杨志贞

（中国联合网络通信有限公司 惠州市分公司，广东 惠州 516003）

0 引 言

虚拟专用网络是组成计算机网络信息安全的重要内容，不但决定了存储信息的安全性，还影响了计算机网络环境。目前科技发展非常迅速，互联网体现出较强的共享性和开放性，但终究不能解决安全问题，一旦泄露网络信息，容易带来相关损失。在应用虚拟专用网络技术的前提下，可以保证安全传输信息，预防泄露信息的风险，最大程度确保了计算机网络安全[1]。

1 虚拟专用网的分类与原理

1.1 分 类

通常虚拟专用网（Virtual Private Network，VPN）有连接分支机构、连接业务伙伴或供应商以及用户远程访问3种类型。其中，分支机构连接网络指一个组织内部与两个彼此信任的内部网安全连接，如图1所示。

图1 分支机构连接网络

连接业务合作伙伴或供应商网络指互相不信任的两个网络进行连接，因为是主机到主机的安全连接，所以与连接分支机构的虚拟专用网络对比，该种虚拟专用网络需协商大量的安全关联，进而安全分配和刷新密钥，同时客户机、服务器以及安全网关均支持IPSec协议[2]。

远程访问网络指用户通过Internet安全、低成本地远程访问公司内部网，具体如图2所示。

图2 远程访问网络

1.2 原 理

基于Internet的VPN工作原理如图3所示，主机向源VPN安全网关发送明文数据，网关依据安全策略检查和加密数据。安全网关通过会话密钥加密和认证数据，之后为其安装新的IP报头，从而保护了源主机和目的主机的IP地址。当目的VPN安全网关出现解除封装的数据时，信息包被认证和解密，最后向目的主机传输解密的明文数据[3]。

图3 基于Internet的VPN工作原理

2 虚拟专用网络的主要技术

2.1 隧道技术

隧道技术是采取压缩方式将数据信息转化为数据包，进而实现传输，避免传输中发生丢失零散数据的问题。计算机网络技术在应用中，选择公用数据网络建立隧道进而应用隧道技术，隧道技术需根据网络隧道、承载以及被承担协议等实现应用[4]。

2.2 加密技术

加密技术为计算机系统数据信息提供了保护，提高了存储设备上数据信息的安全性，此外也实现对VPN技术和隧道技术的保护。如果数据源和关联的计算机系统未采取硬件加密技术实现加密，那么计算机系统数据容易被窃取或破坏，特别是用户信息与银行信息的泄露将会给用户造成巨大损失[5]。

2.3 数据认证技术

数据认证技术以公钥加密的数字签名实现，主要是指发送信息对象利用公钥算法技术形成他人无法伪造的签名值，同时对其加密。发送对象采取自己的私钥签名数据产生签名值，之后采取接收对象的公钥加密处置数据和签名值，最终向接收对象发送数据[6]。接收对象解密数据和签名值需结合自己的私钥，然后用发送对象的公钥检验签名值，进而锁定消息出处，验证发送信息是否真实，保证加密信息的机密性。数字签名包括真实数字签名与公正数字签名。在真实数字签名中，签名对象将签名消息发送给接收对象，接收对象独立对签名检验。而在数字签名公证过程中，签名对象发送信息的前提是具有可信的第三方，且接收对象无法对签名直接检验[7]。

3 虚拟专用网络技术的应用（以校园网为例）

校园网借VPN技术保证网络安全，对网络灵活管理。在设置程序中应用VPN设备和相关软件，基于不同物理网段安全连接LAN，联系现实要求及时调整LAN。

3.1 实现VPN的基础平台

3.1.1 纯软件平台

在部分已知的网络环境内，将支持VPN的软件安装在普通设备上，有效提升原有设备功能。利用软件公司提供的软件实现VPN，这种做法实施便捷，降低了投资，但基于原有设备性能只能提供有限的功能，应用在连接速率要求偏低和连接比较分散的场合。为了在跨公网部门网络间以对等方式连接VPN，要将VPN引入网络通信设备，在网络通信设备上应用VPN专用软件模块，提高传输效率。需注意的是，一般厂家只能升级部分系列产品的VPN。

