唐壽高，張小銀

（安徽工業(yè)大學 現(xiàn)代教育技術中心，安徽馬鞍山243002）

基于Linux網(wǎng)關的VPN設計與實現(xiàn)

唐壽高，張小銀

（安徽工業(yè)大學 現(xiàn)代教育技術中心，安徽馬鞍山243002）

本文介紹了虛擬專用網(wǎng)（VPN）的原理和特點，對實現(xiàn)虛擬專用網(wǎng)的技術進行了研究和分析，結合我校的實際情況，設計了一臺Linux網(wǎng)關下的VPN服務器，通過虛擬專用網(wǎng)的隧道技術實現(xiàn)了校外用戶正常訪問校內資源，達到了資源共享的目的。

Linux網(wǎng)關；VPN；隧道技術；資源共享

安徽工業(yè)大學校園網(wǎng)建于2000年并于同年投入使用，目前已經(jīng)建立了資產(chǎn)管理系統(tǒng)、人事管理系統(tǒng)、教務管理系統(tǒng)、圖書信息資源管理系統(tǒng)等數(shù)字資源?？紤]到各種數(shù)字資源的特殊性，多數(shù)數(shù)字資源只能限制在校園網(wǎng)內部合法訪問。為了滿足移動辦公和校外教師科研工作等使用校內資源，需對這些用戶進行授權訪問，而虛擬專用網(wǎng)（VPN：Virtual Private Network）技術可以提供較為安全的解決方案。

Linux作為一種操作系統(tǒng)廣為流行，不僅因其源碼開放，而且GNU（一套完全自由的操作系統(tǒng)）的大多數(shù)程序都可以在它下面進行編譯開發(fā)再利用。[1]目前在Linux基礎上開發(fā)的系統(tǒng)在計算機領域，尤其是網(wǎng)絡管理等方面得到廣泛應用。Linux網(wǎng)關是指利用Linux作為底層操作系統(tǒng)，在其上進行系統(tǒng)開發(fā)，建立一個具有網(wǎng)絡管理功能的網(wǎng)關服務器。相對于Windows系統(tǒng)，其安全性和可靠性都有較大提高。

筆者針對我校資源共享的需求，采用Linux網(wǎng)關設計和實現(xiàn)了VPN，本文在此介紹一下VPN的技術原理及其在Linux網(wǎng)關下的實現(xiàn)方法。

一、VPN技術原理

VPN是利用開放性的公共網(wǎng)絡作為用戶信息傳輸?shù)拿襟w,通過附加的隧道封裝、信息加密、用戶認證和訪問控制等技術實現(xiàn)對信息傳輸過程的安全保護，從而向用戶提供類似專用網(wǎng)絡的安全性能。也就是說可以通過公共IP網(wǎng)利用VPN技術來建立私有數(shù)據(jù)傳輸通道，將遠程的校園網(wǎng)外部的移動辦公人員和校園內網(wǎng)連接起來，并提供安全的端到端的數(shù)據(jù)通訊。[2]

隧道技術是一種通過使用互聯(lián)網(wǎng)的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。隧道協(xié)議將這些協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡傳遞。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達網(wǎng)絡終點，數(shù)據(jù)將被解包并轉發(fā)到最終目的地。其實隧道技術是指包括數(shù)據(jù)封裝，傳輸和解包在內的全過程。[3]

VPN的目標是建立一個獨立于網(wǎng)絡物理拓撲結構的邏輯網(wǎng)絡，它允許不同地理位置上分布的一組主機互相交互并且可以作為一個單獨的網(wǎng)絡進行管理，不用關心主機在網(wǎng)絡中所處的位置。

VPN具體實現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道（Tunnel）技術。這種技術可以用來提供網(wǎng)絡到網(wǎng)絡（Network to network），主機到網(wǎng)絡（Host to network），或者主機到主機（Host to host）的安全鏈接。

二、IPSec協(xié)議與PPTP協(xié)議

IPSec（Internet Protocol Security）即因特網(wǎng)安全協(xié)議，是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，提供透明的安全通信，主要是為IP通信提供加密和認證，它為數(shù)據(jù)通過公用網(wǎng)絡在網(wǎng)絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。因為IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，包括加密運算法則和身份驗證方法類型等。

