基于VPN的计算机虚拟网络技术及应用.docVIP

基于VPN的计算机虚拟网络技术及应用 　　摘要：VPN（虚拟专用网络）通过公用网络Internet建立安全、稳定的连接。很多企事业单位借此进行内部网的扩展，提供网络接入。该文首先对VPN原理进行了解析，对几种基于VPN的实际运用进行了比较，在此基础上，以某校园网为例，从适用性、管理性与安全性三个方面，对VPN的计算机虚拟网络技术实际应用进行了介绍。 　　关键词：VPN；技术原理；应用 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）07-0049-02 　　1 VPN技术原理 　　1.1 VPN定义 　　VPN是英文全称Virtual Private Network 的缩写，译为汉语即“虚拟专用网络”。它不需要真正的光缆线路，只是借用Internet连接，加上特殊的加密的通讯协议而为内部设置的一条专有通讯线路。在这条线路上传输的信息，实现了完整性与真实性，又保证了私有性。 　　1.2 VPN工作原理 　　如何满足用户需求呢？通过IPsec协议栈，从而产生一个和谐的安全框架，有Internet的密钥交换（IKE）、负载安全封装（ESP）及认证头（AH）协议，该协议保证了VPN的机密性、完整性、源认证及防重放的四大功能。以VPN的机密性为例：VPN采用的加密算法一般是DES和3DES.两者都是20世纪的产物，前者由IBM开发研制的，有效密钥长度为56位；后者由NIST在DES的基础上所创建，有效密钥长度为168位；2002年NITS采用了最先进的AES数据块加密算法，目前是IPsecVPN中最常用、最安全的算法。 　　2 VPN技术应用实践 　　信息化的快速发展，为了实现资源优化整合，很多学校都建立了校园网。为了保证网络安全，防止电脑黑客入侵，运用VPN技术可以在基于公共互联网的校园网中较好地解决校园网多网区，远程访问及管理等问题。即通过VPN技术，在校园网里，将校内外人员直接连接到校园局域网。VPN技术可以实现办公自动化，无论校园有多少信息点，都可以连至于INTERNET用户。使用VPN技术，校园网可以降低使用费，通过当地的ISP申请账户登录到Internet，以此为通道与校园内部网络相连，可以降低通信费用。现以某高校为例，论证一下VPN技术的应用。 　　2.1 校园网VPN方案设计 　　校园网给师生带来资源共享的便利，但安全风险隐患很大，如非法授权访问，信息泄漏或丢失，以非法手段删除、修改或插入某些信息，干扰网络服务系统，利用网络传播计算机病毒等等。VPN的通道协议、身份验证和数据加密的安全功能可以消除上述安全风险。校园网内的VPN服务器接收到远程外网客户机的请求后，会对其进行身份质询，然后根据用户数据库检验客户机发出的加密信息，检验合格方接受此连接，然后即可在互联网公网上传输私有数据，达到私有网络的安全级别。具体运行方案如图1所示。 　　在具体操作方面，IPsec VPN和SSL VPN是目前校园网VPN方案采用最广泛的安全技术，但是两者还是有区别的，即前者比较适合校园网内分校与分校的连接；后者比较适合校园网与外网的连接。学校要根据自己的实际情况与现实需要来进行选择。 　　2.2 VPN在校园网的应用 　　采用VPN技术，校园网首先可以降低使用费，用户通过申请的账户可以远程登录到Internet，然后与校园内部专用网络连接就以Internet为通道，这样就大大降低了通信费用，相应的，学校购买和维护通信设备的费用也节省了。如果学校设有分校的话，利用VPN服务器，可以对分校进行Web通讯控制，实现各分校访问互通。以图书管理为例，为了师生共享图书资源，采用VPN加密技术，数据在Internet中传输时，IP地址会被Internet上的用户看到，但是数据包内包含的专用网络地址却看不到。这样既保证了校园图书馆的资源共享，又确保了校园图书资源的安全性（见图2）。 　　2.3 VPN在校园网的接入方式 　　校园网根据自身条件不同，网络接入方式也各有千秋。从模拟电话、ISDN、ADSL拨号上网到光纤、DDN、帧中继等专线上网都存在。本应用实践是基于IP、IPX及NetBUI协议的网络中的客户机。 　　某高校共有两个校区，彼此通过新校区的Cisco6513和老校区的Cisco6509 　　万兆相连。选择CISCO VPN安装在 Cisco6513上，则VPN配置如下： 　　启动aaa，将radius服务器的用户认证和cisco组本地用户授权配置打开： 　　aaa new - model 　　aaa authentication Iogin default group radius local 　　aaa authorization network cis