中小企業(yè)網(wǎng)絡(luò)中ＶＰＮ的實(shí)現(xiàn)

摘要：對在中小企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)VPN進(jìn)行了研究，提出一種高效而廉價(jià)的實(shí)現(xiàn)方法。具體闡述了在LINUX系統(tǒng)中如何實(shí)現(xiàn)VPN技術(shù)，提供了服務(wù)器的創(chuàng)建方法和防火墻的設(shè)置技巧。對中小企業(yè)利用VPN技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)的靈活訪問具有極大的參考意義。

關(guān)鍵詞：VPN；中小企業(yè)；網(wǎng)絡(luò)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)36-2891-02

The Implementation of VPN on The Company-Internal Network

ZHOU Shi-jie

(Fujian Communications Technology College， Fuzhou 350007， China)

Abstract: Do the research of the implementation of VPN on the company-internal network， propose a highly efficient and low-cost method. Descript how to achieve VPN technology in the LINUX system. Provides a method to create the server and firewall settings skills. It has great reference value to use VPN technology with a flexible network access on the company-internal network.

Key words: VPN; company; network

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，以及企業(yè)信息化進(jìn)程的加速，大部分的政府部門、企事業(yè)單位均已建設(shè)了單位內(nèi)部的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)了辦公自動(dòng)化，日常工作也漸漸從以往的文書往來向網(wǎng)絡(luò)辦公發(fā)展，大家已經(jīng)越來越離不開計(jì)算機(jī)網(wǎng)絡(luò)。本文主要討論了如何在中小企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)VPN技術(shù)。

2 中小企業(yè)網(wǎng)的VPN實(shí)現(xiàn)選擇

目前主流的內(nèi)部網(wǎng)絡(luò)組網(wǎng)方式較為統(tǒng)一，內(nèi)部使用私有地址部署，內(nèi)網(wǎng)出口使用防火墻或路由器做NAT地址轉(zhuǎn)換，在ISP提供的線路幫助下，從而實(shí)現(xiàn)中小型企業(yè)內(nèi)部網(wǎng)絡(luò)與INTERNET的互聯(lián)。這種組網(wǎng)方式能大量節(jié)約IP地址資源，降低聯(lián)網(wǎng)成本，同時(shí)也能夠有效的保護(hù)中小企業(yè)內(nèi)部網(wǎng)絡(luò)上各自信息資源的安全。隨著企業(yè)業(yè)務(wù)的不斷擴(kuò)展，越來越多的工作需要在企業(yè)之外完成，比如在外地出差或者對用戶進(jìn)行上門服務(wù)或者在家辦公時(shí)。這時(shí)，我們需要一種能方便而又安全的聯(lián)入企業(yè)內(nèi)部網(wǎng)絡(luò)，從而使用網(wǎng)絡(luò)中的各種信息和資源，讓我們的工作方式更加靈活和有效。傳統(tǒng)的解決方法是在企業(yè)內(nèi)部建立遠(yuǎn)程訪問服務(wù)器，遠(yuǎn)程用戶通過電話線路等遠(yuǎn)程撥號到遠(yuǎn)程訪問服務(wù)器，這種解決方法一是速度慢，二是要支付較高的電話費(fèi)用，成本較高。而VPN技術(shù)就彌補(bǔ)了這些缺陷，它利用廉價(jià)的INTERNET或其他公共網(wǎng)絡(luò)傳輸數(shù)據(jù)，在網(wǎng)絡(luò)出口處提供服務(wù)，有需要的客戶端通過INTERNET連入VPN服務(wù)器，在服務(wù)器的幫助下，獲得一個(gè)事先劃分的內(nèi)網(wǎng)IP地址。此時(shí)，該客戶端就虛擬的聯(lián)入了企業(yè)內(nèi)部局域網(wǎng)，和平常在辦公室里一樣，可以獲得各種內(nèi)網(wǎng)資源。

