VPN在校园网中的规划与实现(精选6篇)
VPN在校园网中的规划与实现 篇1
河南工业大学校园网始建于1997年, 经过逐年的建设与不断完善, 现已形成覆盖三个校区的校园网络体系。2003年, 学校被河南省教育厅确定为首批河南省高等学校“数字化校园”示范工程单位, 并相继开发了电子校务、网络教学、综合教务管理、综合学生管理、科研管理、图书馆电子资源等多个应用系统。校园网实现了全校信息资源整合、统一流程管理、数据共享, 日渐成为师生日常工作、学习、生活中所必不可少的一部分。
由于日常各种校内应用系统、数据资源的用户群体基本集中在校内, 同时为了保证服务器的安全性和稳定性, 除了学校主页等门户网站及部分Web服务器允许外网访问外, 其余如电子校务、网络教学、图书馆电子资源等应用系统都采取与外网隔离的方式架设。通常情况下, 用户只能使用校园网访问到这些应用, 但随着学校对外交流活动的增加, 教师外出进修、考察的机会也越来越多, 为了打破校园网地理范围的局限性, 提高工作效率, 方便师生在校园网以外的范围充分利用校园网的信息资源, 建立一套可认证、管理和安全的远程访问解决方案成为数字化校园建设的当务之急。目前, VPN技术是解决这一问题的最佳方案。
二、VPN技术介绍
1.VPN的定义。
VPN (Virtual Private Network) 虚拟专用网是一种利用开放的公共网络建立私有专用数据通信网络的技术。VPN的任意两个节点之间, 没有传统专用网所需的端到端的物理连接, 而是利用公共网络的资源动态建立连接。VPN主要采用隧道技术、加解密技术、密钥管理技术和身份认证技术来保证数据通信的安全。IPSec VPN和SSL VPN是目前两种主流的VPN解决方案。
2. IPSec VPN介绍。
IPSec (Internet Protocol Security) 是IETF推出的一种开放标准的安全协议体系, 通过加密、认证、封装等手段确保数据传输的安全性。IPSec工作于网络层, 包括三个主要的安全协议:认证报头AH 协议、负载安全封装ESP 协议、密钥交换IKE协议。其中, AH协议用来提供访问控制、无连接的完整性、数据源认证和抗重播保护服务;ESP协议除提供AH协议所提供的服务外, 还提供有限的数据流保护;IKE协议实现加密及鉴别算法、加密及鉴别密钥、通信的保护模式、密钥的生存期等参数的协商。
IPSec VPN 是基于IPSec 协议体系的VPN技术。IPSec VPN主要有以下特点: (1) 远程终端需要安装特定的客户端软件。对于计算机、智能手机、PDA以及运行Windows, Linux等不同类型的终端, IPSec VPN需要提供相应的客户端软件, 安装维护比较麻烦。 (2) 适合于网络对网络的连接。IPSec VPN是基于网络层的VPN, 对所有的网络层应用均透明, 支持所有的网络层协议。 (3) 连接的通透性, 提供完整的网络层连接功能。一旦隧道创建, 远程终端就如同处于内部局域网中, 内部网络所连接的应用系统都可以侦测到, 远程终端所携带的木马病毒也可能通过VPN传播到内部网络, 具有一定的安全隐患。 (4) 部署复杂。IPSec VPN在部署时一般放置在网络网关处, 因而需要考虑网络的拓扑结构, 如果增添新的设备, 往往要改变原有的网络结构, 而且因为IPSec 协议是网络层的协议, 所以对NAT和Proxy等穿透性差。
3.SSL VPN介绍。
SSL (Security Socket Layer) 协议是Netscape公司提出的基于Web应用的安全协议, 它工作在应用层与传输层之间。SSL协议在应用层协议通信之前进行服务鉴别工作以及加密算法、通信密钥的协商, 以确保数据通信过程中信息的真实性、完整性和保密性。SSL协议分为两层: SSL记录协议, 它建立在可靠的传输协议 (如TCP) 之上, 负责对数据信息进行分段、压缩和加密等。 SSL握手协议, 它建立在SSL记录协议之上, 用于数据传输开始前, 通讯双方进行身份认证、协商加密算法、交换加密密钥等。目前SSL 协议被广泛应用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL VPN是指采用SSL协议来实现远程访问的VPN技术。SSL VPN主要有以下特点: (1) 兼容性好, 远程终端无需安装客户端软件。无论远程终端是Windows或Linux平台的计算机、智能手机还是PDA, 只要配备了内嵌SSL协议的标准浏览器、能够接入互联网, 就能使用SSL VPN。SSL VPN是解决大量分散和移动用户远程访问比较好的解决方案。 (2) 在点对网的应用上更安全。SSL的安全通道是在客户端到所访问的资源之间建立的, 确保了通道应用的安全。SSL VPN通道无论在内部网络还是在互联网上, 其数据都不是透明的, 客户对资源的每一次操作都需要经过安全的身份验证和数据加密。SSL VPN隔离了内网服务器和远程终端, 目前主流SSL VPN都加入了远程终端安全检测功能, 使得内网服务器不容易被远程终端所携带的木马病毒感染, 保证了内网服务器的安全。 (3) 较强的访问权限控制功能。SSL VPN提供了细致到每个URL 和不同应用的权限划分, , 可以针对不同用户分配不同的访问权限。 (4) 支持广泛的网络应用。目前主流的SSL VPN不仅支持Web应用, 而且可以通过控件形式为远程终端分配虚拟IP, 并通过SSL 隧道建立第三层隧道, 支持所有的TCP/IP应用。
