虚拟专用网(VPN)——走出校园的校园网
江西省赣县中学 梁峰
[内容提要]:本文主要就虚拟专用网(VPN)在学校校园网中的应用做初浅的探索,提出校园网资源远程访问的一种安全、低廉的解决方案,为众多已建和在建的校园网提供一定的启发与参考。
[关键字]:虚拟专用网、VPN、校园网资源、隧道技术、数据加密算法、路由
近年来,随着计算机多媒体网络技术的快速发展、学校信息化建设的加快,校园网已经成为学校信息化建设的重要组成部分。校园网应用在教学过程中,不仅可以改变传统的教学模式、教学方法和教学手段,而且将会促进教育观念、教学思想的转变。丰富的教育资源为教师的教学和学生的学习提供了优良的软件环境。但为了校园网的安全,学校在校园网建设时,通常是将公网与私网进行物理隔离,使外网无法访问内网资源。这样势必导致住在校外的教师和学生在家中无法使用校园网内部资源。要解决这个问题,虚拟专用网(VPN)就是一种安全、低廉的解决方案。
一、虚拟专用网(VPN)简介
虚拟私有网络VPN(Virtual Private Network)是利用公众网资源为客户构成专用网的一种业务,这是相对于实际的专有网络而言的,它是基于Internet/Intranet等公用开放的传输媒体,通过加密和验证等安全机制建立虚拟的数据传输通道,以保障在公共网上传输私有数据信息不被窃取、篡改,从而向用户提供相当于专用网络的安全服务,是目前广泛应用于电子商务、电子政务、大型企业等应用安全保护的安全技术。VPN有两层含义:
1、Virtual:它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
2、Private:它是利用公众网络设施构成的私有专用网。
虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN的特性决定了它在教育行业的应用前景将非常广泛。
二、虚拟专用网(VPN)在教育行业的应用前景
虚拟专用网(VPN)用于教育行业的实例很少,其实虚拟专用网(VPN)在教育行业的应用前景也很广泛,它的安全、低廉的特征很符合教育行业应用高要求、低投入的特性,它在教育行业可应用于以下几方面:
1、校园网建设
学校建设校园网的目的是为了提供一个先进、开放、实用的计算机网络环境,进一步提供网上教学、科研活动、学校行政管理信息系统和其他现代化的网络通信服务,但这些应用仅局限在校园网内部,虚拟专用网(VPN)的应用就可以实现校园网应用的扩展,可以把校园网的各种网络通信服务延伸到教师和学生家里,教师可以在家中使用校园网内部的教育资源库进行备课,学生可以从校园网中获得各种学习资源、实现网上学习。
2、网上远程教育
网上远程教育作为一个崭新的教育形式。将最大限度利用现有教育资源,是实现教育的大众化、现代化、终身化和国际化的新型教育形式和必然途径。网络作为远程教育的重要载体之一,在应用过程中,网络的优势日趋显现。虚拟专用网(VPN)在这一领域的应用,可以实现跨地域建立一个虚拟专用教学网,使教与学的过程就像在一个内部网中进行,实现远程教学的开放与安全、自主与协作的和谐统一。
3、教育城域网建设以及“校校通”工程
教育城域网建设是把各个学校零散的校园网组成一个大型网络,它对于大面积的提高教育教学的质量、充分的共享教育资源、减少教育信息化建设的整体投入起着极大的作用。现今城域网的建设动辄用铺设专线,租用光纤等高投入的方式,虽然极大的提高了网络的速度及安全,但这种投入与产出在现阶段是不成正比的。虚拟专用网(VPN)作为廉价的解决方案,将是近阶段城域网建设最重要的手段之一。尤其在全国“校校通”工程的建设中,虚拟专用网(VPN)有着其它方式不可比拟的优势。
三、虚拟专用网(VPN)技术详解
VPN(Virtual Private Network)是采用隧道技术以及加密、身份认证等方法,在公共网络上构建虚拟专用网络的技术。
1、虚拟专用网(VPN)的核心——隧道技术
隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器:
(1) PC上的Modem卡和有VPN拨号功能的软件,该软件已经打包在WINDOWS系列操作系统中;
(2) 客户端网络中有VPN功能的路由器;
(3) 网络服务商站点中有VPN功能的路由器。
隧道终端器的任务是使隧道到此终止,充当隧道终端器的网络设备和软件有:
(1) 专用的隧道终端器;
(2) 网络中的防火墙;
(3) 网络服务商路由器上的VPN网关。
隧道包括点到点和端到端隧道两种。在点到点隧道中,隧道由远程用户的PC延伸到企业服务器,两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网。在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。
2、虚拟专用网(VPN)的协议——隧道协议
