電子技術(shù)論文軍隊院校校園網(wǎng)VPN技術(shù)的應(yīng)用

　　VPN是一項迅速發(fā)展起來的新技術(shù)，其在電子商務(wù)、公司各部門信息傳送方面已經(jīng)顯現(xiàn)出了很大的發(fā)展?jié)摿ΑＯ嘈艑砥湓谲婈犜盒Ｐ畔⒒ㄔO(shè)和信息安全傳輸上也能發(fā)揮應(yīng)有的作用。

　　《個人電腦》(月刊)創(chuàng)刊于1994年，由南開大學(xué)主辦，是中國第一本專業(yè)IT評測媒體，首先將“產(chǎn)品評測”的概念帶到中國，使“評測”的科學(xué)意識和體系在神州大陸上落地生根，并且憑借著國際化的實力成為中國IT評測市場的“教科書”。雜志始終致力于讓每個消費者都能夠自主地掌握IT知識并且自主地應(yīng)用到實際產(chǎn)品采購的行動中。依托全球一體的IT實驗室機構(gòu)。

　　1 引言

　　VPN(Virtual Private Network)即虛擬專用網(wǎng)，是一項迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡(luò)連接通常由客戶機、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。

　　2 隧道技術(shù)的實現(xiàn)

　　假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網(wǎng)進(jìn)行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

　　圖1

　　現(xiàn)在設(shè)部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機X發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進(jìn)行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進(jìn)行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報，并轉(zhuǎn)發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

　　3 軍隊院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想

　　隨著我軍三期網(wǎng)的建設(shè)，VPN技術(shù)也可廣泛應(yīng)用于軍隊院校的校園網(wǎng)建設(shè)之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達(dá)要做到安全可靠，采用VPN技術(shù)會大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃?第二，軍隊院校不但有各教研室和學(xué)員隊，還包括保障部隊、管理機構(gòu)等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術(shù)可簡化網(wǎng)絡(luò)的設(shè)計和管理;第三，采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊院校的用戶通過軍隊網(wǎng)訪問本校圖書館查閱資料提供便利。

　　而VPN技術(shù)的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進(jìn)行驗證，這些驗證方法包括：密碼身份驗證協(xié)議(PAP)、質(zhì)詢握手身份驗證協(xié)議(CHAP)、Shiva密碼身份驗證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗證協(xié)議(MS-CHAP)和可選的可擴展身份驗證協(xié)議(EAP)，并且采用微軟點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)包進(jìn)行加密。對于敏感的數(shù)據(jù)，還可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔，只有擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術(shù)的主要特點之一，可以讓外地的授權(quán)用戶方便地訪問本地的資源。