(5) 部署简单方便。SSL VPN一般部署在内部网络的防火墙之后, 可以随时根据需要添加允许远程访问的服务器, 而无需改变原有的网络结构。
三、SSL VPN在数字化校园的应用实现
通过比较两种VPN解决方案, SSL VPN更适合河南工业大学对于远程访问的实际需求。下面我们以通过SSL VPN访问电子校务系统和综合教务系统为例来简要介绍SSL VPN系统在河南工业大学数字化校园中的实现方式。
远程用户通过地址https://123.15.36.149/打开SSL VPN的登录页面, 使用预先分配好口令进行登录, 并且验证CA证书, 一个看似简单的登录行为实际上完成了SSL协议的握手过程, 一条加密安全隧道成功建立。用户成功登录SSL VPN后, 将能够看到他所能访问的内网资源。用户点击资源列表中电子校务系统的链接, 此时电子校务系统的地址不再显示为http://oa.haut.edu.cn:8080/, 而是https://123.15.36.149/web/1/http/1/oa.haut.edu.cn:8080/, 用户点击此链接, SSL VPN 收到访问请求并分析所要访问的服务, 服务的地址和端口, 以及应用协议等相关信息, 构造一个HTTP请求消息, 例如:
GET / HTTP/1.1
Host: oa.haut.edu.cn
发送给oa.haut.edu.cn, 接收数据后通过SSL返回给用户浏览器。
河南工业大学综合教务系统是基于C/S模式的管理信息系统。要实现通过SSL VPN远程访问此类C/S应用, 远程终端的浏览器必须运行控件。此控件用来与SSL VPN的443端口握手, 握手完成后, 发送一条CONNECT消息给SSL VPN, 此消息包含了目的地址和端口, 以及是TCP还是UDP。如果是UDP, 控件需要打开一个本地的UDP端口, 接收到数据后以TCP方式发送给SSL VPN。SSL VPN收到CONNECTION后, 了解到用户在运行C/S应用, 它提取CONNECTION消息中的目的地址和端口号进行连接并转发消息。如果是UDP应用, 则将收到的TCP数据以UDP的方式发送出去。
四、结束语
VPN技术打破了校园网地理范围上的局限性, 延伸了校园网的覆盖范围, 安全、高效的解决了远程访问校园网内部系统资源的难题, 为教学、科研、行政办公等各方面工作提供了有力支持, 在今后河南工业大学数字化校园的建设中还将发挥更大的作用。
参考文献
[1]李锦安.高校VPN的分析和实现.电脑知识与技术[J].2009 (6) 4378-4379
VPN在校园网中的规划与实现 篇2
关键词:高校校园网;VPN技术;架设方案
中图分类号: G64 文献标识码: A 文章编号: 1673-1069(2016)30-159-2
0 引言
高校的信息化建设水平一直是国家教育事业发展的重点内容,加快信息化的建设步伐不仅能够提高学校的教育功能,更有利于加大学校在社会的影响力,将教育资源的应用率发挥到最大。从传统的学校面授到网络幕课,带给学生的改变不仅仅是“同学”数量的增加,而是全新的教学方式的改变。在校园网内,师生可以利用电脑、手机等终端任意访问这些数字资源,可以说这是一个永不闭馆的数字学校。这些利用互联网技术优化教育资源的例子不胜枚举,但是与此同时网络的局限性也纷纷显示了出来。高校拥有自己的教育网,用户如果在教育网外访问网内资源就会无法访问。同时,某些教学互动软件只能够在局域网环境中使用,跨网络的使用是无法进行的。传统的解决方式是使用端口映射,但是端口映射会增加安全隐患,同时操作起来也非常的烦琐,稳定性也不好,需要专业人员进行维护。针对这样的情况,越来越多的高校选择利用VPN技术来解决上述的问题。
1 VPN概述
所谓“VPN”就是“虚拟专用网络”,换句话说就是利用现有的网络环境虚拟出一条专用线路,在这条虚拟专线上能够实现专用网络的功能。需要说明的是,这种“专用网络”是由Internet服务提供商(ISP)的网络资源动态组成的,先由访问发起端向当地ISP提出要求,再由ISP负责与需访问端建立会话。高校可以根据自身网络建设的具体要求,选择一个最符合自己需求的网络建设方案选择。为此,我们要考虑到这样几个问题:专线对面的终端是否足够的信任,是否需要限制对方的访问权限?是否能够快捷的将远程访问的VPN端与真实的本地局域网络分隔通讯?如果远程端出现故障,是否可以方便快捷的解决故障?为此,我们必须需要先来探讨一下VPN的实现技术。
对于高校校园网来说,涉及办公OA系统、学校资料管理、校园卡安全消费等各个方面,因此对于VPN的安全技术要求非常高,同时VPN本身的技术也非常复杂,因此网络的数据封装与安全技术是高校VPN技术的核心。
