一種基于雙網關和radius認證的VPN部署方法

孫曉林 文 杰

（南陽師范學院現代教育技術與網絡中心 河南 473061）

0 前言

目前校園網存在以下問題：由于版權問題，圖書資源等不能對社會公開，只有校園網用戶才能訪問使用，不能實現資源共享；為了提高安全性，教務系統、財務系統等只限于校內用戶登陸，教職工不能隨時隨地辦公，給居住于校外人員和出差人員帶來諸多不便。

虛擬專用網（Virtual Private Network，VPN）正是建立在公用網基礎上既安全又經濟的遠程訪問內部資源的一種方式。隨著數字化校園的發展，如何統一用戶的數據信息，實現統一認證成為亟待解決的問題。因此，提出一種基于雙網關和radius認證的VPN部署方法，將VPN服務與現有的認證系統相融合，真正達到統一，并配置兩個VPN服務器，實現負載均衡，提高用戶遠程訪問校內資源的速度。

1 VPN

VPN指基于因特網服務提供商（Internet Service Provider，ISP）提供的公用網絡，應用密鑰管理技術、身份認證技術、加解密技術和隧道技術，在內部網絡和VPN用戶之間建立的一條虛擬安全專用通道。用戶可以跨越公用網絡，訪問并使用內部網絡資源，實現公網私用、資源共享。VPN的解決方案有以下三種：

1.1 內聯網VPN

利用 Internet通信線路，使用隧道、認證和加密等技術實現企業內部各個局域網之間的安全關聯，保證信息安全傳輸，也叫做企業內部虛擬專用網。

1.2 外聯網VPN

用于實現企業與客戶、供應商以及其他相關組織之間的互聯互通，通過接入控制和身份認證機制，使用戶動態地訪問公司業務和數據，也叫做企業外部虛擬專用網。

1.3 遠程接入VPN

通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。

為了實現內部資源的外部訪問，需要建立的是遠程接入VPN，當用戶接入當地的ISP后，再通過VPN網關和客戶端之間的虛擬專用線路進行通信，訪問校內資源。

為了保證數據安全傳輸，常用的隧道協議有：數據鏈路層協議PPTP和L2TP、網絡層協議IPSec、應用層協議SSL以及L2TP和IPSec的組合等，其中IPSec和SSL協議需要額外的配置或第三方軟件。為了降低配置的難度，節約部署成本，采用PPTP隧道協議。

同時，為了確保用戶的合法性和有效性，需要對接入內部網絡的用戶進行身份驗證，常用的認證方式有：基于 windows身份認證和基于radius身份認證。前者與windows系統用戶集成，降低了VPN服務器的安全性；后者使用獨立的服務器對用戶進行管理和認證，提高了可靠性，且易于與其他系統集成。為了與我校已有的校園網用戶集中認證計費系統相融合，選擇使用radius身份認證，并且將該系統作為radius認證服務器。

2 Radius協議

遠程用戶撥號認證系統（Remote Authentication Dial In User Service，Radius）[6]在網絡接入服務器（Network Access Server，NAS）和認證服務器之間承載授權、認證和計費功能，而且將撥號和認證分開進行，radius服務器上存放用戶相關信息的數據庫，提供認證功能，NAS負責接收用戶的撥號請求。

Radius協議工作在Client/Server模式下，工作原理是NAS將用戶提交的用戶名、密碼等信息封裝成Access-require數據包轉發給 radius服務器，radius服務器對接收的用戶信息進行驗證，如果合法，則返回 Access-accept數據包，否則返回Access-reject數據包。其中，NAS和radius服務器之間通過共享密鑰進行通信，傳遞的信息用 MD5方式加密，且所有的用戶密碼都采用密文方式傳送，進一步增強了數據傳輸的安全性。

3 基于雙網關和radius認證的VPN部署方法

結合我校設備的實際情況，現有的計費認證系統作為radius認證服務器，實現對VPN用戶的用戶名和密碼等信息的認證計費。同時，為了保證網通和電信網的用戶高質量的接入，配置兩臺VPN服務器，提供兩個VPN網關，采取雙路接入，不同ISP線路的用戶接入不同的VPN服務器，提高訪問校園網的速度，同時實現負載均衡。

用戶位于校園網范圍以外時，通過VPN客戶端向服務器發送用戶名和密碼，此時，VPN服務器通過共享密鑰與radius認證服務器建立連接，并發送用戶信息，radius服務器將該信息與數據庫所保存的信息進行對比。如果不一致，則認證失敗；如果一致，表明認證成功，VPN服務器向用戶授予遠程訪問的權限，同時給用戶分配一個校內IP地址，使用戶以校內用戶的身份訪問內部資源。

基于雙網關和radius認證的VPN部署需要分別對VPN服務器、radius認證服務器和VPN客戶端進行配置。

3.1 VPN服務器端配置

VPN服務器采用雙網卡，分別配置為教育網IP地址和網通或電信的IP地址，分別連接到校園網和ISP。由于是雙網關，需要對兩臺VPN服務器進行設置。通過在windows2003系統中配置“路由和遠程訪問”實現VPN服務的過程如下：

（1）在“身份驗證提供程序”中選擇“RADIUS身份驗證”，并進行配置，“服務器名”為radius服務器的IP地址，“機密”與radius服務器中設置的登陸密碼相同，“端口”為認證端口號1812。

（2）啟用IP路由，并配置“靜態地址池”，輸入“起始IP地址”和“結束IP地址”，減少IP地址分配時間，提高連接速度。每一個通過radius認證的用戶，被分配到該地址池中的一個IP地址，進而虛擬成為校園網用戶，訪問校內資源。

（3）配置路由：具體格式是，routeadd 目的 IP 子網掩碼網關。通過該辦法設置VPN用戶可以訪問的校內資源，可以是某個資源所在服務器的IP地址，也可以是某個IP地址段，提高了校園網的安全性。

3.2 radius服務器配置

認證計費系統啟用radius認證服務，設定接入VPN服務器的IP地址，并設置登錄密碼，即共享密鑰，與服務器端配置的radius機密相同。只有通過該服務器認證的用戶才能在校外通過VPN客戶端訪問校內資源。

3.3 VPN客戶端配置

按照Windows系統自帶的網絡連接配置VPN客戶端，不引入第三方軟件或證書，簡化用戶的接入方式，提高通用性。

連接成功后，VPN用戶使用分配到的校內IP地址訪問校園網資源，保證了數據傳輸的安全性。

4 小結

VPN為校外人員訪問校內資源、實現資源共享提供一種經濟、安全、靈活的方式。本文提出的基于雙網關和radius的VPN部署方法，不僅與原有的計費認證系統結合，避免開新通賬戶的工作，有利于網絡中心管理和用戶使用，而且避免重購設備，節約資金，使現有設備得到充分利用。該VPN系統已經在我校投入使用，正在安全穩定運行中，收到了良好的反響。

[1]張祥梅.Windows 平臺下圖書館 VPN 的應用與改進[J].貴圖學刊，2013（1）：45-48.

[2]楊文凱.SSLVPN 安全關鍵技術研究[D].西南交通大學，2010.

[3]雷震甲.網絡工程師教程[M].清華大學出版社，2009：242-243.

[4]程思，程家興.VPN 中的隧道技術研究[J].計算機技術與發展，2010，20（2）：156-159.

[5]朱曉靜.基于 VPN 技術的校園網安全防護[J].計算機安全，2013（4）：86-89.

[6]Rigney C，Rubens A，Simpson W，et al.Remote Authentication Dial In User Service（RFC 2865）[J].2000.

[7]張書奎.基于 Radius 的 VPN 設計與實現[J].計算機工程，2003，9：124-126.