左文涛 赵小平 彭宇玲

（广州科技职业技术学院，广东 广州 510550）

1 引言

随着信息技术的高速发展，教育培训机构间的数字资源逐步增加，核心资源也成为培训机构间的主要竞争力。在日渐开放的移动互联网环境中，信息在传输过程中要保证其安全性和私密性显得更加重要。员工的远程访问、资源的共享逐渐成为威胁教育培训机构提升竞争力的关键问题。因此在具有安全性、保密性、可管理性的同时，不增加网络使用成本，提升教育培训机构的竞争力成为培训机构网络建设发展的重大问题。VPN（Virtual Private Network）技术以其优势能很好地解决教育培训机构间资源共享、远程访问的问题，实现多个培训机构间安全通信，VPN技术是一种切实可行的解决方案。

2 VPN概述

VPN(Virtual Private Network，虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网(Internet)联接而成逻辑上的虚拟子网。为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证了信息在传输中不被窃听、篡改、复制。

2.1 VPN原理

VPN通过Internet公用网络建立隧道，将两个不同的私有网络实现相互通信，在两个私有网络连接公用网络的接入处实现端到端的认证。建立VPN通道需要一个专门的过程和依赖一系列不同的协议，一个完整的VPN系统包括VPN服务器、VPN客户端、VPN数据通道。

2.2 VPN优点

VPN采用隧道建立的端到端的连接，其优点有：安全保障，采用数据加密、身份验证技术保障网络通过公网的安全性；容易扩展和管理，支持多种接入方式，可以随时添加新用户，能方便集中进行管理和维护；成本低、高可靠，不需要专线接入网络，但是可以达到专线接入效果，同时能为不同用户提供不同级别的服务质量保证，能合理高效地利用网络带宽。

3 VPN安全技术和实现方式

3.1 VPN安全技术

在利用VPN技术构建安全的通信时，常使用的安全技术包括：密钥管理技术，主要实现公网数据网上安全地传输密钥；加解密技术，VPN加解密融合了对称加密技术和非对称加密技术，常用的加密算法有DES、AES、RAS；身份认证技术，VPN客户端请求通信时，VPN隧道另一端设备身份验证，通常有预共享密钥（PSK）认证、非对称RSA密钥认证和证书认证三种方式。

3.2 VPN实现方式

（1）PPTPVPN

PPTP（Point to Point Tunneling Protocol），点对点隧道协议。支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。VPN建立隧道时，选用PPTP协议，可以使远程用户通过拨入ISP、通过直接连接Internet或其它网络安全地访问企业网。

（2）SSLVPN

SSL VPN即指采用SSL（Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL（安全套接层协议）是网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。它具有保护传输数据积极识别通信机器的功能。SSL主要采用公开密钥体制和X509数字证书技术在Internet上提供服务器认证、客户认证、SSL链路上的数据保密性的安全性保证。它被广泛用于Web浏览器与服务器之间的身份认证和加密传输。

SSL VPN必须满足两个最基本的要求：使用SSL协议进行认证和加密；直接使用浏览器完成操作，无需安装独立的客户端。

（3）IPSEC VPN

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术。IPSec是一个标准的第三层安全协议，在隧道外面再封装，保证了传输过程中的安全性。IPSec的主要特征是可以对所有IP级的通信进行加密和认证，使IPSec可以确保包括远程登录、电子邮件、文件传输及WEB访问在内多种应用程序的安全。

（4）MPLS VPN

MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

4 VPN技术在教育培训机构中的应用

在品牌驱动下的新型教育市场，教育培训机构为能突显竞争能力，分散在不同区域的培训机构区需要满足稳定、安全、可靠地连接总部培训机构资源库的网络需求，以及各培训机构能独立高效地进行网络访问，同时能实现员工远程访问内部资源。

图1 教育培训机构VPN组网方案拓扑图

4.1 教育培训机构VPN方案设备选择

根据培训机构网络使用需求和总体网络规划，在培训机构总部的出口选择艾泰科技公司的UTT3640安全网关，它主要是为有VPN需求的中型企业、学校、分支机构而设计的防火墙路由器，采用Intel IXP CPU核心,具备强大的硬件处理能力。UTT 3640具备上网行为管理功能，加强网络安全管理、网络维护管理；支持IPsec、L2TP以及PPTP等多种形式的VPN功能，可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络。

在各个区域的教育培训机构的网络出口选择艾泰U2000 VPN/防火墙，U2000支持静态、动态IP地址和PPOE拨号等主流网络接入；WEB界面管理，配置简单，支持配置备份，远程管理；支持IPSec、L2TP以及PPTP等多种形式的VPN功能。

4.2 VPN服务配置

在总部网络出口UTT3640上的“VPN配置—IPSec”页面配置VPN，以本地绑定接口为WAN 1口为例。

图2 IPSec VPN配置

连接方式可选择网关到网关、动态连接到网关和对方动态连接到本地（对端如果ADSL拨号上网，选择此）。在各教育培训机构出口U2000上也做同样的IPSEC配置，只是把地址换成总部培训机构的IP地址。

为远程移动办公用户配置PPTPVPN登陆路由器的管理界面，选择“VPN配置”—“PPTP和L2TP”—“拨入（服务器）”—“用户类型”选择“移动用户”，创建一个用户名和密码即可，对于“描述”是自定义的，如图3所示。

图3PPTP和L2TPVPN配置

4.3 客户端设置

在客户机系统新建一个VPN用户拨号连接(也可以使用专门的拨号软件)，输入分配的用户名和密码。拨号成功后，教育培训机构可以访问总部培训机构资料，但是客户端将有两个网关，一个是VPN的网关，另一个是自己本身上网的网关，教育培训机构要实现单独上网和访问总部培训机构两种功能需求，必须在VPN拨号成功的图标上，点击右键——属性选择Internet协议（TCP/IP）——点击属性按钮——高级按钮，然后在“高级”的“常规”标签里面取消勾选“在远程网络上使用默认网关”。

提示：VPN建立连接后出现无法访问，请关闭PC或路由器上的防火墙功能，再次尝试。

5 结束语

VPN技术具有安全性好、实用性强、运营成本低、易于管理、可靠性高等优点，越来越地应用在具有多个分部的企业和事业单位。在教育培训机构统一品牌和资源建设的情况下，VPN的技术和产品将受到更多用户的青睐和重视。

[1]王松江.VPN技术在计算机网络中的应用[J].计算机光盘软件与应用，2013，124-125.

[2]高媛.VPN技术在高校图书馆网络资源共享中的实践与思考[J].图书馆工作与研究，2012，(07)：43-44.

[3]王凤领.基于IPSec的VPN技术的应用研究[J].计算机技术与发展，2012，(09)：250-250.

[4]艾泰科技技术服务文档[EB/OL].http：//www.utt.com.cn.