VPN中源局域网与公网的接口连接称为隧道技术,如同架设一个隧道将内、外网打通,如同修路一样,隧道能否顺利打通、如何打通是VPN构建的核心要点。数据包在源局域网终端和公网终端之间传输时,发送数据的终端先将目标地址写进数据内部,然后发送到自己一侧的VPN网关,而VPN网关拿到数据并验证目标地址属于VPN网络后,将数据进行封装,相当于在信件的外面再套上一个信封,然后书写上接收端一侧VPN网关的对外地址,这样数据就可以在公网内传输。接收端VPN网关拿到“信件”后,拆掉外层封装的“信封”,就可以读到目标地址,并进行数据的传递,反之亦然。在这个过程中,数据在传输时,源局域网、双方VPN网关、所经过的逻辑路径就被称为“隧道”。
高校VPN架设主要有这样几种隧道协议:点对点隧道协议(PPTP协议)、第二层隧道协议(L2TP)协议、网络协议安全协议(IPSec协议)和SSL VPN。应用最为广泛的是第二层隧道协议,该协议又称国际标准隧道协议,最初是由IETF基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)进行制定,因此它继承了PPTP协议的优点,通俗地来说就是PPTP协议像景区的检票口,它会将入口处的“散客游人”与“景区”进行连接。而L2TP协议使用多隧道更像是旅行社组团,并利用许多辆大巴车将游人直接送入景区,这样就可以加大数据的吞吐量。而且,L2TP协议在传输数据时所使用的消息类型有两种:数据控制消息和数据传输消息,非常类似于一个是导游,控制着数据传输路径,一个是大巴车司机,专门负责数据的运输。但是,L2TP也有一个比较大的缺点是没有数据加密的措施,如同游客乘坐的大巴车没有任何车厢保护和安全措施,这样就加大了数据被劫持、重放的风险。因此很多情况下,高校在架设自己的VPN网络时大多采用L2TP+IPSec组合协议。用L2TP隧道协议传输数据,用IPSec协议保护数据。IPSec的安全协议主要包含两个方面:认证报头AH和安全封装ESP,需要说明的是无论是AH还是ESP都具备了通信保护的功能,都可以提供数据完整性检测和数据源认证。虽然IPSec在IPV4规范中仅仅是作为选用,但是在IPV6中是强制的,在配置VPN网络时要注意这一点。
在实际操作过程中,我们会发现IPSec VPN虽然成熟、安全,但是需要在终端安装专用软件才能正常使用,这样一方面让动手能力弱的电脑望而却步,也让越来越普及的手机用户望而兴叹,基于这种原因SSL VPN应运而生。SSL存在于任意一个浏览器内,工作在应用层,指定了浏览器与TCP/IP数据交换时的安全机制,并提供数据加密、用户认证、客户机选择以及数据的封装与加密等功能支持。在数据传输之初,SSL VPN首先确认双方身份,统一加密算法,最有将数据加密密钥传输给双方。数据传输过程中借助的是可靠的传输协议如TCP,传输质量非常稳定。并且由于使用的是浏览器接口,隐藏了终端和服务器,避免了病毒或者黑客对内部服务器的破坏。
2 VPN架设方案
2.1 VPN方案的选择
在建立VPN网络时需要先期将学校的校园网络建设完成,并能正常连接互联网,这里不再赘述。在实际使用过程中,在校园网中的VPN要能够给出差在外地的老师、分校区员工、不在校园网内的学生等提供直接连接到校园局域网的服务。同时还应该考虑到分校区间多媒体教学的需要。因此在构建VPN网络时综合考虑网络的负载平衡,确定VPN网关的吞吐能力和数据加密的性能。学校网络连接互联网的方式也是需要构建VPN网络时需要考虑的问题,客户端可以采取拨号或者光纤的接入方式,而服务器端要采用固定IP地址的连接方式,这样才能够方便连接。在服务器端还应配备VPN的数据接入服务器,在多用户同时接入时服务器应能够自动平衡负载。校园网常用的VPN方案主要就是IPsec VPN和SSL VPN,如果VPN承担的主要工作是各个校区之间的数据连接,那么可以选择IPSEC VPN;如果VPN承担的主要工作是零散终端就可以选择SSL VPN。
2.2 VPN方案的部署方式
首先要借助VPN的管理系统在网络内部建立域方便管理相关的VPN设备,特别是防火墙和VPN网关等重要设备更要做到实时的监控。目前常用的管理软件都可以对建立的域进行“内部域名”的编辑,将同一域内的网络设备“捆绑”在一个域名下,相关的域又可以建立多达三层的子域,大大方便了VPN的管理。在此基础上,管理员还可以为不同子域配备不同的“区域”管理人员。针对手机、平板电脑等移动用户,要在管理系统里部署不同权限的组,新用户加入时先对其用户身份进行甄别,然后将用户加入到不同权限的组内,以获得访问权限,当用户退出VPN网络时只需将用户从组内删除,这样可以加快移动端访问VPN网络的速度。
3 校园网在使用VPN时应注意的问题
VPN在高校工作中应用意义重大,可以将校园教科研延伸到校外,但是网络的速度受限于ISP提供的网速,同时稳定性也不在学校的控制下。因此在VPN部署过程中先要仔细分析和规划,认真选择软硬件,避免兼容性不好的问题。在运行过程中还应由专业技术人员仔细监控各个环节的运行情况。在规划VPN网络是要留足升级的空间,特别是针对用户数量增加后软硬件的升级更要考虑到。
4 总结
可以说日益成熟的校园网VPN技术无限地扩展了教师办公和学生学习的距离,构建学校自己的虚拟专用网不仅可以提高教学效率,还能最大化的发挥内网资源的利用率。而这些提升不需要太多的改变校园网的网络架构,成本低廉。相信随着网络技术的发展VPN在校园网中的作用将越来越重要。
参 考 文 献
[1] 杨沛.VPN技术在图书管理信息系统中的应用[J].现代情报,2005(05).
