技术vp
-
2023年3月19日发(作者:分分乐)教育技术 2006.12
VPN技术在中等职业学校校园网应用的实例分析
中等职业学校校园网建设的发展趋势
随着近几年国家对职业教育的大力
发展。根据国务院关于大力推进职业教
育改革与发展的决定的精神。中等职业
教育规模不断扩大.中等职业学校在重
新整合、资源互补、联合办学的发展过程
中,多校区运作已成为当今中等职业学
校发展的一种普遍模式。这些校区之间
虽然已建成各自的校园网络.且均接人
互联网,但是,校区间却往往没有相互的
连接,造成了校园网应用水平低的现象。
邓 宁
(北京市应用职业技术学校北京100079)
摘要:介绍了基于V PN技
术的校园网建设的实例,为中
等职业学校多校区运作的校园
网及拓展校园网的服务提供了
一种信息传递安全性有充分保
障的解决方案。
关键词:VPN:校园网;防火
墙;NAT:力口密
各种应用系统,如教务管理系统、学生信息管理系统、题库系统和
电子图书馆等教学资源使用不畅,迫切需要扩展到远程分校区。
实现统一管理和对资源的充分利用。因此,建立安全可靠的校区
间校园网的连接是这些学校校园网建设的当务之急。
此外,中等职业学校加强教育信息化建设,利用网络资源
丰富办学手段,实现和开展远程教育教学和远程办公。提供个
性化的学习支持服务和信息服务,也是中等职业学校网络建设
发展的趋势。
VPN技术殛其选择
VPN(Virtual Prirate Network,虚拟专用网),指的是依靠
ISP(Internet服务提供商)和其他NSP(网络服务提供商).在公
用网络中建立专用的数据通信网络的技术。随着网络技术的发
展和VPlN技术的日趋成热。通过使用VPN技术构建远程虚拟
专用网络,借助公共互联网,拓展原校园网络,用更低的成本,
更安全、更高效地将学校总部和各分校区及远程用户联结在一
起,并且能够保证数据的安全传输。
目前,VPN主要采用四项技术来保证安全。这四项技术分
别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份
认证技术。每项技术都对应有一些成熟的方案。例如VPN隧道
类型现就有LaTP(Layer 2 Tunneling Protoco1)、IPSec(Intemet
Protocol Security)、SSL(Secure Sockets Layer)等,加密算法有
DES(数据加密标准)、3DES(三重DES)、AES(高级加密标准)等
等,在构建VPN连接时,可根据实际情况进行选用。
此外,VPN连接的实现方法多样。硬件、软件的VPN产品
性能各异。软件VPN产品的特点是:VPN的功能完整.投入成
本小,但软件VPN需簧安装在通用操作系统上运行,通用操作
系统不是专门为网络应用研发的系统,易形成网络处理速度
慢,存在安全漏洞多,抗黑客攻击弱等不足。性能和可靠性方面
相对较弱。硬件VPN产品种类较多,特点是功能完善.速度快,
性能强大和安全等,多数情况下选择用硬件产品架设VpN网络
连接。但由于各VPN产品设备厂商实现技术方式不尽相同.存
在着构建VPN网络选用产品时,要求用同厂家同类型设备或是
技术兼容匹配的设备。
由于VPN产品的性价比不同。对VPN硬件设备的选型也
应视需求而定。针对中等职业学校网络构架不复杂,通讯需求
量不是很大,但要求管理方便、安全可靠的特点,构建校园网
VPN连接时,选择集成VPN功能的防火墙设备方案比较适合,
此方法的特点是首先满足建立VPN网络的需求,其次增加的硬
件防火墙能提高校园网络的安全防范等级,是学校实施VPN网
络应用的首选。
使用VPN技术校园嘲建设方案实例
本实例中校园网大致情况为:主校区和分校区网关均有各
自的静态公网IP地址。均使用 r
(Network Address Transl ̄ion。网络地
址转换)技术连接到互联网。
VPN网络建设实现目标分析:主校
区和分校区的内部服务器及计算机之
间要实时进行安全的数据交换。两者之
间需要建立双向可寻址的VPN访问。
远程客户端要通过浏览器访问主校区
的WEB服务器.还需建立远程客户端
到主校区的单向VPN访问。
