陳建華

摘要：隨著校園信息化建設(shè)的深入開展，內(nèi)外網(wǎng)之間的數(shù)據(jù)訪問越來越頻繁。本文通過介紹VPN在功能原理，常見實(shí)現(xiàn)方法和技術(shù)，淺談在校園網(wǎng)建設(shè)中VPN技術(shù)的應(yīng)用。

關(guān)鍵詞：VPN 遠(yuǎn)程連接；L2TP 和IPSec；安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）03-0039-01

1 VPN及其功能特點(diǎn)

虛擬專用網(wǎng)絡(luò)（Virtual Private Network），即VPN，屬于遠(yuǎn)程訪問技術(shù)，就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。用戶不論在何地，通過互聯(lián)網(wǎng)利用VPN也隨時(shí)可以使用企業(yè)內(nèi)部的資源。

VPN因其具有易使用、成本低的特點(diǎn)，用戶在使用網(wǎng)絡(luò)運(yùn)營商的設(shè)施和服務(wù)的同時(shí)，又掌握著自己網(wǎng)絡(luò)的控制權(quán)。[1]

2 VPN的實(shí)現(xiàn)技術(shù)

VPN的實(shí)現(xiàn)有很多種，常用的有VPN服務(wù)器、軟件VPN、硬件VPN、集成VPN。現(xiàn)以性能最好，應(yīng)用最廣泛的L2TP和IPSec創(chuàng)建的VPN服務(wù)器為例。

以此校園網(wǎng)為例，服務(wù)器處于同一vlan中，網(wǎng)關(guān)地址172.18.1.1，VPN服務(wù)器單網(wǎng)卡。

2.1 VPN服務(wù)器的架設(shè)

（1）配置并啟用路由和遠(yuǎn)程訪問，啟用服務(wù)器VPN訪問。

（2）啟用IP路由，配置VPN客戶端連接后獲取的IP地址池，此例我們將遠(yuǎn)程接入IP采用靜態(tài)地址池172.18.1.101-172.18.1.150（根據(jù)同時(shí)連接數(shù)確定數(shù)量），另外定義默認(rèn)路由，遠(yuǎn)程連接數(shù)據(jù)全部由網(wǎng)關(guān)172.18.1.1轉(zhuǎn)發(fā)，并刪除[DHCP 中繼代理程序] 中的[內(nèi)部]接口。

（3）配置NAT路由，新增NAT路由協(xié)議，并在本地連接上的接口上啟用NAT。

（4）創(chuàng)建用戶客戶端進(jìn)行遠(yuǎn)程撥號(hào)連接的用戶，設(shè)置允許撥入并配置權(quán)限為通過遠(yuǎn)程訪問策略控制訪問。

2.2 遠(yuǎn)程訪問策略配置

在路由和遠(yuǎn)程訪問管理中，設(shè)置遠(yuǎn)程訪問策略的匹配條件（如日期和時(shí)間），在權(quán)限頁選擇授予遠(yuǎn)程訪問權(quán)限。

2.3 身份驗(yàn)證

L2TP IPSEC VPN建立連接開始通信前需要互相驗(yàn)證VPN服務(wù)器和客戶端身份合法性，下面來配置基于證書的L2TP IPSec VPN。[2]

（1）配置CA服務(wù)器（以下簡稱CA）。本例在內(nèi)網(wǎng)WEB服務(wù)器上直接配置為CA（見圖1）。安裝“證書服務(wù)”組件，創(chuàng)建“獨(dú)立根CA”。因與WEB服務(wù)器在同一主機(jī)，需另外設(shè)置CA的站點(diǎn)。

（2）證書申請(qǐng)。VPN服務(wù)器通過WEB瀏覽器訪問之前設(shè)置的CA網(wǎng)站地址申請(qǐng)證書。

（3）頒發(fā)證書。CA管理員在管理工具的“證書頒發(fā)機(jī)構(gòu)”審核證書請(qǐng)求并手動(dòng)頒發(fā)證書。

（4）安裝證書。瀏覽器訪問CA，選 “查看掛起的證書申請(qǐng)的狀態(tài)”按向?qū)О惭b證書。為使CA所頒發(fā)證書合法，VPN服務(wù)器證書安裝后還要安裝CA根證書，因?yàn)橹挥懈鵆A合法后才可以確保其所頒發(fā)證書的合法性。在CA頁面 “下載CA證書”，導(dǎo)入證書到存儲(chǔ)區(qū)。

（5）創(chuàng)建VPN客戶端連接并測(cè)試?？蛻舳艘残枭暾?qǐng)并安裝相同CA頒發(fā)的證書，除證書類型選擇“客戶端身份驗(yàn)證證書”，其他與服務(wù)器相同。

2.4 測(cè)試VPN PPTP穿透

通過路由器把VPN服務(wù)器的服務(wù)端口映射到外網(wǎng)IP。如L2TP VPN使用的1701端口，配置：route（config）#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701。

2.5 VPN客戶端設(shè)置

配置Windows 7計(jì)算機(jī)作為L2TP 客戶端。新建VPN連接，選擇“使用我的Internet連接（VPN）” ，設(shè)置服務(wù)器地址“218.67.78.78”；設(shè)置連接屬性，允許協(xié)議為PAP、CHAP、MS-CHAP，VPN 類型為“L2TP IPSec VPN”；用具有遠(yuǎn)程撥入權(quán)限的用戶進(jìn)行連接。

基于Windows的PPTP或L2TP VPN，默認(rèn)網(wǎng)絡(luò)流量全部通過VPN通道，如果訪問內(nèi)網(wǎng)的流量通過VPN，而其他流量通過原來的互聯(lián)網(wǎng)連接，需更改客戶端本地路由表。

3 結(jié)語

L2TP IPSec VPN的配置在確保安全的同時(shí)也對(duì)客戶端的配置帶來不便。

參考文獻(xiàn)

[1]王占京.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M].國防工業(yè)出版社，2012：1-9，179-228.

[2]鄒縣芳等.基于Windows平臺(tái)中的服務(wù)器配置與管理[M].中國鐵道出版社，2008：343-386.