校園網VPN技術應用論文

導語：校園網VPN技術應用論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要VPN是一項迅速發展起來的新技術，其在電子商務、公司各部門信息傳送方面已經顯現出了很大的發展潛力。相信將來其在軍隊院校信息化建設和信息安全傳輸上也能發揮應有的作用。

關鍵詞VPN；虛擬專用網；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虛擬專用網，是一項迅速發展起來的新技術，主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡，僅在效果上和真正的專用網一樣，故稱之為虛擬專用網。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術，使得傳送數據報的路由器均不知道數據報的內容，就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。

2隧道技術的實現

假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網，其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

圖1

現在設部門A的主機X向部門B的主機Y發送數據報，源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機X發送給路由器R1。路由器R1收到這個內部數據報后進行加密，然后重新封裝成在因特網上發送的外部數據報，這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3，而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后，對其進行解密，恢復出原來的內部數據報，并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。

3軍隊院校校園網建設vpn技術應用設想

隨著我軍三期網的建設，VPN技術也可廣泛應用于軍隊院校的校園網建設之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達要做到安全可靠，采用VPN技術會大大提高網絡傳輸的可靠性；第二，軍隊院校不但有各教研室和學員隊，還包括保障部隊、管理機構等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術可簡化網絡的設計和管理；第三，采用了VPN技術后將為外出調研的教員、學員們以及其它軍隊院校的用戶通過軍隊網訪問本校圖書館查閱資料提供便利。

而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協議(PPP)用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協議(PAP)、質詢握手身份驗證協議(CHAP)、Shiva密碼身份驗證協議(SPAP)、Microsoft質詢握手身份驗證協議(MS-CHAP)和可選的可擴展身份驗證協議(EAP)，并且采用微軟點對點加密算法(MPPE)和網際協議安全(IPSec)機制對數據包進行加密。對于敏感的數據，還可以使用VPN連接通過VPN服務器將高度敏感的數據服務器物理地進行分隔，只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網絡中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術的主要特點之一，可以讓外地的授權用戶方便地訪問本地的資源。目前，主要的VPN技術有IPSecVPN和SSLVPN兩種。其中IPSec技術的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數據包時，包過濾防火墻使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火墻就按照該規則制定的方法對接收到的IP數據包進行處理。但是IPSec不同于包過濾防火墻的是，對IP數據包的處理方法除了丟棄，直接轉發(繞過IPSec)外還能對IP數據包進行加密和認證。而SSLVPN技術則是近幾年發展起來的新技術，它能夠更加有效地進行訪問控制，而且安全易用，不需要高額的費用。該技術主要具有以下幾個特點：第一，安全性高；第二，便于擴展；第三，簡單性；第四，兼容性好。

我認為軍隊院校校園網VPN技術應主要采用SSLVPN技術。首先因為其安全性好，由于IPSecVPN部署在網絡層，因此，內部網絡對于通過VPN的使用者來說是透明的，只要是通過了IPSecVPN網關，它可以在內部為所欲為。因此，IPSecVPN的目標是建立起來一個虛擬的IP網，而無法保護內部數據的安全，而SSLVPN則是接入企業內部的應用，而不是企業的整個網絡。它可以根據用戶的不同身份，給予不同的訪問權限，從而保護具體的敏感數據。并且數據加密的安全性有加密算法來保證。對于軍隊機構，安全保密應該是主要考慮的方面之一。第二，SSLVPN與IPSecVPN相比，具有更好的可擴展性。可以隨時根據需要，添加需要VPN保護的服務器。而IPSecVPN在部署時，要考慮網絡的拓撲結構，如果增添新的設備，往往要改變網絡結構，那么IPSecVPN就要重新部署。第三，操作的復雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內嵌的SSL協議就行。第四，SSLVPN的兼容性很好，而不像傳統的IPSecVPN對客戶端采用的操作系統版本具有很高的要求，不同的終端操作系統需要不同的客戶端軟件。此外，使用SSLVPN還具有更好的經濟性，這是因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入；但是對于IPSecVPN來說，每增加一個需要訪問的分支就需要添加一個硬件設備。

雖然SSLVPN的優點很多，但也可結合使用IPSecVPN技術。因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSecVPN是在兩個局域網之間通過網絡建立的安全連接，保護的是點對點之間的通信，并且，IPSecVPN工作于網絡層，不局限于Web應用。它構建了局域網之間的虛擬專用網絡，對終端站點間所有傳輸數據進行保護，而不管是哪類網絡應用，安全和應用的擴展性更強。可用于軍校之間建立虛擬專用網，進行安全可靠的信息傳送。

4結論

總之，VPN是一項綜合性的網絡新技術，目前的運用還不是非常地普及，在軍隊網中的應用更是少之又少。但是隨著全軍三期網的建成以及我軍信息化建設的要求，VPN技術將會發揮其應有的作用。

參考文獻

[1]謝希仁.計算機網絡(第4版).北京：電子工業出版社，2003

[2]CiscoSystems公司，CiscoNetworkingAcademyProgram.思科網絡技術學院教程(第一、二學期)(第三版).北京：人民郵電出版社，2004