虛擬專用網(wǎng)（VPN）——走出校園的校園網(wǎng)

江西省贛縣中學 梁峰
[內容提要]：本文主要就虛擬專用網(wǎng)（VPN）在學校校園網(wǎng)中的應用做初淺的探索，提出校園網(wǎng)資源遠程訪問的一種安全、低廉的解決方案，為眾多已建和在建的校園網(wǎng)提供一定的啟發(fā)與參考。
[關鍵字]：虛擬專用網(wǎng)、VPN、校園網(wǎng)資源、隧道技術、數(shù)據(jù)加密算法、路由

近年來，隨著計算機多媒體網(wǎng)絡技術的快速發(fā)展、學校信息化建設的加快，校園網(wǎng)已經(jīng)成為學校信息化建設的重要組成部分。校園網(wǎng)應用在教學過程中，不僅可以改變傳統(tǒng)的教學模式、教學方法和教學手段，而且將會促進教育觀念、教學思想的轉變。豐富的教育資源為教師的教學和學生的學習提供了優(yōu)良的軟件環(huán)境。但為了校園網(wǎng)的安全，學校在校園網(wǎng)建設時，通常是將公網(wǎng)與私網(wǎng)進行物理隔離，使外網(wǎng)無法訪問內網(wǎng)資源。這樣勢必導致住在校外的教師和學生在家中無法使用校園網(wǎng)內部資源。要解決這個問題，虛擬專用網(wǎng)（VPN）就是一種安全、低廉的解決方案。
一、虛擬專用網(wǎng)（VPN）簡介
虛擬私有網(wǎng)絡VPN(Virtual Private Network)是利用公眾網(wǎng)資源為客戶構成專用網(wǎng)的一種業(yè)務，這是相對于實際的專有網(wǎng)絡而言的，它是基于Internet/Intranet等公用開放的傳輸媒體，通過加密和驗證等安全機制建立虛擬的數(shù)據(jù)傳輸通道，以保障在公共網(wǎng)上傳輸私有數(shù)據(jù)信息不被竊取、篡改，從而向用戶提供相當于專用網(wǎng)絡的安全服務，是目前廣泛應用于電子商務、電子政務、大型企業(yè)等應用安全保護的安全技術。VPN有兩層含義：
1、Virtual：它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時才建立；
2、Private：它是利用公眾網(wǎng)絡設施構成的私有專用網(wǎng)。
虛擬專用網(wǎng)（VPN）代表了當今網(wǎng)絡發(fā)展的最新趨勢，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡的性能優(yōu)點（安全和QOS）和共享數(shù)據(jù)網(wǎng)絡結構的優(yōu)點（簡單和低成本），能夠提供遠程訪問，外部網(wǎng)和內部網(wǎng)的連接，價格比專線或者幀中繼網(wǎng)絡要低得多。而且，VPN在降低成本的同時滿足了對網(wǎng)絡帶寬、接入和服務不斷增加的需求，因此，VPN的特性決定了它在教育行業(yè)的應用前景將非常廣泛。
二、虛擬專用網(wǎng)（VPN）在教育行業(yè)的應用前景
虛擬專用網(wǎng)（VPN）用于教育行業(yè)的實例很少，其實虛擬專用網(wǎng)（VPN）在教育行業(yè)的應用前景也很廣泛，它的安全、低廉的特征很符合教育行業(yè)應用高要求、低投入的特性，它在教育行業(yè)可應用于以下幾方面：
1、校園網(wǎng)建設
學校建設校園網(wǎng)的目的是為了提供一個先進、開放、實用的計算機網(wǎng)絡環(huán)境，進一步提供網(wǎng)上教學、科研活動、學校行政管理信息系統(tǒng)和其他現(xiàn)代化的網(wǎng)絡通信服務，但這些應用僅局限在校園網(wǎng)內部，虛擬專用網(wǎng)（VPN）的應用就可以實現(xiàn)校園網(wǎng)應用的擴展，可以把校園網(wǎng)的各種網(wǎng)絡通信服務延伸到教師和學生家里，教師可以在家中使用校園網(wǎng)內部的教育資源庫進行備課，學生可以從校園網(wǎng)中獲得各種學習資源、實現(xiàn)網(wǎng)上學習。
2、網(wǎng)上遠程教育
網(wǎng)上遠程教育作為一個嶄新的教育形式。將最大限度利用現(xiàn)有教育資源，是實現(xiàn)教育的大眾化、現(xiàn)代化、終身化和國際化的新型教育形式和必然途徑。網(wǎng)絡作為遠程教育的重要載體之一，在應用過程中，網(wǎng)絡的優(yōu)勢日趨顯現(xiàn)。虛擬專用網(wǎng)（VPN）在這一領域的應用，可以實現(xiàn)跨地域建立一個虛擬專用教學網(wǎng)，使教與學的過程就像在一個內部網(wǎng)中進行，實現(xiàn)遠程教學的開放與安全、自主與協(xié)作的和諧統(tǒng)一。