VPN在校园网中的规划与实现 篇3
关键词:虚拟专用网,隧道技术,加密,身份验证
1 引言
21世纪, 网络技术已经发展到一种十分高超的地步, 互联网发展呈现出全面的覆盖以及普及阶段。很多大学校园将学校的校园网用作一个传播信息, 而且是连接每个学生重要的网络工具, 伴随着网络技术的不断发展校园网的技术应用水平以及发展也在不断的提升。这些年来, 随着大学招生人数的增加, 学校不断的扩充自身的规模, 创建新校区, 这一现象直接影响了网络技术的发展, 网络技术变得更加高水平化以及跨区域性。并且, 随着使用人数的增加, 校园网承载的信息量以及传播的信息量以及自身的储存量都急剧上升, 在这种环境下, 普通的网络技术已经不能够满足当前学校网络的需求。
2 VPN主要技术方案
2.1 网络隧道技术
隧道技术, 能够帮助网络形成一个链条。这种隧道技术主要包含3种协议, 借助这种技术能够将信息传播的时候通过不同的协议进行运输。
2.2 隧道协议
PPTP能够通过公用的网络创建一个能够容纳多种需求、支持多种协议, 而且通过虚拟技术传播的网络。IP Sec是一个十分复杂的协议, 包含多种协议, 它能够为网络连接提供充足的网络信息和网络数据, 创建一套保密性极高的系统结构。
2.3 增加保密和解决保密技术
VPN技术最重要的技术就是能够保障信息的安全性, 而且具有很强的管理性能。除了用隧道技术保证两个不同地点以及不同信号的连接, 创建两点之间一条专门使用的通道以外, 而且两点的设施还必须增加增加保密技术以及解决保密技术, 这是VPN专用网一项标准的安全保证技术, 能够保证信息安全、准确的传播, 不被外来骚扰拦截或者是窃取。
2.4 密钥管理技术
密钥管理技术顾名思义就是保证校园网的信息不被外来入侵者盗取。现在使用的密钥管理技术主要有SKIP与ISAKMP/OAKLEY两种。
3 VPN技术在校园网中使用的情况
3.1 远程用户访问虚拟网 (Access VPN)
在学校外部想要进入到校园网内部获得资源使用的IP并不是一成不变的, 外来用户想要进入校园网, 需要通过VPN的连接, 首先, 需要一个路由器, 这个路由器是经过ISP提供的隧道才可以。其次, 外来用户需要在自己的软件商安装隧道开通器材。
3.2 两个校区之间的VPN (Intranet VPN)
在两个校区之间建立VPN, 借助具有VPN技术的网络路由器能够沟通两个学校校区的网络。主要的联通方式可以通过路由器以及协议还有账户之间进行连接, 在两个校区的网络中创建一个完整的网络链条。
4 一个校园网VPN实例分析
该学校共有两个校区:主校区和分校区, 两个校区之间通过主校区的Net Screen-25和分校区的Net Screen-5GT相连, 主校区和分校都有一个属于自己的IP地址, 都是用NAT进行网络的转接, 和网络的联通。
5 结论
VPN技术是一种全新的网络应用技术, 这是一种具有极高的安全性、可靠性、以及极高的管理性的网络沟通方式, 不但能够提高高校校园网的管理技术而且能够增加校园网的信息传播量。与此同时, 伴随着网络技术的不断发展和提高, 这种技术也在不断的完善和进步, 而且在外来的技术不断创新的环境下, VPN技术也会越来越重要。
参考文献
[1]魏广科.VPN技术及其应用的研究[J].计算机工程与设计, 2005.
[2]王达.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.
[3]黄新民, 刘旺泉.VPN技术综述[J].计算机安全, 2003.
[4]陕西科技大学学报, 2005 (02) .
[5]Andrew G.Mason, Cisco安全虚拟专用网络[J].人民邮电出版社, 2003.
[6]网上相关专题的文章.
[7]Virtual Private Networks for the beginner.Addison-Wesley.
