陳建華

摘要：隨著校園信息化建設(shè)的深入開展，內(nèi)外網(wǎng)之間的數(shù)據(jù)訪問越來越頻繁。本文通過介紹VPN在功能原理，常見實現(xiàn)方法和技術(shù)，淺談在校園網(wǎng)建設(shè)中VPN技術(shù)的應(yīng)用。

關(guān)鍵詞：VPN 遠(yuǎn)程連接；L2TP 和IPSec；安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2017）03-0039-01

1 VPN及其功能特點

虛擬專用網(wǎng)絡(luò)（Virtual Private Network），即VPN，屬于遠(yuǎn)程訪問技術(shù)，就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。用戶不論在何地，通過互聯(lián)網(wǎng)利用VPN也隨時可以使用企業(yè)內(nèi)部的資源。

VPN因其具有易使用、成本低的特點，用戶在使用網(wǎng)絡(luò)運營商的設(shè)施和服務(wù)的同時，又掌握著自己網(wǎng)絡(luò)的控制權(quán)。[1]

2 VPN的實現(xiàn)技術(shù)

VPN的實現(xiàn)有很多種，常用的有VPN服務(wù)器、軟件VPN、硬件VPN、集成VPN?，F(xiàn)以性能最好，應(yīng)用最廣泛的L2TP和IPSec創(chuàng)建的VPN服務(wù)器為例。

以此校園網(wǎng)為例，服務(wù)器處于同一vlan中，網(wǎng)關(guān)地址172.18.1.1，VPN服務(wù)器單網(wǎng)卡。

2.1 VPN服務(wù)器的架設(shè)

（1）配置并啟用路由和遠(yuǎn)程訪問，啟用服務(wù)器VPN訪問。

（2）啟用IP路由，配置VPN客戶端連接后獲取的IP地址池，此例我們將遠(yuǎn)程接入IP采用靜態(tài)地址池172.18.1.101-172.18.1.150（根據(jù)同時連接數(shù)確定數(shù)量），另外定義默認(rèn)路由，遠(yuǎn)程連接數(shù)據(jù)全部由網(wǎng)關(guān)172.18.1.1轉(zhuǎn)發(fā)，并刪除[DHCP 中繼代理程序] 中的[內(nèi)部]接口。

（3）配置NAT路由，新增NAT路由協(xié)議，并在本地連接上的接口上啟用NAT。

（4）創(chuàng)建用戶客戶端進(jìn)行遠(yuǎn)程撥號連接的用戶，設(shè)置允許撥入并配置權(quán)限為通過遠(yuǎn)程訪問策略控制訪問。

2.2 遠(yuǎn)程訪問策略配置

在路由和遠(yuǎn)程訪問管理中，設(shè)置遠(yuǎn)程訪問策略的匹配條件（如日期和時間），在權(quán)限頁選擇授予遠(yuǎn)程訪問權(quán)限。

2.3 身份驗證

L2TP IPSEC VPN建立連接開始通信前需要互相驗證VPN服務(wù)器和客戶端身份合法性，下面來配置基于證書的L2TP IPSec VPN。[2]

（1）配置CA服務(wù)器（以下簡稱CA）。本例在內(nèi)網(wǎng)WEB服務(wù)器上直接配置為CA（見圖1）。安裝“證書服務(wù)”組件，創(chuàng)建“獨立根CA”。因與WEB服務(wù)器在同一主機(jī)，需另外設(shè)置CA的站點。

（2）證書申請。VPN服務(wù)器通過WEB瀏覽器訪問之前設(shè)置的CA網(wǎng)站地址申請證書。

（3）頒發(fā)證書。CA管理員在管理工具的“證書頒發(fā)機(jī)構(gòu)”審核證書請求并手動頒發(fā)證書。

（4）安裝證書。瀏覽器訪問CA，選 “查看掛起的證書申請的狀態(tài)”按向?qū)О惭b證書。為使CA所頒發(fā)證書合法，VPN服務(wù)器證書安裝后還要安裝CA根證書，因為只有根CA合法后才可以確保其所頒發(fā)證書的合法性。在CA頁面 “下載CA證書”，導(dǎo)入證書到存儲區(qū)。

（5）創(chuàng)建VPN客戶端連接并測試?？蛻舳艘残枭暾埐惭b相同CA頒發(fā)的證書，除證書類型選擇“客戶端身份驗證證書”，其他與服務(wù)器相同。

2.4 測試VPN PPTP穿透

通過路由器把VPN服務(wù)器的服務(wù)端口映射到外網(wǎng)IP。如L2TP VPN使用的1701端口，配置：route（config）#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701。

2.5 VPN客戶端設(shè)置

配置Windows 7計算機(jī)作為L2TP 客戶端。新建VPN連接，選擇“使用我的Internet連接（VPN）” ，設(shè)置服務(wù)器地址“218.67.78.78”；設(shè)置連接屬性，允許協(xié)議為PAP、CHAP、MS-CHAP，VPN 類型為“L2TP IPSec VPN”；用具有遠(yuǎn)程撥入權(quán)限的用戶進(jìn)行連接。

基于Windows的PPTP或L2TP VPN，默認(rèn)網(wǎng)絡(luò)流量全部通過VPN通道，如果訪問內(nèi)網(wǎng)的流量通過VPN，而其他流量通過原來的互聯(lián)網(wǎng)連接，需更改客戶端本地路由表。

3 結(jié)語

L2TP IPSec VPN的配置在確保安全的同時也對客戶端的配置帶來不便。

參考文獻(xiàn)

[1]王占京.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M].國防工業(yè)出版社，2012：1-9，179-228.

[2]鄒縣芳等.基于Windows平臺中的服務(wù)器配置與管理[M].中國鐵道出版社，2008：343-386.