3、教育城域網(wǎng)建設以及“校校通”工程
教育城域網(wǎng)建設是把各個學校零散的校園網(wǎng)組成一個大型網(wǎng)絡，它對于大面積的提高教育教學的質量、充分的共享教育資源、減少教育信息化建設的整體投入起著極大的作用。現(xiàn)今城域網(wǎng)的建設動輒用鋪設專線，租用光纖等高投入的方式，雖然極大的提高了網(wǎng)絡的速度及安全，但這種投入與產(chǎn)出在現(xiàn)階段是不成正比的。虛擬專用網(wǎng)（VPN）作為廉價的解決方案，將是近階段城域網(wǎng)建設最重要的手段之一。尤其在全國“校校通”工程的建設中，虛擬專用網(wǎng)（VPN）有著其它方式不可比擬的優(yōu)勢。
三、虛擬專用網(wǎng)（VPN）技術詳解
VPN（Virtual Private Network）是采用隧道技術以及加密、身份認證等方法，在公共網(wǎng)絡上構建虛擬專用網(wǎng)絡的技術。
1、虛擬專用網(wǎng)（VPN）的核心——隧道技術
隧道技術是VPN的核心。隧道是基于網(wǎng)絡協(xié)議在兩點或兩端建立的通信，隧道由隧道開通器和隧道終端器建立。隧道開通器的任務是在公用網(wǎng)絡中開出一條隧道。多種網(wǎng)絡設備和軟件可以充當隧道開通器：
(1) PC上的Modem卡和有VPN撥號功能的軟件,該軟件已經(jīng)打包在WINDOWS系列操作系統(tǒng)中；
(2) 客戶端網(wǎng)絡中有VPN功能的路由器；
(3) 網(wǎng)絡服務商站點中有VPN功能的路由器。
隧道終端器的任務是使隧道到此終止，充當隧道終端器的網(wǎng)絡設備和軟件有：
(1) 專用的隧道終端器；
    (2) 網(wǎng)絡中的防火墻；
    (3) 網(wǎng)絡服務商路由器上的VPN網(wǎng)關。
隧道包括點到點和端到端隧道兩種。在點到點隧道中，隧道由遠程用戶的PC延伸到企業(yè)服務器，兩邊的設備負責隧道的建立以及兩點之間數(shù)據(jù)的加密和解密。第二種隧道是端到端隧道，隧道終止于防火墻等網(wǎng)絡邊緣設備，主要是連接兩端局域網(wǎng)。在數(shù)據(jù)包傳輸中，數(shù)據(jù)包可能通過一系列隧道，才能到達目的地。
    2、虛擬專用網(wǎng)（VPN）的協(xié)議——隧道協(xié)議
           虛擬專用網(wǎng)（VPN）技術中的隧道是由隧道協(xié)議形成的，正如網(wǎng)絡是依靠相應的網(wǎng)絡協(xié)議完成的一樣。虛擬專用網(wǎng)（VPN）使用兩種隧道協(xié)議：點到點隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。
(1) 點到點隧道協(xié)議（PPTP）：PPTP支持通過公共網(wǎng)絡（如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡。PPTP可以建立隧道或將IP、IPX或NetBEUI協(xié)議封裝在PPP數(shù)據(jù)包內，因此允許用戶遠程運行依賴特定網(wǎng)絡協(xié)議的應用程序。PPTP在基于TCP/IP協(xié)議的數(shù)據(jù)網(wǎng)絡上創(chuàng)建VPN連接，實現(xiàn)從遠程計算機到專用服務器的安全數(shù)據(jù)傳輸。VPN服務器執(zhí)行所有的安全檢查和驗證，并啟用數(shù)據(jù)加密，使得在不安全的網(wǎng)絡上發(fā)送信息變得更加安全。通過啟用PPTP的VPN傳輸數(shù)據(jù)就象在企業(yè)的一個局域網(wǎng)內那樣安全。另外還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡。 PPTP協(xié)議捆綁在Windows系列操作系統(tǒng)中。在VPN中應用最廣。
