孫曉林 文 杰

（南陽(yáng)師范學(xué)院現(xiàn)代教育技術(shù)與網(wǎng)絡(luò)中心 河南 473061）

0 前言

目前校園網(wǎng)存在以下問(wèn)題：由于版權(quán)問(wèn)題，圖書(shū)資源等不能對(duì)社會(huì)公開(kāi)，只有校園網(wǎng)用戶才能訪問(wèn)使用，不能實(shí)現(xiàn)資源共享；為了提高安全性，教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)等只限于校內(nèi)用戶登陸，教職工不能隨時(shí)隨地辦公，給居住于校外人員和出差人員帶來(lái)諸多不便。

虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）正是建立在公用網(wǎng)基礎(chǔ)上既安全又經(jīng)濟(jì)的遠(yuǎn)程訪問(wèn)內(nèi)部資源的一種方式。隨著數(shù)字化校園的發(fā)展，如何統(tǒng)一用戶的數(shù)據(jù)信息，實(shí)現(xiàn)統(tǒng)一認(rèn)證成為亟待解決的問(wèn)題。因此，提出一種基于雙網(wǎng)關(guān)和radius認(rèn)證的VPN部署方法，將VPN服務(wù)與現(xiàn)有的認(rèn)證系統(tǒng)相融合，真正達(dá)到統(tǒng)一，并配置兩個(gè)VPN服務(wù)器，實(shí)現(xiàn)負(fù)載均衡，提高用戶遠(yuǎn)程訪問(wèn)校內(nèi)資源的速度。

1 VPN

VPN指基于因特網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）提供的公用網(wǎng)絡(luò)，應(yīng)用密鑰管理技術(shù)、身份認(rèn)證技術(shù)、加解密技術(shù)和隧道技術(shù)，在內(nèi)部網(wǎng)絡(luò)和VPN用戶之間建立的一條虛擬安全專(zhuān)用通道。用戶可以跨越公用網(wǎng)絡(luò)，訪問(wèn)并使用內(nèi)部網(wǎng)絡(luò)資源，實(shí)現(xiàn)公網(wǎng)私用、資源共享。VPN的解決方案有以下三種：

1.1 內(nèi)聯(lián)網(wǎng)VPN

利用 Internet通信線路，使用隧道、認(rèn)證和加密等技術(shù)實(shí)現(xiàn)企業(yè)內(nèi)部各個(gè)局域網(wǎng)之間的安全關(guān)聯(lián)，保證信息安全傳輸，也叫做企業(yè)內(nèi)部虛擬專(zhuān)用網(wǎng)。

1.2 外聯(lián)網(wǎng)VPN

用于實(shí)現(xiàn)企業(yè)與客戶、供應(yīng)商以及其他相關(guān)組織之間的互聯(lián)互通，通過(guò)接入控制和身份認(rèn)證機(jī)制，使用戶動(dòng)態(tài)地訪問(wèn)公司業(yè)務(wù)和數(shù)據(jù)，也叫做企業(yè)外部虛擬專(zhuān)用網(wǎng)。

1.3 遠(yuǎn)程接入VPN

通過(guò)一個(gè)擁有與專(zhuān)用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)。

為了實(shí)現(xiàn)內(nèi)部資源的外部訪問(wèn)，需要建立的是遠(yuǎn)程接入VPN，當(dāng)用戶接入當(dāng)?shù)氐腎SP后，再通過(guò)VPN網(wǎng)關(guān)和客戶端之間的虛擬專(zhuān)用線路進(jìn)行通信，訪問(wèn)校內(nèi)資源。

為了保證數(shù)據(jù)安全傳輸，常用的隧道協(xié)議有：數(shù)據(jù)鏈路層協(xié)議PPTP和L2TP、網(wǎng)絡(luò)層協(xié)議IPSec、應(yīng)用層協(xié)議SSL以及L2TP和IPSec的組合等，其中IPSec和SSL協(xié)議需要額外的配置或第三方軟件。為了降低配置的難度，節(jié)約部署成本，采用PPTP隧道協(xié)議。

