[摘 要]本文论述了VPN系统的优点，产生的历史原因和适用范围，以及VPN系统在国内外发展的现状。分析了高职院校中校园网的现状及存在的问题。为了更好地解决学校在移动办公、远程办公、分校区的通信和资源共享以及通信安全等方面的问题，同时考虑到节约费用和灵活配置，提出了构建适合高职校需要的VPN网络的方法与步骤。

[关键词]VPN技术 虚拟专用网 校园网

[中图分类号] TP393.071[文献标识码] A[文章编号] 2095-3437（2012）11-0068-02

随着我国经济建设的飞速发展，教育事业近年来也突飞猛进，各高校校园网建设步伐不断加快，同时校园网规模扩大，甚至是跨地域分布，且远程教育也越来越普及。这使得校园网的应用和管理面临着很大的技术和经济压力。如何既利用好互联网的丰富资源，又能够保证数据传输的高效、安全、低成本，是当前校园网建设的一个难题。同时，如何使地理及物理上分布分散的若干校区网络能从逻辑上有效集成，实现资源有效共享；如何使学校的老师、学生、家长以及外出人员根据需要随时随地联入校园网等，这些问题都成为制约高校校园网建设和发展的一个瓶颈。虚拟专用网络（VPN）技术的诞生就很好地解决了这一问题。

一、VPN 简介

（一）VPN概述

虚拟专用网VPN（Virtual Private Network） 是利用公众网资源为客户构成专用网的一种业务。相对于实际的专有网络而言的，它是利用虚拟专用网的隧道技术、认证和加密技术，能够在Internet/Intranet 等公用开放的传输媒体上，为两个单独实体之间建立一条安全可信的专用信道。

它综合了传统数据网络的性能优点（安全和 QOS ）和共享数据网络结构的优点（简单和低成本），能够提供远程访问，外部网和内部网的连接，价格比DDN专线或者帧中继网络要低得多。而且， VPN 在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。

（二）VPN关键技术分析

VPN具有专线连接的专用、安全、保密、高性能等特点，通过对数据包的头部信息和有效的封装加密来保证数据包安全性，通过散列功能的处理保证数据的完整性。构建一个VPN，需要解决的关键技术包括隧道技术、加解密技术、密钥管理技术和身份认证技术[1]。

（三）VPN技术应用

根据VPN应用的类型，可以将VPN分为三类：远程访问虚拟专网（Access VPN）、企业内部虚拟专网（Intranet VPN）和扩展的企业内部虚拟专网（Extranet VPN）[2]

二、 IPSec 协议与 IPSec VPN

（一）IPSec协议的体系结构[3]

IPSec（Internet Protocol Security，网际协议安全）是一个标准的第三层安全协议，它实际上是一个协议包。IPSec在IP层上对数据包进行高强度的安全处理，提供访问控制、数据源认证、数据完整性与反重放、数据机密性、抗重播和有限的通信流机密性等安全服务，具有良好的安全一致性、共享性及应用范围。IPSec可连续或递归应用，实现端到端安全、虚拟专用网和安全隧道技术。[4]

IPSec主要包括验证头协议（AH）、封装安全载荷协议Encapsulating Security Payload （ESP）、密钥分配协议Internet KeyExchange（IKE）以及用于网络认证和加密的一些算法。

（二）IPSec VPN的优缺点

1.IPSEC VPN的优点

（1）IPSEC是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，对应用层协议完全透明。

并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议，所以其具有通用性。

（2）IPSec VPN网关一般整合了网络防火墙的功能，整合性非常好。

2.IPSEC VPN的缺点

（1）IPSEC VPN配置部署复杂，需要专门的客户端软件，而且不同提供商之间的设备兼容性较差。

（2）网络适应性不佳，由于是IP层的协议，对于防火墙等访问控制设备不透明，对网络地址转换（NAT）和应用代理（Proxy）等穿透性差。

（3）应用层安全性方面，只能提供IP地址和传输层端口这种粒度的访问控制，对应用层协议的细粒度强访问控制能力较弱，入侵检测与防御、防病毒、抗攻击等深层次的安全功能也相对薄弱。

三、SSL 协议与 SSL VPN

（一）SSL协议的体系结构

SSL VPN是指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。

作为应用层协议，SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不能保证信息的不可抵赖性。[5]