[8]Windows 2000 Virtual Private Networking.Macmillan Technical Pub.
VPN在校园网中的规划与实现 篇4
SSL协议就是我们经常说到的安全套接层协议,它的主要宗旨是在客户端和服务端之间建立起安全的网络通道,保障网络数据传输的安全性,目前为了有效的提高高校网络运营的安全性能,现在全国的各个院校都在纷纷发展VPN技术,它是在SSL协议的基础上发展来的专门虚拟网络,有效的提高了校园网络的安全系数,对于VPN技术的概念及特点我们可做以下解释 :
VPN技术又被称之为虚拟专用网络技术,它主要是指通过特殊的加密通讯协议之后,利用互联网等公共网络资源体系来实现不同区域的多个内部网络的有效连接,从而在指定的区域内建立起一条专用的安全的通讯网络的技术。这是一种专用的虚拟功能,可以实现不同的网络设备及网络资源的相互连接,提供媲美专用网络的安全服务,有效的提高了校园网络的管理和维护,降低了网络支出成本。
2 基于 SSL 协议的 VPN 技术的研究的特点
在SSL协议的基础上我们着力发展专用完全网络技术,经过人们的不懈努力实践,终于研发出了更高水平的VPN技术方法,有效的解决了不同区域中的内部网络的连接和资源的共享,实现了跨区域的高效、安全数据传输,总的来说基于SSL协议的VPN技术具有以下几个方面的重要特点 :
(一)客户端支撑维护简单。现在大多数基于SSL协议的远程访问功能的执行是不需要在远程终端上安装相关接受软件的,只要使用标准的WEB浏览器连接到互联网张就可以实现不同区域内的内部网络资源的共享和传输,有效的提高了信息传输的安全性和便捷性。
(二)提供增强的远程安全接入功能。基于SSL协议的VPN技术能够为两个信息终端提供安全的、可代理的连接,通常情况下只要在内部网络的防火墙后面安装一个SSL代理服务终端就可以实现SSL VPN技术,只要用户在内部网络输入任何的一个URL,SSL代理服务器就可以准确的验证该用户的身份信息,通过身份认证之后就可以通过SSL代理服务器连接映射到不同的应用服务器上。
(三)可以提供更细粒度的访问控制。基于SSL协议的VPN技术能够对加密的隧道进行更为详尽的细化,从而实现终端用户同时连接到互联网络和内部网络,实现网络资源的双向共享。同时基于SSL协议的VPN技术还能够有效的细化接入控制功能,提高对用户身份的鉴别能力,保障内部网络资源的安全性。
( 四)网络部署更加的灵活方便。基于SSL协议的VPN技术一般都是部署在内部网络的防火墙后面,他可以根据需要随时的进行调节,调加VPN保护服务器,并且对于原来的网络结构不会造成任何的影响。
3 目前校园网络建设中面临的主要问题及 VPN 技术的应用情况
3.1 校园网络建设中面临的主要问题
我国目前的很多学校都建立起了自己的校园网络结构,实现校园内部资源的传输和共享,但是由于技术及人员素质等问题,现在的校园网络还存在着很多的问题,许多的建设技术还存在着不同程度的漏洞,具体来说,主要面临的是三个方面的问题 :
一是学校经济能力有限,资金投入水平无法有效的保障校园网络规模扩大发展的需要。现在的很多学校在网络技术发展上面临的一个最突出的问题就是经济实力不足,无法投入足够的资金成本加强网络设备的购置。
二是校园中缺少顶尖的IT人才,网络的管理和维护的专业能力不足。人才有限是校园网络发展的又一阻力,对于大多数的学校来说他们都缺乏顶尖的专业技术人才,不能够对网络的发展、管理实现专业的维护也就阻碍了网络发展的步伐。
三是校园网络信息安全面临被攻击,信息安全亟待解决。现在的校园网络进场容易被外部的不安全网络攻击到,发生一些安全隐患,导致信息数据时有流失和错误紊乱,给校园网络的信息安全带来了极大的隐患,亟待去有效的解决。
3.2 校园网络建设中 VPN 技术的应用情况
基于以上论述,我们知道我国现代的校园网络面临着很多的安全隐患和不稳定因素,对于校园信息安全及学生信息安全带来一定的影响,为了能够有效的改善现在校园网络的安全问题,提高信息传输水平,我们正在逐步的加大对于VPN技术在校园网络建设中的使用。
随着VPN技术在校园网络建设中的应用频率越来越大,对于校园网发展中的很多问题对带来了实质的解决方法,首先VPN技术在原来的网络基础上、通过公网资源连接建设发展而来的,因此在实际的网络建设完善之中,就不需要再搭建专用的网络线路,这样就可以能够有效的降低学校的成本支出,解决建立专用网络的巨大成本支出问题 ;其次,VPN技术能够实现业务外包发展,利用外在的专业技术人员实现对校园网络的专业化管理和维护,提高资源整合利用效率,保障网络安全性能,这样就可以解决学校专业技术人员不足、技术水平有限这些重要的技术问题 ;最后最关键的就是VPN技术能够有效的提高校园网络的安全,因为VPN技术是基于安全基础上使用隧道技术、密钥管理技术、身份验证技术等高效控制性的技术,它能够有效的保护校园网络免受外在的恶意干扰,提高校园网络的安全性、可靠性,为校园网络信息传输提供一个安全的途径。
4 结语