           (2) 第二層隧道協(xié)議（L2TP）：L2TP是一個工業(yè)標準的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP也會壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協(xié)議，同樣允許用戶遠程運行依賴特定網(wǎng)絡協(xié)議的應用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議安全（IPSec）機制來進行身份驗證和數(shù)據(jù)加密。
    3、虛擬專用網(wǎng)（VPN）的安全保障——加密和解密技術
VPN技術的安全保障主要就是靠加密、解密技術來實現(xiàn)的，除了用隧道技術確保在兩點或兩端之間建立一條通信專用通道之外，兩邊的設備還必須增加建立于信任關系基礎之上的加密、解密功能，虛擬專用網(wǎng)（VPN）使用的是標準Internet安全技術，進行數(shù)據(jù)加密、用戶身份認證等工作。
在VPN中，IPsec的安全性是最好的。在建立安全隧道和使用安全策略時，各個過程進行得更加嚴格。IPsec使用了IPsec隧道模式。在這種隧道模式中，用戶的數(shù)據(jù)包加密后，封裝進新的IP。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務器的地址。
4、虛擬專用網(wǎng)（VPN）的生命——身份認證和安全策略
虛擬專用網(wǎng)（VPN）是一種通過公眾網(wǎng)資源為客戶構成專用網(wǎng)的一種業(yè)務，如果安全技術不過關，勢必給黑客造成可乘之機，將給使用它的用戶帶來不可估量的損失，所以說身份認證和安全策略是它的生命。在隧道建立過程中，采取一系列的步驟以保證數(shù)據(jù)在公共網(wǎng)絡中傳輸?shù)陌踩�性�?br /> (1) 用戶認證：由于VPN跨越了無安全保障的公共網(wǎng)絡平臺，一些非授權的隧道建立請求和冒名連接的闖入不可避免。用戶把姓名、口令通過增強用戶握手認證協(xié)議（CHAP—Challenge Handshake Authentication Protocol），發(fā)送到ISP網(wǎng)絡。ISP網(wǎng)絡聯(lián)系企業(yè)RADIUS服務器，進行用戶確認，收到確認后，ISP網(wǎng)絡又以CHAP將應答傳給用戶。同時ISP收到企業(yè)服務器發(fā)回的用戶IP及子網(wǎng)掩碼分配，以及隧道終端器的IP地址分配。
(2) 進行設備確認：建立安全隧道。隧道開通器使用自己的私鑰進行數(shù)字簽名，并發(fā)送給隧道終端器，隧道終端器使用隧道開通器的公鑰，對隧道開通器進行簽名確認。反之，隧道開通器對終端器進行確認。然后雙方協(xié)商對數(shù)據(jù)進行加密時使用的算法。
(3) 使用安全策略：下一步確認對本次傳輸?shù)奶囟ㄓ脩舨扇〉陌踩�策略。用戶身份級別越高，消息認證等過程就越嚴格。
               VPN網(wǎng)絡中通常還有一個或多個安全服務器。其中最重要的是遠程撥入用戶安全服務器（RADIUS—Remote Authorization Dial-In User Service) 。VPN根據(jù)RADIUS服務器上的用戶中心數(shù)據(jù)庫對訪問用戶進行權限控制。RADIUS服務器確認用戶是否有存取權限，如果該用戶沒有存取權限，隧道就此終止。同時RADIUS服務器向被訪問的設備發(fā)送用戶的IP地址分配、用戶最長接入時間及該用戶被允許使用的撥入電話號碼等。VPN和訪問服務器參照這些內容，對用戶進行驗證，如果情況完全相符，就允許建立隧道通信。
四、虛擬專用網(wǎng)（VPN）校園網(wǎng)應用解決方案
    虛擬專用網(wǎng)（VPN）的基本原理都是一致的，但具體到應用解決方案種類卻很多，選擇一種合適的解決方案決定了學校校園網(wǎng)運行中的安全性、穩(wěn)定性，同時要考慮投入問題。
1、虛擬專用網(wǎng)（VPN）解決方案的選擇
       針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網(wǎng)（Access VPN）、內部虛擬網(wǎng)（Intranet VPN）和擴展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別對應傳統(tǒng)的遠程訪問網(wǎng)絡、內部的以及Intranet和相關內部網(wǎng)所構成的Extranet相對應。
