国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于Linux網(wǎng)關(guān)的VPN設(shè)計(jì)與實(shí)現(xiàn)

2010-02-16 15:46唐壽高張小銀
中國(guó)教育信息化 2010年5期
關(guān)鍵詞:校園網(wǎng)網(wǎng)關(guān)客戶端

唐壽高,張小銀

(安徽工業(yè)大學(xué) 現(xiàn)代教育技術(shù)中心,安徽馬鞍山243002)

基于Linux網(wǎng)關(guān)的VPN設(shè)計(jì)與實(shí)現(xiàn)

唐壽高,張小銀

(安徽工業(yè)大學(xué) 現(xiàn)代教育技術(shù)中心,安徽馬鞍山243002)

本文介紹了虛擬專用網(wǎng)(VPN)的原理和特點(diǎn),對(duì)實(shí)現(xiàn)虛擬專用網(wǎng)的技術(shù)進(jìn)行了研究和分析,結(jié)合我校的實(shí)際情況,設(shè)計(jì)了一臺(tái)Linux網(wǎng)關(guān)下的VPN服務(wù)器,通過(guò)虛擬專用網(wǎng)的隧道技術(shù)實(shí)現(xiàn)了校外用戶正常訪問(wèn)校內(nèi)資源,達(dá)到了資源共享的目的。

Linux網(wǎng)關(guān);VPN;隧道技術(shù);資源共享

安徽工業(yè)大學(xué)校園網(wǎng)建于2000年并于同年投入使用,目前已經(jīng)建立了資產(chǎn)管理系統(tǒng)、人事管理系統(tǒng)、教務(wù)管理系統(tǒng)、圖書(shū)信息資源管理系統(tǒng)等數(shù)字資源??紤]到各種數(shù)字資源的特殊性,多數(shù)數(shù)字資源只能限制在校園網(wǎng)內(nèi)部合法訪問(wèn)。為了滿足移動(dòng)辦公和校外教師科研工作等使用校內(nèi)資源,需對(duì)這些用戶進(jìn)行授權(quán)訪問(wèn),而虛擬專用網(wǎng)(VPN:Virtual Private Network)技術(shù)可以提供較為安全的解決方案。

Linux作為一種操作系統(tǒng)廣為流行,不僅因其源碼開(kāi)放,而且GNU(一套完全自由的操作系統(tǒng))的大多數(shù)程序都可以在它下面進(jìn)行編譯開(kāi)發(fā)再利用。[1]目前在Linux基礎(chǔ)上開(kāi)發(fā)的系統(tǒng)在計(jì)算機(jī)領(lǐng)域,尤其是網(wǎng)絡(luò)管理等方面得到廣泛應(yīng)用。Linux網(wǎng)關(guān)是指利用Linux作為底層操作系統(tǒng),在其上進(jìn)行系統(tǒng)開(kāi)發(fā),建立一個(gè)具有網(wǎng)絡(luò)管理功能的網(wǎng)關(guān)服務(wù)器。相對(duì)于Windows系統(tǒng),其安全性和可靠性都有較大提高。

筆者針對(duì)我校資源共享的需求,采用Linux網(wǎng)關(guān)設(shè)計(jì)和實(shí)現(xiàn)了VPN,本文在此介紹一下VPN的技術(shù)原理及其在Linux網(wǎng)關(guān)下的實(shí)現(xiàn)方法。

一、VPN技術(shù)原理

VPN是利用開(kāi)放性的公共網(wǎng)絡(luò)作為用戶信息傳輸?shù)拿襟w,通過(guò)附加的隧道封裝、信息加密、用戶認(rèn)證和訪問(wèn)控制等技術(shù)實(shí)現(xiàn)對(duì)信息傳輸過(guò)程的安全保護(hù),從而向用戶提供類似專用網(wǎng)絡(luò)的安全性能。也就是說(shuō)可以通過(guò)公共IP網(wǎng)利用VPN技術(shù)來(lái)建立私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程的校園網(wǎng)外部的移動(dòng)辦公人員和校園內(nèi)網(wǎng)連接起來(lái),并提供安全的端到端的數(shù)據(jù)通訊。[2]

隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。隧道協(xié)議將這些協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息,從而使封裝的負(fù)載數(shù)據(jù)能夠通過(guò)互聯(lián)網(wǎng)絡(luò)傳遞。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn),數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。其實(shí)隧道技術(shù)是指包括數(shù)據(jù)封裝,傳輸和解包在內(nèi)的全過(guò)程。[3]

VPN的目標(biāo)是建立一個(gè)獨(dú)立于網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)的邏輯網(wǎng)絡(luò),它允許不同地理位置上分布的一組主機(jī)互相交互并且可以作為一個(gè)單獨(dú)的網(wǎng)絡(luò)進(jìn)行管理,不用關(guān)心主機(jī)在網(wǎng)絡(luò)中所處的位置。

VPN具體實(shí)現(xiàn)形式多種多樣,但都基于一種稱作安全或者加密的隧道(Tunnel)技術(shù)。這種技術(shù)可以用來(lái)提供網(wǎng)絡(luò)到網(wǎng)絡(luò)(Network to network),主機(jī)到網(wǎng)絡(luò)(Host to network),或者主機(jī)到主機(jī)(Host to host)的安全鏈接。

二、IPSec協(xié)議與PPTP協(xié)議

IPSec(Internet Protocol Security)即因特網(wǎng)安全協(xié)議,是一個(gè)范圍廣泛、開(kāi)放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù),提供透明的安全通信,主要是為IP通信提供加密和認(rèn)證,它為數(shù)據(jù)通過(guò)公用網(wǎng)絡(luò)在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道,首先要采用一定的方式建立通信連接。因?yàn)镮PSec協(xié)議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,包括加密運(yùn)算法則和身份驗(yàn)證方法類型等。

在IPSec協(xié)議中,一旦IPSec通道建立,所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都將經(jīng)過(guò)加密,如TCP、UDP、ICMP等,而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。IPSec的VPN通道是在兩個(gè)局域網(wǎng)之間通過(guò)Internet建立的安全鏈接,保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信,并且它不局限于Web等特定的應(yīng)用,還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò),功能和應(yīng)用的擴(kuò)展性更強(qiáng),普通用戶根本無(wú)需關(guān)心局域網(wǎng)間的連接方式,就像在一個(gè)網(wǎng)內(nèi)一樣,實(shí)現(xiàn)了透明的訪問(wèn)。

PPT P(Point to Point Tunneling Protocol)協(xié)議是專門(mén)為支持VPN而開(kāi)發(fā)的一種技術(shù)。PPTP是PPP(Point-to-Point Protocol,點(diǎn)到點(diǎn)協(xié)議)協(xié)議的一種擴(kuò)展,同樣要求客戶端和服務(wù)器之間存在有效的互連網(wǎng)連接,這種連接需要訪問(wèn)身份證明(如用戶名、口令和域名等)和遵從的驗(yàn)證協(xié)議。只有當(dāng)PPTP服務(wù)器驗(yàn)證客戶身份之后,服務(wù)器和客戶端的連接才算建立起來(lái)了。PPTP會(huì)話的作用就如同服務(wù)器和客戶端之間的一條隧道,網(wǎng)絡(luò)數(shù)據(jù)包由一端流向另一邊。數(shù)據(jù)包在起點(diǎn)處(服務(wù)器或客戶端)被加密為密文,在隧道內(nèi)傳送,在終點(diǎn)將數(shù)據(jù)解密還原。因?yàn)榫W(wǎng)絡(luò)通信是在隧道內(nèi)進(jìn)行,所以數(shù)據(jù)對(duì)外而言是不可見(jiàn)的,隧道中的加密形式更增加了通信的安全級(jí)別。[4]

VPN連接一旦建立,遠(yuǎn)程的用戶就可以訪問(wèn)校園內(nèi)網(wǎng)和網(wǎng)內(nèi)資源,如數(shù)字圖書(shū)館資源、教務(wù)管理系統(tǒng)和校內(nèi)各管理系統(tǒng),就像校園網(wǎng)本地用戶一樣。

三、Linux網(wǎng)關(guān)下的VPN設(shè)計(jì)與實(shí)現(xiàn)

1.選擇比較流行的Linux系統(tǒng)的一個(gè)發(fā)行版本CentOS 5.1進(jìn)行系統(tǒng)安裝

安裝時(shí)選擇定制安裝,“服務(wù)”中選上 “SQL”關(guān)于Mysql的部分,“開(kāi)發(fā)工具”全選上;其他的還包括設(shè)置相關(guān)的參數(shù),包括設(shè)置IP地址,路由等。

2.設(shè)計(jì)基于W eb的VPN用戶登記、認(rèn)證管理程序,使得此Linux系統(tǒng)作為一個(gè)用戶管理的網(wǎng)關(guān)

3.利用GNU相關(guān)程序編譯設(shè)置VPN服務(wù)器

需要編譯和安裝的應(yīng)用程序軟件主要包括:

HTTP服務(wù)器:設(shè)置Linux網(wǎng)關(guān)提供Web服務(wù);

pppd:ppp撥號(hào)服務(wù)器;

pptpd:在pppd撥號(hào)的基礎(chǔ)上增加pptpd的支持;

freeradius:用于撥號(hào)用戶驗(yàn)證;

mysql:增加freeradius的數(shù)據(jù)庫(kù)支持。

(1)安裝Apache服務(wù)器

下載并安裝Apache服務(wù)器應(yīng)用程序,使得網(wǎng)關(guān)提供Web服務(wù)。

(2)安裝PPP

安裝PPP 2.4.3及以上版本,可以在http://sourceforge. net/下載ppp-2.4.3-0.cvs_20040527.1.i386.rpm軟件包。

安裝命令如下:

#rpm-Uvh ppp-2.4.3-0.cvs_20040527.1.i386.rpm

(3)安裝內(nèi)核MPPE補(bǔ)丁

安裝內(nèi)核MPP E(Microsoft Point to Point Encryption,微軟點(diǎn)對(duì)點(diǎn)加密)補(bǔ)丁需要根據(jù)內(nèi)核選擇相應(yīng)的版本。筆者使用的Linux內(nèi)核是2.6.18版本,在http://pptpclient. sourceforge.net/上下載相應(yīng)的 kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm軟件包。安裝命令如下:

#rpm-ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm

(4)安裝PPTPD

到 http://sourceforge.net/下載 pptpd-1.3.4.tar.gz源文件,并解壓安裝。

tar-vxzf pptpd-1.3.4.tar.gz

cd pptpd-1.3.4

./configure

make

make install

(5)安裝freeradius

下載freeradius軟件,解壓并安裝。

tar-vxzf freeradius-1.2.1.tar.gz

cd freeradius-1.2.1

./configure

make

make install

注意:freeradius需要openssl庫(kù),所以如果系統(tǒng)里沒(méi)安裝的話,需要先安裝。

(6)安裝MYSQL數(shù)據(jù)庫(kù)

在www.mysql.com上下載源碼或者rpm包,源碼需要解壓編譯安裝,rpm包則可以直接安裝mysql軟件包,安裝命令如下:

#rpm–ivhmysql-server-5.2.15.1.i386.rpm

4.配置Linux網(wǎng)關(guān)服務(wù)器參數(shù)

配置http服務(wù)器,使得Linux網(wǎng)關(guān)結(jié)合MYSQL數(shù)據(jù)庫(kù)提供Web服務(wù)。

配置ppp服務(wù)和pptpd服務(wù),設(shè)置包括VPN服務(wù)器地址、客戶端接入地址池等參數(shù),使得其服務(wù)作為系統(tǒng)的守護(hù)進(jìn)程常駐內(nèi)存,隨時(shí)監(jiān)聽(tīng)外面用戶的撥號(hào)連接并分配一個(gè)內(nèi)部合法地址用于通信。

配置freeradius服務(wù)和mysql服務(wù),使得VPN用戶通過(guò)數(shù)據(jù)庫(kù)及radius進(jìn)行認(rèn)證。

配置VPN用戶接口,通過(guò)Web方式完成VPN用戶賬號(hào)的登記注冊(cè),再利用后臺(tái)程序?qū)⑼ㄟ^(guò)確認(rèn)的合法用戶賬號(hào)導(dǎo)入到VPN系統(tǒng)賬號(hào)中。

用戶使用VPN連接Linux網(wǎng)關(guān)時(shí),通過(guò)radius進(jìn)行認(rèn)證,使得合法的VPN用戶可以使用Linux網(wǎng)關(guān)連接內(nèi)網(wǎng),從而達(dá)到內(nèi)網(wǎng)資源共享的目的。

5.客戶端配置及使用

以目前使用非常廣泛的Windows XP為例講述一下PPTP客戶端的配置。

點(diǎn)擊“開(kāi)始”菜單,進(jìn)入控制面板,雙擊打開(kāi)網(wǎng)絡(luò)鏈接;單擊左邊“網(wǎng)絡(luò)任務(wù)”下的“創(chuàng)建一個(gè)新的鏈接”,打開(kāi)新建鏈接向?qū)?;點(diǎn)擊“下一步”,選擇“鏈接到我的工作場(chǎng)所的網(wǎng)絡(luò)”,點(diǎn)擊“下一步”;選擇“虛擬專用網(wǎng)絡(luò)鏈接”,然后下一步輸入公司名,也就是識(shí)別本鏈接的名稱,如“ahut”等,點(diǎn)擊“下一步”,輸入主機(jī)名或IP地址,也就是校園網(wǎng)Linux網(wǎng)關(guān)的地址(如我校的為211.70.144.8);點(diǎn)擊“下一步”,選擇在桌面上添加一個(gè)到此鏈接的快捷方式,點(diǎn)擊“完成”,結(jié)束配置。這樣基于Windows XP平臺(tái)的PPTP客戶端就配置好了。雙擊此快捷方式,撥號(hào)開(kāi)始連接,輸入VPN的認(rèn)證用戶名和密碼,成功后網(wǎng)絡(luò)任務(wù)欄多了一個(gè)已鏈接的連接圖標(biāo),說(shuō)明連接正常,可以和校內(nèi)用戶一樣正常使用校內(nèi)特殊資源了。

四、結(jié)束語(yǔ)

VPN作為一種解決網(wǎng)絡(luò)互聯(lián)問(wèn)題的技術(shù),不但保證了數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量,同時(shí)實(shí)現(xiàn)了共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本。通過(guò)一年多的實(shí)際使用證明,此VPN技術(shù)解決方案具有較好的本地認(rèn)證功能 (可以擴(kuò)展使用第三方的radius服務(wù)器進(jìn)行認(rèn)證)、有效的加密保障、安全的遠(yuǎn)端存取等功能,能夠較好地應(yīng)用于外網(wǎng)用戶訪問(wèn)校園網(wǎng)內(nèi)部私有資源。提高了校園網(wǎng)的可管理性、靈活性和安全性,極大地方便了校外教職工對(duì)校園網(wǎng)內(nèi)部資源的安全訪問(wèn)。☉

[1]TheGNU Operating System[EB/OL].http://www.gnu.org.

[2]何寶宏.IP虛擬專用網(wǎng)技術(shù)[M].北京:人民郵電出版社,2002.

[3]孫為清,趙軼群.VPN隧道技術(shù)[J].計(jì)算機(jī)應(yīng)用研究,2000, 8(1):55-57.

[4]蔣東毅,呂述望,羅曉廣.VPN的關(guān)鍵技術(shù)分析[J].計(jì)算機(jī)工程與應(yīng)用,2003(15):173-177.

[5]OpenVPN[EB/OL].http://www.openvpn.org.

(編輯:楊馥紅)

TP393.08

B

1673-8454(2010)05-0084-03

猜你喜歡
校園網(wǎng)網(wǎng)關(guān)客戶端
數(shù)字化校園網(wǎng)建設(shè)及運(yùn)行的幾點(diǎn)思考
如何看待傳統(tǒng)媒體新聞客戶端的“斷舍離”?
試論最大匹配算法在校園網(wǎng)信息提取中的應(yīng)用
信號(hào)系統(tǒng)網(wǎng)關(guān)設(shè)備的優(yōu)化
基于VRRP和MSTP協(xié)議實(shí)現(xiàn)校園網(wǎng)高可靠性
縣級(jí)臺(tái)在突發(fā)事件報(bào)道中如何應(yīng)用手機(jī)客戶端
孵化垂直頻道:新聞客戶端新策略
大樞紐 云平臺(tái) 客戶端——中央人民廣播電臺(tái)的探索之路
NAT技術(shù)在校園網(wǎng)中的應(yīng)用
LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究