(一)主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关.每
个校区通过该设备连接互联网。VPN网关在保持原来的上网功
能不变的情况下。在不安全的互联网上建立起经过安全认证、
数据加密的IPsec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面
考虑,选用硬件型的集成VPN功能的NetScreen防火墙。
NetScreen防火墙是Juniper网络公司的防火墙/IPSec VPN产
品,其独有的ASIC芯片设计及体系结构,使其将高速的性能、
最大限度的安全性及简单易用等特点有机结合在一起。此外,
由于NetScreen防火墙还具备路由功能。支持NAT技术,在中等
职业学校校区相对较小、校园网络构架不复杂的情况下。使用
该类防火墙还可以将原校园网络接入互联网用的路由器省掉。
是一个理想的选择。
主校区选择一台NetScreen一25防火墙作为VPN网关。该
设备可以支持32000个并发TCP仃P会话和125个VPN隧道,
可以充分保证主校区近200台计算机安全、流畅地网络使用及
VPN支持的需求。对于分校区近100台计算机上网及VPN需
求,选择一台可支持最多25个VPN隧道的NetScreen一5GT防
火墙作为VPN网关即可。
由于校区网络构架并不复杂。主、分校区网关均拥有静态
公网IP地址,不会做经常性的变动,可采用“基于路由的LAN
(局域网)到LAN的VPN”的手动密钥方式,创建IPsec VPN隧
道,来实现校区间安全连接。
IPsec VPN隧道中认证包头采用SHA一1(安全散列算法
1),从任意长度信息和2O字节密钥生成160位散列的算法。通
常认为它比MD5(信息整理版本5)算法更可靠,因为它生成的
散列更大。由于是在专用的NetScreen ASIC芯片中执行运算处
理的,所以执行成本可以忽略不计。
加密方式使用3DES,3DES使用168位密钥的DES增强版
本,在其中应用了三次原始DES算法,加密性能更好。对于中等
职业学校信息,非绝密或机密资料的传输,该加密算法的加密
性能和时间开销是比较合适的。
主校区NetSereen-25相关配置指令举例如下:
set interface ethemetl zone trust
set interface ethemetl ip 192.168.1.1/24
set interface ethemet3 zone untrust
set interface ethemet3 ip 21 1.219.169.66/24
set interface tunne1.1 zone untrust
set interface tunne1.1 ip unnumbered interface ethemet3
set vpn zhu_fenxiao militiaal 3020 3030 gateway
218.249.12.242 OU oing—interface ethemet3
esp 3des password asdlk24234 auth sha一1 password
维普资讯
2OO6.12 教育技术
《电工技术)CAI课件的设计与开发
计算机辅助教学(简称CAI)是利
用计算机来代替教师的部分工作,帮
助教师向学生传授知识和技能,通过
学生与计算机的交互.为学生学习提
供服务的新的现代化教学手段。《电
工技术》是工科非电专业的一门重要
的专业技术基础课程,主要包括电路
理论、电机与继电接触控制等内容,
与实际联系比较紧密。它所涉及的复
杂的电磁现象、电气设备结构与工作原
理等在传统教学方式下表述比较困难
学生学习时比较吃力。因此。该课程的教
学中引入CAI课件.充分利用计算机运
算速度快、存储量大、外部设备丰富和可
交互等特点。建设一个媒体丰富的教学
课件具有十分重要的实际意义。
课件设计与并发的类型
在实际的教学过程中,结合具体的
教学目的和教学环境,应该全面考虑课
件建设的形式。我们根据《电工技术》课
程的教学实践经验.制作了以下_一种形
式的CAI课件
资料工具型 把《电工技术》课程中