虚拟专用网(VPN)技术中的隧道是由隧道协议形成的,正如网络是依靠相应的网络协议完成的一样。虚拟专用网(VPN)使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(1) 点到点隧道协议(PPTP):PPTP支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。 PPTP协议捆绑在Windows系列操作系统中。在VPN中应用最广。
(2) 第二层隧道协议(L2TP):L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是,L2TP使用新的网际协议安全(IPSec)机制来进行身份验证和数据加密。
3、虚拟专用网(VPN)的安全保障——加密和解密技术
VPN技术的安全保障主要就是靠加密、解密技术来实现的,除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能,虚拟专用网(VPN)使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。
在VPN中,IPsec的安全性是最好的。在建立安全隧道和使用安全策略时,各个过程进行得更加严格。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
4、虚拟专用网(VPN)的生命——身份认证和安全策略
虚拟专用网(VPN)是一种通过公众网资源为客户构成专用网的一种业务,如果安全技术不过关,势必给黑客造成可乘之机,将给使用它的用户带来不可估量的损失,所以说身份认证和安全策略是它的生命。在隧道建立过程中,采取一系列的步骤以保证数据在公共网络中传输的安全性。
(1) 用户认证:由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。用户把姓名、口令通过增强用户握手认证协议(CHAP—Challenge Handshake Authentication Protocol),发送到ISP网络。ISP网络联系企业RADIUS服务器,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。
(2) 进行设备确认:建立安全隧道。隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开 《虚拟专用网(VPN)——走出校园的校园网》
本文链接地址:http://www.oyaya.net/fanwen/view/61978.html
[内容提要]:本文主要就虚拟专用网(VPN)在学校校园网中的应用做初浅的探索,提出校园网资源远程访问的一种安全、低廉的解决方案,为众多已建和在建的校园网提供一定的启发与参考。
[关键字]:虚拟专用网、VPN、校园网资源、隧道技术、数据加密算法、路由
近年来,随着计算机多媒体网络技术的快速发展、学校信息化建设的加快,校园网已经成为学校信息化建设的重要组成部分。校园网应用在教学过程中,不仅可以改变传统的教学模式、教学方法和教学手段,而且将会促进教育观念、教学思想的转变。丰富的教育资源为教师的教学和学生的学习提供了优良的软件环境。但为了校园网的安全,学校在校园网建设时,通常是将公网与私网进行物理隔离,使外网无法访问内网资源。这样势必导致住在校外的教师和学生在家中无法使用校园网内部资源。要解决这个问题,虚拟专用网(VPN)就是一种安全、低廉的解决方案。
一、虚拟专用网(VPN)简介
虚拟私有网络VPN(Virtual Private Network)是利用公众网资源为客户构成专用网的一种业务,这是相对于实际的专有网络而言的,它是基于Internet/Intranet等公用开放的传输媒体,通过加密和验证等安全机制建立虚拟的数据传输通道,以保障在公共网上传输私有数据信息不被窃取、篡改,从而向用户提供相当于专用网络的安全服务,是目前广泛应用于电子商务、电子政务、大型企业等应用安全保护的安全技术。VPN有两层含义:
1、Virtual:它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
2、Private:它是利用公众网络设施构成的私有专用网。
虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN的特性决定了它在教育行业的应用前景将非常广泛。
二、虚拟专用网(VPN)在教育行业的应用前景
虚拟专用网(VPN)用于教育行业的实例很少,其实虚拟专用网(VPN)在教育行业的应用前景也很广泛,它的安全、低廉的特征很符合教育行业应用高要求、低投入的特性,它在教育行业可应用于以下几方面:
1、校园网建设
学校建设校园网的目的是为了提供一个先进、开放、实用的计算机网络环境,进一步提供网上教学、科研活动、学校行政管理信息系统和其他现代化的网络通信服务,但这些应用仅局限在校园网内部,虚拟专用网(VPN)的应用就可以实现校园网应用的扩展,可以把校园网的各种网络通信服务延伸到教师和学生家里,教师可以在家中使用校园网内部的教育资源库进行备课,学生可以从校园网中获得各种学习资源、实现网上学习。
