虚拟专用网(VPN)——走出校园的校园网
通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。
(3) 使用安全策略:下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。
VPN网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器(RADIUS—Remote Authorization Dial-In User Service) 。VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。VPN和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。
四、虚拟专用网(VPN)校园网应用解决方案
虚拟专用网(VPN)的基本原理都是一致的,但具体到应用解决方案种类却很多,选择一种合适的解决方案决定了学校校园网运行中的安全性、稳定性,同时要考虑投入问题。
1、虚拟专用网(VPN)解决方案的选择
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、内部虚拟网(Intranet VPN)和扩展虚拟网(Extranet VPN),这三种类型的VPN分别对应传统的远程访问网络、内部的以及Intranet和相关内部网所构成的Extranet相对应。
(1) 远程访问虚拟网Access VPN
Access VPN,通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
Access VPN由它的特性决定最适用于学校教师住在校园外,通过ISP提供的拨号上网、ADSL等方式在家中接入因特网,再通过VPN拨号软件连入学校校园网,由校园网中的RADIUS服务器可对教师进行验证和授权,保证连接的安全,并且无需为此支付额外的费用。
(2) 内部虚拟网Intranet VPN
越来越多的学校从发展的角度考虑,纷纷开发新校区,或兼并其它学校来壮大自己,这样在校园网建设中就面临两个甚至几个校区网络互联的问题,传统的网络连接方式一般是租用专线。显然,租用专线的费用非常昂贵。利用VPN特性可以在Internet上组建跨地域的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接各校区,它们拥有与专用网络的相同政策,包括安全、服务质量、可管理性和可靠性。同时这种方式同样适用于教育城域网建设,用Intranet VPN将所有学校校园网构建成一个大的整体。实现资源的充分共享与信息的自由的交流。
(3) 扩展虚拟网Extranet VPN
随着网络远程教育的普及,校园网的应用将越来越倾向于为广大教师和学生同时提供服务,开展网络远程教学、教师网上辅导、学生自主学习和互动学习等功能。Internet为这样的一种发展趋势提供了良好的基础,由于学生在使用网络时的不确定性,将给校园网的安全运行带来一定的隐患,而如何利用Internet进行有效的管理,是网络远程教育发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向广大学生提供有效的信息服务,又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施,将广大师生连接到校园内部网,Extranet VPN并不是真正意义上的开放,它可以提供充分的访问控制,但同时使得学生远离校园网内部资料;Extranet VPN结构的主要好处是,能容易地对外部网进行部署和管理,学生的接入可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。学生计算机可通过与教师不同的接入许可,连接至校园网内部,实现校园内部网的安全管理。
2、实战虚拟专用网(VPN)
(1) 基于专用VPN硬件的系统解决方案:
基于硬件的VPN产品一般为VPN路由器。VPN 路由器是一个高度集成化VPN解决方案,它结合了业界领先的高速路由技术及VPN 服务套件。VPN 路由器集成了 VPN 隧道的关键特性如:数据加密、安全、高级带宽管理和服务级确认,基于VPN路由器的系统解决方案优点在于:解决方案简单、设备投入低以及高安全性,因为他们把密钥存储在设备内的芯片里,所以他们的安全性比其它解决方案好。图1为基于VPN路由器的Access VPN应用解决方案;图2为基于VPN路由器的Intranet VPN应用解决方案拓扑图。
图1:基于VPN路由器的Access VPN应用解决方案拓扑图
图2:基于硬件VPN路由器的Intranet VPN应用解决方案拓扑图
(2) 基于含VPN功能防火墙的系统解决方案:
基于防火墙的VPN充分利用防火墙的安全机制,包括对内部网络的访问限制。它还执行地址转换,符合强认证要求,发出实时警报,并提供广泛记录功能。在什么情况下最好选择基于防火墙的VPN?当远程用户或网络有可能不友善时最好使用这种产品。网络管理员建立一个所谓的停火区网段,一般在防火墙使用一个第三方接口,配以之间的访问控制规则。黑客可能会进入停火区,但他们不能破坏内部网段。对于纯内部网来说,使用基于防火墙的VPN很经济,而且易于加固和管理。基于含VPN功能防火墙的系统解决方案的拓扑图与使用VPN路由的解决方案不同仅在于设备本身不同,网络结构基本相同,如图3