VPN技术是当前新兴的一种新型的网络技术,它能够为用户提供安全、灵活、可靠的网络连接,实现不同区域内信息安全高效的传输,加强VPN技术在校园网络建设中的有效应用,极大程度的帮忙解决了高效网络建设方面的一些具体问题,提高校园网络的安全性,使之运行更加的有效、快捷。今后网络技术及硬件技术的发展,VPN技术还能够不断的发展更新,将会被应用到更广阔的领域之中,发挥更大的作用。
摘要:随着科技水平的日益进步,人们对于网络安全的要求也是越来越高,为了能够有效的提高校园网络的安全性、可靠性,目前大多数的学校都对于基于SSL协议的VPN技术给予了很大的研究兴趣,对于VPN技术的校园应用进行了多方的试验验证,本文我们的研究重点就是基于SSL协议的VPN技术的概述及特点,了解现在校园网络建设中的问题和VPN技术在校园网络建设中的重要应用。
数字化校园规划设计与实现 篇5
我国高校信息化经过二十余年的艰苦建设,各高校在信息化建设方面都取得了长足的发展。随着高校信息化的快速发展,高校信息化开始进入信息集成阶段。
1 数字校园规划与设计
1.1 需求概述
目前高校内运行的信息系统大多都是独立开发或独立实施的, 基于不同的平台, 相互间缺乏协作,系统间的数据不仅无法共享, 还可能由于各自为政而出现不一致, 形成信息孤岛。这给高校一些业务的日常运行带来了一定的麻烦。这就需要使学校让各部门的资源实现共享,形成学校整体线性流管理和各部门的线性流管理的结合,用最简单的方式解决最根本的问题,减少信息流通环节,真正实现管理的现代化和办公自动化。
1.2 数字校园建设目标
数字化校园建设的整体目标是通过一体化数字校园的顶层设计与规划,构件关联整体的信息系统和有机集成的支撑环境,为用户提供个性化的贴切服务。具体地采用分层建设思路,可以分解为五部分:以人为本的用户环境;关联的应用环境;集成的数据环境;高可用的运行环境;高可信的安全环境。
2 数字化校园系统结构设计
数字化校园是基于网络的管理平台,其系统结构如图1所示。
(1)网络层是数字化校园系统结构的基础层,它提供主要包括局域网、虚拟专用网、拨号网络、域名解析等多种网络接入途径,保证良好网络环境。
(2)数据层是数字化校园的统一的数据存储访问集合,它主要由共享数据中心以及文件、目录、关系型数据库等基础构成。
(3)支撑层构建了为业务层和表示层服务的数字化校园系统的应用支撑平台,它为业务层各个应用建立统一的身份认证机制、便捷的一卡通机制和工作流引擎、消息引擎、报表引擎,其中包括的各种机制和引擎均是业务层各种应用的基础,是统一规范的系统模式。
(4)业务层包括了校园所有业务应用,将其按照统一的业务构件方法或接入方法融合在一起,并提供业务分析供查询、统计、分析及决策支持。业务层由业务构件工具、各业务系统以及业务分析平台构成,它是数字化校园的业务应用层。
(5)表示层。校园用户最终通过表示层使用数字化校园,它通过各种信息访问方式、信息门户和集成管理工具为校园用户提供服务。用户可以通过浏览器、即时通讯、短信、邮件、传真等多种方式在数字化校园网上交互信息。
(6)综合管理工具是网络层、数据层、支撑层、业务层和表示层的统一管理工具,它可以实时监控数字化校园硬件和软件的状态,并通过管理工具对其进行操控和调整。在综合管理工具中,管理员通过 状态监控工具可以实时查看各个服务器,对其进行直接操作,以调整其不良状态。
3 系统实现
Microsoft.NET与Sun J2EE是目前企业Web服务平台市场上两个最重要的应用框架。它们都在针对分布式应用的设计、集成、性能、安全性和可靠性等诸多方面,为用户提供了总体的指南和规范。基于这些指南和规范,技术提供商提供了相应的平台、工具和编程环境。在具体的应用框架中,包括了针对应用的表现层服务、服务器端进程、会话管理、商业逻辑框架、应用数据缓存、应用逻辑、持久化性、事务、安全和日志服务等内容。
由于Java技术具有跨平台的良好特性, 而且J2EE 提供的Web服务功能可以很容易地构建能够访问现有业务流程的S0A系统,因此使用J2EE技术实现基于SOA 的高校应用系统集成,其基本过程如下:
(1)构建和部署J2EE组件(如Servlet和EJB)。首先要选择Web服务平台供应商,要求其提供通过J2EE应用程序构建和部署Web服务的平台,然后编写所需要的J2EE组件,并将其部署在兼容J2EE的容器中,但要确保供应商提供的XML/Java映射支持这些组件使用的数据类型。最后,将所需要的组件集成到Web服务平台所提供的结构中,并为这些服务创建部署描述符。
(2)将J2EE组件发布为Web服务。将基于J2EE应用程序的组件发布为Web服务,需要在服务提供方和服务请求方分别进行设置。
(3)服务提供方使用SOAP将在某个应用程序服务器环境中部署的J2EE组件封装为面向服务的接口,然后将其部署在Web服务运行环境中;所生成的基于WSDL的服务描述将驻留在该服务运行环境中。服务请求方使用WSDL描述创建基于SOAP的客户接口;使用注册表API,将WSDL用于在UDDI注册表中发布上述服务。
(4)服务请求方根据UDDI中注册的Web服务,创建基于SOAP的客户端接口,然后用Java语言编写客户接口程序,就可以调用服务方发布的Web服务。