SSL安全协议主要提供三方面的服务：

1.认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上；

2.加密数据以隐藏被传送的数据；

3.确保数据的完整性，以便其在传输过程中不被改变。

SSL协议包括SSL记录协议、握手协议、密钥更改协议和警告协议，它们共同为应用访问连接提供认证、加密和防篡改功能。

四、2SSL VPN技术及优缺点

（一）SSL VPN技术

SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业资源。这使得移动办公入员仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便。SSL VPN网关位于企业网的边缘，介于企业服务器与远程用户之间，控制二者的通信。

掌握三个关键术语的含义有助于理解SSL VPN是如何实现的。即：代理（proxying）、应用转换（application translation）、端口转发（portforwarding）。

（二）SSL VPN优缺点

作为一种新的VPN技术，SSL VPN相对于传统的IPSEC VPN有其自身的技术特点。

1.SSL VPN的主要优点：①应用的客户端程序，如常用浏览器等已经预装在了终端设备中，因此维护方便。②安全性突出，抵御外部系统和病毒攻击效果明显。③网络部署灵活方便，适合大多数设备与操作系统。

2.SSL VPN的主要不足：①SSL VPN安全认证是通过单向的证书方式实现的。 ②SSl VPN应用受到限制。一般都用于B/S模式，用户只能访问基于Web服务器的应用。③SSL VPN 加密在应用层，性能相对会有一定的影响。 ④SSL VPN不适用做点对点的VPN，后者通常是使用IPSec/IKE技术。

五、IPSec VPN与SSL VPN比较

通过以上IPSEL与SSL优缺点的分析，我们可以得出以下结论：

VPN的架构决定了两者之间的不同。IPSEC VPN主要应用在网络层，提供所有在网络层上的数据保护和透明的安全通信，而SSL VPN是工作在应用层（基于HTTP协议）和TCP层之间的，从整体的安全等级看，它们都能提供远程安全接入。但是，IPSEC VPN技术主要用于连接和保护在信任网络中的数据流，所以它更适合为不同的网络提供通信安全保障，而SSL VPN则更适合应用于移动办公人员的安全接入。

六、IPSec VPN与SSL VPN一体化解决方案

IPSec VPN解决方案是提供网络层接入和加密。它需要用户必须安装特定的客户端软件，这需要专业技术人员进行操作。此外IPSec VPN不能透过NET防火墙。且IPSec VPN 不允许从公网计算机接入专网。

SSL VPN解决方案则提供应用层接入和加密，它不需要安装任何客户端软件，用户只需输入SSL服务器的URL，然后再输入用户名及密码，即可完成远程登录的操作。

故SSL VPN最适合学校远程访问接入。而Ipsec VPN适合校区间点对点连接。

目前SSL VPN和IPSEC VPN应用在不同的领域，各有千秋，相互不能取代，在未来一段时间内两者将共存。因此选择集成IPSEC VPN和SSL VPN一体化的方案，将是我校的最佳选择，同时它也是未来VPN的发展趋势之一。

通过重点研究与分析比较IPSec VPN和SSL VPN的这两种VPN解决方案，同时结合高职院校中网络的实际情况，提出了基于策略和路由的VPN实现解决方案，从而突破了校园专用网的区域性限制，进一步解决了当前校园网中存在的一些问题。

[参考文献]

[1]常青.VPN技术综述（上）[J].中国计算机用户，2006，（31）：47-48.

[2]Zhensheng Zhang，Ya-Qin Zhang，Xiaowen Chun，BoLi.An Overview of Virtual Private Network （VPN）： IP VPN and Optical VPN[J].Photonic Network Communications，2007，7（3）：213-225.

[3]张焕明.基于IPSec的VPN关键技术研究[J].微计算机信息，2006，22（3）：56，58，130.

[3]赵金水.IPSec与MPLS实现VPN的对比与融合[J].电信技术，2004，（5）.

[5]汪颖，吴俊，陈朝峰.VPN技术在专用网络中的应用[J].九江学院学报，2008，（3）.

[责任编辑：戴祯杰]

[收稿时间]2012-09-11

[作者简介] 谷岩（1975-），男，江苏淮安人，本科，讲师，主要从事计算机方的教学和研究工作。