李海军 宗哲英 刘 宇
(内蒙古农业大学内蒙古呼和浩特010018)
摘要:本文结合教学实践.介绍
设计与开发《电工技术》课程计算机
辅助教学课件的类型与环境.指出了
设计与开发该课件应遵循的原则与
主要过程。
关键词:电工技术:CAI课件
涉及的电气设备、仪器仪表的图片和表
现课程中常用电器的结构和工作原理以
及典型电路的工作过程的动画等建成一
个资料库。它可供学生在课外进行资料
查阅使用,也可供教师根据教学需要事
先选定有关片段.制成若干个小单元在
课堂上进行辅助教学。图1为三相异步
电动机正反转采用继电器与接触器进行
控制的动画.该动画不仅描述了电路的
结构与组成,而且通过控制按钮的交互,
可以模拟正转、反转以及过载时的工作
过程,并配有解说。此种类型比较灵活,
教师可以根据自身的教学实际加以应
用
课堂演示型 主要应用于课堂教
学。教师采用动态视频、动画、照片和
声音来展示课程中难以实现或表现不
清楚的内容。把教学内容所涉及的复
杂电磁现象、器件工作过程再现于课
堂教学中.并按照教学要求逐步呈现
给学生。图2为课件首页.通过交互按
钮进入有关章节进行教学。
网络型 网络型课件是在网络环
境下为完成某种教学活动而制作的数字
化教学材料。它是目前实现网上教学较
图1 三相异步电动机正反转控制电路
PNas134a
set vpn zhu fenxiao bind interface tunne1.1
set vrouter trust-vr route 0.0.0.0/0 interface ethemet3
gateway 21 1.2l9.169.65
set vrouter trust-vr route 192.168.2.0/24 interface tunne1.1
同样。在分校区NetScreen一5GT上再进行类似的配置即可
完成主、分校区间的IPsee VPN连接,其网络构架可参见下
图。
l帔
192
vPN网美
 ̄etScreen=25
公
2.1B8 1●
学艟主控区
№meI }.联删
.. ■Z.
器SR2
168+2 3
且
lI.tsore删一r■∞te
进程用卢
(二)远程用户到主校区的VPN连接
考虑到学校开展远程教育教学,远程用户访问校园网络集
中于主校区WEB服务器,远程用户到主校区的VPN连接可以
采用SSL VPN模式。SSL VPN采用高强度的加密技术。增强的
访问控制,而且易于安装、配置和管理,避开了部署及管理必要
客户软件的复杂性和人力需求.在对付病毒、黑客等多方面提
供比IPsee VPN更好的安全性.避免创建远程用户到主校区
VPN隧道后。远程用户计算机给校园网内计算机带来的安全隐
患。
这里,我们选择在主校区部署一台Secure Access 700,作
为远程接入主校区的SSL VPN解决方案。Secure Access 700
是Juniper网络公司为中小企业设计的SSL VPN产品。该方案
下.远程用户无需安装客户端软件,IE等大部分浏览器就已内
嵌了SSL协议。主校区也无篙更改原网络构架,该设备直接置
于wEB服务器前。即插即用,在短时间内即可完成安装,维护
管理还方便。
当然,从经济上考虑,也可以采用不增添设备,远程用户拨
号连接到互联网后,使用NetSereen—Remote客户端软件,建立
到主校区NetScroen一25防火墙网关的L2TP VPN连接,以访问
校园内部网络的方案,其具体操作方法这里就不做详细探讨
了。
总而言之。以VPN技术为基础的校园网的构建策略,为满
足多种业务需求的综合性校园网提供了一套高度灵活、安全可
靠的解决方案,显示出独特的优点。中等职业学校在教育信息
化建设中,完全可以根据自身的实际需求进行选用。
参考文献:
【1】王维江.网络应用方案与实例精讲【M】.北京:人民邮电出
版社.2o03.
【2】胡道元.网络安全【M】.北京:清华大学出版社。2004.
[3】张瑞祥,等.企业VPN网络的搭建fJ1.智能建筑与城市信
息。2o05,(9).
【4】王常亮,等.论高职院校-/w何推进枝园信息化fJ].职业教
育研究,2005,(11).
维普资讯