同時(shí)，為了確保用戶的合法性和有效性，需要對(duì)接入內(nèi)部網(wǎng)絡(luò)的用戶進(jìn)行身份驗(yàn)證，常用的認(rèn)證方式有：基于 windows身份認(rèn)證和基于radius身份認(rèn)證。前者與windows系統(tǒng)用戶集成，降低了VPN服務(wù)器的安全性；后者使用獨(dú)立的服務(wù)器對(duì)用戶進(jìn)行管理和認(rèn)證，提高了可靠性，且易于與其他系統(tǒng)集成。為了與我校已有的校園網(wǎng)用戶集中認(rèn)證計(jì)費(fèi)系統(tǒng)相融合，選擇使用radius身份認(rèn)證，并且將該系統(tǒng)作為radius認(rèn)證服務(wù)器。

2 Radius協(xié)議

遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)（Remote Authentication Dial In User Service，Radius）[6]在網(wǎng)絡(luò)接入服務(wù)器（Network Access Server，NAS）和認(rèn)證服務(wù)器之間承載授權(quán)、認(rèn)證和計(jì)費(fèi)功能，而且將撥號(hào)和認(rèn)證分開(kāi)進(jìn)行，radius服務(wù)器上存放用戶相關(guān)信息的數(shù)據(jù)庫(kù)，提供認(rèn)證功能，NAS負(fù)責(zé)接收用戶的撥號(hào)請(qǐng)求。

Radius協(xié)議工作在Client/Server模式下，工作原理是NAS將用戶提交的用戶名、密碼等信息封裝成Access-require數(shù)據(jù)包轉(zhuǎn)發(fā)給 radius服務(wù)器，radius服務(wù)器對(duì)接收的用戶信息進(jìn)行驗(yàn)證，如果合法，則返回 Access-accept數(shù)據(jù)包，否則返回Access-reject數(shù)據(jù)包。其中，NAS和radius服務(wù)器之間通過(guò)共享密鑰進(jìn)行通信，傳遞的信息用 MD5方式加密，且所有的用戶密碼都采用密文方式傳送，進(jìn)一步增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3 基于雙網(wǎng)關(guān)和radius認(rèn)證的VPN部署方法

結(jié)合我校設(shè)備的實(shí)際情況，現(xiàn)有的計(jì)費(fèi)認(rèn)證系統(tǒng)作為radius認(rèn)證服務(wù)器，實(shí)現(xiàn)對(duì)VPN用戶的用戶名和密碼等信息的認(rèn)證計(jì)費(fèi)。同時(shí)，為了保證網(wǎng)通和電信網(wǎng)的用戶高質(zhì)量的接入，配置兩臺(tái)VPN服務(wù)器，提供兩個(gè)VPN網(wǎng)關(guān)，采取雙路接入，不同ISP線路的用戶接入不同的VPN服務(wù)器，提高訪問(wèn)校園網(wǎng)的速度，同時(shí)實(shí)現(xiàn)負(fù)載均衡。

用戶位于校園網(wǎng)范圍以外時(shí)，通過(guò)VPN客戶端向服務(wù)器發(fā)送用戶名和密碼，此時(shí)，VPN服務(wù)器通過(guò)共享密鑰與radius認(rèn)證服務(wù)器建立連接，并發(fā)送用戶信息，radius服務(wù)器將該信息與數(shù)據(jù)庫(kù)所保存的信息進(jìn)行對(duì)比。如果不一致，則認(rèn)證失??；如果一致，表明認(rèn)證成功，VPN服務(wù)器向用戶授予遠(yuǎn)程訪問(wèn)的權(quán)限，同時(shí)給用戶分配一個(gè)校內(nèi)IP地址，使用戶以校內(nèi)用戶的身份訪問(wèn)內(nèi)部資源。

基于雙網(wǎng)關(guān)和radius認(rèn)證的VPN部署需要分別對(duì)VPN服務(wù)器、radius認(rèn)證服務(wù)器和VPN客戶端進(jìn)行配置。

3.1 VPN服務(wù)器端配置

VPN服務(wù)器采用雙網(wǎng)卡，分別配置為教育網(wǎng)IP地址和網(wǎng)通或電信的IP地址，分別連接到校園網(wǎng)和ISP。由于是雙網(wǎng)關(guān)，需要對(duì)兩臺(tái)VPN服務(wù)器進(jìn)行設(shè)置。通過(guò)在windows2003系統(tǒng)中配置“路由和遠(yuǎn)程訪問(wèn)”實(shí)現(xiàn)VPN服務(wù)的過(guò)程如下：

（1）在“身份驗(yàn)證提供程序”中選擇“RADIUS身份驗(yàn)證”，并進(jìn)行配置，“服務(wù)器名”為radius服務(wù)器的IP地址，“機(jī)密”與radius服務(wù)器中設(shè)置的登陸密碼相同，“端口”為認(rèn)證端口號(hào)1812。

（2）啟用IP路由，并配置“靜態(tài)地址池”，輸入“起始IP地址”和“結(jié)束IP地址”，減少I(mǎi)P地址分配時(shí)間，提高連接速度。每一個(gè)通過(guò)radius認(rèn)證的用戶，被分配到該地址池中的一個(gè)IP地址，進(jìn)而虛擬成為校園網(wǎng)用戶，訪問(wèn)校內(nèi)資源。

（3）配置路由：具體格式是，routeadd 目的 IP 子網(wǎng)掩碼網(wǎng)關(guān)。通過(guò)該辦法設(shè)置VPN用戶可以訪問(wèn)的校內(nèi)資源，可以是某個(gè)資源所在服務(wù)器的IP地址，也可以是某個(gè)IP地址段，提高了校園網(wǎng)的安全性。

3.2 radius服務(wù)器配置

認(rèn)證計(jì)費(fèi)系統(tǒng)啟用radius認(rèn)證服務(wù)，設(shè)定接入VPN服務(wù)器的IP地址，并設(shè)置登錄密碼，即共享密鑰，與服務(wù)器端配置的radius機(jī)密相同。只有通過(guò)該服務(wù)器認(rèn)證的用戶才能在校外通過(guò)VPN客戶端訪問(wèn)校內(nèi)資源。

3.3 VPN客戶端配置

按照Windows系統(tǒng)自帶的網(wǎng)絡(luò)連接配置VPN客戶端，不引入第三方軟件或證書(shū)，簡(jiǎn)化用戶的接入方式，提高通用性。

連接成功后，VPN用戶使用分配到的校內(nèi)IP地址訪問(wèn)校園網(wǎng)資源，保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

4 小結(jié)

VPN為校外人員訪問(wèn)校內(nèi)資源、實(shí)現(xiàn)資源共享提供一種經(jīng)濟(jì)、安全、靈活的方式。本文提出的基于雙網(wǎng)關(guān)和radius的VPN部署方法，不僅與原有的計(jì)費(fèi)認(rèn)證系統(tǒng)結(jié)合，避免開(kāi)新通賬戶的工作，有利于網(wǎng)絡(luò)中心管理和用戶使用，而且避免重購(gòu)設(shè)備，節(jié)約資金，使現(xiàn)有設(shè)備得到充分利用。該VPN系統(tǒng)已經(jīng)在我校投入使用，正在安全穩(wěn)定運(yùn)行中，收到了良好的反響。

[1]張祥梅.Windows 平臺(tái)下圖書(shū)館 VPN 的應(yīng)用與改進(jìn)[J].貴圖學(xué)刊，2013（1）：45-48.

[2]楊文凱.SSLVPN 安全關(guān)鍵技術(shù)研究[D].西南交通大學(xué)，2010.

[3]雷震甲.網(wǎng)絡(luò)工程師教程[M].清華大學(xué)出版社，2009：242-243.

[4]程思，程家興.VPN 中的隧道技術(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（2）：156-159.

[5]朱曉靜.基于 VPN 技術(shù)的校園網(wǎng)安全防護(hù)[J].計(jì)算機(jī)安全，2013（4）：86-89.

[6]Rigney C，Rubens A，Simpson W，et al.Remote Authentication Dial In User Service（RFC 2865）[J].2000.

[7]張書(shū)奎.基于 Radius 的 VPN 設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2003，9：124-126.