劉 濤

（鄭州師范學(xué)院信息科學(xué)與技術(shù)學(xué)院，河南 鄭州 450044）

虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)是解決Internet上信息加密和用戶認(rèn)證等難題的主要方法。利用VPN技術(shù)可以創(chuàng)建屬于自己的專用網(wǎng)絡(luò)，在互聯(lián)網(wǎng)上使用這樣的專用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸時(shí)，能滿足數(shù)據(jù)安全的需求。VPN技術(shù)具有良好的可擴(kuò)展性，在科研、企業(yè)、教育等領(lǐng)域得到廣泛應(yīng)用，日益成為一種比較成熟的互聯(lián)網(wǎng)安全技術(shù)。

Windows Server2003作為微軟成熟的網(wǎng)絡(luò)操作系統(tǒng)，為用戶提供網(wǎng)絡(luò)多種解決方案的技術(shù)支持。利用Windows Server2003在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間創(chuàng)建VPN服務(wù)器，可以實(shí)現(xiàn)外網(wǎng)、內(nèi)網(wǎng)客戶端與受限資源之間的相互連接。另外通過(guò)Internet或其它公共網(wǎng)絡(luò)等基礎(chǔ)設(shè)施創(chuàng)建隧道，可以為用戶提供與專用網(wǎng)絡(luò)相同的安全保證。VPN的創(chuàng)建使得各個(gè)不同網(wǎng)段連接起來(lái)，外網(wǎng)許可用戶、出差員工，就能夠訪問(wèn)必須是內(nèi)網(wǎng)IP用戶才能訪問(wèn)的受限網(wǎng)絡(luò)資源。VPN網(wǎng)絡(luò)環(huán)境如圖1所示。

1 IPSec VPN技術(shù)與PPTP協(xié)議

IPSec VPN 指的是利用加密技術(shù)和通訊技術(shù)在公共網(wǎng)絡(luò)（如Internet）中建立的虛擬專用網(wǎng)絡(luò)。VPN專用網(wǎng)絡(luò)中任意兩個(gè)節(jié)點(diǎn)之間,不依賴傳統(tǒng)的專用網(wǎng)絡(luò)的端到端的物理鏈路連接,而是利用某種公共網(wǎng)絡(luò)的資源動(dòng)態(tài)來(lái)實(shí)現(xiàn)，這對(duì)于客戶端用戶是完全透明的，用戶就好像在使用專線進(jìn)行通信。IPSec VPN是目前使用率非常高的一種VPN技術(shù)，它同時(shí)兼具VPN與信息加密兩項(xiàng)技術(shù)。VPN是IPSec的一種應(yīng)用方式，IPSec（IP Security）的目的是為IP提供高安全性特性，VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方法。

圖1 VPN網(wǎng)絡(luò)環(huán)境

圖2 VPN與兩個(gè)連接子網(wǎng)

隧道技術(shù)是IPSec VPN的具體實(shí)現(xiàn)形式。通過(guò)隧道技術(shù)，原始數(shù)據(jù)包被封裝在新數(shù)據(jù)包內(nèi)部，該數(shù)據(jù)包提供新的尋址和路由信息，這使的被封裝的原始數(shù)據(jù)能夠在網(wǎng)絡(luò)上傳輸。隧道技術(shù)同時(shí)又融合了加密技術(shù)，增強(qiáng)了原始數(shù)據(jù)包數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩?。?dāng)封裝的數(shù)據(jù)包傳輸?shù)侥康牡貢r(shí)，封裝報(bào)頭將被丟棄，數(shù)據(jù)包以原始數(shù)據(jù)包報(bào)頭為路由，將數(shù)據(jù)包傳送到最終目的地。

因此，利用隧道協(xié)議將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道內(nèi)進(jìn)行傳輸，保證了在公共網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩Ｋ淼纼?nèi)采用隧道協(xié)議進(jìn)行通信，使用隧道協(xié)議即可將一種協(xié)議用另一種協(xié)議或相同協(xié)議進(jìn)行封裝，又可以提供信息加密、安全認(rèn)證等服務(wù)。

VPN服務(wù)器與客戶端必須支持相同的隧道協(xié)議，以便建立VPN連接。常用的隧道協(xié)議有PPTP，L2TP。PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）是一種新的增強(qiáng)型安全協(xié)議，由PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）擴(kuò)展而來(lái)，支持密碼身份驗(yàn)證、加密和壓縮機(jī)制。兩個(gè)局域網(wǎng)之間若要建立PPTP的VPN，則必須與Internet和VPN服務(wù)器相連接，這里VPN服務(wù)器必須要執(zhí)行TCP/IP通信協(xié)議，兩個(gè)局域網(wǎng)的計(jì)算機(jī)進(jìn)行通信時(shí)，可以支持不同通信協(xié)議，這些不同通信協(xié)議的數(shù)據(jù)包會(huì)被封裝到PPP的數(shù)據(jù)包內(nèi)，然后經(jīng)過(guò)Internet傳送，再由VPN服務(wù)器將其還原成其他通信協(xié)議的數(shù)據(jù)包。

PPTP加密信息的方法是MPPE（點(diǎn)對(duì)點(diǎn)加密）加密法。PPTP的VPN服務(wù)器支持內(nèi)置于Windows Server 2003家族的成員。PPTP可以配置5個(gè)或128個(gè)PPTP端口。

圖3 ping測(cè)試結(jié)果

圖4 正在使用的VPN端口

2 VMware

Vmware一種用于仿真實(shí)驗(yàn)的軟件，利用該軟件能夠模擬出多臺(tái)虛擬計(jì)算機(jī)，簡(jiǎn)稱虛擬機(jī)，各虛擬機(jī)配有對(duì)應(yīng)的操作系統(tǒng)且能夠獨(dú)立運(yùn)行。需要進(jìn)行網(wǎng)絡(luò)實(shí)驗(yàn)時(shí)，可將虛擬機(jī)互聯(lián)成虛擬網(wǎng)絡(luò)，這樣真實(shí)網(wǎng)絡(luò)實(shí)驗(yàn)的工作就可以在虛擬網(wǎng)絡(luò)中來(lái)實(shí)現(xiàn)。

Vmware提供多種虛擬網(wǎng)絡(luò)連接方式：橋接網(wǎng)絡(luò)方式連接（Bridging）、私有主機(jī)網(wǎng)絡(luò)方式連接（Host-only）和NAT網(wǎng)絡(luò)方式連接（NAT），利用這些聯(lián)網(wǎng)方式可以組建不同類型的虛擬網(wǎng)絡(luò)，以滿足不同的網(wǎng)絡(luò)實(shí)驗(yàn)任務(wù)。

Vmware中虛擬網(wǎng)絡(luò)連接方式不同，組建的虛擬網(wǎng)絡(luò)的類型也不同，所采用的虛擬交換機(jī)也不同。Vmware提供8種虛擬交換機(jī)，即VMnet0、VMnet1、……VMnet8。其中VMnet0、VMnet1、VMnet8分別適用于Bridging、Host-only和NAT虛擬網(wǎng)絡(luò)聯(lián)網(wǎng)方式。本文的實(shí)驗(yàn)是采用VMnet1、VMnet2虛擬交換機(jī)，在Hostonly主機(jī)網(wǎng)絡(luò)聯(lián)網(wǎng)方式下來(lái)實(shí)現(xiàn)。

3 VPN虛擬網(wǎng)絡(luò)配置

在內(nèi)外兩個(gè)子網(wǎng)X、Y中配置VPN服務(wù)，如圖2所示。子網(wǎng)Y中的客戶機(jī)利用VPN服務(wù)器與子網(wǎng)X中的客戶機(jī)建立連接，從而使外網(wǎng)客戶機(jī)能夠訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。

在VMware上對(duì)上述網(wǎng)絡(luò)環(huán)境進(jìn)行配置：

1）在主機(jī)上利用VMware新建3臺(tái)虛擬機(jī)，即VPN服務(wù)器、子網(wǎng)X中客戶機(jī)A，子網(wǎng)Y中客戶機(jī)B。

2）各虛擬機(jī)基本配置如下：

a VPN服務(wù)器：Win server 2003系統(tǒng)、虛擬交換機(jī)為VMnet1，VMnet2、ip地址為 192.168.80.1，218.28.192.1。

b客 戶 機(jī)A：Win server 2003系統(tǒng)、虛擬交換機(jī)為VMnet1、ip地址為192.168.80.10，網(wǎng)關(guān)為192.168.80.1。

c客戶機(jī)B：Windows server 2003系統(tǒng)、虛擬交換機(jī)為VMnet2、ip地址為218.28.192.10，網(wǎng)關(guān)為218.28.192.1。

1）因子網(wǎng)X、子網(wǎng)Y分屬不同網(wǎng)段，所以子網(wǎng)X、子網(wǎng)Y中的虛擬交換機(jī)應(yīng)分別設(shè)置為VMnet1、VMnet2，子網(wǎng)X、子網(wǎng)Y都采用Host-Only主機(jī)網(wǎng)絡(luò)方式進(jìn)行連接，保證了子網(wǎng)X、子網(wǎng)Y的相互獨(dú)立。

2）VPN服務(wù)器用于連接兩個(gè)子網(wǎng)，即內(nèi)網(wǎng)和外網(wǎng)。VPN服務(wù)器與Internet連接時(shí)，外網(wǎng)客戶端用戶就可以通過(guò)撥號(hào)連接與VPN服務(wù)器進(jìn)行通信，這時(shí)VPN服務(wù)器需要配置1塊用于與外網(wǎng)（子網(wǎng)Y）連接的虛擬網(wǎng)卡VMnet2。同樣地，VPN服務(wù)器和和內(nèi)網(wǎng)相連時(shí)，需要配置1塊用于與內(nèi)網(wǎng)（子網(wǎng)Y）連接的虛擬網(wǎng)卡VMnet1。

4 實(shí)驗(yàn)結(jié)論

該實(shí)驗(yàn)選用的計(jì)算機(jī)設(shè)備的配置為：Intel P42.8GHz CPU、1GB DDR400 KingMax 內(nèi)存條，軟件平臺(tái)：選用VMware Workstation 5.53 Build-34685虛擬機(jī)軟件。VPN服務(wù)器保證了子網(wǎng)X和子網(wǎng)Y兩個(gè)網(wǎng)段的客戶機(jī)計(jì)算機(jī)實(shí)現(xiàn)通信，子網(wǎng)Y中客戶機(jī)B上運(yùn)行ping命令測(cè)試與子網(wǎng)X中客戶機(jī)A是否通信暢通，測(cè)試結(jié)果如圖3所示。

VPN客戶端連接到VPN服務(wù)器，建立VPN后，PPTP提供一個(gè)端口，其狀態(tài)為“活動(dòng)”。用于實(shí)現(xiàn)與VPN服務(wù)器和企業(yè)內(nèi)網(wǎng)客戶機(jī)的通信。其PPTP端口，如圖4所示。

[1]劉昊.一種面向IPSec VPN教學(xué)的實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2006，23（07）：03-04.

[2]金 海.基 于WINDOWS SERVER 2003的VPN實(shí)驗(yàn)環(huán)境的構(gòu)建[J].臺(tái)州學(xué)院學(xué)報(bào)，2005，27（06）：17-20.

[3]陳建銳，何增穎.基于虛擬機(jī)的VPN實(shí)驗(yàn)環(huán)境構(gòu)建[J].實(shí)驗(yàn)室研究與探索，2010，29（01）：59-61.

[4]蔣東毅.VPN的關(guān)鍵技術(shù)分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（15）：173-177.

[5]平寒，于靜，等.Windows Server 2003配置管理項(xiàng)目實(shí)訓(xùn)教程[M].北京：中國(guó)水利水電出版社，2009（11）.