图3:基于VPN防火墙的应用解决方案内部网拓扑图
(3) 基于独立VPN软件(VPN服务器)的系统解决方案:
基于独立VPN软件的系统解决方案优点是更为灵活。硬件产品一般不是根据协议给所有通信量建立相应的隧道,而软件产品根据地址或协议建立隧道。如果远程站的混合通信量的一部分通过VPN传输,而另一部分不通过VPN传输,根据通信量类型建立隧道有好处。在性能要求不高的情况下(例如用户采用拨号连接),软件产品可能是最好的选择。而且WIN2000操作系统本身就集成了VPN远程访问服务器,可以在校园网现有设备基础上实现,无需另处增加设备,但基于软件的系统存在的问题是通常难以管理,配置上可能较为复杂。这要求管理员熟悉服务器的操作系统、应用程序以及适当的安全机制。如图4,VPN服务器其中一根与主交换机公网VLAN相连,一根接在私网VLAN上。
图4:基于独立VPN软件的系统解决方案内部网拓扑图
图4中VPN服务器可选用微软WINDOWS2000的虚拟专用网(VPN)远程访问服务器作为VPN软件,使用它的好处在于:一般校园网操作系统选用的WINDOWS2000,无需另外投入购买软件,而且客户端软件在WINDOWS系列操作系统中均内置有相应的拨号软件,减少客户端建设的工作量。在部署虚拟专用网(VPN)远程访问服务器时,决定在网络的什么位置部署服务器,特别要考虑与防火墙和其他网络资源的部署位置之间的关系。在拨号远程访问设计中,服务器通常位于防火墙的后面。因为 VPN 设计包含 Internet 连接,所以服务器与防火墙的相对位置是一个非常重要的问题。VPN 远程访问设计最常见的配置是将 VPN 服务器放在防火墙后面。在这种配置中,防火墙连接到 Internet 上,而 VPN 服务器是连接到周边网络的 Intranet 资源。VPN 服务器在周边网络和 Intranet 上都有一个接口。Internet 防火墙(Internet 和 VPN 服务器之间的防火墙)过滤来自 Internet 客户端的所有通信。Intranet 防火墙(VPN 服务器和 Intranet 之间的防火墙)过滤来自 VPN 客户端的所有 Intranet 通信。
五、我选用的应用解决方案
我校校园网现已基本建设完成,但在网络设计初期没有考虑到虚拟专用网(VPN),所以没有采购集成VPN功能的设备,在网络使用中感觉到虚拟专用网(VPN)的必要性。而需要在现有网络上实现VPN服务又不增加设备投入,则基于独立VPN软件(VPN服务器)的系统解决方案就成了我的首选。 《虚拟专用网(VPN)——走出校园的校园网(第2页)》
本文链接地址:http://www.oyaya.net/fanwen/view/61978.html
(3) 使用安全策略:下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。
VPN网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器(RADIUS—Remote Authorization Dial-In User Service) 。VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。VPN和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。
四、虚拟专用网(VPN)校园网应用解决方案
虚拟专用网(VPN)的基本原理都是一致的,但具体到应用解决方案种类却很多,选择一种合适的解决方案决定了学校校园网运行中的安全性、稳定性,同时要考虑投入问题。
1、虚拟专用网(VPN)解决方案的选择
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、内部虚拟网(Intranet VPN)和扩展虚拟网(Extranet VPN),这三种类型的VPN分别对应传统的远程访问网络、内部的以及Intranet和相关内部网所构成的Extranet相对应。
(1) 远程访问虚拟网Access VPN
Access VPN,通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
Access VPN由它的特性决定最适用于学校教师住在校园外,通过ISP提供的拨号上网、ADSL等方式在家中接入因特网,再通过VPN拨号软件连入学校校园网,由校园网中的RADIUS服务器可对教师进行验证和授权,保证连接的安全,并且无需为此支付额外的费用。
(2) 内部虚拟网Intranet VPN
越来越多的学校从发展的角度考虑,纷纷开发新校区,或兼并其它学校来壮大自己,这样在校园网建设中就面临两个甚至几个校区网络互联的问题,传统的网络连接方式一般是租用专线。显然,租用专线的费用非常昂贵。利用VPN特性可以在Internet上组建跨地域的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接各校区,它们拥有与专用网络的相同政策,包括安全、服务质量、可管理性和可靠性。同时这种方式同样适用于教育城域网建设,用Intranet VPN将所有学校校园网构建成一个大的整体。实现资源的充分共享与信息的自由的交流。