圖1

那么，VPN技術(shù)如何部署以及實(shí)現(xiàn)呢？在各種網(wǎng)絡(luò)連接設(shè)備上，一些專門的廠商都會(huì)有VPN模塊可以提供VPN服務(wù)。例如CISCO的防火墻，三層交換機(jī)等設(shè)備上均有VPN模塊可以選配。也有一些第三方的VPN技術(shù)，如SSLVPN、IPSECVPN等等。但是，這些設(shè)備的價(jià)格以及LICENCE的費(fèi)用都比較高，對于一個(gè)中小型企業(yè)局域網(wǎng)來講，這樣的投入也許超出了各自的承受范圍。那么有沒有一些簡單而又經(jīng)濟(jì)的替代方法呢？免費(fèi)的LINUX系統(tǒng)就給我們提供了這樣一種實(shí)現(xiàn)的方法。

3 使用的VPN協(xié)議

VPN技術(shù)在創(chuàng)建隧道實(shí)現(xiàn)虛擬專用網(wǎng)的過程中，隧道兩端需使用相同的隧道協(xié)議。根據(jù)OSI參考模型劃分，隧道技術(shù)可以分為2層和3層隧道協(xié)議。第二層隧道協(xié)議主要有：PPTP、L2TP和L2F，第三層協(xié)議主要有IP over IP和IPSec。通常在LINUX中我們使用PPTP協(xié)議實(shí)現(xiàn)VPN。

PPTP協(xié)議是PPP協(xié)議的擴(kuò)展，并協(xié)調(diào)使用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP協(xié)議是使用一般路由封裝（GRE）報(bào)頭和IP報(bào)頭封裝在PPP幀中的，結(jié)構(gòu)如圖1。

4 VPN服務(wù)的實(shí)現(xiàn)

以RED HAT ENTERPRISE AS 4.0系統(tǒng)為例說明VPN服務(wù)的實(shí)現(xiàn)方法。

為VPN服務(wù)器配置兩塊網(wǎng)卡，分別為eth0和eht1。其中eth0連接到內(nèi)部網(wǎng)絡(luò)，假設(shè)IP為172.26.1.1；eth1連接到INTERNET，假設(shè)IP為218.1.2.3。

首先，需要下載內(nèi)核補(bǔ)丁、升級自帶的PPP程序、安裝PPTP以及MPPE軟件包以便支持PPTP協(xié)議和微軟的點(diǎn)對點(diǎn)加密MPPE。

1) dkms-2.0.5-1.noarch.rpm動(dòng)態(tài)內(nèi)核模塊支持的RPM安裝包

2) kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm MPPE加密協(xié)議的內(nèi)核補(bǔ)丁的RPM安裝包

3) ppp-2.4.3-5.rhel4.i386.rpm升級內(nèi)置PPP到2.4.3版本，以支持MPPE加密協(xié)議

4) pptpd-1.3.0-0.i386.rpmPPTP點(diǎn)對點(diǎn)隧道協(xié)議的RPM安裝包

下載完成后使用一下命令進(jìn)行安裝和升級。

rpm - ivh dkms-2.0.5-1.noarch.rpm

rpm - ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm

rpm - Uvh ppp-2.4.3-5.rhel4.i386.rpm

rpm - ivh pptpd-1.3.0-0.i386.rpm

全部安裝升級完成后使用vi程序打開PPTP的主配置文件。

vi /etc/pptpd.conf

在文件中加入以下配置語句：

localip 172.26.1.1

remoteip 172.26.1.100-200，172.26.1.240

文件/etc/ppp/chap-secrets中保存了VPN客戶機(jī)撥入時(shí)所使用的帳戶名、口令、固定分配的IP地址等信息，每個(gè)賬戶在該文件中使用一行，格式如下：

帳戶名服務(wù)口令分配給該賬戶的IP地址

“test” pptpd“password”“*”

“admin”pptpd“admin”“172.26.1.240”