       (1) 遠程訪問虛擬網(wǎng)Access VPN
　　   Access VPN，通過一個擁有與專用網(wǎng)絡相同策略的共享基礎設施，提供對企業(yè)內部網(wǎng)或外部網(wǎng)的遠程訪問。Access VPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。Access VPN包括模擬、撥號、ISDN、數(shù)字用戶線路 (xDSL)、移動IP和電纜技術，能夠安全地連接移動用戶、遠程工作者或分支機構。
　　Access VPN由它的特性決定最適用于學校教師住在校園外，通過ISP提供的撥號上網(wǎng)、ADSL等方式在家中接入因特網(wǎng)，再通過VPN撥號軟件連入學校校園網(wǎng)，由校園網(wǎng)中的RADIUS服務器可對教師進行驗證和授權，保證連接的安全，并且無需為此支付額外的費用。
(2) 內部虛擬網(wǎng)Intranet VPN
　　   越來越多的學校從發(fā)展的角度考慮，紛紛開發(fā)新校區(qū)，或兼并其它學校來壯大自己，這樣在校園網(wǎng)建設中就面臨兩個甚至幾個校區(qū)網(wǎng)絡互聯(lián)的問題，傳統(tǒng)的網(wǎng)絡連接方式一般是租用專線。顯然，租用專線的費用非常昂貴。利用VPN特性可以在Internet上組建跨地域的Intranet VPN。利用Internet的線路保證網(wǎng)絡的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。Intranet VPN 通過一個使用專用連接的共享基礎設施，連接各校區(qū)，它們擁有與專用網(wǎng)絡的相同政策，包括安全、服務質量、可管理性和可靠性。同時這種方式同樣適用于教育城域網(wǎng)建設，用Intranet VPN將所有學校校園網(wǎng)構建成一個大的整體。實現(xiàn)資源的充分共享與信息的自由的交流。
    　　   (3) 擴展虛擬網(wǎng)Extranet VPN　
隨著網(wǎng)絡遠程教育的普及，校園網(wǎng)的應用將越來越傾向于為廣大教師和學生同時提供服務，開展網(wǎng)絡遠程教學、教師網(wǎng)上輔導、學生自主學習和互動學習等功能。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎，由于學生在使用網(wǎng)絡時的不確定性，將給校園網(wǎng)的安全運行帶來一定的隱患，而如何利用Internet進行有效的管理，是網(wǎng)絡遠程教育發(fā)展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet，既可以向廣大學生提供有效的信息服務，又可以保證自身的內部網(wǎng)絡的安全。Extranet VPN通過一個使用專用連接的共享基礎設施，將廣大師生連接到校園內部網(wǎng)，Extranet VPN并不是真正意義上的開放,它可以提供充分的訪問控制，但同時使得學生遠離校園網(wǎng)內部資料;Extranet VPN結構的主要好處是，能容易地對外部網(wǎng)進行部署和管理，學生的接入可以使用與部署內部網(wǎng)和遠端訪問VPN相同的架構和協(xié)議進行部署。學生計算機可通過與教師不同的接入許可，連接至校園網(wǎng)內部，實現(xiàn)校園內部網(wǎng)的安全管理。
    2、實戰(zhàn)虛擬專用網(wǎng)（VPN）
       (1) 基于專用VPN硬件的系統(tǒng)解決方案：
基于硬件的VPN產(chǎn)品一般為VPN路由器。VPN 路由器是一個高度集成化VPN解決方案，它結合了業(yè)界領先的高速路由技術及VPN 服務套件。VPN 路由器集成了 VPN 隧道的關鍵特性如：數(shù)據(jù)加密、安全、高級帶寬管理和服務級確認，基于VPN路由器的系統(tǒng)解決方案優(yōu)點在于：解決方案簡單、設備投入低以及高安全性，因為他們把密鑰存儲在設備內的芯片里，所以他們的安全性比其它解決方案好。圖1為基于VPN路由器的Access VPN應用解決方案；圖2為基于VPN路由器的Intranet VPN應用解決方案拓撲圖。
圖1:基于VPN路由器的Access VPN應用解決方案拓撲圖

