高校图书馆实施VPN 网络建设与若干问题分析.docVIP

高校图书馆实施VPN网络建设的若干问题分析 周华生 （江西农业大学图书馆 江西南昌 330045） 摘 要：随着互联网的飞速发展，国内许多高校图书馆正计划或已建立了VPN(虚拟专网)网络，但在组建VPN网络时存在一些容易忽视的问题，本文就该些问题一一进行了分析。 关键词 VPN 隧道 网络 建设 问题 图书馆 An Analysis of some problems on VPN Construction at University Libraries Zhou hua sheng (Jiangxi Agricultural University Library Jiangxi nanchang 330045) Abstract: With the rapid development of Internet, many university libraries are constructing or have established VPN (Virtual private Network) There exists some problems that can be easily ignored in the constructing of VPN, and the author analyzes the possible problems respectively. Key words vpn Tunnel Network constructing Problems Libraries 前 言 随着互联网的普及和信息化程度的提高，国内高校大量的电子数据 网络A 网络B 图1 VPN网关A在接收到终端A发出的访问数据包时对其地址进行检查,如果目标地址属于网络A,则直接进行传送。如果目标地址不属于本局域网内,则将该数据包进行封装。封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新的数据包(VPN数据包),并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络B的VPN网关B的外部地址。 网络A的VPN网关A将VPN数据包发送到Internet ,由于VPN数据包的目标地址是网络B的VPN网关B的公网地址(外部),所以该数据包将被Internet中的路由正确地发送到网络B的VPN网关B。 网络B的VPN网关B对接收到的数据包进行检查,如果发现该数据包是从网络A的VPN网关A发出的,即可判断该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将负载通过VPN技术反向处理还原成原始的数据包。 网络B的VPN网关将还原后的原始数据包发送至目标终端，由于原始数据包的目标地址是终端B的IP，所以该数据包能被正确地发送到终端B。在终端B看来，它收到的数据包就像终端A直接发过来的一样。 从终端B返回终端A的数据包处理与上述过程一样，这样两个网络内的终端就可以相互通讯了。 通过上述说明我们可以发现有几个关键参数我们必须清楚，一是原始数据包的目标地址如图1终端B的IP(192.168.1.1)，远程VPN网关地址如图1的VPN网关B的IP（220.160.18.2）,根据VPN目标地址，VPN网关能够判断对哪些数据包需要进行VPN处理，对不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送到目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。 具体框图如图2 图2 3、精心策划VPN网络组网方式及网络的拓扑结构 VPN组网方式： VPN在图书馆中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。 3.1 Access VPN （远程访问VPN）：客户端到网关 ；　　 远程用户拨号接入到本地的ISP，它适用于流动人员远程办公，可大大降低电话费。SOCKS v5协议适合这类连接。 3.2 Intranet VPN （图书馆内部VPN）：网关到网关； 它适用于图书馆两个异地机构的局域网互连，在Internet 上组建世界范围内的网络。利用Internet 的线路保证网络的互联性，而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到