第15卷第l期 2013年2月 安顺学院学报 JOURNAL OF ANSHUN UNIVERSITY VO1.15 No.1 Feb.2013 VPN技术在校园网环境的分析与部署 臧胜鲲 许继君。 (1.宿迁学院现代教育技术中心,江苏 宿迁223800) (2.泰州师范高等专科学校江苏泰州225300) 摘 要:文章分析了VPN(Virtual Private Network)的技术特点和工作原理,探讨了了通 过软路由(ROS)的隧道技术实现网际互联,并讨论了VPN在校园网环境下的需求和实际 的部署细节。 - 关键词:虚拟专用网;软路由;认证服务器 中图分类号:TP393.08文献标识码:A文章编号:1673--9507(2013)01—0124--03 高等学校的教育教学环境决定了平时有很多 专兼职教师在校外(家庭、出差在外地甚至国外) 需要访问校园内部网络,同时由于教育网环境和目 前现有的公网之间存在着不可回避的互联互通问 题,导致教师在校外访问校园网内部时候存在难以 访问、速度慢等问题。实现教师在校外对校园网资 源的安全访问,轻松使用校园网内的各种数据资 源,且无需担心安全性问题是每个校园网络的建设 与管理者都必须面临和解决的一个问题。VPN正 不同的用户和业务对服务质量保证的要求差别 很大,VPN可以为用户提供多种不同等级的服务 质量保证oD] 3、总成本低 传统的专线模式费用高昂,非一般企业所能承 受,而VPN模式比专线网络要省,能使网络的总 成本大大降低。 4、扩充性强、安全且灵活 VPN平台的部署具备灵活性。无论是大型企 业,或是小型公司,甚至个人用户,均可灵活机动 是解决这个问题的一个性价比较高的解决方案。 VPN(Virtual Private Network)被称为虚拟专用 网,其被定义为通过一个公用网络(通常是因特 网)建立的一个临时的、安全的连接,是通过一条 不安全的公用网络建立的安全的、专用的数据隧 道,从而创建一个“相当于专用”的网络。_1 一的按照网络需求进行VPN部署,且对现有网络架 构冲击最小。即使面对可能的网络扩充,VPN平 台也能灵活地更新架构,满足实际需求。 二、VPN的类型 VPN通常分为以下三种类型[4]: 主机对主机——两个主机之间的安全连接。 、VPN特点 因为整个VPN网络的任意两个节点之间的连 接并没有传统专网所需的端到端的物理链路,而是 架构在公用网络服务商所提供的网络平台之上的逻 辑网络,用户数据在逻辑链路中传输,所以称它为 子网对子网——允许一个子网上的所有用户访 问另外一个子网。 主机对子网——允许经常移动的单个主机访问 远端的子网。 三、VPN的安全机制 虚拟网。[2]VPN对用户透明,就像是建立专用线 用于路通信。 ·VPN通常在不安全的公网上进行数据传输, l、安全保障机制完善 VPN有多种安全防护机制,如证书、密钥、 而传输的内容可能涉及企业的机密,其安全性就显 得非常重要,必须采用一些安全机制来保证数据安 全。VPN的安全机制通常由加密、认证及密钥交 换与管理组成oD] 认证等,数据在公用网络传输中不易被窃取。 2、具备用户可接受的服务质量保证 收稿日期:2012--11—26 作者简介:臧生鲲(1985~),男,江苏淮安人,宿迁学院现代教育技术中心助教。研究方向:网络技术与信息管理。 许继君(1972 ̄),男,江苏泰州人,宿迁学院副教授,博士。研究方向:网络管理a · 124· 安顺学院学报2013年第1期 四、甄选VPN的因素 VPN网络首先要考虑的是安全性[6]。 [admin@MikroTik]>interface pptp—serve server set enabled=yes 其次要考虑VPN设备的稳定性,应当采用成 熟的产品。 再次需考虑VPN设备性能和售后服务。VPN 增加一个VPN服务器实例 ['admin@MikroTik]>interface pptp—server add name=pptpl user---”” 产品的性能直接影响到用户对网络使用的体验,应 当采用高性能的VPN产品,在满足现有需求的同 时,为将来的升级与扩展预留足够的空间。 五、实际配置 完成上述的配置之后。VPN服务器已经初步 完成。 但是如上建立的VPN服务因没有用户认证, 而不能够对使用VPN的用户进行有效的使用及安 下面讨论服务器和客户端的具体配置。 1、VPN服务器要求 在主流操作系统中。Windows 2000 Server/ Windows 2003 Server是常用来作为VPN服务器 使用的操作系统。但是Linxu对比Windows系统 来说,有两个优点,即:硬件的要求很低,系统稳 定,可以提供相对可靠的VPN服务。 所以,对于熟悉Linux/Unix的管理员,我们 建议采用Linux/Unix系统来搭建VPN服务。文 章采用 Router Os来搭建一个合适的VPN平台。 2、配置VPN服务器 在安装好router os后的服务器上设置ip地址 先设置和内网的ip地址: [admin@MikroTik]>ip address add address 一61.147.254.68 netmask=255.255.255.240 interface=eth0 [admin@MikroTik]>ip address add address =192.168.O.1 netmask=255.255.255.0 interface=ethl 允许内网用户上网 [-admin@MikroTik]>ip firewall nat add chain = srcnat action=masquerade 配置VPN服务器:建立VPN用户的IP地址 池 [admin@MikroTik]>ip pool add name=VP— Nuser ranges=159.159.2.1—159.159.2.254 建立VPN用户的配置文件 [admin@MikroTik]>pppprofile add name— VPNuser local—address—VPNuser remote—ad— dress=VPNuser use—encryption=yes only—one =yes dns--server=61.147.37.1,219.219.0.11 让VPN的用户采用radius认证的方式 [admin@MikroTik>PPP aaa set use—radius : yes accounting=yes [-admin@MikroTik]>radius add service— PPP,login address=219.219.0.155 secret=stone 启动VPN服务 全策略的设置和管理。