圖2:基于硬件VPN路由器的Intranet VPN應用解決方案拓撲圖
(2) 基于含VPN功能防火墻的系統(tǒng)解決方案：
基于防火墻的VPN充分利用防火墻的安全機制，包括對內部網(wǎng)絡的訪問限制。它還執(zhí)行地址轉換，符合強認證要求，發(fā)出實時警報，并提供廣泛記錄功能。在什么情況下最好選擇基于防火墻的VPN？當遠程用戶或網(wǎng)絡有可能不友善時最好使用這種產(chǎn)品。網(wǎng)絡管理員建立一個所謂的�；饏^(qū)網(wǎng)段，一般在防火墻使用一個第三方接口，配以之間的訪問控制規(guī)則。黑客可能會進入�；饏^(qū)，但他們不能破壞內部網(wǎng)段。對于純內部網(wǎng)來說，使用基于防火墻的VPN很經(jīng)濟，而且易于加固和管理�；�于含VPN功能防火墻的系統(tǒng)解決方案的拓撲圖與使用VPN路由的解決方案不同僅在于設備本身不同，網(wǎng)絡結構基本相同，如圖3

圖3：基于VPN防火墻的應用解決方案內部網(wǎng)拓撲圖
(3) 基于獨立VPN軟件（VPN服務器）的系統(tǒng)解決方案：
基于獨立VPN軟件的系統(tǒng)解決方案優(yōu)點是更為靈活。硬件產(chǎn)品一般不是根據(jù)協(xié)議給所有通信量建立相應的隧道，而軟件產(chǎn)品根據(jù)地址或協(xié)議建立隧道。如果遠程站的混合通信量的一部分通過VPN傳輸，而另一部分不通過VPN傳輸，根據(jù)通信量類型建立隧道有好處。在性能要求不高的情況下（例如用戶采用撥號連接），軟件產(chǎn)品可能是最好的選擇。而且WIN2000操作系統(tǒng)本身就集成了VPN遠程訪問服務器，可以在校園網(wǎng)現(xiàn)有設備基礎上實現(xiàn)，無需另處增加設備，但基于軟件的系統(tǒng)存在的問題是通常難以管理，配置上可能較為復雜。這要求管理員熟悉服務器的操作系統(tǒng)、應用程序以及適當?shù)陌踩珯C制。如圖4，VPN服務器其中一根與主交換機公網(wǎng)VLAN相連，一根接在私網(wǎng)VLAN上。
  
