【文章內(nèi)容簡(jiǎn)介】 于遠(yuǎn)程用戶連接，用戶可通過任何Web瀏覽器訪問校園網(wǎng)Web應(yīng)用，因而SSL VPN存在一定安全風(fēng)險(xiǎn)。而IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點(diǎn)接入，所以安全性更高一些。但不可否認(rèn)，SSL VPN依然更加適合大多數(shù)校園網(wǎng)，因?yàn)樵诨ヂ?lián)網(wǎng)時(shí)代，更多的信息交流需要實(shí)現(xiàn)完全互通，比如SSL VPN提供更細(xì)粒度的訪問控制、能夠穿越NAT和防火墻設(shè)置、能夠較好地抵御外部系統(tǒng)和病毒攻擊、網(wǎng)絡(luò)部署靈活方便等特點(diǎn)，為其在校園網(wǎng)應(yīng)用中贏得了不少亮點(diǎn)。 　　圖35 SSL VPN可實(shí)現(xiàn)校園網(wǎng)安全管理 VPN為校園網(wǎng)帶來(lái)的應(yīng)用在校園網(wǎng)中，通過VPN給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，VPN能為校園網(wǎng)帶來(lái)哪些具體應(yīng)用優(yōu)勢(shì)呢？首先就是辦公自動(dòng)化，比如校園辦公樓共有40個(gè)信息點(diǎn)，此時(shí)可以通過校園網(wǎng)連至INTERNET用戶，實(shí)現(xiàn)100M甚至1000M到桌面的帶寬，并對(duì)財(cái)務(wù)科、人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。 還可以利用VPN在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個(gè)多媒體教室，每個(gè)教室60臺(tái)PC，通過校園網(wǎng)上連至INTERNET，實(shí)現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的PC通過校園網(wǎng)上連至INTERNET，而不進(jìn)行任何布置。校園網(wǎng)采用VPN技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到Internet，以Internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購(gòu)買和維護(hù)通信設(shè)備的費(fèi)用?，F(xiàn)在很多大學(xué)都有多個(gè)分校，各個(gè)分校和培訓(xùn)場(chǎng)所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲(chǔ)，許多學(xué)校都采用了分布式存儲(chǔ)方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取VPN服務(wù)器，可以對(duì)各分校進(jìn)行Web通訊控制，同時(shí)又可以實(shí)現(xiàn)分校訪問互通。 　　圖36 校園網(wǎng)VPN典型應(yīng)用方案 為了讓師生共享圖書資源，與國(guó)外高校合作交換圖書館數(shù)據(jù)，以及向國(guó)外商業(yè)圖書館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書館，但在應(yīng)用上也會(huì)產(chǎn)生相應(yīng)的約束性，比如說為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過的內(nèi)部合法師生，此時(shí)采用VPN加密技術(shù)，數(shù)據(jù)在Internet中傳輸時(shí)，Internet上的用戶只看到公共的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實(shí)現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問校內(nèi)未向互聯(lián)網(wǎng)開放的資源。同時(shí)又確保了校園數(shù)字圖書館的易用性和安全性。 　　圖37 VPN在校園數(shù)字圖書館的作用 VPN支持的校園網(wǎng)接入方式在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、ISDN、ADSL撥號(hào)上網(wǎng)，而對(duì)于條件好的高校，則采取了光纖或DDN、幀中繼等專線連接，那么，VPN方案到底支持哪種接入方式呢？實(shí)際上，VPN可以支持最常用的網(wǎng)絡(luò)協(xié)議，因?yàn)樵贗nternet上組建VPN，用戶計(jì)算機(jī)或網(wǎng)絡(luò)需要建立到ISP連接，與用戶上網(wǎng)接入方式相似，比如基于IP、IPX和NetBUI協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用VPN方案。 圖38 ADSL虛擬撥號(hào)實(shí)現(xiàn)VPN組網(wǎng)A校校園網(wǎng)VPN解決方案：我校共有兩個(gè)校區(qū)：老校區(qū)和新校區(qū)，兩個(gè)校區(qū)之間通過新校區(qū)的Cisco6513和老校區(qū)Cisco6509萬(wàn)兆相連，Cisco6513又與邊界出口Cisco6503相連,具有四條通道：計(jì)費(fèi)網(wǎng)關(guān)，VPN，兩條Trunk通道。網(wǎng)絡(luò)拓?fù)鋱D如圖39所示： 圖39 校園網(wǎng)VPN解決方案因?yàn)镃isco6513為我校校園網(wǎng)核心交換，因此我們選擇CISCO VPN模塊安裝在Cisco6513上。