3.1.2 专用硬件平台

为了在部分网络设备实施VPN，一些设备厂家结合VPN协议，专门设计了VPN的硬件设备平台，在硬件通信平台建立功能服务器，从而实现VPN应用，使VPN网络连接更简单[8]。

3.2 基于L2TP协力建立VPN

校园网路由器科学应用L2TP协议，凭借VPN技术与不同物理位置分布的相同部门节点设备结合跨越校园网，组建一个LAN子网，紧密联系了校园网络内行政单位的划分。基于L2PT协议的VPN结构如图4所示。

图4 基于L2PT协议的VPN结构

L2TP包括LAC与LNS，其实现过程如下。用户将传输数据请求发送至异地内部网络，将使用隧道技术的请求发送至本地LAC。本地LAC根据隧道特征向用户提供对应服务，如果已建立隧道，则科学封装源网络数据包，以隧道方法传输数据，如果未建立隧道，则向LNS发送内部网IP映像的请求，初步构建内部隧道，再完成对源网络数据包的封装，向目标网发送隧道数据包，消除封装包头，还原处理网络层的数据包[9]。

3.3 基于PPTP协议建立VPN

校园网各院系部门业务借机器达到联系的目的如二级财务的联系、教务管理以及人事管理。具体通过服务器集中交流数据，围绕客户端有效整合分散的业务，且通过PPTP协议在服务器与客户之间建立VPN隧道。基于PPTP协议的VPN结构如图5所示。

图5 基于PPTP协议的VPN结构

以PPTP在客户机和服务器间开展加密通信业务。PPTP客户机是指PC机引用PPTP协议，PPTP服务器是科学运行PPTP协议。合理设计服务器与客户机，从而围绕PPTP构建隧道连接。客户端安装了PPTP协议后产生建立隧道的请求，通过特定端口发送至服务器PPTP端口，服务器端验证身份，向目标主机发送封装的数据包。PPTP协议与客户端采取拨号方法接入，一些在家办公或出差办事的员工可选择ISP接入，此时有必要实行二次拨入，通过普通拨号方式接入ISP服务器，建立PPP连接。在这个基础上开展二次拨号，与PPTP服务器进行连接，获取PPTP隧道，即按IP协议连接另外一个PPP，顺利封装部分局域网络，达到跨公网LAN连接[10]。

3.4 社会拓展校园网业务

基于物理连接的不足和主干的宽带等因素，Cernet主要业务是内部交流与Internet外联。而当Cernet主干综合提速和建立互联网交换中心时，不断扩大和发展Cernet，与社会关键业务强化合作。当前VPN技术对不同的网络物理进行连接，在Cernet校园网子网与连接Cernet的合作企业采取合理技术连接VPN，有利于较好开展教育科研工作。另外，在日益复杂的交流过程中，通过ChinaNet接入环境，建立内部网络VPN连接，提高内部网络通信连接的安全水平。

根据固化网络设备提供的控制软件应用VPN技术。VPN的实施很容易，在设计校园网初期综合考虑VPN功能，注意只有生产设备支持该类服务才能升级设备。VPN技术涉及的隧道通信、加密以及解密操作均增大了数据量，增加了网络硬件负载，一定程度影响了原来网络的功能。因此利用专业VPN设备设计网络，减少使用VPN连接的次数。

根据原有网络情况实施VPN，校园网络建设表现出参差不齐的特点，通过各种协议或并存各种协议实现VPN，根据与网络匹配的协议特点选择VPN协议。保证VPN安全的核心是设计认证策略，结合拟建的VPN单位设置安全认证策略，科学选择VPN密钥技术，制定方案明确可授权与非授权的部门。

4 结 论

虚拟专用网络技术的现实应用过程就是在计算机网络建设一个专业化的信息传递平台，跨区域传递资源与文件，借技术保证安全传输信息，从而可靠运行计算机网络。虚拟专用网络技术在实际应用中，借网络空间提高虚拟专用网络技术的应用效率，保证工作质量，提升了系统的安全水平。科技的发展相应优化了虚拟专用网络技术，为用户创造了一个稳定的网络环境。