圖4：基于獨立VPN軟件的系統(tǒng)解決方案內部網(wǎng)拓撲圖
圖4中VPN服務器可選用微軟WINDOWS2000的虛擬專用網(wǎng)（VPN）遠程訪問服務器作為VPN軟件，使用它的好處在于：一般校園網(wǎng)操作系統(tǒng)選用的WINDOWS2000，無需另外投入購買軟件，而且客戶端軟件在WINDOWS系列操作系統(tǒng)中均內置有相應的撥號軟件，減少客戶端建設的工作量。在部署虛擬專用網(wǎng)（VPN）遠程訪問服務器時，決定在網(wǎng)絡的什么位置部署服務器，特別要考慮與防火墻和其他網(wǎng)絡資源的部署位置之間的關系。在撥號遠程訪問設計中，服務器通常位于防火墻的后面。因為 VPN 設計包含 Internet 連接，所以服務器與防火墻的相對位置是一個非常重要的問題。VPN 遠程訪問設計最常見的配置是將 VPN 服務器放在防火墻后面。在這種配置中，防火墻連接到 Internet 上，而 VPN 服務器是連接到周邊網(wǎng)絡的 Intranet 資源。VPN 服務器在周邊網(wǎng)絡和 Intranet 上都有一個接口。Internet 防火墻（Internet 和 VPN 服務器之間的防火墻）過濾來自 Internet 客戶端的所有通信。Intranet 防火墻（VPN 服務器和 Intranet 之間的防火墻）過濾來自 VPN 客戶端的所有 Intranet 通信。
五、我選用的應用解決方案
我校校園網(wǎng)現(xiàn)已基本建設完成，但在網(wǎng)絡設計初期沒有考慮到虛擬專用網(wǎng)（VPN），所以沒有采購集成VPN功能的設備，在網(wǎng)絡使用中感覺到虛擬專用網(wǎng)（VPN）的必要性。而需要在現(xiàn)有網(wǎng)絡上實現(xiàn)VPN服務又不增加設備投入，則基于獨立VPN軟件（VPN服務器）的系統(tǒng)解決方案就成了我的首選�，F(xiàn)將我校虛擬專用網(wǎng)（VPN）建設過程總結如下：
1、我校網(wǎng)絡情況介紹
我校校園網(wǎng)是基于三層交換結構的網(wǎng)絡，通過三層交換將整個校園按樓棟劃分了若干子網(wǎng)，大致網(wǎng)絡結構如圖5所示，光纖收發(fā)器光轉電后接入三層交換機中劃出的5口的公網(wǎng)靜態(tài)IP用的VLAN，其中一口連接至防火墻的外網(wǎng)端口，從防火墻內網(wǎng)端口連接至交換機提供給整個校園網(wǎng)各子網(wǎng)的上行端口，防火墻的�；饏^(qū)端口連接至WEB服務器。內部資源服務器與交換機相連。