图2是在J2EE环境下实现应用系统集成的设计原理和方案。
服务提供方的设计:Web服务提供方采用BEA WebLogic作为J2EE应用程序服务器和Web服务运行的环境。BEA WebLogic服务器程序包含了开发和测试Web服务的一个集成开发环境,它提供了一种SOAP和WSDL生成器实用程序,可通过J2EE组件创建面向服务且基于SOAP的接口。另外提供一种客户端生成器实用程序,用于创建基于Java的客户端程序来调用Web服务。BEA WebLogic还提供了兼容JSXP的XML解析器和数据库来存储和查询信息。
服务请求方的设计:服务请求方采用Axis,Axis(Apache Extensible Interaction System)是开放源代码组织Apache的Web服务项目中的子项目,其核心是一个SOAP处理器,可用于创建、集成和部署基于Java的SOAP服务。该软件包是一种实用程序,它可以通过已部署的服务自动生成WSDL。同时,它还提供了WSDL2Java工具,用于将服务方提供的WSDL构建成Java代理程序和骨架程序。在客户端,程序员只要将应用程序的代码填入骨架程序中就可以调用Web服务方提供的服务。
4 结束语
数字化校园的建设采用以人为本的设计方式,运用科学的设计方法,采用SOA作为一种新兴的软件体系结构,为解决分布式环境中软件重用、扩展和提高软件开发效率提供了解决方案。Web服务技术使用基于XML的SOAP协议表示数据和调用请求, 数据和请求可以直接穿越防火墙,大大方便了系统的部署和使用。通过将高校各应用系统中的功能模块以Web服务的形式提供,使得各应用系统具有更好的互操作性、开放性和安全性,实现校园数据的共享,促进了高校信息化的发展。
参考文献
[1]吴晓,吕爽,马新强.基于SOA的企业应用集成研究[J].信息技术,2007(4):97-99.
[2]王考杰.浅析Web服务在企业应用集成中的应用[J].沿海企业与科技,2005(6):51-52.
[3]刘松,付晓江.面向服务的企业应用集成架构[J].吉林大学学报:信息科学版,2005(6):657-663.
[4]吕希艳,张润彤.基于SOA的企业信息资源整合[J].中国科技论坛,2006(3):103-105.
[5]张峰庆,等.J2EE平台上基于Web服务企业应用集成的研究[J].计算机工程与应用,2005(5):144-146.
[6]蒋东兴,等.清华大学新一代数字校园建设规划与实践[J].厦门大学学报,2007(2):173-178.
Vpn技术在企业中的应用与优化 篇6
VPN(Virtual Private Network),即虚拟专用网,它是利用Inter net或其它公共互联网络的基础设施为用户创建隧道,并能提供与专用网络一样的安全和功能保障。[1]由于通过VPN技术可以实现资源的传输和共享,并实现了网络环境的稳定和安全。因此,它得到了积极的推广和应用。但其在应用过程中,随着分支机构办公人员数量以及需求不断增加,多带宽使用率的要求也越来越高,导致分支用户业务使用不便,同时专线vpn对于移动办公人员和各办事处人员访问公司的系统不能更好的支持。因此,对其进行优化也显得十分必要。
2 VPN的应用
2.1 VPN的实现原理
VPN技术并不依靠物理上的端到端的专用连接,即没有固定的物理连接,它是利用Internet、ATM等公用网络设施,在两台直接与公网连接的计算机之间建立一条专用通道,建立起虚拟的专用通路,并利用隧道技术对数据进行封装,使数据在具有认证和加密机制的隧道中穿越,从而实现点到点或端到端的安全连接。[2]通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道将需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备及协议组成了一个VPN系统。一个完整的VPN系统一般包括3 个单元:VPN服务器端、VPN客户端机和VPN数据通道。
2.2 VPN的实现
要实现VPN连接,企业内部网络中必需配置一台VPN内网接入设备,该设备有双网卡,它一方面连接企业内部网络,另一方面连接到Internet,即VPN服务器必须有一个公用的IP地址。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。远程用户使用时根本无需关心隧道的建立、数据加密、用户认证等过程。[3]远程用户采用TCP/IP协议,选择建立虚拟隧道,并保持原有的网络结构、网络资源和应用模式不变,以便实现快捷、廉价、保密的通信。
2.3 VPN的应用场景
VPN的应用场景分可分为3种:
1)站点到站点或者网关到网关:在不同的地方分支,各使用一个网关相互建立VPN隧道,企业内网(若干PC)之间的数据则通过这些网关建立的IPSec隧道实现安全互联。
2)端到端或者PC到PC:两台PC之间的通信由两台PC之间的IPSec进行会话保护,而并不是网关。