在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡層之上的協(xié)議在通信雙方都將經(jīng)過加密，如TCP、UDP、ICMP等，而不管這些通道構建時所采用的安全和加密方法如何。IPSec的VPN通道是在兩個局域網(wǎng)之間通過Internet建立的安全鏈接，保護的是點對點之間的通信，并且它不局限于Web等特定的應用，還能構建局域網(wǎng)之間的虛擬專用網(wǎng)絡，功能和應用的擴展性更強，普通用戶根本無需關心局域網(wǎng)間的連接方式，就像在一個網(wǎng)內一樣，實現(xiàn)了透明的訪問。

PPT P（Point to Point Tunneling Protocol）協(xié)議是專門為支持VPN而開發(fā)的一種技術。PPTP是PPP（Point-to-Point Protocol，點到點協(xié)議）協(xié)議的一種擴展，同樣要求客戶端和服務器之間存在有效的互連網(wǎng)連接，這種連接需要訪問身份證明(如用戶名、口令和域名等)和遵從的驗證協(xié)議。只有當PPTP服務器驗證客戶身份之后，服務器和客戶端的連接才算建立起來了。PPTP會話的作用就如同服務器和客戶端之間的一條隧道，網(wǎng)絡數(shù)據(jù)包由一端流向另一邊。數(shù)據(jù)包在起點處（服務器或客戶端）被加密為密文，在隧道內傳送，在終點將數(shù)據(jù)解密還原。因為網(wǎng)絡通信是在隧道內進行，所以數(shù)據(jù)對外而言是不可見的，隧道中的加密形式更增加了通信的安全級別。[4]

VPN連接一旦建立，遠程的用戶就可以訪問校園內網(wǎng)和網(wǎng)內資源，如數(shù)字圖書館資源、教務管理系統(tǒng)和校內各管理系統(tǒng)，就像校園網(wǎng)本地用戶一樣。

三、Linux網(wǎng)關下的VPN設計與實現(xiàn)

1.選擇比較流行的Linux系統(tǒng)的一個發(fā)行版本CentOS 5.1進行系統(tǒng)安裝

安裝時選擇定制安裝，“服務”中選上 “SQL”關于Mysql的部分，“開發(fā)工具”全選上；其他的還包括設置相關的參數(shù)，包括設置IP地址，路由等。

2.設計基于W eb的VPN用戶登記、認證管理程序，使得此Linux系統(tǒng)作為一個用戶管理的網(wǎng)關

3.利用GNU相關程序編譯設置VPN服務器

需要編譯和安裝的應用程序軟件主要包括：

HTTP服務器：設置Linux網(wǎng)關提供Web服務；

pppd：ppp撥號服務器；

pptpd：在pppd撥號的基礎上增加pptpd的支持；

freeradius：用于撥號用戶驗證；

mysql：增加freeradius的數(shù)據(jù)庫支持。

（1）安裝Apache服務器

下載并安裝Apache服務器應用程序，使得網(wǎng)關提供Web服務。

（2）安裝PPP

安裝PPP 2.4.3及以上版本，可以在http://sourceforge. net/下載ppp-2.4.3-0.cvs_20040527.1.i386.rpm軟件包。

安裝命令如下：

#rpm-Uvh ppp-2.4.3-0.cvs_20040527.1.i386.rpm

（3）安裝內核MPPE補丁

安裝內核MPP E（Microsoft Point to Point Encryption，微軟點對點加密）補丁需要根據(jù)內核選擇相應的版本。筆者使用的Linux內核是2.6.18版本，在http：//pptpclient. sourceforge.net/上下載相應的 kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm軟件包。安裝命令如下：