2、部署配置VPN 遠程訪問服務器
(1) 作為VPN遠程訪問服務器條件是：
首先必須擁有一個公網(wǎng)的靜態(tài)IP地址，只有這樣遠程訪問才有“址”可循；
其次服務器需要配置兩個連接，一個用于Internet連接，一個用于Intranet連接，可通過安裝兩塊網(wǎng)卡分別指定內、外網(wǎng)IP地址來實現(xiàn)。有了以上兩個條件，就可以將您的服務器配置為虛擬專用網(wǎng)VPN 遠程訪問服務器了。
(2) 啟用VPN 遠程訪問服務器：
在WINDOWS2000服務器集成了程序，在“管理工具”中可以找到，啟動“路由和遠程訪問”。
(3) 配置VPN 服務器上TCP/IP
外網(wǎng)IP地址為公網(wǎng)的靜態(tài)IP地址（如：我校所用的218.87.XXX.XXX）,內網(wǎng)IP地址可設置為與VPN要訪問的校園網(wǎng)同一個網(wǎng)段（如我校內部資源服務器IP地址為192.168.1.1,那么VPN服務器內網(wǎng)卡IP地址可設置為192.168.1.XXX），也可設置在不同網(wǎng)段，通過添加路由的方式來實現(xiàn)VPN服務器與內部資源服務器互通，在與 VPN 服務器之間傳送數(shù)據(jù)包時，Internet 和 VPN 服務器之間的 NAT 將發(fā)布的 IP 地址轉換為專用的 IP 地址。由于與自動配置 TCP/IP 有關的路由問題，建議不要將 VPN 服務器配置為 DHCP 客戶端。而是手動在 VPN 服務器的 Intranet 接口上配置 TCP/IP。使用默認網(wǎng)關配置 VPN 服務器的 Internet 接口。不要使用默認網(wǎng)關配置 VPN 服務器的 Intranet 接口。
(4) 配置VPN 服務器上路由
要使 VPN 服務器能夠將通信正確地傳送到 Intranet 中的各個位置，必須給它配置以下設置之一：匯總 Intranet 中所有可能 IP 地址的靜態(tài)路由或者使 VPN 服務器能夠用作動態(tài)路由器的路由協(xié)議，該協(xié)議自動將 Intranet 子網(wǎng)的路由添加到其路由表中。
一般情況VPN客戶端（住在校外的教師）進入Intranet后，只允許對校園網(wǎng)中內部資源服務器進行訪問，所以在我校虛擬專用網(wǎng)（VPN）建設中，VPN服務器內網(wǎng)IP與內部資源服務器處于同一網(wǎng)段，這樣省去很多關于路由方面設置的麻煩。
3、部屬 VPN 客戶端
在部屬VPN客戶端時，由于選用的是基于WINDOWS2000虛擬專用網(wǎng)（VPN）遠程訪問服務器軟件，所以在客戶端只需使用WINDOWS系列操作系統(tǒng)集成的VPN撥號軟件即可。以現(xiàn)在最流行的操作系統(tǒng)WINDOWS XP為例，具體實施過程如下：
(1) 建立虛擬專用網(wǎng)絡連接
在“控制面板”中打開“網(wǎng)絡連接”，“創(chuàng)建新的連接”，在新建連接向導中選擇“連接到工作場所的網(wǎng)絡”，選擇“虛擬專用網(wǎng)絡連接”，根據(jù)提示輸入連接名稱、IP地址（VPN服務器外網(wǎng)卡地址），最后輸入用戶名與密碼，就建好了VPN連接。
實際上客戶端的設置遠不止這些，比如安全策略，路由等，由于我校建設VPN的目的是為了教師可以遠程訪問并使用內部資源服務器的資源，為了降低教師在家中的VPN連接設置的難度，所以就不再做其它設置。
(2) 使用虛擬專用網(wǎng)VPN
在使用前應先使用ADSL或其它方式撥入Internet，在使用虛擬專用網(wǎng)絡連接撥入校園網(wǎng)內部，現(xiàn)在就可以坐在家中使用校園網(wǎng)內部的資源了，實際上無論你身處何地，只要你的計算機能夠連入Internet，就可以通過虛擬專用網(wǎng)（VPN）進入校園網(wǎng)內部，就如同實際連接到校園網(wǎng)的 Intranet一樣。
圖6虛擬專用網(wǎng)（VPN）建設完成后我校網(wǎng)絡拓撲圖
總之，虛擬專用網(wǎng)（VPN）在教育行業(yè)的應用前景非常廣泛，一旦它在學校成功運用，就像是為校園網(wǎng)插上了一對翅膀，成為一個能走出校園的校園網(wǎng)，如果在“校校通”工程上用好虛擬專用網(wǎng)（VPN），將為“校校通”的早日實現(xiàn)做出巨大的貢獻。

【虛擬專用網(wǎng)VPN——走出校園的校園網(wǎng)】相關文章：

VPN幫你輕松實現(xiàn)虛擬專用網(wǎng)08-06

校園網(wǎng)站設計08-06

校園網(wǎng)站設計08-06

校園網(wǎng)的建設與管理08-17

校園網(wǎng)設計與建設08-17

校園網(wǎng)絡管理初探08-07

走出校園作文11-28

走出校園作文03-08

VPN技術綜述及應用08-06