3)端到站点或者PC到网关:两台PC之间的通信由网关和异地PC之间的IPSec进行保护。VPN只是IPSec的一种应用方式,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。[4]
3 VPN的优化
3.1 优化方案设计
本方案主要是在总部和分支各部署一台深信服(SANG FOR)加速设备,对现有专线数据传输进行优化。SANGFOR VPN设备支持多种加密算法、硬件证书认证、移动客户端专线功能,能保障用户访问安全和数据传输安全。
具体方案如下:
1)通过SANGFOR设备对专线线路重复冗余的数据进行删减、压缩,以减少数据传输量,提高分支机构和总部之间响应速度;
2)对在通信信道中传输的数据进行加密传输,避免数据裸奔在互联网上,遭受不法分子窃取和盗用;
3)对移动办公、出差或办事处的人员不需要添加任何设备,只需在总部的vpn设备上为之建立账号和设置权限,便可以进行安全访问。
3.2 优化后的拓扑结构
根据以上提出的优化方案,优化后的拓扑结构如图1 所示:
3.3 优化的实现
SANGFOR-Vpn配置(实现分支机构-总部以及移动终端-总部)。公网地址为101.231.178.114。
1)总部相关配置:
① 首先登陆SANGFOR设备WEBUI界面,配置服务器端主webagent地址(vpn服务器端地址),其中主webagent地址为设备的wan口地址。4009为自定义的vpn数据端口。
② 配置用户信息(vpn客户端接入身份),在用户管理菜单中配置用户名、密码,并选择“分支”类型。以便满足用户登录。
③ 配置移动vpn用户,在增加用户菜单中配置为移动用户设置用户名、密码,并选择“移动”类型。以便满足移动用户的登录。
2)分支相关配置:
登陆SANGFOR设备WEBUI界面。配置客户端主we⁃bagent地址(vpn服务器端地址),如图2所示:
3)移动端相关配置:
在客户端pc机上安装SANGFOR的PDLAN软件[5](可在SANGFOR官方网站下载)。安装完毕后,手动配置vpn服务器端地址,和用户信息。如图3所示:
3.4 cisco-ASA移动vpn配置
移动vpn的关键配置如下:
1)定义G0 端口为外网口outside并设置其安全等级
2)配置其公网地址
ip address 101.231.178.114 255.255.255.252
3)定义G01为内网口inside并设置其安全等级
4)定义一个vpn-inside的网络组
object-group network vpn-inside
5)制定ACL条目in-to-out,并允许内网所有ip、icmp包通过
6)制定ACL条目split-YX,为remove vpn做隧道分离
access-list split-YX extended permit ip 192.168.38.0255.255.255.0 172.16.100.0 255.255.255.0
7)定义一个名字为YX-POOL的虚拟地址池
8)设置内部出口路由
rout e outside 0.0.0.0 0.0.0.0 101.231.178.113 1
9)设置回包路由
route inside 172.16.9.0 255.255.255.0 192.168.38.251 1
4 测试
配置完成后,通过终端使用ping命令进行测试。测试结果如图4所示:
通过以上测试表明,终端的PC(IP为101.231.178.114)可以跟总部主机通信。
5 结束语
本文对VPN技术在企业中主要应用模式进行了研究,并在此基础上设计了行优化的方案。不仅提高分支机构和总部之间响应速度,还增加了通信信道中传输数据的安全性。但仅仅考虑使用硬件优化还远远不够,还可以在移动IP路由、基于MPLS ( Multi-Protocol Label Switching,多协议标签交换) 的二层VPN技术等方面进行优化,以便更好地使用于各种应用场合。
摘要:分析了VPN技术的特点及应用场合,然后实现了在企业中应用的3种模式。同时,针对在其应用中,随着人数的增加和需求不断增加,专线带宽瓶颈越显突出,导致分支用户业务系统使用不便的问题,设计了一种优化的方案。
关键词:VPN技术,隧道,优化
参考文献
[1]庄晓华.虚拟专用网技术应用研究[J].科技视界,2013(20).
[2]王宣政.计算机组网实验教程[M].西安:西安电子科技大学出版社,2005.
[3]查振兴,王振.VPN在信息系统安全等级保护中的应用[J].电子世界,2013(19).
[4]王松江.VPN技术在计算机网络中的应用[J].计算机光盘软件与应用,2013(20).
【VPN在校园网中的规划与实现】推荐阅读:
校园网用vpn08-23
校园网的设计与实现 论文07-19
VPN代理进入校园网方法09-10
校园网网络性能管理系统的设计与实现07-28
校园一卡通设计与实现10-31
校园网设计与规划09-01
校园网的规划与设计07-06
校园网工程与规划设计08-30
无线校园网规划与设计论文08-29
中小型校园网规划与设计06-30