在Cisco6513上的VPN配置如下：以下是啟動(dòng) aaa，打開radius服務(wù)器上的用戶認(rèn)證，打開cisco組用戶的本地授權(quán)的配置aaa newmodelaaa authentication login default group radius localaaa authorization network cisco local以下是為遠(yuǎn)端VPN用戶定義crypto策略，使用3des加密、共享密鑰和用group2產(chǎn)生密鑰的配置crypto isakmp policy 1encr 3desauthentication presharegroup 2以下是創(chuàng)建組驗(yàn)證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問的IP范圍的配置：crypto isakmp invalidspirecoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15crypto isakmp xauth timeout 45crypto isakmp client configuration group ciscokey ciscodns pool remotepoolacl 101 以下是定義crypto的transform屬性的配置：crypto ipsec transformset transform1 esp3des espshahmac以下是定義crypto的動(dòng)態(tài)map的配置crypto dynamicmap dynmap 1set transformset transform1 以下是創(chuàng)建一個(gè)合成的map，將合成map綁定到端口上的配置：crypto map clientmap client authentication list defaultcrypto map clientmap isakmp authorization list ciscocrypto map clientmap client configuration address respondcrypto map clientmap 1 ipsecisakmp dynamic dynmap 以下是定義兩個(gè)端口為vpn模塊的虛擬端口的配置：interface GigabitEthernet2/1switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 906switchport mode trunkspanningtree portfast trunkinterface GigabitEthernet2/2switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 903switchport mode trunkspanningtree portfast trunk以下是接口為PORT VLAN的配置，它接口地址分配在防火墻INSIDE接口上：interface Vlan903no ip addresscrypto connect vlan 906interface Vlan906ip address 以下是將合成的map應(yīng)用到該接口的配置：crypto map clientmapcrypto engine slot 2以下是定義分配給VPN用戶的地址段的配置:ip local pool remotepool 以下是定義VPN允許訪問的地址范圍。accesslist 101 permit ip 以下是電信防火墻上的配置，其中，,。nat (inside) 1 global (outside) 1 netmask route inside 1route inside 1在配置中需要注意的是，如果VPN用戶通過防火墻撥號(hào)進(jìn)來(lái)，則要在防火墻outside端口上允許esp協(xié)議，具體配置如下：accesslist 105 extended permit esp any host accessgroup 105 in interface outside VPN在某校校園網(wǎng)中的實(shí)際應(yīng)用該校VPN主要應(yīng)用于校園網(wǎng)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理以及校外用戶訪問校內(nèi)網(wǎng)絡(luò)資源。具體應(yīng)用是通過VPN客戶端EZVPN,因?yàn)镋ZVPN是Cisco公司的VPN客戶端軟件，它允許用戶在不安全的網(wǎng)絡(luò)上建立VPN終端設(shè)備與客戶端之間的VPN通道，從而使得用戶能夠通過比如撥號(hào)等上網(wǎng)方式來(lái)安全的接入到校園網(wǎng)內(nèi)部，接入后獲得校園網(wǎng)內(nèi)部地址，這樣就可以訪問校內(nèi)的共享資源。以下是客戶端操作實(shí)例圖，如圖310所示。以下是VPN客戶端軟件的配置說明Connection Entry中填寫VPN的名稱，Description可隨意填寫，Host中填寫VPN的服務(wù)器名稱，Name和Password中分別填寫用戶名和密碼。圖310 VPN客戶端 結(jié)論該校校園網(wǎng)自2004年10月以來(lái)，利用VPN實(shí)現(xiàn)的遠(yuǎn)程OA和遠(yuǎn)程網(wǎng)絡(luò)管理運(yùn)行正常。實(shí)踐證明，VPN技術(shù)解決方案具有強(qiáng)勁的認(rèn)證功能、有效的加密保障、安全的遠(yuǎn)端存取、IP路徑選擇、防火墻等功能，能夠較好地應(yīng)用于遠(yuǎn)程訪問、企業(yè)網(wǎng)連接、外部網(wǎng)連接等。 方案分析 由于SSL VPN網(wǎng)關(guān)雖然提供簡(jiǎn)單的包過濾功能，但是遠(yuǎn)遠(yuǎn)不如防火墻/VPN一體機(jī)安全，因此SSLVPN網(wǎng)關(guān)需要通過防火墻進(jìn)行特殊的安全保護(hù)部署；同時(shí)由于它位于防火墻后面，也使得SSL的數(shù)據(jù)無(wú)法被防火墻進(jìn)行安全過濾，但在同等條件下防火墻/VPN一體機(jī)則很好解決了加密和防火墻的訪問控制的矛盾。