校园网vpn

校园网vpn（共6篇）

篇1：校园网vpn

之前西湖论坛上有一位师兄发过一个软件，能让电信网用户进入校园网，但由于这个软件有很多的兼容性问题，所以很多同学都没办法实现。

师兄的软件是帮我们建立一个VPN代理，那我们可以自行建立代理，以进入校园网。以下是WIN7建立VPN代理的教程。

首先，我们进入网络和共享中心

设置新的连接或网络

选择连接到工作区

选择下图选项

这里需要我们填写Internet地址，这时我们填写上次师兄给的IP 也就是113.106.216.154，下一步

用户名跟密码都用师兄给的那个，账号

vpdnuser 密码hello

填写完毕后，点击连接即可

我们检查看看VPN是否已经成功建立，并顺利连接

接下来我们就可以登录教务系统了

篇2：校园网vpn

摘 要 VPN是一项迅速发展起来的新技术，其在电子商务、公司各部门信息传送方面已经显现出了很大的发展潜力。相信将来其在军队院校信息化建设和信息安全传输上也能发挥应有的作用。关键词 VPN；虚拟专用网；SSL VPN；IPSec VPN1 引言 VPN(Virtual Private Network)即虚拟专用网，是一项迅速发展起来的新技术，主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络，仅在效果上和真正的专用网一样，故称之为虚拟专用网。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成，不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术，使得传送数据报的路由器均不知道数据报的内容，就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。2 隧道技术的实现 假设某公司在相距很远的两地的部门A和B建立了虚拟专用网，其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然，这两个部门若利用因特网进行通信，则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2，且其全球IP地址分别为125.1.2.3和192.168.5.27，如图1所示。图1 现在设部门A的主机X向部门B的主机Y发送数据报，源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密，然后重新封装成在因特网上发送的外部数据报，这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3，而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后，对其进行解密，恢复出原来的内部数据报，并转发给主机Y。这样便实现了虚拟专用网的数据传输。3 军队院校校园网建设VPN技术应用设想 随着我军三期网的建设，VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先，军队的特殊性要求一些信息的传达要做到安全可靠，采用VPN技术会大大提高网络传输的可靠性；第二，军队院校不但有各教研室和学员队，还包括保障部队、管理机构等，下属部门较多，有些部门相距甚至不在一个地方，采用VPN技术可简化网络的设计和管理；第三，采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。而VPN技术的特点正好能够满足以上几点需求。首先是安全性，VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP)，并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据，还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。第二，在解决异地访问本地电子资源问题上，这正是VPN技术的主要特点之一，可以让外地的授权用户方便地访问本地的资源。目前，主要的VPN技术有IPSec VPN和SSL VPN两种。其中IPSec技术的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外还能对IP数据包进行加密

和认证。而SSL VPN技术则是近几年发展起来的新技术，它能够更加有效地进行访问控制，而且安全易用，不需要高额的费用。该技术主要具有以下几个特点：第一，安全性高；第二，便于扩展；第三，简单性；第四，兼容性好。

我认为军队院校校园网VPN技术应主要采用SSL VPN技术。首先因为其安全性好，由于IPSec VPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSec VPN网关，它可以在内部为所欲为。因此，IPSec VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全，而SSL VPN则是接入企业内部的应用，而不是企业的整个网络。它可以根据用户的不同身份，给予不同的访问权限，从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构，安全保密应该是主要考虑的方面之一。第二，SSL VPN与IPSec VPN相比，具有更好的可扩展性。可以随时根据需要，添加需要VPN保护的服务器。而IPSec VPN在部署时，要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署。第三，操作的复杂度低，它不需要配置，可以立即安装、立即生效，另外客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行。第四，SSL VPN的兼容性很好，而不像传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件。此外，使用SSL VPN还具有更好的经济性，这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入；但是对于IPSec VPN来说，每增加一个需要访问的分支就需要添加一个硬件设备。

虽然SSL VPN的优点很多，但也可结合使用IPSec VPN技术。因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSec VPN是在两个局域网之间通过网络建立的安全连接，保护的是点对点之间的通信，并且，IPSec VPN工作于网络层，不局限于Web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。可用于军校之间建立虚拟专用网，进行安全可靠的信息传送。4结论

总之，VPN是一项综合性的网络新技术，目前的运用还不是非常地普及，在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求，VPN技术将会发挥其应有的作用。

参考文献

[1] 谢希仁.计算机网络(第4版).北京：电子工业出版社，2003

篇3：基于VPN的高校校园网构建方案

1 VPN技术概述

VPN是采用加密技术,利用公共通信网络设施的一部分来发送专用信息,为相互通信的节点建立起一个相对封闭的、逻辑的专用网络。它通常用于大型组织跨地域的各个机构的联网信息交换,或是流动工作人员与总部之间的通信。VPN技术是相对传统的专用网络的构建方式而言的。一般的上网方式是通过远程拨号或DDN专线方式实现的,而VPN是在公共网络上实现远程的连接,也就是VPN是建立在公用网上仿真专用网络的设备,实现共享的目的,而非物理上独立存在的网络。

VPN采用的技术如下:

1)隧道技术。隧道技术是构建VPN网络的关键技术,它在公共网络上实现,建立点对点的连接,使数据包在公共网络的专用隧道内传输。来自不同的数据源的网络业务可以经由相同的隧道在不同的体系结构上传输,并允许网络协议穿越不同的体系结构,还可以区分不同的数据源的业务,因而可将该业务发往指定目的地,并授受指定等级的服务[1]。

2)加密解密技术。VPN使用隧道技术在两点或两端之间建立一条通道,两边的设备在传送数据前还必须对数据进行加密,另一方在接收到数据后进行解密,以保障通信安全。在这种模式中,用户的数据包被封装进新的IP,分别以开通器和终端器的IP隐藏信源和信宿服务器的地址。

3)身份鉴别技术。VPN基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。公共网络中有众多的使用者与设备,VPN系统需要正确地辩认合法的使用者与设备,使属于本单位或授权的人员与设备能互相通信,构成一个VPN并且让未授权的者无法进入通信系统。辩认合法使用者的方法很多,最常用的方法就是使用者名称或卡片式两端认证等方法。设备认证则需要依赖于电子证书核发单位的所颁发的证书,通信双方要核对证书后,如果正确,即可交换数据。

综合而言,建立于公共网络上的VPN由于采用了隧道和加密解密算法,以及使用身份鉴别技术,实现了网络安全,简化了网络设计和管理,降低了成本。

2 VPN工作流程

VPN工作过程如图1所示。

在图1中,信源和信宿要进行通信。局域网1中的信源把明文数据发送至VPN设备,VPN设备接收数据后,根据访问控制规则判断是否让数据通过。如果数据可以通过,则对数据进行加密,并进行数字签名[2],然后根据隧道协议,对加密后的数据重新封装,并加上新的目标地址,建立新的隧道,把数据通过隧道在Internet上传输。目标VPN设备接收到数据后,先根据隧道协议解封,核对数字签名,核对无误则对数据包进行解密,得到明文数据,然后根据明文中的目的地址把数据发送至局域网2中的信宿。

3 基于VPN的校园网构建方案

在图2的结构图中,共有两个校区,两个校区通过专线连接。而每个校区都通过路由器连接至具备VPN功能的防火墙[3],而路由器还有专门的VPN隧道与防火墙连接。防火墙连接至外面的Internet,同时校园网还连接至教育科研网中。居住于校外的教师和出差的教师通过VPN客户端访问校园网,他们可以很方便地访问校内图书馆、内部教务信息系统、校内软件下载站等,就如同校内用户一样。

可以看到这种基于VPN的校园网的建网方案,可以满足用户的要求,投资也小。实现这种方案最关键的是VPN服务端和客户端的设置。

3.1 VPN服务端设置

1)在Windows 2000 Advanced Server中选择“开始”-“管理工具”-“路由和远程访问”,在窗口中右击本地计算机名,选择“配置并启用路由和远程访问”。

2)在公共配置中,单击虚拟专用网络(VPN)服务器;再单击下一步,在远程客户协议中,验证远程访问VPN客户端所使用的所有数据协议都存在,必要时添加数据协议;然后单击下一步,在Internet连接中,单击与连接到Internet或周边网络上的接口相对应的连接。

3)如果需要使用DHCP来取得远程VPN客户端的IP地址,则选择自动分配在IP地址。也可以通过选择一个或多个静态IP地址范围,把这些IP地址分配给远程用户,例如可以分配的范围设为192.168.110.1-192.168.110.100。如何采用DHCP动态分配IP,则网络速度相对较慢;而使用静态分配IP的话可减少IP地址解析时间,提升网络速度,其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段,也可自行定义。

4)Windows系统的的默认远程访问控制策略是不能让VPN用户访问校园网的。要让校外VPN用户访问校园网,还需要设置缺省的远程访问控制策略。方法如下:在控制台目录树中选择“远程访问策略”,右击默认的远程控制策略,选择“属性”,采用缺省的条件和配置文件,设置如果符合上面的条件时“授予远程访问权限”。

5)证书安装。无论在服务端还是在客户端,都需要安装证书,才能建立L2TP的隧道。其方法是在“Windows组件”中添加证书服务。

6)设置端口数量[4]。Winodws服务器默认的L2TP端口数量是5,即是只能让5个校外VPN用户访问校园网,这显然是不够的,需要重新增加端口数量。方法是右键单击目录控制树中的“端口”,然后单击属性,在“属性”对话框中,单击“WAN微型端口”,然后单击配置,在“最多端口”中,输入新的端口数量。

除此之外,还要在网络中心的防火墙和路由器上进行相应的设置,使其支持VPN通信。

3.2 VPN客户端设置

校外VPN用户需要对校内网进行访问,必须先设置VPN客户端软件。在Win2000/XP中,在系统的“网络和拨号连接”中新建连接,网络连接类型选择“通过Internet连接至专用网络”,即通过Internet创建虚拟专用连接,再设置“目标地址”页面中VPN服务器的专用地址,并给其起名字,如“VPN连接”。

校园网的VPN通信系统中服务器和客户端都已配置完毕,校外用户就可以通过VPN连接访问校内网了。校外用户登录时,需要输入用户名和密码。连接成功后,在任务栏的状态区上会出现VPN连接图标。此时,居住于校外和出差的教职工就可以方便地访问校内网了。

4 结束语

VPN所具备的特点很适合解决校内外用户访问校内共享资源,或其他分布式资源。基于VPN建立的校园网,具备成本造价低、支持动态分配IP、安全性高、扩展性好的特点,已成为高校在校区分散,不少教职工居住于校外的情况下解决校区互联、图书馆资料共享的解决方案,具备良好的发展前途。

参考文献

[1]阙喜戎.信息安全原理及应用[M].北京:清华大学出版社,2003:339-352.

[2]张涛.VPN技术在校园网中的应用与实例[J].南通航运职业技术学院学报,2006,5(4):26-28.

[3]王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].图书馆学研,2006,(5):30-32.

篇4：校园网vpn

关键词:VPN 校园网;利用研究

近年来,随着校园网网络教学资源的日益丰富,网络应用日渐成熟,学校师生对校园网资源的依赖性越来越大。但由于安全性及知识产权的限制,这些资源大多只能在校园内访问,而很多学校存在教师部分或全部住在校外等情况,校园网资源远远无法得到充分利用。因此,借助VPN技术,能够满足校外师生随时随地获取校园网资源,极大方便教师移动备课和学生数字化学习,能够有效提高教学质量。

一、校园网资源远程访问的需求

校园网资源的远程访问,最主要解决的问题有五大方面:

(一)支持多种应用。

多数校园网资源为了保证数据信息的知识产权,浏览者主机必须是已缴纳版权费的校园网内网IP地址才能实现对校园网内资源的访问。这些应用系统不仅是Web访问,还包括了mail、FTP等多种协议,系统架构有B/S结构,也有C/S结构。

(二)提供细粒度访问控制。

校园网资源的开放必然会导致安全性的降低,而不同身份的用户对资源的使用权限也不一样,需要针对师生用户的不同要求,通过设定不同的角色和访问权限等加以限制。

(三)安全性要求高。

校外访问有时无法辨别身份,同时当用户使用公用计算机进行操作时也会有一定的安全漏洞,用户计算机也有可能存在中病毒等情况,所以当用户使用不安全的计算机通过VPN访问校内网时,会给内网带来安全隐患。因此,要求VPN认证网关有相应的认证措施,加密措施及用户记录清除措施。

(四)满足不同用户环境访问。

用户所处外部环境通常都很复杂,包括从电信、联通、铁通等不同ISP接入到公网来访问学院校园网,所以在部署上会较为复杂。

(五)使用便捷,方便管理。

由于用户较分散,用户对计算机的熟悉程度也不同,所以VPN网关设备的设置,必须具备一定的简易程度与高灵活度等特性,以满足不同地点和不同上网方式需求的弹性空间,实现客户端进行轻松的VPN连机,同时也方便网管进行远程控管。

二、VPN技术

VPN指的是依靠ISP和其他NSP,在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。这种连接再通过对用户的身份验证、地址管理、数据加密以及密钥管理等特殊管理功能,保证了合法用户在校外访问校内电子资源的权利,并使访问的安全性得到了大大提高。由于虚拟专用网技术将校园网之外的远程终端或局域网以虚拟网络的形式纳入到校园网之内,所以校外合法用户经身份验证后就可以像校内用户一样使用校内的电子资源。

(一)VPN技术选择。

目前VPN技术国际上比较流行的协议主要有 IPSec、MPLS、SSL等,这些的协议各有其独特的优势和缺陷。

第一,由于MPLS VPN的构建需要全网路由转发设备都支持MPLS协议,因此多为网络运营商部署。

第二,IPSec VPN在一组基于密码学的安全的开放网络安全协议体系之上,通过为通信双方建立一个安全隧道来保障通信安全。但是,IPSec VPN需打开多个端口,且每个客户端都需要安装并配置好客户端软件才能建立连接,当网络环境发生变化时,VPN的管理难度将呈几何级数增长,并不适用分散移动用户的远程安全接入。

第三,SSL(Secure Sockets Layer)安全套接层协议是由Netscape公司设计的基于Web应用的安全协议,它指定了一种在应用程序协议(如Http、Telnet、SMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便可能带来的大量病毒和蠕虫的入侵等问题。SSL VPN的缺点是仅支持有限的Web应用。

显然, 针对学校主要访问WEB、FTP、Email等应用、大量师生需从校外远程访问的需求现状,SSL VPN 的应用特点更适合应用于远程移动分散用户的安全接入。

(二)SSL VPN实现方式。

SSL VPN基本组件包括VPN网关和客户端,VPN网关类似网关服务器,是实现外网到局域网连接的设备,它的一端连接企业内部的局域网络,另一端则接入公共网络。

当一个位于公共网络线路上的用户需要访问校园内部网时,用户的上网设备称为客户端,他需要设置一个用于VPN的虚拟拨号连接,对应的IP地址和帐号密码均由校园内架设的 VPN网关提供。所需的操作过程与平时上网没什么两样,当通讯链路成功建立后,这台计算机就被视为校园局域网中的一台内部计算机,进行方便快捷的资源共享与数据交换。

根据VPN网关的搭建方式,SSL VPN可以有以下几种实现方式:

1. 基于VPN软件(VPN服务器)的系统。

基于独立VPN软件的系统解决方案主要是在路由器上做相应的端口映射到主机,再采用VPN软件构建VPN服务器,提供远程客户端的访问。一般LINUX操作系统可以采用openVPN等软件来配置服务器,而WINDOWS server操作系统本身就集成了VPN远程访问服务器。基于独立VPN软件的系统解决方案优点是配置简单,在校园网现有设备基础上实现,无需另外增加设备,更为灵活。但是,建出的VPN不稳定,难以管理,安全方面也会受到影响。在性能要求不高的情况下软件产品可能是最好的选择。

2.基于含VPN防火墙的系统。

一个防火墙VPN本质上是一个带有增强的安全和防火墙功能的远程访问VPN,基于防火墙的VPN充分利用防火墙的安全机制,包括对内部网络的访问限制。它还执行地址转换,符合强认证要求,发出实时警报,并提供广泛记录功能。使用基于防火墙的VPN很经济,而且易于加固和管理。但是,这要求必须学校本身防火墙支持SSL协议,这有一定局限性。

3.基于专业的VPN硬件产品的系统。

基于硬件的VPN产品是由专业公司研制的高度集成化VPN产品,结合了业界领先的高速路由技术及VPN服务套件,集成了VPN隧道的关键特性如:数据加密、安全、高级带宽管理和服务级确认,具有企业级防火墙功能、多WAN口路由功能、专业VPN功能等,能利用它的防火墙对内网机器进行限制、划分Vlan、QoS、行为管理等。同时一般这些公司会开发增强安全、认证等方面功能的客户端软件。这种解决方案优点在于解决方案简单、高安全性以及管理方便,但是投入相对较大。

在VPN产品和解决方案的选择上学校可以根据访问量的需求和所能投入的资金预算进行灵活配置。本文主要介绍采用通用的SSL VPN网关产品进行VPN的部署的基本方法。

三、校园网VPN的部署

校园网SSL VPN 可采用路由模式部署、透明模式部署、单臂路由模式、混合部署和集中管理模式等多种部署,可根据网络规模不同设置进行不同的部署。路由模式部署、透明模式部署由于部署在出口,容易在出口处形成瓶颈。一般为了不造成访问的压力,学校SSL VPN采用单臂路由方式接入网络,在原有网络不做任何改动的情况下,终端用户通过VPN安全访问内网资源。移动用户可以同时访问Internet数据和企业内部网络数据,彼此之间不会有任何干扰。管理员可以在不变动原有网络的情况下,将SSL VPN看作内网的一台主机,直接放置在网络中使用,降低了用户管理和使用的复杂度(见下图)。

对SSL VPN服务器配置完成后,用户通过在客户端浏览器输入 https://VPN的地址,即可看到登陆界面。目前为了解决SSL VPN对非Web的应用程序的支持,许多VPN厂商在他们的SSL VPN设备上使用Java、JavaScript、ActiveX和Flash应用程序等组件,这些组件通过不同方式(生成软件网卡、截获TCP/IP协议栈的网络数据等方式)使非Web的应用程序通过SSL隧道传输,从而实现对非Web的应用程序的支持。如果是专业VPN产品在每台主机第一次登录SSL VPN会自动弹出客户端插件要求安装,按提示安装后才能完成链接,此后可信任资源的访问都将通过SSL VPN加密传输。

因此,通过SSL VPN加密的虚拟专网接入方式,不需要做任何的设置,在统一的认证平台上,通过教师证号、学号等就可以实现单点登陆,对校园网资源、进行快速远程安全访问,实现资源的共享,促进了学术交流,使校园网资源得到更充分的利用,社会效益较大。

(作者单位:广东金融学院计算机网络与教育技术中心)

参考文献:

[1]付向东,孙宁,王焕民.基于VPN技术的校园网教学资源远程访问[J].电化教育研究,2009,(2):84.

[2]闫晓弟,耶健.基于VPN的电子资源远程访问系统的研究与实现[J].情报杂志,2009,(8):159.

[3]马进宝.用VPN技术实现用户远程访问校园网资源[J].漳州师范学院学报(自然科学版).2008,(3):121.

篇5：VPN实验总结

（一）vpn access server的配置 实验网络拓扑：

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有关参数

cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。

pool pool192 ####client的ip地址从这里选取

####以上两个参数必须配置，其他参数还包括domain、dns、wins等，根据情况进行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf address respond ####响应client分配地址的请求

7、配置静态路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点：（1）因为1720只有一个fastethernet口，所以用router1720上的lo0地址来模拟router内部网络。

（2）vpn client使用的ip pool地址不能与router内部网络ip地址重叠。（3）10.130.23.0网段模拟公网地址，172.16.1.0网段用于1720内部地址，192.168.1.0网段用于vpn通道。（4）没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。（5）关于split tunnel。配置方法：首先，设置access 133 permit ip 172.16.1.0 0.0.0.255 any，允许1720本地网络数据通过tunnel，然后在第三步骤中添加一个参数：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map！！interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable！！line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一个connection entry，参数中name任意起一个，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.测试：

（1）在pc上运行VPN client，连接vpn access server。（2）ipconfig/all，查看获取到的ip地址与其他参数。（3）在router，show cry isa sa,看连接是否成功。

（4）从router，ping client已经获取到的ip地址，通过。

（5）从client，ping router的lo0配置的地址172.16.1.1，通过。

（6）查看vpn client软件的status--statistics,可以看到加密与解密的数据量。

（7）1720上show cry ip sa, 也可以查看加密与解密的数据量。

常用调试命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令，vpn连接的基本错误都可以用它来找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

实验网络拓扑：

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤：

1、配置1720路由器，参照实验一，设置为vpn server。

2、配置3662路由器，设置vpn client参数

cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式

group vclient-group key vclient-key ####设置登录vpn server的组名与组口令

peer 10.130.23.246 ####设置vpn server的ip地址，如果启用dns，则可以用hostname connect auto ####设置为自动连接。如果设为手动，则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。

local-address F0/0 ####设置vpn通道本地地址，选用f0/0，可以保证vpn server找到它

3、定义加密数据入口，这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定义加密数据出口，这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上设置静态路由，地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0

6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。

service dhcp ####启动dhcp 服务

ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段

default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间

import all ####如果配置了上级dhcp，server，则接受其所有参数 ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据没有进行加密。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以发现数据不通过加密。（6）启动pc vpn client，ping 172.16.1.1，通过。在1720上查看show cry ip sa，可以看到数据通过加密进行传输。

（7）在pc vpn client，ping 172.16.2.1，通过。在1720和3662上查看show cry ip sa，可以看到数据通过加密进行传输。在1720上show cry isa sa，可以看到两个vpn连接。

（8）在3660上扩展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client获得的ip），通过。查看show cry ip sa，可以发现数据通过加密进行传输。

说明：

（1）不同平台，不同ios版本，easy vpn client的配置有所不同。特别是加密数据入出接口的配置，配置接口前后，用show cry ip client ezvpn来查看与验证。

（2）network-extension模式，vpn client端本地ip不通过nat/pat进行数据传输。

（3）以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验

（一），设置acl 133和cry isa client conf group中的参数，完成后，可以实现测试（1）－（5）。要实现Pc vpn client和3662 vpn client 互通，即测试（6）－（8），还要在1720 的acl 133中添加两条，分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要复位vpn通道，才可以起作用。在pc端，是通过disconnect再connect来实现；在3662上，通过clear cry ip client ezvpn来复位。

常用调试命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

实验网络拓扑同实验

（二）实验步骤参考实验

（二），其中第二步，将mode network-extension改为mode client。

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，不通。这是因为3662端ip数据流是通过nat进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。在1720上打开deb ip icmp，可以看到echo reply信息的dst地址为192.168.1.19（vpn client 从vpn server获取的ip地址）。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。

说明：

（1）client 模式，vpn client端内部网络采用nat方式与vpn server进行通信，vpn client端网络可以访问server端网络资源，server端网络不能访问client端内部网络资源。

（2）client与network-extension两种模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置与数据流量。

（4）关于split tunnel，client模式的easy vpn client，与pc的vpn client类似，配置split tunnel的方法也相同。常用调试命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

实验网络拓扑： router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤：

以1720为例进行配置

（1）配置静态路由 ####在配置vpn之前，需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）定义isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。（4）定义pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 为key，两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。（5）定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name，后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值，此配置可选（6）定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应

####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer（7）将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同样方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144！！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 测试：

（1）未将map应用到接口之前，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。

（2）map应用到接口之后，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。

查看show cry ip sa，可以看到数据没有通过vpn 通道进行传输，因为不符合acl 144。（3）map应用到接口之后，在1720，扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以看到数据通过vpn 通道进行传输。

（4）在3662上同样进行测试。

说明：

（1）采用pre-share方式加密数据，配置简单，数据传输效率较高，但是安全性不高。

（2）加密数据前后，通过ping大包的方式测试，可以发现这种利用软件进行数据加密的方式，延时较大。如果需要开展voip、ip 视讯会议等业务，建议选配vpn模块进行硬件加密。

常用调试命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

实验网络拓扑：

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤：

以1720为例进行配置

（1）配置静态路由 ####在配置vpn之前，需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里 统一用general purpose key（4）复制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，复制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####设置public key addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串

粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key，则这里复制粘贴的，应该是Encryption Key（三个key中的第二个）（5）定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。（6）定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name，后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值，此配置可选（7）定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应

####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer；同样，pubkey 也要对应进行设置。

（7）将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同样方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144！！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

说明：

（1）采用rsa encrypted方式加密传输数据，默认key长度为512字节，最高可设为2048字节。安全性能较高。

篇6：VPN研究报告

互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共

享成为可能。中国高校也越来越重视数字化校园的开发，依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义，数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。

二、选题背景

随着教育信息化的深入，很多学校都建立了校园网，为了实现校内资源优化整合，让师

生们更好的进行工作和学习，他们需要在校园网内部或在校外的远程节点上，随时享受校园网内部的各项服务，然而由于互联网黑客对各高校的资源虎视眈眈，在没有经过任何允许的情况下，黑客们很容易就潜入校园网内部进行捣乱，为此，多数校园网都不会将自己的各种应用系统和所有信息资源完全开放，因为这样让整个校园网面临无以估量的破坏性损失，为了网络安全考虑，将vpn技术应用于基于公共互联网构架的校园网，可以较好的解决校园网多校区、远程访问、远程管理等问题。

三、vpn简介

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安

全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

四、vpn功能

vpn可以提供的功能： 防火墙功能、认证、加密、隧道化。

vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个

企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一，在交换机，防火墙设备或windows 2000等软件里也都支持vpn功能，一句话，vpn的核心就是在利用公共网络建立虚拟私有网。

五、vpn常用的网络协议

常用的虚拟私人网络协议有：

ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准，它主要对ip协议分组进行加密和认证。ipsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分： vpn加密分组流的封装安全载荷（esp）及较少使用的认证头（ah），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，ike协议是唯一已经制定的密钥交换协议。

pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网

（vpn）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议

l2tp: layer 2 tunneling protocol--第二层隧道协议 gre：vpn的第三层隧道协议

六、vpn研究问题

? vpn如何解决校园网安全风险

对于校园网而言，它虽然给师生带来了资源共享的便捷，但同时也意味着具有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，重要数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息；不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪；利用网络传播计算机病毒等。那么，校园网利用vpn技术方案，是否能避免校园网的潜在安全隐患，杜绝上述情况的发生呢？

vpn即虚拟私有网络技术，它的安全功能包括：通道协议、身份验证和数据加密，实际工作时，远程外网客户机向校园网内的vpn服务器发出请求，vpn服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到vpn服务端，vpn服务器根据用户数据库检查该响应，如果账户有效，vpn服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说，vpn可以通过对校园网内的数据进行封包和加密传输，在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术，但它们之间有很大的区别，总体来说，ipsec vpn是提供站点与站点之间的连接，比较适合校园网内分校与分校的连接；而ssl vpn则提供远程接入校园网服务，比如适合校园网与外网的连接。

从vpn技术架构来看，ipsec vpn是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现internet多专用网安全连接，而不管是哪类网络应用，它将远程客户端置于校园内部网，使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装，不需要用户参与，因而无论对网管还是终端用户，都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用

在校园网中，通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么，vpn能为校园网带来哪些具体应用优势呢？首先就是办公自动化，比如校园办公楼共有40个信息点，此时可以通过校园网连至internet用户，实现100m甚至1000m到桌面的带宽，并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等，比如学校具有两个多媒体教室，每个教室60台pc，通过校园网上连至internet，实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet，而不进行任何布置。

校园网采用vpn技术可以降低使用费，远程用户可以通过向当地的isp申请账户登录到internet，以internet作为通道与企业内部专用网络相连，通信费用大幅度降低；学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校，各个分校和培训场所网络整合使学校的信息化管理成本必然的增加，比如学校的数据存储，许多学校都采用了分布式存储方式，其具有较低的投资花费和软件部署的灵活性，然而其管理难度高，后期维护成本高，如果采取vpn服务器，可以对各分校进行web通讯控制，同时又可以实现分校访问互通。为了让师生共享图书资源，与国外高校合作交换图书馆数据，以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权，很多高校都建立了数字图书馆，但在应用上也会产生相应的约束性，比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址，或则被校方授权过的内部合法师生，此时采用vpn加密技术，数据在internet中传输时，internet上的用户只看到公共的ip地址，看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外；在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式

在教育机构的校园网，由于不同地区、不同学校的条件不同，它们选择的网络接入方式也有差异，比如条件不大好的中小学校，可能还在采取模拟电话、isdn、adsl拨号上网，而对于条件好的高校，则采取了光纤或ddn、帧中继等专线连接，那么，vpn方案到底支持哪种接入方式呢？实际上，vpn可以支持最常用的网络协议，因为在internet上组建vpn，用户计算机或网络需要建立到isp连接，与用户上网接入方式相似，比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。

七、vpn在校园图书馆系统中的调查分析

数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护(digital rights management，drm)的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。

正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:

1、采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。

2、只要是从校园网出去的ip地址都是认可的，因为校园网出口ip和部分公网ip地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。

3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用pstn拨号、adsl、小区宽带，使用的都是社会网络运营商提供的ip地址，不是校园网的ip地址范围，因此数据库服务商认为是非授权用户，拒绝访问。当然，我们也可以要求服务商进一步开放更多的ip地址为合法用户，但是这要求访问者的ip地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态ip地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术，给了我们很好的答案。vpn是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。

实际上，目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题，而且大多是采用的ipsec vpn技术。利用ipsec技术，校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络，ipsec vpn中心端会给每个远程用户分配一个校园网ip地址，从而实现远程用户以校园网用户身份访问电子资源。

虽说ipsec vpn是目前vpn的主流技术之一，但ipsec协议最初是为了解决site to site的安全问题而制定的，因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。

首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端，并且需要做复杂的配置，随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。

其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径，并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展，新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。

然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口)，因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题:随着未来通讯技术的发展，移动终端的种类将会越来越多，ipsec 客户端需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。

因此，ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前，对ssl vpn公认的三大好处是:首先来自于它的简单性，它不需要配置，可以立即安装、立即生效;第二个好处是客户端不需要安装，直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好，可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆，ssl vpn技术采用了一种类似代理性质的技术，所有的访问都是以ssl vpn设备的lan口的名义发起的，所以只要ssl vpn设备的lan口ip是一个合法的校园网ip，所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。

但ssl vpn并不能取代ipsec vpn。因为，这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性，更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接，保护的是点对点之间的通信，并且，ipsec工作于网络层，不局限于web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。从高校应用来看，由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的，对于那些对单个用户流量有严格限制的资源商来说，这些ssl用户的访问会被当成一个用户对待，很快就会因为达到资源商的流量限制而造成该ip被禁用，也就导致所有ssl用户无法继续访问图书馆资源。

那么，高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看，比较合理的应用方式应该是ipsec和ssl共同使用。

正如我们前面所分析的，上游资源商对于资源的应用是有限制的，除了限制发起请求的ip地址外，还会限制单个ip地址所产生的流量，因此在图书馆大量的校外用户群中，我们将用户分为两个类型，一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主，数量较少)，另一类则是使用次数较少、访问数据不多的用户(以学生为主，数量较多)，通过用户划分，我们给访问量大但数量少的教师用户分配ipsec接入方式，这样就可以把大量的用户流量分配到不同的ip地址上，避免单个ip流量过大造成的问题，而那些数量众多但访问量小的学生用户分配ssl接入方式，利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量，从而实现vpn在图书馆应用的快速部署。经过长时间的测试，华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能，利用两种技术的集成很好解决了图书馆应用的需求，同时一体化的设计能够大幅度的降低整个vpn产品的投入，满足教育行业低成本高效率it建设的需求。

八、结论