(3) 扩展虚拟网Extranet VPN
随着网络远程教育的普及,校园网的应用将越来越倾向于为广大教师和学生同时提供服务,开展网络远程教学、教师网上辅导、学生自主学习和互动学习等功能。Internet为这样的一种发展趋势提供了良好的基础,由于学生在使用网络时的不确定性,将给校园网的安全运行带来一定的隐患,而如何利用Internet进行有效的管理,是网络远程教育发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向广大学生提供有效的信息服务,又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施,将广大师生连接到校园内部网,Extranet VPN并不是真正意义上的开放,它可以提供充分的访问控制,但同时使得学生远离校园网内部资料;Extranet VPN结构的主要好处是,能容易地对外部网进行部署和管理,学生的接入可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。学生计算机可通过与教师不同的接入许可,连接至校园网内部,实现校园内部网的安全管理。
2、实战虚拟专用网(VPN)
(1) 基于专用VPN硬件的系统解决方案:
基于硬件的VPN产品一般为VPN路由器。VPN 路由器是一个高度集成化VPN解决方案,它结合了业界领先的高速路由技术及VPN 服务套件。VPN 路由器集成了 VPN 隧道的关键特性如:数据加密、安全、高级带宽管理和服务级确认,基于VPN路由器的系统解决方案优点在于:解决方案简单、设备投入低以及高安全性,因为他们把密钥存储在设备内的芯片里,所以他们的安全性比其它解决方案好。图1为基于VPN路由器的Access VPN应用解决方案;图2为基于VPN路由器的Intranet VPN应用解决方案拓扑图。
图1:基于VPN路由器的Access VPN应用解决方案拓扑图
图2:基于硬件VPN路由器的Intranet VPN应用解决方案拓扑图
(2) 基于含VPN功能防火墙的系统解决方案:
基于防火墙的VPN充分利用防火墙的安全机制,包括对内部网络的访问限制。它还执行地址转换,符合强认证要求,发出实时警报,并提供广泛记录功能。在什么情况下最好选择基于防火墙的VPN?当远程用户或网络有可能不友善时最好使用这种产品。网络管理员建立一个所谓的停火区网段,一般在防火墙使用一个第三方接口,配以之间的访问控制规则。黑客可能会进入停火区,但他们不能破坏内部网段。对于纯内部网来说,使用基于防火墙的VPN很经济,而且易于加固和管理。基于含VPN功能防火墙的系统解决方案的拓扑图与使用VPN路由的解决方案不同仅在于设备本身不同,网络结构基本相同,如图3
图3:基于VPN防火墙的应用解决方案内部网拓扑图
(3) 基于独立VPN软件(VPN服务器)的系统解决方案:
基于独立VPN软件的系统解决方案优点是更为灵活。硬件产品一般不是根据协议给所有通信量建立相应的隧道,而软件产品根据地址或协议建立隧道。如果远程站的混合通信量的一部分通过VPN传输,而另一部分不通过VPN传输,根据通信量类型建立隧道有好处。在性能要求不高的情况下(例如用户采用拨号连接),软件产品可能是最好的选择。而且WIN2000操作系统本身就集成了VPN远程访问服务器,可以在校园网现有设备基础上实现,无需另处增加设备,但基于软件的系统存在的问题是通常难以管理,配置上可能较为复杂。这要求管理员熟悉服务器的操作系统、应用程序以及适当的安全机制。如图4,VPN服务器其中一根与主交换机公网VLAN相连,一根接在私网VLAN上。
图4:基于独立VPN软件的系统解决方案内部网拓扑图
图4中VPN服务器可选用微软WINDOWS2000的虚拟专用网(VPN)远程访问服务器作为VPN软件,使用它的好处在于:一般校园网操作系统选用的WINDOWS2000,无需另外投入购买软件,而且客户端软件在WINDOWS系列操作系统中均内置有相应的拨号软件,减少客户端建设的工作量。在部署虚拟专用网(VPN)远程访问服务器时,决定在网络的什么位置部署服务器,特别要考虑与防火墙和其他网络资源的部署位置之间的关系。在拨号远程访问设计中,服务器通常位于防火墙的后面。因为 VPN 设计包含 Internet 连接,所以服务器与防火墙的相对位置是一个非常重要的问题。VPN 远程访问设计最常见的配置是将 VPN 服务器放在防火墙后面。在这种配置中,防火墙连接到 Internet 上,而 VPN 服务器是连接到周边网络的 Intranet 资源。VPN 服务器在周边网络和 Intranet 上都有一个接口。Internet 防火墙(Internet 和 VPN 服务器之间的防火墙)过滤来自 Internet 客户端的所有通信。Intranet 防火墙(VPN 服务器和 Intranet 之间的防火墙)过滤来自 VPN 客户端的所有 Intranet 通信。
五、我选用的应用解决方案
我校校园网现已基本建设完成,但在网络设计初期没有考虑到虚拟专用网(VPN),所以没有采购集成VPN功能的设备,在网络使用中感觉到虚拟专用网(VPN)的必要性。而需要在现有网络上实现VPN服务又不增加设备投入,则基于独立VPN软件(VPN服务器)的系统解决方案就成了我的首选。 《虚拟专用网(VPN)——走出校园的校园网(第2页)》
★读了本文的人也读了: