基于OpenVPN技術的校園網絡遠程網管研究

于 闖, 楊 姝

(1. 沈陽師范大學 數學與系統科學學院, 沈陽 110034; 2. 沈陽師范大學 教育技術學院, 沈陽 110034)

0 引 言

校園網是一種局域網,是學校進行信息化建設的基礎設施。它承載著學校教學、科研、人事、學生、財務、一卡通等關鍵業務。因此,對校園網進行有效的管理和維護,是保障其安全穩定運行的關鍵[1]。

由于對校園網管理有較高的安全性要求,所以通常采用內網模式進行管理與維護。但隨著計算機網絡技術的發展,網絡已經與我們的日常工作、學習與生活密不可分,對于網絡的穩定性提出了更高要求。對于網絡管理者而言,需要隨時隨地、高效地進行網絡管理,如何進行遠程網絡管理已成為網絡管理工作中的一個突出問題[2]。隨著VPN和OpenVPN技術的產生,使得網絡管理員利用公共網絡對校園網進行管理與維護并滿足校園網管理的安全性要求成為可能。本文則利用OpenVPN技術,設計出解決方案并實現了對校園網的遠程管理與維護。

首先,研究了OpenVPN技術;然后對校園網的實際管理應用需求進行分析,在此基礎上,提出基于OpenVPN技術的校園網遠程管理與維護的設計方案;最后根據本文提出的設計方案,搭建校園網環境下的運行系統,實現對校園網遠程管理和維護。通過對實際系統的測試和運行,可以得出,按照本文設計方案搭建的系統,可以實現對校園網進行遠程管理和維護,并且系統操作靈活方便、運行穩定、安全可靠,能夠滿足遠程管理與維護的實際工作需要。

1 OpenVPN技術

VPN(Virtual Private Network,虛擬專用網絡)技術屬于遠程訪問技術,利用該技術可以實現公用網絡對專用網絡的訪問[3]。OpenVPN是一款實現VPN的點到點、點到多點以及網端到網端等多種應用模式的開源軟件。OpenVPN的核心技術包括虛擬網卡技術、數據壓縮技術和數據加密技術。

1.1 虛擬網卡技術

虛擬網卡技術是OpenVPN的核心技術之一,它利用網絡底層編輯技術,在客戶端與服務器端各虛擬出一塊網卡,形成2塊虛擬網卡之間的邏輯通道[4]。通過虛擬網卡進行數據發送與接收,實現VPN業務。虛擬網卡驅動包括網卡驅動和字符驅動,其中網卡驅動負責傳輸數據,字符驅動負責與應用層數據進行通訊。客戶端與服務器端數據傳輸與各層次邏輯關系示意圖如圖1所示。從圖中可以看出:OpenVPN提供了TUN和TAP 2種虛擬網卡類型,其中TUN用于虛擬三層網絡,TAP用于虛擬二層網絡[5];虛擬網卡間的邏輯通道將客戶端與服務器聯接起來,并在網絡傳輸層建立SSL/TLS聯接。

圖1 OpenVPN的數據傳輸與各層次邏輯關系Fig.1 OpenVPN data transmission and logical relationship at various levels

1.2 數據壓縮技術

LZO是OpenVPN在數據傳輸過程中使用的數據壓縮算法。該算法能夠實現對數據進行無損壓縮、重復壓縮和原地解壓。LZO算法在保證壓縮率相對不錯的前提下,具有壓縮速度快的突出特點[6]。它要求壓縮與解壓所用塊的大小保持一致,利用塊壓縮方式,也就是說是對成塊的數據進行壓縮解壓處理,數據塊被壓縮成匹配數據和非匹配文字序列。對于長度較大的非匹配數據序列和匹配數據序列都有專門的處理方式,對于不同類型的數據能夠取得不錯的效果。LZO的突出特點使其甚至可以應用于嵌入式系統,并取得滿意效果[7]。OpenVPN采用LZO算法對通訊數據先進行壓縮處理,然后再進行數據網絡傳輸,以此來提高數據傳輸效率。

1.3 數據加密技術

SSL(Secure Sockets Layer,安全套接層)及其TLS(Transport Layer Security,傳輸層安全)是為網絡通信提供安全及數據完整性的一種安全協議。OpenVPN使用SSL/TLS協議在傳輸層對通訊數據進行加密傳輸[8]。

SSL協議用于因特網中數據的加密傳輸。SSL協議從3.1版本開始,由因特網任務小組接管,并更名為TLS。使用SSL/TLS數據加密技術,可以防止通訊數據在傳輸過程中被截取并竊聽。但是,因受到美國對加密軟件產品出口的限制,SSL/TLS在實用過程中存在密碼算法弱強度的問題,不能滿足政府、軍用、金融等高安全領域的安全性要求,需要通過調用高安全級別的加密算法來增強其安全性[9]。在常規應用場合中,SSL/TLS一般都可以直接滿足設計需要。

SSL/TLS被廣泛地用于客戶端與服務器端的身份認證和加密數據傳輸。SSL/TLS協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL/TLS協議可分為SSL/TLS記錄協議和SSL/TLS握手協議2層。SSL/TLS記錄協議建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、加密等支持。SSL/TLS握手協議用于通訊數據傳輸開始之前,通訊雙方完成身份認證、協商算法、交換密鑰等操作。

2 基于OpenVPN技術的校園網遠程管理與維護的設計方案

為了實現管理員在外網對校園網進行安全穩定的遠程管理和維護,需要對原有校園網系統拓撲結構進行適當改進。圖2為原校園網管結構,圖3為實現外網遠程管理與維護設計方案的系統結構。可以看出,在校園網中增設了一臺OpenVPN服務器并進行相應的權限配置。在校園網絡核心與匯聚層交換機中配置OpenVPN服務器的訪問權限,對其訪問網管服務器進行授權,從而實現網絡管理功能。同時更新路由表,使得從網管服務器發往目標地址為OpenVPN客戶端的數據包轉發至OpenVPN服務器處理,數據包再由OpenVPN服務器轉發給OpenVPN客戶端[10]。另外,在校園網絡核心與匯聚層交換機中需設置訪問控制列表,對OpenVPN客戶端的權限進行授權與隔離處理,以保證安全性要求。

圖2 原校園網管結構圖Fig.2 Original campus network management structure

圖3 實現外網遠程管理與維護設計方案的系統結構圖Fig.3 System structure design for realizing remote network management and maintenance

相對于原網管結構,本設計方案實現了如下功能:1)管理員可以通過外網聯接到OpenVPN服務器,遠程獲取校園網確定的IP地址段;2)為保證網絡的安全,在網絡聯接與數據傳輸時,進行了數據加密處理;3)通過分配專用于遠程管理的校園IP地址段并與校內原管理IP地址段相隔離,保證安全。

2.1 獲取IP的方法

利用公網對校園網進行遠程網絡管理與維護,首先要解決IP地址的獲取問題。若確需使用公網IP地址,則在出口防火墻、入侵檢測、WEB應用防護等系統中,均設置了較高級別的安全策略,防止來自公網的黑客攻擊。同時,在校園網核心層、匯聚層及接入層交換機設置網絡訪問控制列表,避免來自內網的惡意攻擊。所以網絡管理人員只能通過指定的具有管理權限的IP地址段或IP地址,才能對校園網進行正常的網絡維護與管理操作,而其他的不論是校園網還是公網的IP地址段都不具備網絡管理權限。然而,網絡管理人員處于學校外部的公網環境中時,所獲取的IP地址大都是使用DHCP(動態主機配置協議)所分配到的隨機IP地址,尤其,當網絡管理員在校外處在不同的城市和地區時,所能分配到的IP地址具有更大的不確定性[11]。

采用OpenVPN技術可以很好地解決遠程網絡管理過程中出現的獲取IP地址難題[12]。利用虛擬專用網絡可以使得處于公網的主機授權獲得校園內網的IP地址,這樣就好像從外網打通了一條虛擬的通往學校內部的邏輯通路,使得網絡管理人員能夠在公網環境下授權獲得內網IP地址,邏輯上處于內網之下。OpenVPN服務器分配給客戶端的IP地址是預先設計好的隸屬于指定的IP地址段,因而可實現管理IP地址或IP地址段的確定性,從而可實現明確的權限分配并實現安全的網絡維護與管理。

2.2 OpenVPN身份驗證方法

OpenVPN的身份驗證方法有證書驗證和用戶名密碼驗證等方法[13]。因網絡管理人員涉及人數較少且相對固定,因此可采用證書驗證方式。本系統設計時,給每一個網絡管理人員都生成一份驗證證書,用于在外網進行VPN聯接,且采用證書驗證方式時,網絡黑客等攻擊者難以獲取到證書文件,因而采用這種身份驗證方法,使得整個遠程網絡管理系統更加安全。

2.3 存在的安全隱患與解決策略

網絡管理人員日常的工作環境一般都是經過專門分配的、進行過安全授權的、具有較高網絡管理權限的特定環境,一般采用指定IP地址或地址段并結合管理員登錄身份驗證的方式。系統設計時要考慮到這一方面,一旦被非法用戶獲取到密鑰與訪問權限,其所能取得的網絡管理權限需要具有一定的隱秘性和局限性。

網絡管理人員通過OpenVPN聯接后,所獲取到的擁有校園網管理權限的IP地址段有2種規劃方式:

1) 獲得與校內網絡管理人員相同地址段的IP地址

采用這種方式的優點是:無需網絡作后續配置與調整,無須進行管理權限分配;缺點是校內、校外管理IP地址段相同,難以進行區分,一旦被非法用戶獲取到OpenVPN的聯接權限,將會造成較大的安全隱患。

2) 獲得指定的與校內網絡管理人員不同的另外一段IP地址

采用這種方式可以克服校內、校外管理IP地址段相同,難以進行區分,一旦被非法用戶獲取到OpenVPN聯接權限,產生較大安全隱患的缺點。因對校外網絡管理員所分配的網段是單獨的網段,所以權限可靈活分配,同時因與原網段相隔離也能避免產生直接的安全威脅。但采用這種方式所需要進行的設置與管理工作相對較多,如:需網絡管理權限作后續配置與調整、需再次進行管理權限分配、需進行校園網路由配置等。

因而,為避免可能造成的直接性安全威脅,實現靈活的權限分配,整個系統設計采用第2種方式。

同時,在系統管理上采用密鑰文件定期更新的方式,來降低可能出現的密鑰泄露而帶來的安全風險。

圖4 4層防護Fig.4 Four-layer protection

另外,系統設計采用多級別安全措施來加強系統的安全性。整個系統共擁有4層網絡安全防護,具體包括:端口授權檢查、密鑰檢查、IP地址授權檢查和網管身份驗證,充分保障了系統安全。4層防護及驗證過程流程圖如圖4所示。在校園網出口處對OpenVPN的服務端口進行授權訪問,對其他具有潛在風險的服務端口進行屏蔽保護,具體功能由校園網絡防火墻設置實現。檢查密鑰是否合法通過OpenVPN自身的服務進程來完成。然后,通過校園網核心層交換機來實現對網管服務器區域開放IP地址授權。最后,由網管服務器管理軟件自身擁有的身份驗證組件實現了特定網絡管理權限的合法性驗證。

3 基于OpenVPN技術的設計方案的實現與測試

結合上述設計方案,基于OpenVPN技術搭建出了校園網環境下的實際運行系統。同時,為保證系統的安全性、穩定性和功能性,在系統搭建完成后,使用端口掃描、網絡聯通性測試、功能性測試等方式對系統進行測試,測試結果良好,系統功能正常。

3.1 OpenVPN服務器的安裝與運行環境

首先,在OpenVPN服務器中安裝具有速度快、穩定性高和支持多種硬件平臺的操作系統FreeBSD,版本為11.1[14];然后,在已安裝好的FreeBSD操作系統中安裝版本為2.4.5的OpenVPN服務器端軟件、版本為2-2.10的數據壓縮算法LZO軟件、版本為3.0.1的證書生成軟件easy-rsa以及版本為4.2.1的gmake編譯工具。

3.2 OpenVPN客戶端安裝配置

1) 下載并安裝OpenVPN客戶端軟件openvpn-install-2.3.14-I001-i686.exe。

2) 配置客戶端配置文件,編輯C:Program Files (x86)OpenVPNconfig目錄下的client.ovpn客戶端配置文件,設定服務器IP地址與端口號、協議、證書文件名稱等相關參數。

3) 將OpenVPN服務器中使用工具生成的CA證書、客戶端證書等4個文件:ca.crt;client.crt;client.key;ta.key拷貝到配置文件所在目錄C:Program Files(x86)OpenVPNconfig中。

3.3 系統主要性能指標的測試

系統的主要性能指標包括鏈路質量、安全性及功能性等3個方面。可以分別利用網絡聯通性測試指令、端口掃描工具和實際網絡管理操作等方式完成系統的測試。

3.3.1 鏈路質量測試

1) 運行OpenVPN客戶端軟件,并與服務器建立聯接。

2) 測試丟包率與響應延遲。

表1 丟包率與延遲測試Tab.1 Packet loss rate and delay test

通過ICMP協議的PING命令可以對丟包率及響應延遲進行直觀測試[15]。命令執行時使用參數-t,每次測試時間為連續5分鐘,隨機測試3次,每次PING命令反復執行次數約為300次。統計測試結果如表1所示。可以看到,丟包率與延遲2項指標均良好,可以滿足實際應用需要。

3.3.2 安全性測試

在外網使用端口掃描工具檢測OpenVPN服務器的服務端口授權開放情況,僅提供OpenVPN服務的端口處于激活狀態,實現了整個系統的第1層防護[16]。端口授權,具體功能通過設置校園網絡防火墻來實現;第2層防護:密鑰檢查由OpenVPN服務進程來完成,只有使用合法授權密鑰可以通過驗證并建立聯接,而非合法授權密鑰無法通過驗證并被拒絕聯接;第3層防護:IP地址授權通過校園網核心交換機來實現,對網管服務器區域開放訪問權限,其他非授權區域不具備訪問權限;第4層防護:身份驗證是通過網管服務器管理軟件自身來實現身份合法性驗證的,只有通過身份驗證的用戶才能獲得網絡管理權限。

與OpenVPN服務器成功建立聯接后,查看本地IP地址等信息情況,具體通過ipconfig-all命令來查看。描述為TAP-Windows Adapter V9的本地聯接為OpenVPN虛擬網卡。查看其從服務器獲取到的IP地址,其所在的IP地址段為預先規劃好的172.16.160開頭的遠程網管專用IP地址段。在校園核心、匯聚層交換機中已對這一段IP地址的權限進行了配置,且與原網管IP地址段相隔離,實現了預想的安全性需要。

3.3.3 遠程網管功能測試

在外網環境下,首先,運行電腦中已安裝配置好的OpenVPN客戶端軟件。然后,選擇“Connect”一項進行聯接操作。聯接成功后會出現“client is now connected”的提示,這時就可以測試相應的校園網絡管理功能了。經過實際測試,網絡入侵防御系統、防火墻管理、網絡用戶管理系統、郵件管理系統、DNS管理、交換機管理等各項遠程管理與維護功能均能正常使用,僅存在由公網聯接至校內網絡的正常路由轉發延遲,其訪問效果有如身在學校的網絡管理環境下。系統搭建成功后連續正常運行幾個月,運行穩定可靠,可完全滿足遠程網管的實際工作需要。

4 結 語

通過對校園網絡管理過程中,因網絡管理人員處于校外無法進行校園網絡管理的實際問題進行問題分析、理論研究、系統方案設計,基于OpenVPN技術搭建出解決此問題的實際應用系統,最后投入校園網絡管理實際環境中運行和測試。系統運行穩定、應用效果良好,證明了系統設計的可行性和實用性,并且本研究成果可以在各種類似的場合下進行推廣和使用,具有較高的實際應用價值。