摘 要：VPN是通过公用网络建立一个安全而临时的连接，是一条穿过具有高威胁性公用网络的安全隧道。现针对某高职院校校园网络实际需求，以及VPN技术在校园网络安全体系中应用的原则，完成VPN技术在校园网络安全体系中的应用方案设计。

关键词：VPN技术；校园网络；安全体系

随着计算网络技术的迅猛发展，校园网络建立已成为各个院校信息化管理的基础，成为师生学习与交流的重要工具。并且随着各个院校的扩招，各个院校的规模也在不断扩大，建立了多个校区协调合作的发展模式。根据我国当前院校的布局来看，许多院校的多个校区可能分布于不同的城市或地区，如果简单的采用校园局域网的形式无法实现多校区协调管理的模式。目前，许多具有多个校区的院校为加强院校统一的信息化管理，采用了VPN技术连接各个校区。虽然VPN技術实现了多校区间的连接，但其网络安全问题也随之暴露。因此，现以某高职院校为案例对VPN技术在校园网络安全体系中的应用展开探讨。

1 需求分析

某高职院校共有两个校区，本文将两个校区称之为新校区与老校区。同时深入该高职院校了解校园网络内的VPN总体需求情况：

1.1 解决院校两个校区访问互通的问题。实现两个校区间一卡通、财务专网的整合，形成一条连接两个校区间的网络安全通道。保证数据能够在安全通道内安全、快速的进行传输。

1.2 远程访问校园网络内部站点的需求。实现两个校区内WEB站点、邮件服务站点的整合，完成两个区间邮件分发、公文流转和校园信息交流等。

1.3 远程访问图书馆资源。两个校区建立统一的图书馆管理系统以及认证系统，实现两个校区间图书馆资源的联动管理与统一认证。

2 VPN技术在校园网络安全体系中应用的原则

2.1 安全保障

VPN技术在校园网络安全体系中应用最基本的原则便是保障网络安全。校园网络VPN应用至少需要提供身份认认、数据完整性和数据保密三方面的安全保障机制。

2.2 有效的管理平台

VPN服务器应提供界面友好的客户端与服务器端配置工具，方便用户操作使用。同时配置工具还应提供用户操作日志采集功能，为安全审计提供日志记录。

2.3 保证多平台兼容

多平台兼容是指为校园网络提供的VPN服务能够为移动办公用户提供随时随地的安全网络接入服务。以及能实现多操作系统平台环境的兼容等。

2.4 提供有效的访问控制

校园网络中涉及到多种用户角色，各用户角色在不同应用系统中具有不同的应用权限，因此，VPN服务应建立严格的安全访问控制机制。

3 VPN技术在校园网络安全体系中应用的功能模型

根据校园网络的实现需求与VPN应用的基本原则，VPN技术在校园网络安全体系中的应用功能模型包括以下四个功能模块。

3.1 后台管理模块：负责VPN服务器工作日志的采集，为安全审计提供操作日志。同时也能汇总用户的操作行为日志与详细的使用情况。

3.2 访问控制模块：该模块主要建立详细的VPN访问控制策略，决定用户的访问规则。

3.3 身份认证模块：服务端对客户端认证采用不同的认证方式，在内网进行认证时采用数字证书方式，在外网进行认证时采用用户名与密码的认证方式；客户端对服务端进行认证采用数字证书的方式。

3.4 数据转发模块：该模块是整个网络体系的核心模块，使用协商好的加密算法进行数据加密，并完成数据的传输。

4 VPN技术在校园网络安全体系中应用方案的选择

VPN技术在校园网络安全体系中共有三种应用方案，分别如下：

4.1 Access VPN：该方案适用于移动或远程办公的需求，实现校园内外网络的远程连接。Access VPN适用于当前多种网络接入方式，例如xDSL、PPPoE拨号、移动网络、ISDN等，为移动办公用户提供安全的私有连接。

4.2 Intranet VPN：该方案以特有的共享网络设施为基础，利用Internet实现院校各分校区之间的网络互联。Intranet VPN充分利用了VPN隧道、加密等技术保证了信息在传输链路上的安全。

4.3 Extranet VPN：该方案通过一个使用专用网络连接的共享基础设施，将外部网连接到校园网络，适用于为B2B之间的安全访问。

通过对三种应用方案的分析，三种应用方案适用于不同的安全访问服务。根据需求分析可知，校园网即要实现各校区间的网络互联，又要实现远程用户对校园网络资源的访问。因此，我们选择Access VPN与Intranet VPN两种应用方案作为校园网络安全体系的架构。

5 VPN技术在校园网络安全体系中应用方案设计

根据以上分析，结合某高职院校校园网络实际，VPN技术在校园网络安全体系中应用方案设计如下：

5.1 两个校区之间采用Intranet VPN实现网络互联。该高职院校当前两个校区都由中国电信提供的光纤接入提供网络连接，网络出口都在老校区，而且两个校区间的信息化管理系统都需要通过该通信链路完成信息互通，包括一卡通、财务、人事和教务管理系统等。为保证数据传输的安全性，我们采用IPSec VPN技术，对应用系统数据进行加密，保障数据传输过程的安全性。

对于信息安全要求较高的用户，例如财务和后勤等部门的用户，可以采用二层隔离的方案接入校园网，再通过二层OSPF协议传输至核心交换机，实现两个校区信息的加密传输；对于一般用户的访问，由于安全级别较低，可以降低安全要求，提升VPN服务器性能。

5.2 Access VPN远程用户访问VPN服务器

当移动用户需要通过远程访问校园网络资源时，可采用Access VPN应用方案实现。在校园网络内部构建VPN服务器，移动用户使用专门的VPN客户端通过ISP运营商提供的Internet网络连接到校园网络中。这种方式只需要支付ISP提供的网络带宽使用费用，不支付其它额外的费用。

校园网络内的VPN服务器架设，我们选择Linux操作系统平台作为架构的基础环境，Linux操作系统平台不仅具有易扩展、免费的特点，而且其性能也优于Windows Server平台。在硬件方面我们选用IBM System x3650 M3作为VPN服务器的载体。VPN系统软件我们选用基于SSL协议的OpenVPN，可以架设SSL VPN应用系统。

校园网络内部为保证信息传输的安全使用了防火墙与NAT设备，由于OpenVPN构建的SSL VPN工作在传输层之上，能够遍历所有的防火墙与NAT设备，保证了VPN用户随时随地都能连接校园网络。另外，远端的VPN用户访问校园网络时需要为其分配内网IP地址，因此，还需要架设一台DHCP服务器完成自动分配IP地址的任务。对于外部网络的移动用户需要连接至VPN服务器时，还需要建立DNS域名服务器。当远端用户通过域名URL地址访问VPN服务器时，DNS服务器完成域名解析，同时发起的VPN请求连接被SSL VPN服务器获取，完成用户权限认证后映射到校园网络内的应用服务器。通过这种方式可以完成屏蔽校园网络的结构，保证校园网络的安全。

6 结束语

目前，VPN技术在校园网络安全体系中的应用已成为研究的热点，据《中国教育网络》的调查数据可知，我国许多院校都已开始或部署VPN技术的应用。本文从校园网络的实际出发，对多校区院校的需求展开分析，并根据需求分析的要求，规划和设计了VPN技术在多校区校园网络安全体系中的应用方案。

作者简介：黎伟（1974，2-），男，民族：汉，籍贯：贵州，硕士，讲师，工作单位：黔南民族职业技术学院，研究方向：计算机网络实验教学，计算机网络。