鑰，遠端VPN用戶定義crypto和用group2產生密鑰配置

crypto isakmp policy1

encr 3des

authentication pre-share

group 2

接下來創建組驗證的用戶名及密碼，然后分派DNS地址，指定分配范圍配置：

crypto isakmp invalid-spi-recovery

crypto isakmp keepalive 10

crypto isakmp nat keepalive 15

crypto isakmp quqth timeout 45

crypto isakmp client configurtion gurup cisco

key cisco

dns 202.194.126.10 202. 194.126.03

Pool remote-pool

Acl 101

最好創建一個合成的map，然后配置如下：

Crypto map client-map client auauthentication Iist default

Crypto map client-map isakmp auauthentication Iist cisco

rypto map client-map client configuration address respond

rypto map client-map ipsec-isakmp dynamic dynmap

3 小結

本文對技術方面談及頗少，因為很多同行大多都熟悉操作。僅此例說明，作為校園網安全及實用原則，本設計方案既顧及到了網絡設備的遠程管理，又顧及到了校內外用戶訪問網絡資源問題。實踐驗證，運用VPN技術，在遠程訪問、內外部連接方面會起到一定的安全保障作用。

參考文獻：

[1] 安計勇，夏士雄.基于IPSEC協議的MPLS VPN的實現[J].計算機與信息技術，2010（Z1）.

[2] 鄭智飛.VPN技術在多校區網絡互聯中的應用及安全性研究[J].青島職業技術學院學報，2010（1）.

[3] 劉麗娟.MPLS VPN技術及其在校園網建設中的研究[J].電腦知識與技術，2010（4）.