圖311 在Windows中可輕易實(shí)現(xiàn)VPN連接實(shí)際上，VPN技術(shù)原是路由設(shè)備具有的重要技術(shù)之一，也就是說，市場(chǎng)上大部分交換機(jī)、路由器都可以支持VPN功能，因而從廣義上來(lái)看，目前VPN產(chǎn)品包括單純VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等。如果選擇普通VPN設(shè)備，盡管其提供了身份驗(yàn)證和數(shù)據(jù)加密能力，但對(duì)于需要與Internet互通的校園網(wǎng)，安全級(jí)別還遠(yuǎn)遠(yuǎn)不夠，為此，建議校園網(wǎng)選擇VPN防火墻，或者為普通VPN設(shè)備搭配一臺(tái)專用防火墻，不過要注意，如果采用普通VPN設(shè)備搭配防火墻，VPN與防火墻的協(xié)同工作會(huì)遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無(wú)法制定或者帶來(lái)性能的損失，如防火墻無(wú)法使用NAT功能等。而如果采用VPN防火墻，則上述問題不存在或很容易解決。 第4章 VPN在企業(yè)建構(gòu)的應(yīng)用與優(yōu)化第4章 VPN在企業(yè)構(gòu)建的應(yīng)用與優(yōu)化 VPN在企業(yè)構(gòu)建的應(yīng)用 意義目標(biāo)和總體方案 1. 設(shè)計(jì)意義通過功能模塊的設(shè)計(jì)，企業(yè)使用VPN技術(shù)組建網(wǎng)絡(luò)可以帶來(lái)以下好處首先遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎sP申請(qǐng)賬戶登錄到Internet，以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；其次企業(yè)可以節(jié)省購(gòu)買和維護(hù)通訊設(shè)備的費(fèi)用。VPN使用三個(gè)方面的技術(shù)保證了通信的安全性通道協(xié)議，身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限。如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。VPN支持最常用的網(wǎng)絡(luò)協(xié)議?；贗P、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN。這意味著通過VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。因?yàn)閂PN是加密的，VPN數(shù)據(jù)包在Internet中傳輸時(shí)，Internet上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。 VPN相對(duì)于專線而言，在價(jià)格上有著絕對(duì)的優(yōu)勢(shì)；相對(duì)于普通PSTN撥號(hào)連接，VPN在安全性、保密性上更勝一籌。企業(yè)通過使用VPN技術(shù)組建網(wǎng)絡(luò)，可以保證數(shù)據(jù)在傳輸過程中的安全性和QOS(服務(wù)質(zhì)量保證)。VPN具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)擴(kuò)充與遠(yuǎn)程辦公室、國(guó)際區(qū)域、遠(yuǎn)程計(jì)算機(jī)、漫游的移動(dòng)用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時(shí)擴(kuò)大VPN的容量和覆蓋范圍，因此可以大幅度降低數(shù)據(jù)通信的費(fèi)用。 使用基于IPSEC協(xié)議的VPN技術(shù)組建企業(yè)網(wǎng)，通過雙方路由器端的設(shè)置，Windows 2000 Server 服務(wù)器的配置和客戶端端撥號(hào)軟件的設(shè)置。使得一個(gè)企業(yè)總部與分公司或者是合作伙伴能夠使用現(xiàn)有網(wǎng)絡(luò)連接建立虛擬隧道連接。通過設(shè)置賬號(hào)、密碼以及權(quán)限，移動(dòng)辦公人員可以隨時(shí)隨地通過接入Internet，查看企業(yè)內(nèi)部資料。 具體設(shè)計(jì)方案1．需求分析 在本文設(shè)計(jì)的企業(yè)模型中，企業(yè)內(nèi)部以及各分支機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)行有多種企業(yè)應(yīng)用。如總部?jī)?nèi)建設(shè)、文檔共用服務(wù)、視頻會(huì)議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動(dòng)化系統(tǒng)、公司ERP系統(tǒng)等。公司在未來(lái)可能開發(fā)更多的內(nèi)部應(yīng)用，如Client/Server模式的應(yīng)用(TCP、UDP或TCP/UDP協(xié)議的應(yīng)用)，公司通過防火墻接入Internet。而目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問。隨著企業(yè)規(guī)模的擴(kuò)大，業(yè)務(wù)量也隨之逐漸增加，各地分公司、辦事處的業(yè)務(wù)部門之間的信息交互也日漸頻繁。部門間經(jīng)常需要傳遞一些重要的數(shù)據(jù)和信息，對(duì)于數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程中的安全性要求顯