基于Linux網(wǎng)關(guān)的VPN設(shè)計(jì)與實(shí)現(xiàn)

唐壽高，張小銀

（安徽工業(yè)大學(xué) 現(xiàn)代教育技術(shù)中心，安徽馬鞍山243002）

基于Linux網(wǎng)關(guān)的VPN設(shè)計(jì)與實(shí)現(xiàn)

唐壽高，張小銀

（安徽工業(yè)大學(xué) 現(xiàn)代教育技術(shù)中心，安徽馬鞍山243002）

本文介紹了虛擬專用網(wǎng)（VPN）的原理和特點(diǎn)，對(duì)實(shí)現(xiàn)虛擬專用網(wǎng)的技術(shù)進(jìn)行了研究和分析，結(jié)合我校的實(shí)際情況，設(shè)計(jì)了一臺(tái)Linux網(wǎng)關(guān)下的VPN服務(wù)器，通過虛擬專用網(wǎng)的隧道技術(shù)實(shí)現(xiàn)了校外用戶正常訪問校內(nèi)資源，達(dá)到了資源共享的目的。

Linux網(wǎng)關(guān)；VPN；隧道技術(shù)；資源共享

安徽工業(yè)大學(xué)校園網(wǎng)建于2000年并于同年投入使用，目前已經(jīng)建立了資產(chǎn)管理系統(tǒng)、人事管理系統(tǒng)、教務(wù)管理系統(tǒng)、圖書信息資源管理系統(tǒng)等數(shù)字資源。考慮到各種數(shù)字資源的特殊性，多數(shù)數(shù)字資源只能限制在校園網(wǎng)內(nèi)部合法訪問。為了滿足移動(dòng)辦公和校外教師科研工作等使用校內(nèi)資源，需對(duì)這些用戶進(jìn)行授權(quán)訪問，而虛擬專用網(wǎng)（VPN：Virtual Private Network）技術(shù)可以提供較為安全的解決方案。

Linux作為一種操作系統(tǒng)廣為流行，不僅因其源碼開放，而且GNU（一套完全自由的操作系統(tǒng)）的大多數(shù)程序都可以在它下面進(jìn)行編譯開發(fā)再利用。[1]目前在Linux基礎(chǔ)上開發(fā)的系統(tǒng)在計(jì)算機(jī)領(lǐng)域，尤其是網(wǎng)絡(luò)管理等方面得到廣泛應(yīng)用。Linux網(wǎng)關(guān)是指利用Linux作為底層操作系統(tǒng)，在其上進(jìn)行系統(tǒng)開發(fā)，建立一個(gè)具有網(wǎng)絡(luò)管理功能的網(wǎng)關(guān)服務(wù)器。相對(duì)于Windows系統(tǒng)，其安全性和可靠性都有較大提高。

筆者針對(duì)我校資源共享的需求，采用Linux網(wǎng)關(guān)設(shè)計(jì)和實(shí)現(xiàn)了VPN，本文在此介紹一下VPN的技術(shù)原理及其在Linux網(wǎng)關(guān)下的實(shí)現(xiàn)方法。

一、VPN技術(shù)原理

VPN是利用開放性的公共網(wǎng)絡(luò)作為用戶信息傳輸?shù)拿襟w,通過附加的隧道封裝、信息加密、用戶認(rèn)證和訪問控制等技術(shù)實(shí)現(xiàn)對(duì)信息傳輸過程的安全保護(hù)，從而向用戶提供類似專用網(wǎng)絡(luò)的安全性能。也就是說可以通過公共IP網(wǎng)利用VPN技術(shù)來建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的校園網(wǎng)外部的移動(dòng)辦公人員和校園內(nèi)網(wǎng)連接起來，并提供安全的端到端的數(shù)據(jù)通訊。[2]

隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。隧道協(xié)議將這些協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。其實(shí)隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。[3]

VPN的目標(biāo)是建立一個(gè)獨(dú)立于網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)的邏輯網(wǎng)絡(luò)，它允許不同地理位置上分布的一組主機(jī)互相交互并且可以作為一個(gè)單獨(dú)的網(wǎng)絡(luò)進(jìn)行管理，不用關(guān)心主機(jī)在網(wǎng)絡(luò)中所處的位置。

VPN具體實(shí)現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道（Tunnel）技術(shù)。這種技術(shù)可以用來提供網(wǎng)絡(luò)到網(wǎng)絡(luò)（Network to network），主機(jī)到網(wǎng)絡(luò)（Host to network），或者主機(jī)到主機(jī)（Host to host）的安全鏈接。

二、IPSec協(xié)議與PPTP協(xié)議

IPSec（Internet Protocol Security）即因特網(wǎng)安全協(xié)議，是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信，主要是為IP通信提供加密和認(rèn)證，它為數(shù)據(jù)通過公用網(wǎng)絡(luò)在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。因?yàn)镮PSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，包括加密運(yùn)算法則和身份驗(yàn)證方法類型等。

在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都將經(jīng)過加密，如TCP、UDP、ICMP等，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。IPSec的VPN通道是在兩個(gè)局域網(wǎng)之間通過Internet建立的安全鏈接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且它不局限于Web等特定的應(yīng)用，還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，功能和應(yīng)用的擴(kuò)展性更強(qiáng)，普通用戶根本無需關(guān)心局域網(wǎng)間的連接方式，就像在一個(gè)網(wǎng)內(nèi)一樣，實(shí)現(xiàn)了透明的訪問。

PPT P（Point to Point Tunneling Protocol）協(xié)議是專門為支持VPN而開發(fā)的一種技術(shù)。PPTP是PPP（Point-to-Point Protocol，點(diǎn)到點(diǎn)協(xié)議）協(xié)議的一種擴(kuò)展，同樣要求客戶端和服務(wù)器之間存在有效的互連網(wǎng)連接，這種連接需要訪問身份證明(如用戶名、口令和域名等)和遵從的驗(yàn)證協(xié)議。只有當(dāng)PPTP服務(wù)器驗(yàn)證客戶身份之后，服務(wù)器和客戶端的連接才算建立起來了。PPTP會(huì)話的作用就如同服務(wù)器和客戶端之間的一條隧道，網(wǎng)絡(luò)數(shù)據(jù)包由一端流向另一邊。數(shù)據(jù)包在起點(diǎn)處（服務(wù)器或客戶端）被加密為密文，在隧道內(nèi)傳送，在終點(diǎn)將數(shù)據(jù)解密還原。因?yàn)榫W(wǎng)絡(luò)通信是在隧道內(nèi)進(jìn)行，所以數(shù)據(jù)對(duì)外而言是不可見的，隧道中的加密形式更增加了通信的安全級(jí)別。[4]

VPN連接一旦建立，遠(yuǎn)程的用戶就可以訪問校園內(nèi)網(wǎng)和網(wǎng)內(nèi)資源，如數(shù)字圖書館資源、教務(wù)管理系統(tǒng)和校內(nèi)各管理系統(tǒng)，就像校園網(wǎng)本地用戶一樣。

三、Linux網(wǎng)關(guān)下的VPN設(shè)計(jì)與實(shí)現(xiàn)

1.選擇比較流行的Linux系統(tǒng)的一個(gè)發(fā)行版本CentOS 5.1進(jìn)行系統(tǒng)安裝

安裝時(shí)選擇定制安裝，“服務(wù)”中選上 “SQL”關(guān)于Mysql的部分，“開發(fā)工具”全選上；其他的還包括設(shè)置相關(guān)的參數(shù)，包括設(shè)置IP地址，路由等。

2.設(shè)計(jì)基于W eb的VPN用戶登記、認(rèn)證管理程序，使得此Linux系統(tǒng)作為一個(gè)用戶管理的網(wǎng)關(guān)

3.利用GNU相關(guān)程序編譯設(shè)置VPN服務(wù)器

需要編譯和安裝的應(yīng)用程序軟件主要包括：

HTTP服務(wù)器：設(shè)置Linux網(wǎng)關(guān)提供Web服務(wù)；

pppd：ppp撥號(hào)服務(wù)器；

pptpd：在pppd撥號(hào)的基礎(chǔ)上增加pptpd的支持；

freeradius：用于撥號(hào)用戶驗(yàn)證；

mysql：增加freeradius的數(shù)據(jù)庫支持。

（1）安裝Apache服務(wù)器

下載并安裝Apache服務(wù)器應(yīng)用程序，使得網(wǎng)關(guān)提供Web服務(wù)。

（2）安裝PPP

安裝PPP 2.4.3及以上版本，可以在http://sourceforge. net/下載ppp-2.4.3-0.cvs_20040527.1.i386.rpm軟件包。

安裝命令如下：

#rpm-Uvh ppp-2.4.3-0.cvs_20040527.1.i386.rpm

（3）安裝內(nèi)核MPPE補(bǔ)丁

安裝內(nèi)核MPP E（Microsoft Point to Point Encryption，微軟點(diǎn)對(duì)點(diǎn)加密）補(bǔ)丁需要根據(jù)內(nèi)核選擇相應(yīng)的版本。筆者使用的Linux內(nèi)核是2.6.18版本，在http：//pptpclient. sourceforge.net/上下載相應(yīng)的 kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm軟件包。安裝命令如下：

