導語：校園網(wǎng)VPN技術應用論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要VPN是一項迅速發(fā)展起來的新技術，其在電子商務、公司各部門信息傳送方面已經(jīng)顯現(xiàn)出了很大的發(fā)展?jié)摿?。相信將來其在軍隊院校信息化建設和信息安全傳輸上也能發(fā)揮應有的作用。

關鍵詞VPN；虛擬專用網(wǎng)；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)，是一項迅速發(fā)展起來的新技術，主要用于在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡連接通常由客戶機、傳輸介質(zhì)和服務器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協(xié)議的。

2隧道技術的實現(xiàn)

假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網(wǎng)進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

圖1

現(xiàn)在設部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機X發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進行解密，恢復出原來的內(nèi)部數(shù)據(jù)報，并轉發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

3軍隊院校校園網(wǎng)建設vpn技術應用設想

隨著我軍三期網(wǎng)的建設，VPN技術也可廣泛應用于軍隊院校的校園網(wǎng)建設之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達要做到安全可靠，采用VPN技術會大大提高網(wǎng)絡傳輸?shù)目煽啃?；第二，軍隊院校不但有各教研室和學員隊，還包括保障部隊、管理機構等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術可簡化網(wǎng)絡的設計和管理；第三，采用了VPN技術后將為外出調(diào)研的教員、學員們以及其它軍隊院校的用戶通過軍隊網(wǎng)訪問本校圖書館查閱資料提供便利。

而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協(xié)議(PAP)、質(zhì)詢握手身份驗證協(xié)議(CHAP)、Shiva密碼身份驗證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗證協(xié)議(MS-CHAP)和可選的可擴展身份驗證協(xié)議(EAP)，并且采用微軟點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)包進行加密。對于敏感的數(shù)據(jù)，還可以使用VPN連接通過VPN服務器將高度敏感的數(shù)據(jù)服務器物理地進行分隔，只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網(wǎng)絡中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術的主要特點之一，可以讓外地的授權用戶方便地訪問本地的資源。目前，主要的VPN技術有IPSecVPN和SSLVPN兩種。其中IPSec技術的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進行加密和認證。而SSLVPN技術則是近幾年發(fā)展起來的新技術，它能夠更加有效地進行訪問控制，而且安全易用，不需要高額的費用。該技術主要具有以下幾個特點：第一，安全性高；第二，便于擴展；第三，簡單性；第四，兼容性好。

我認為軍隊院校校園網(wǎng)VPN技術應主要采用SSLVPN技術。首先因為其安全性好，由于IPSecVPN部署在網(wǎng)絡層，因此，內(nèi)部網(wǎng)絡對于通過VPN的使用者來說是透明的，只要是通過了IPSecVPN網(wǎng)關，它可以在內(nèi)部為所欲為。因此，IPSecVPN的目標是建立起來一個虛擬的IP網(wǎng)，而無法保護內(nèi)部數(shù)據(jù)的安全，而SSLVPN則是接入企業(yè)內(nèi)部的應用，而不是企業(yè)的整個網(wǎng)絡。它可以根據(jù)用戶的不同身份，給予不同的訪問權限，從而保護具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來保證。對于軍隊機構，安全保密應該是主要考慮的方面之一。第二，SSLVPN與IPSecVPN相比，具有更好的可擴展性?？梢噪S時根據(jù)需要，添加需要VPN保護的服務器。而IPSecVPN在部署時，要考慮網(wǎng)絡的拓撲結構，如果增添新的設備，往往要改變網(wǎng)絡結構，那么IPSecVPN就要重新部署。第三，操作的復雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四，SSLVPN的兼容性很好，而不像傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外，使用SSLVPN還具有更好的經(jīng)濟性，這是因為只需要在總部放置一臺硬件設備就可以實現(xiàn)所有用戶的遠程安全訪問接入；但是對于IPSecVPN來說，每增加一個需要訪問的分支就需要添加一個硬件設備。

雖然SSLVPN的優(yōu)點很多，但也可結合使用IPSecVPN技術。因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSecVPN是在兩個局域網(wǎng)之間通過網(wǎng)絡建立的安全連接，保護的是點對點之間的通信，并且，IPSecVPN工作于網(wǎng)絡層，不局限于Web應用。它構建了局域網(wǎng)之間的虛擬專用網(wǎng)絡，對終端站點間所有傳輸數(shù)據(jù)進行保護，而不管是哪類網(wǎng)絡應用，安全和應用的擴展性更強?？捎糜谲娦Ｖg建立虛擬專用網(wǎng)，進行安全可靠的信息傳送。

4結論

總之，VPN是一項綜合性的網(wǎng)絡新技術，目前的運用還不是非常地普及，在軍隊網(wǎng)中的應用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設的要求，VPN技術將會發(fā)揮其應有的作用。

參考文獻

[1]謝希仁.計算機網(wǎng)絡(第4版).北京：電子工業(yè)出版社，2003

[2]CiscoSystems公司，CiscoNetworkingAcademyProgram.思科網(wǎng)絡技術學院教程(第一、二學期)(第三版).北京：人民郵電出版社，2004