2、网上远程教育
网上远程教育作为一个崭新的教育形式。将最大限度利用现有教育资源,是实现教育的大众化、现代化、终身化和国际化的新型教育形式和必然途径。网络作为远程教育的重要载体之一,在应用过程中,网络的优势日趋显现。虚拟专用网(VPN)在这一领域的应用,可以实现跨地域建立一个虚拟专用教学网,使教与学的过程就像在一个内部网中进行,实现远程教学的开放与安全、自主与协作的和谐统一。
3、教育城域网建设以及“校校通”工程
教育城域网建设是把各个学校零散的校园网组成一个大型网络,它对于大面积的提高教育教学的质量、充分的共享教育资源、减少教育信息化建设的整体投入起着极大的作用。现今城域网的建设动辄用铺设专线,租用光纤等高投入的方式,虽然极大的提高了网络的速度及安全,但这种投入与产出在现阶段是不成正比的。虚拟专用网(VPN)作为廉价的解决方案,将是近阶段城域网建设最重要的手段之一。尤其在全国“校校通”工程的建设中,虚拟专用网(VPN)有着其它方式不可比拟的优势。
三、虚拟专用网(VPN)技术详解
VPN(Virtual Private Network)是采用隧道技术以及加密、身份认证等方法,在公共网络上构建虚拟专用网络的技术。
1、虚拟专用网(VPN)的核心——隧道技术
隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器:
(1) PC上的Modem卡和有VPN拨号功能的软件,该软件已经打包在WINDOWS系列操作系统中;
(2) 客户端网络中有VPN功能的路由器;
(3) 网络服务商站点中有VPN功能的路由器。
隧道终端器的任务是使隧道到此终止,充当隧道终端器的网络设备和软件有:
(1) 专用的隧道终端器;
(2) 网络中的防火墙;
(3) 网络服务商路由器上的VPN网关。
隧道包括点到点和端到端隧道两种。在点到点隧道中,隧道由远程用户的PC延伸到企业服务器,两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网。在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。
2、虚拟专用网(VPN)的协议——隧道协议
虚拟专用网(VPN)技术中的隧道是由隧道协议形成的,正如网络是依靠相应的网络协议完成的一样。虚拟专用网(VPN)使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(1) 点到点隧道协议(PPTP):PPTP支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。 PPTP协议捆绑在Windows系列操作系统中。在VPN中应用最广。
(2) 第二层隧道协议(L2TP):L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是,L2TP使用新的网际协议安全(IPSec)机制来进行身份验证和数据加密。
3、虚拟专用网(VPN)的安全保障——加密和解密技术
VPN技术的安全保障主要就是靠加密、解密技术来实现的,除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能,虚拟专用网(VPN)使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。
在VPN中,IPsec的安全性是最好的。在建立安全隧道和使用安全策略时,各个过程进行得更加严格。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
4、虚拟专用网(VPN)的生命——身份认证和安全策略
虚拟专用网(VPN)是一种通过公众网资源为客户构成专用网的一种业务,如果安全技术不过关,势必给黑客造成可乘之机,将给使用它的用户带来不可估量的损失,所以说身份认证和安全策略是它的生命。在隧道建立过程中,采取一系列的步骤以保证数据在公共网络中传输的安全性。
(1) 用户认证:由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。用户把姓名、口令通过增强用户握手认证协议(CHAP—Challenge Handshake Authentication Protocol),发送到ISP网络。ISP网络联系企业RADIUS服务器,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。
(2) 进行设备确认:建立安全隧道。隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开 《虚拟专用网(VPN)——走出校园的校园网》
★读了本文的人也读了: