田慶　陳炯栩

摘 要：隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，很多用戶需要在不同的環(huán)境接入安全性相對較高的專用網(wǎng)，這一需求造就了虛擬專用網(wǎng)絡(luò)技術(shù)的誕生。高校是一個非常典型的應(yīng)用案例，文章以某高校部署VPN需求為例，詳細(xì)介紹如何利用GNS3等模擬軟件快速部署校園的VPN。

關(guān)鍵詞：IPSec VPN；模擬軟件；GNS3

1 緒論

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）技術(shù)這種低價、安全、可靠的專用網(wǎng)絡(luò)，能很好滿足各行業(yè)的需求，由此VPN變得原來越重要。

以高校為例，校園網(wǎng)資源只能在校園網(wǎng)絡(luò)內(nèi)部才能訪問，這遠(yuǎn)遠(yuǎn)不能滿足用戶對資源共享的需求。例如許多校內(nèi)教師都不是居住在校園中或出差在外，當(dāng)他們在校園外急切需要從校園網(wǎng)內(nèi)部服務(wù)器進(jìn)行資料搜索、維護(hù)等等操作時候，但由于校內(nèi)資源的安全保密性問題，不能在公網(wǎng)上共享，這會導(dǎo)致教師無法及時對校園網(wǎng)內(nèi)部資源進(jìn)行操作。

文章以某高校為例，利用GNS3模擬軟件研究VPN的部署方案，簡化在部署VPN過程中的各種流程，提供高效快速的解決方案。

2 某高校的VPN構(gòu)建需求

某高校的校園網(wǎng)主要由主校區(qū)和分校區(qū)構(gòu)成，其地理位置相距較遠(yuǎn)，架設(shè)專線成本會相對較高，VPN可以在解決兩個校區(qū)網(wǎng)絡(luò)通信的同時保證數(shù)據(jù)傳輸?shù)陌踩詥栴}。

另外校園外遠(yuǎn)程用戶（不在校內(nèi)的人員）需要一個能即時、安全訪問校內(nèi)資源的手段，但是其遠(yuǎn)程用戶要訪問校園網(wǎng)資源時，也需要通過公網(wǎng)的連接才能訪問，同樣的急需保障數(shù)據(jù)傳輸?shù)陌踩?。同樣的，此次設(shè)計利用遠(yuǎn)程訪問VPN技術(shù)解決遠(yuǎn)程用戶訪問校園網(wǎng)內(nèi)部資源時，保證數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩浴?/p>

總結(jié)來說，校外用戶安全訪問校園網(wǎng)資源需要解決一下問題：

分校區(qū)安全訪問主校區(qū)的問題；遠(yuǎn)程用戶安全訪問校園網(wǎng)絡(luò)內(nèi)部資源問題。

3 模擬環(huán)境簡介

GNS3是一款可以在Windows、Linux、MacOS等操作系統(tǒng)中使用的性能卓越的圖形化界面網(wǎng)絡(luò)模擬虛擬軟件。它能夠模擬使用思科系統(tǒng)的網(wǎng)絡(luò)設(shè)備，并且能根據(jù)對設(shè)備加載的IOS不同，模擬配置效果也會有所不同，由此在設(shè)備選型中給我們更大的選擇空間。用其進(jìn)行網(wǎng)絡(luò)構(gòu)建，更接近使用真實(shí)設(shè)備效果，對于缺少真實(shí)設(shè)備進(jìn)行架構(gòu)網(wǎng)絡(luò)實(shí)驗(yàn)和在配置真實(shí)設(shè)備前模擬測試網(wǎng)絡(luò)可行性更提供了一種有效便捷的模擬平臺。

VirtualBox是一款功能強(qiáng)大的虛擬機(jī)軟件，它不僅具有豐富的特色，而且性能也很優(yōu)異。VirtualBox是一款開源、免費(fèi)的虛擬機(jī)軟件，性能不比Vmware、VirtualPC差，支持系統(tǒng)環(huán)境也很豐富。用VirtualBox安裝各類操作系統(tǒng)后還可以安裝其增強(qiáng)工具，使鼠標(biāo)在主機(jī)與虛擬機(jī)間自由移動、并且可共用剪切板。性能優(yōu)異卻占用很少的資源。

在GNS3中架構(gòu)好接近實(shí)際的網(wǎng)絡(luò)環(huán)境后，可根據(jù)在測試的性能的不同，配置所需要操作系統(tǒng)的虛擬機(jī)。再根據(jù)實(shí)際需要，在虛擬機(jī)內(nèi)配置相關(guān)服務(wù)，成功搭建出一個具有模擬與實(shí)際網(wǎng)絡(luò)互通互連的網(wǎng)絡(luò)工程模擬實(shí)驗(yàn)環(huán)境，使模擬環(huán)境更接近于實(shí)際網(wǎng)絡(luò)環(huán)境。

4 利用GNS部署校園網(wǎng)VPN

4.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計

由于本次課題需要解決某高校主校區(qū)與分校區(qū)園區(qū)網(wǎng)絡(luò)之間通信安全性問題，故分別構(gòu)建兩個園區(qū)網(wǎng)絡(luò)，分別代表主校區(qū)網(wǎng)絡(luò)和分校區(qū)網(wǎng)絡(luò)，并且兩地之間通信經(jīng)過公網(wǎng)Internet。由此在兩個站點(diǎn)出口路由處構(gòu)建站點(diǎn)到站點(diǎn)VPN，以達(dá)到數(shù)據(jù)在公網(wǎng)上安全傳輸。

另外，對于遠(yuǎn)程用戶，即公網(wǎng)上的用戶需要訪問肇慶學(xué)院主校區(qū)校園網(wǎng)，故在增加VPN網(wǎng)關(guān)和VPN服務(wù)器，和利用一臺連接公網(wǎng)Internet上的虛擬機(jī)模擬遠(yuǎn)程電腦，以此搭建遠(yuǎn)程訪問VPN。圖1為搭建好后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

4.2 遠(yuǎn)程訪問VPN設(shè)計

在校園網(wǎng)絡(luò)VPN構(gòu)建中，遠(yuǎn)程訪問是十分重要的一部分。本次主要使用VPN業(yè)務(wù)中的VPDN在服務(wù)器內(nèi)部署。由于VPDN會對傳輸?shù)臄?shù)據(jù)進(jìn)行封裝和加密，從而保障了傳輸數(shù)據(jù)的私密性，并使VPN達(dá)到私有安全網(wǎng)絡(luò)的級別。同時VPDN部署不太復(fù)雜，遠(yuǎn)程用戶在遠(yuǎn)程訪問校園網(wǎng)時操作相對簡單。

在VPN網(wǎng)關(guān)中，利用NAT靜態(tài)映射，把VPN服務(wù)器映射到公網(wǎng)地址上，再在VPN服務(wù)器利用VPDN技術(shù)進(jìn)行相關(guān)的安全性配置，然后讓遠(yuǎn)程用戶通過接入VPN服務(wù)器訪問校園網(wǎng)資源。

5 方案驗(yàn)證

5.1 遠(yuǎn)端站點(diǎn)訪問測試

5.1.1 使用ping命令在分校區(qū)學(xué)生宿舍中虛擬機(jī)xp（172.16.8.120）ping主校區(qū)公共文件服務(wù)器（192.168.0.120），能正常ping通。

5.1.2 基于應(yīng)用層上，使用分校區(qū)學(xué)生宿舍中虛擬機(jī)xp（172.16.8.120）訪問主校區(qū)公共文件服務(wù)器（192.168.0.120），在xp虛擬機(jī)上輸入ftp：//192.168.0.120，虛擬機(jī)xp能正常訪問公共服務(wù)器；再在xp虛擬機(jī)上復(fù)制文件夾名為<172.16.8.120>的文件到公共FTP服務(wù)器上，經(jīng)測試文件能復(fù)制到FTP服務(wù)器上。

5.1.3 利用遠(yuǎn)程移動用戶虛擬機(jī)，訪問私有文件服務(wù)器（ftp：//172.17.1.120），測試結(jié)果顯示遠(yuǎn)程移動用戶能正常訪問校園網(wǎng)內(nèi)部資源。

5.2 站點(diǎn)到站點(diǎn)安全性測試

在本次研究中，主要目的是保證校外用戶能安全訪問校園網(wǎng)內(nèi)部資源，即使在公網(wǎng)上被捕獲到數(shù)據(jù)，也不能對其恢復(fù)成明文信息。

圖2為分校區(qū)用戶即IP地址為172.16.8.120的虛擬機(jī)訪問肇慶學(xué)院主校區(qū)公共文件服務(wù)器（192.168.0.254）的時候，利用Wireshark是在Internet處捕獲的數(shù)據(jù)包。

從捕獲到的數(shù)據(jù)包，可以了解到以下幾個問題。

即使沒有進(jìn)行地址轉(zhuǎn)換，IPSec VPN不會把內(nèi)網(wǎng)使用的私有地址暴露在Internet上，原地址和目的地址都會被公有地址所替換掉，從而保證了校園內(nèi)網(wǎng)安全。

其所傳輸?shù)臄?shù)據(jù)流，都是經(jīng)過封裝加密的，在前面研究可以知道，ESP協(xié)議是能夠?yàn)閿?shù)據(jù)提供私密性、完整性和源認(rèn)證3大方面保護(hù)，并且能夠抵御重放攻擊，從而能保障數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩珕栴}，即使數(shù)據(jù)被截獲，也不能對其恢復(fù)。

另外陰影標(biāo)示的ISAKMP協(xié)議，它是IKE的核心協(xié)議，其主要用于雙方之間的認(rèn)證協(xié)商，其進(jìn)行策略協(xié)商后，對加密策略、散列函數(shù)、認(rèn)證方式等等進(jìn)行進(jìn)一步的安全性保護(hù)，保障雙方在互相認(rèn)證時的安全性，不會被第三方截獲密鑰。

5.3 遠(yuǎn)程訪問安全性檢驗(yàn)

利用遠(yuǎn)程移動虛擬機(jī)（172.18.166.120）訪問校園網(wǎng)私有文件服務(wù)器（172.17.1.120）時候再Internet上捕獲的數(shù)據(jù)包。

從捕獲到的數(shù)據(jù)包可以知道在公網(wǎng)線路上的傳輸是經(jīng)過GRE隧道的封裝，數(shù)據(jù)都是加密后的報文，即使在傳輸?shù)木€路上被他人截獲，也無法查看數(shù)據(jù)包內(nèi)容。

可能以此與之前說 GRE沒有采用任何的安全防護(hù)手段，如果在VPN連接技術(shù)中單獨(dú)使用GRE，會造成較大的安全隱患；但是因?yàn)槲覀冊谂渲肰PN服務(wù)器時，為其配置了VPDN，VPDN主要利用PPTP、L2TP、PPP等協(xié)議進(jìn)行數(shù)據(jù)傳輸，VPDN在傳輸數(shù)據(jù)時，都會對數(shù)據(jù)進(jìn)行進(jìn)一步封裝和加密。所以GRE間接通過VPND的PPP數(shù)據(jù)加密技術(shù)，對其傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

6 結(jié)束語

從以上的測試可以看出，利用GNS3部署的VPN具有良好的安全性和可用性，可以快速部署在實(shí)際網(wǎng)絡(luò)中，為實(shí)際網(wǎng)絡(luò)的部署提供了非?？焖俚哪M解決方案。

參考文獻(xiàn)

[1]秦柯.Cisco IPSec VPN實(shí)戰(zhàn)指南[M].北京：人民郵電出版社，2012：28.

[2]易建勛，姜臘林，史長瓊.計算機(jī)網(wǎng)絡(luò)設(shè)計[M].第二版.北京：人民郵電出版社，2011：109.

[3]范青.淺談虛擬專用網(wǎng)（VPN）的技術(shù)研究與應(yīng)用[D].北京：北京理工大學(xué)，2007.

[4]馬淑文.SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].計算機(jī)工程與設(shè)計期刊報，2007，21（3）：11-16.

[5]中藍(lán)工作室.局域網(wǎng)服務(wù)器安裝與配置實(shí)戰(zhàn)[M].北京：科學(xué)出版社，2004：126.