其中*代表由pptp服務(wù)在地址段中隨機(jī)選擇。

接著打開LINUX內(nèi)核的路由功能，使VPN客戶端能通過eth0路由到內(nèi)部網(wǎng)絡(luò)，執(zhí)行以下命令：

echo “1”>/proc/sys/net/ipv4/ip_forward

5 VPN服務(wù)的管理

啟動(dòng)VPN服務(wù)：

/etc/init.d/pptpd start

停止VPN服務(wù)：

/etc/init.d/pptpd stop

重新啟動(dòng)VPN服務(wù)：

/etc/init.d/pptpd restart

該命令在重啟服務(wù)時(shí)不能終止已存在的VPN連接，在重啟后可能造成IP沖突的錯(cuò)誤。可使用以下命令在停止服務(wù)時(shí)同時(shí)終止所有已存在的VPN連接，然后再使用啟動(dòng)VPN服務(wù)命令。

/etc/init.d/pptpd restart-kill

自動(dòng)啟動(dòng)VPN服務(wù)：

執(zhí)行命令”ntsysv”啟動(dòng)服務(wù)配置程序，在”pptpd”服務(wù)前面選中”*”，接著“確定”即可。

6 防火墻的設(shè)置

PPTP服務(wù)使用TCP協(xié)議中的1723端口和IP協(xié)議中編號為47的GRE常規(guī)路由封裝，若啟用了防火墻，則需開放1723端口并允許編號為47的IP協(xié)議通過。若使用的是iptables，則執(zhí)行以下命令：

iptables - I INPUT - p tcp - dport 1723 - j ACCEPT

iptables - I INPUT - p gre - j ACCEPT

7 VPN客戶端的配置

一般的VPN客戶端均使用WINDOWS操作系統(tǒng)，以在WINDOS XP系統(tǒng)中創(chuàng)建VPN客戶端為例說明操作步驟：

1) 網(wǎng)上鄰居右鍵菜單中選擇屬性；

2) 雙擊“新建連接向?qū)А保?/p>

3) 在向?qū)υ捒蛑袉螕簟跋乱徊健保?/p>

4) 在“網(wǎng)絡(luò)連接類型”中選擇“連接到我工作場所的網(wǎng)絡(luò)”；

5) 在“網(wǎng)絡(luò)連接”中選擇“虛擬專用網(wǎng)連接”；

6) 在“連接名”中輸入您想設(shè)定的連接名稱；

7) 在“VPN服務(wù)器選擇”中輸入VPN服務(wù)器的域名或IP，本例中應(yīng)輸入eth1上的IP地址”218.1.2.3”；

8) 單擊“完成”即可創(chuàng)建VPN客戶端連接。

雙擊創(chuàng)建的VPN連接，輸入服務(wù)器上創(chuàng)建的帳號”admin”與密碼”admin”點(diǎn)擊連接即可聯(lián)入VPN服務(wù)器。連接成功后雙擊該連接，選擇“詳細(xì)信息”，若顯示使用PPTP和MPPE 128加密則表明VPN服務(wù)器配置成功。在本例的連接中應(yīng)獲得一個(gè)固定分配給”admin”用戶的IP地址”172.26.1.240”。

此時(shí)，該客戶端即可像在內(nèi)部網(wǎng)絡(luò)里一樣直接訪問各種資源。

8 結(jié)束語

VPN技術(shù)的實(shí)現(xiàn)，對于業(yè)務(wù)靈活性要求越來越高的企業(yè)有極大助益，而使用免費(fèi)的linux系統(tǒng)實(shí)現(xiàn)VPN技術(shù)，無疑是一種廉價(jià)而又高效的手段，具備相當(dāng)?shù)膮⒖家饬x。

參考文獻(xiàn)：

[1] 童珉，冉曉旻.VPN的擴(kuò)展性研究[J].計(jì)算機(jī)時(shí)代，2003(7).

[2] 趙金萍，熊君星，羅華群.VPN關(guān)鍵技術(shù)的研究[J].電腦知識與技術(shù):學(xué)術(shù)交流，2007(22).

[3] 封浩宇.IP VPN在電信運(yùn)營網(wǎng)絡(luò)中的實(shí)現(xiàn)[J].電信科學(xué)，2002(4).