APP下载

浅谈VPN技术在校园网建设中的应用

2017-05-17陈建华

数字技术与应用 2017年3期

陈建华

摘要:随着校园信息化建设的深入开展,内外网之间的数据访问越来越频繁。本文通过介绍VPN在功能原理,常见实现方法和技术,浅谈在校园网建设中VPN技术的应用。

关键词:VPN 远程连接;L2TP 和IPSec;安全

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)03-0039-01

1 VPN及其功能特点

虚拟专用网络(Virtual Private Network),即VPN,属于远程访问技术,就是利用加密技术在公网上封装出一个数据通讯隧道。用户不论在何地,通过互联网利用VPN也随时可以使用企业内部的资源。

VPN因其具有易使用、成本低的特点,用户在使用网络运营商的设施和服务的同时,又掌握着自己网络的控制权。[1]

2 VPN的实现技术

VPN的实现有很多种,常用的有VPN服务器、软件VPN、硬件VPN、集成VPN。现以性能最好,应用最广泛的L2TP和IPSec创建的VPN服务器为例。

以此校园网为例,服务器处于同一vlan中,网关地址172.18.1.1,VPN服务器单网卡。

2.1 VPN服务器的架设

(1)配置并启用路由和远程访问,启用服务器VPN访问。

(2)启用IP路由,配置VPN客户端连接后获取的IP地址池,此例我们将远程接入IP采用静态地址池172.18.1.101-172.18.1.150(根据同时连接数确定数量),另外定义默认路由,远程连接数据全部由网关172.18.1.1转发,并删除[DHCP 中继代理程序] 中的[内部]接口。

(3)配置NAT路由,新增NAT路由协议,并在本地连接上的接口上启用NAT。

(4)创建用户客户端进行远程拨号连接的用戶,设置允许拨入并配置权限为通过远程访问策略控制访问。

2.2 远程访问策略配置

在路由和远程访问管理中,设置远程访问策略的匹配条件(如日期和时间),在权限页选择授予远程访问权限。

2.3 身份验证

L2TP IPSEC VPN建立连接开始通信前需要互相验证VPN服务器和客户端身份合法性,下面来配置基于证书的L2TP IPSec VPN。[2]

(1)配置CA服务器(以下简称CA)。本例在内网WEB服务器上直接配置为CA(见图1)。安装“证书服务”组件,创建“独立根CA”。因与WEB服务器在同一主机,需另外设置CA的站点。

(2)证书申请。VPN服务器通过WEB浏览器访问之前设置的CA网站地址申请证书。

(3)颁发证书。CA管理员在管理工具的“证书颁发机构”审核证书请求并手动颁发证书。

(4)安装证书。浏览器访问CA,选 “查看挂起的证书申请的状态”按向导安装证书。为使CA所颁发证书合法,VPN服务器证书安装后还要安装CA根证书,因为只有根CA合法后才可以确保其所颁发证书的合法性。在CA页面 “下载CA证书”,导入证书到存储区。

(5)创建VPN客户端连接并测试。客户端也需申请并安装相同CA颁发的证书,除证书类型选择“客户端身份验证证书”,其他与服务器相同。

2.4 测试VPN PPTP穿透

通过路由器把VPN服务器的服务端口映射到外网IP。如L2TP VPN使用的1701端口,配置:route(config)#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701。

2.5 VPN客户端设置

配置Windows 7计算机作为L2TP 客户端。新建VPN连接,选择“使用我的Internet连接(VPN)” ,设置服务器地址“218.67.78.78”;设置连接属性,允许协议为PAP、CHAP、MS-CHAP,VPN 类型为“L2TP IPSec VPN”;用具有远程拨入权限的用户进行连接。

基于Windows的PPTP或L2TP VPN,默认网络流量全部通过VPN通道,如果访问内网的流量通过VPN,而其他流量通过原来的互联网连接,需更改客户端本地路由表。

3 结语

L2TP IPSec VPN的配置在确保安全的同时也对客户端的配置带来不便。

参考文献

[1]王占京.VPN网络技术与业务应用[M].国防工业出版社,2012:1-9,179-228.

[2]邹县芳等.基于Windows平台中的服务器配置与管理[M].中国铁道出版社,2008:343-386.