#rpm-ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm

（4）安裝PPTPD

到 http://sourceforge.net/下載 pptpd-1.3.4.tar.gz源文件，并解壓安裝。

tar-vxzf pptpd-1.3.4.tar.gz

cd pptpd-1.3.4

./configure

make

make install

（5）安裝freeradius

下載freeradius軟件，解壓并安裝。

tar-vxzf freeradius-1.2.1.tar.gz

cd freeradius-1.2.1

./configure

make

make install

注意：freeradius需要openssl庫，所以如果系統(tǒng)里沒安裝的話，需要先安裝。

（6）安裝MYSQL數(shù)據(jù)庫

在www.mysql.com上下載源碼或者rpm包，源碼需要解壓編譯安裝，rpm包則可以直接安裝mysql軟件包，安裝命令如下：

#rpm–ivhmysql-server-5.2.15.1.i386.rpm

4.配置Linux網(wǎng)關(guān)服務(wù)器參數(shù)

配置http服務(wù)器，使得Linux網(wǎng)關(guān)結(jié)合MYSQL數(shù)據(jù)庫提供Web服務(wù)。

配置ppp服務(wù)和pptpd服務(wù)，設(shè)置包括VPN服務(wù)器地址、客戶端接入地址池等參數(shù)，使得其服務(wù)作為系統(tǒng)的守護(hù)進(jìn)程常駐內(nèi)存，隨時(shí)監(jiān)聽外面用戶的撥號(hào)連接并分配一個(gè)內(nèi)部合法地址用于通信。

配置freeradius服務(wù)和mysql服務(wù)，使得VPN用戶通過數(shù)據(jù)庫及radius進(jìn)行認(rèn)證。

配置VPN用戶接口，通過Web方式完成VPN用戶賬號(hào)的登記注冊(cè)，再利用后臺(tái)程序?qū)⑼ㄟ^確認(rèn)的合法用戶賬號(hào)導(dǎo)入到VPN系統(tǒng)賬號(hào)中。

用戶使用VPN連接Linux網(wǎng)關(guān)時(shí)，通過radius進(jìn)行認(rèn)證，使得合法的VPN用戶可以使用Linux網(wǎng)關(guān)連接內(nèi)網(wǎng)，從而達(dá)到內(nèi)網(wǎng)資源共享的目的。

5.客戶端配置及使用

以目前使用非常廣泛的Windows XP為例講述一下PPTP客戶端的配置。

點(diǎn)擊“開始”菜單，進(jìn)入控制面板，雙擊打開網(wǎng)絡(luò)鏈接；單擊左邊“網(wǎng)絡(luò)任務(wù)”下的“創(chuàng)建一個(gè)新的鏈接”，打開新建鏈接向?qū)В稽c(diǎn)擊“下一步”，選擇“鏈接到我的工作場(chǎng)所的網(wǎng)絡(luò)”，點(diǎn)擊“下一步”；選擇“虛擬專用網(wǎng)絡(luò)鏈接”，然后下一步輸入公司名，也就是識(shí)別本鏈接的名稱，如“ahut”等，點(diǎn)擊“下一步”，輸入主機(jī)名或IP地址，也就是校園網(wǎng)Linux網(wǎng)關(guān)的地址（如我校的為211.70.144.8）；點(diǎn)擊“下一步”，選擇在桌面上添加一個(gè)到此鏈接的快捷方式，點(diǎn)擊“完成”，結(jié)束配置。這樣基于Windows XP平臺(tái)的PPTP客戶端就配置好了。雙擊此快捷方式，撥號(hào)開始連接，輸入VPN的認(rèn)證用戶名和密碼，成功后網(wǎng)絡(luò)任務(wù)欄多了一個(gè)已鏈接的連接圖標(biāo)，說明連接正常，可以和校內(nèi)用戶一樣正常使用校內(nèi)特殊資源了。

四、結(jié)束語

VPN作為一種解決網(wǎng)絡(luò)互聯(lián)問題的技術(shù)，不但保證了數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量，同時(shí)實(shí)現(xiàn)了共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本。通過一年多的實(shí)際使用證明，此VPN技術(shù)解決方案具有較好的本地認(rèn)證功能 （可以擴(kuò)展使用第三方的radius服務(wù)器進(jìn)行認(rèn)證）、有效的加密保障、安全的遠(yuǎn)端存取等功能，能夠較好地應(yīng)用于外網(wǎng)用戶訪問校園網(wǎng)內(nèi)部私有資源。提高了校園網(wǎng)的可管理性、靈活性和安全性，極大地方便了校外教職工對(duì)校園網(wǎng)內(nèi)部資源的安全訪問。☉

[1]TheGNU Operating System[EB/OL].http://www.gnu.org.

[2]何寶宏.IP虛擬專用網(wǎng)技術(shù)[M].北京:人民郵電出版社,2002.

[3]孫為清,趙軼群.VPN隧道技術(shù)[J].計(jì)算機(jī)應(yīng)用研究,2000, 8(1):55-57.

[4]蔣東毅,呂述望,羅曉廣.VPN的關(guān)鍵技術(shù)分析[J].計(jì)算機(jī)工程與應(yīng)用,2003(15):173-177.

[5]OpenVPN[EB/OL].http://www.openvpn.org.

（編輯：楊馥紅）

TP393.08

B

1673-8454（2010）05-0084-03