经过慎重的比较和探索,我 们选择在FreeBsd平台上采用freeradius实现对用 户的认证。 FreeBsd平台上freeradius的安装和简要配置 如下: 启动freebsd后运行: radius#cd/usr/p0rts/net/freeradius radius#make install clean 完成安装,创建mysql的radius数据库,以用 户为root,密码为654123为密码登陆 radius#mysql—U root—p654123 创建名为radius的数据库然后退出 radius#mysql>create database radius; Query OK,1 row affected(O.00 sec) radius#mysql>\q 导入freeradius的数据库文件。 radius#mysql—uroot—p8503132215 radius < /usr/local/share/examples/freeradius/db — mysq1.sql radius#cd/usr/local/etc/raddb/ 将本目录内所有以.sample结尾的文件均改名 或者复制,去掉.sample,如: radius#cp acct_users.sample acct_users radius#cd/usr/l0cal/etc/raddb/ radius#ee radiusd.conf 去掉1798行左右位置的#sql前面的#号,去 掉去掉1955行左右位置#sql前面的#号,保存退 出。 修改sq1.conf文件 radius#ee sq1.conf 参数如下,保存退出。 server=”localhost” login=”root” password=”stone” radius_db=”radius” 修改users文件,在152和153行前面加上# 注释掉,保存退出。 radius#ee users ·125· 安顺学院学报2013年第1期 #DEFAULT Auth—Type=System #Fall—Through=1 络”链接。 (2)在弹出的窗口界面点击“连接到工作区”。 (3)选择“使用我的Internet连接(VPN)” (4)填写VPN服务器的IP地址 (5)进入“键入您的用户名和密码”界面,设 编辑clients.conf插入一段填写的是ros的参 数注意这里的secret要和最先开始时候做ros中 radius写的secret一致,保存退出。比如本文实例 是: client 219.219.0.141{ secret= stone 置VPN的用户名和密码,可以根据需要勾选“显 示字符”以及“记住此密码”复选框。 创建成功后,便会连接到VPN服务器。 (6)如果连接失败,可以在“网络与共享中 shortname routeros nastype:=other 心”窗口单击“连接到网络”链接,并在弹出的对 ) 话框中选择刚才建立的VPN连接,修改其相关属 增加一个用户 性。 radius#mysql—u root—p654123 radius 经过上述步骤,已经在用户计算机和校园网络 mysql>insert into radcheck(username,at- 之间建立了一个VPN连接。此时,可以像在校园 tribute,value)values( test1 , User—Password , 网内部一样使用各种资源。虽然VPN服务为工作 test1 ); 提供了便利,但其安全性不可忽视。相关计算机必 Query OK,1 row affected(O.O0 sec) 用户 须安装杀毒软件以及必要的防护程序、对系统和网 名为test密码为test 络定期检查。对重要数据进行加密、备份等,这样 设置radiusd服务开机自动启动,修改re.conf 才能确保网络与数据安全。 文件,增加一行 radiusd_enable=”YES” 参考文献: 3、启动radiusd服务 [1]王春海,宋涛·VPN网络组建案例实录[M].北京: /usr/1ocal/etc/rc.d/radiusd_sh start 科学出版社,2011:O1. 至此,完成了VPN和radius认证服务器的安 [2]胡沁春·电子商务中的虚拟专用网技术[J].湖南 装和配置。 工程学院学报(自然科学版),2002(3):28. [3][5]马春光,郭芳芳·防火墙、入侵检测与VPN[M3.北 4、客户端设置 京:北京邮电大学出版社,2008:168—170. VPN客户端计算机需求很低,能够连接到互 [4]李展,邢博特·防火墙与VPN原理与实践[M]. 联网,均可以与VPN实现连接。本文以Windows 北京:清华大学出版社,2008:235. 7系统为例,演示登陆过程。 [6]李小志·VPN技术在校园网的应用,[J].教育信息 (1)在“控制面板一>网络和Internet-->网 化,2006(15):33. 络和共享中心”窗口中单击“设置新的连接或网 Analysis and Configure of VPN Technology on Campus Network Zang Shengkun Xu Jijun (1.Suqian College Modern Education Technology Center,Suqian 223800,Jiangsu,China) (2.Taizhou Teachers College,Taizhou 225300,Jiangsu,China) Abstract:We analyzed the main principles and specialties of VPN technology,and discussed how to use VPN technology as fl tunnel to connect two isolated networks in this paper.And then we discussed the configure details of VPN on the campus network circumstance in depth. Key words:VPN;soft route;radius (责任编辑:王德红) · 126 ·