#rpm-ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm

（4）安裝PPTPD

到 http://sourceforge.net/下載 pptpd-1.3.4.tar.gz源文件，并解壓安裝。

tar-vxzf pptpd-1.3.4.tar.gz

cd pptpd-1.3.4

./configure

make

make install

（5）安裝freeradius

下載freeradius軟件，解壓并安裝。

tar-vxzf freeradius-1.2.1.tar.gz

cd freeradius-1.2.1

./configure

make

make install

注意：freeradius需要openssl庫，所以如果系統(tǒng)里沒安裝的話，需要先安裝。

（6）安裝MYSQL數(shù)據(jù)庫

在www.mysql.com上下載源碼或者rpm包，源碼需要解壓編譯安裝，rpm包則可以直接安裝mysql軟件包，安裝命令如下：

#rpm–ivhmysql-server-5.2.15.1.i386.rpm

4.配置Linux網(wǎng)關服務器參數(shù)

配置http服務器，使得Linux網(wǎng)關結合MYSQL數(shù)據(jù)庫提供Web服務。

配置ppp服務和pptpd服務，設置包括VPN服務器地址、客戶端接入地址池等參數(shù)，使得其服務作為系統(tǒng)的守護進程常駐內存，隨時監(jiān)聽外面用戶的撥號連接并分配一個內部合法地址用于通信。

配置freeradius服務和mysql服務，使得VPN用戶通過數(shù)據(jù)庫及radius進行認證。

配置VPN用戶接口，通過Web方式完成VPN用戶賬號的登記注冊，再利用后臺程序將通過確認的合法用戶賬號導入到VPN系統(tǒng)賬號中。

用戶使用VPN連接Linux網(wǎng)關時，通過radius進行認證，使得合法的VPN用戶可以使用Linux網(wǎng)關連接內網(wǎng)，從而達到內網(wǎng)資源共享的目的。

5.客戶端配置及使用

以目前使用非常廣泛的Windows XP為例講述一下PPTP客戶端的配置。

點擊“開始”菜單，進入控制面板，雙擊打開網(wǎng)絡鏈接；單擊左邊“網(wǎng)絡任務”下的“創(chuàng)建一個新的鏈接”，打開新建鏈接向導；點擊“下一步”，選擇“鏈接到我的工作場所的網(wǎng)絡”，點擊“下一步”；選擇“虛擬專用網(wǎng)絡鏈接”，然后下一步輸入公司名，也就是識別本鏈接的名稱，如“ahut”等，點擊“下一步”，輸入主機名或IP地址，也就是校園網(wǎng)Linux網(wǎng)關的地址（如我校的為211.70.144.8）；點擊“下一步”，選擇在桌面上添加一個到此鏈接的快捷方式，點擊“完成”，結束配置。這樣基于Windows XP平臺的PPTP客戶端就配置好了。雙擊此快捷方式，撥號開始連接，輸入VPN的認證用戶名和密碼，成功后網(wǎng)絡任務欄多了一個已鏈接的連接圖標，說明連接正常，可以和校內用戶一樣正常使用校內特殊資源了。

四、結束語

VPN作為一種解決網(wǎng)絡互聯(lián)問題的技術，不但保證了數(shù)據(jù)網(wǎng)絡的安全和服務質量，同時實現(xiàn)了共享數(shù)據(jù)網(wǎng)絡結構的簡單和低成本。通過一年多的實際使用證明，此VPN技術解決方案具有較好的本地認證功能 （可以擴展使用第三方的radius服務器進行認證）、有效的加密保障、安全的遠端存取等功能，能夠較好地應用于外網(wǎng)用戶訪問校園網(wǎng)內部私有資源。提高了校園網(wǎng)的可管理性、靈活性和安全性，極大地方便了校外教職工對校園網(wǎng)內部資源的安全訪問。☉

[1]TheGNU Operating System[EB/OL].http://www.gnu.org.

[2]何寶宏.IP虛擬專用網(wǎng)技術[M].北京:人民郵電出版社,2002.

[3]孫為清,趙軼群.VPN隧道技術[J].計算機應用研究,2000, 8(1):55-57.

[4]蔣東毅,呂述望,羅曉廣.VPN的關鍵技術分析[J].計算機工程與應用,2003(15):173-177.

[5]OpenVPN[EB/OL].http://www.openvpn.org.

（編輯：楊馥紅）

TP393.08

B

1673-8454（2010）05-0084-03