田慶　陳炯栩

摘 要：隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，很多用戶需要在不同的環(huán)境接入安全性相對(duì)較高的專用網(wǎng)，這一需求造就了虛擬專用網(wǎng)絡(luò)技術(shù)的誕生。高校是一個(gè)非常典型的應(yīng)用案例，文章以某高校部署VPN需求為例，詳細(xì)介紹如何利用GNS3等模擬軟件快速部署校園的VPN。

關(guān)鍵詞：IPSec VPN；模擬軟件；GNS3

1 緒論

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡(jiǎn)稱VPN）技術(shù)這種低價(jià)、安全、可靠的專用網(wǎng)絡(luò)，能很好滿足各行業(yè)的需求，由此VPN變得原來(lái)越重要。

以高校為例，校園網(wǎng)資源只能在校園網(wǎng)絡(luò)內(nèi)部才能訪問(wèn)，這遠(yuǎn)遠(yuǎn)不能滿足用戶對(duì)資源共享的需求。例如許多校內(nèi)教師都不是居住在校園中或出差在外，當(dāng)他們?cè)谛@外急切需要從校園網(wǎng)內(nèi)部服務(wù)器進(jìn)行資料搜索、維護(hù)等等操作時(shí)候，但由于校內(nèi)資源的安全保密性問(wèn)題，不能在公網(wǎng)上共享，這會(huì)導(dǎo)致教師無(wú)法及時(shí)對(duì)校園網(wǎng)內(nèi)部資源進(jìn)行操作。

文章以某高校為例，利用GNS3模擬軟件研究VPN的部署方案，簡(jiǎn)化在部署VPN過(guò)程中的各種流程，提供高效快速的解決方案。

2 某高校的VPN構(gòu)建需求

某高校的校園網(wǎng)主要由主校區(qū)和分校區(qū)構(gòu)成，其地理位置相距較遠(yuǎn)，架設(shè)專線成本會(huì)相對(duì)較高，VPN可以在解決兩個(gè)校區(qū)網(wǎng)絡(luò)通信的同時(shí)保證數(shù)據(jù)傳輸?shù)陌踩詥?wèn)題。

另外校園外遠(yuǎn)程用戶（不在校內(nèi)的人員）需要一個(gè)能即時(shí)、安全訪問(wèn)校內(nèi)資源的手段，但是其遠(yuǎn)程用戶要訪問(wèn)校園網(wǎng)資源時(shí)，也需要通過(guò)公網(wǎng)的連接才能訪問(wèn)，同樣的急需保障數(shù)據(jù)傳輸?shù)陌踩?。同樣的，此次設(shè)計(jì)利用遠(yuǎn)程訪問(wèn)VPN技術(shù)解決遠(yuǎn)程用戶訪問(wèn)校園網(wǎng)內(nèi)部資源時(shí)，保證數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩浴?/p>

總結(jié)來(lái)說(shuō)，校外用戶安全訪問(wèn)校園網(wǎng)資源需要解決一下問(wèn)題：

分校區(qū)安全訪問(wèn)主校區(qū)的問(wèn)題；遠(yuǎn)程用戶安全訪問(wèn)校園網(wǎng)絡(luò)內(nèi)部資源問(wèn)題。

3 模擬環(huán)境簡(jiǎn)介

GNS3是一款可以在Windows、Linux、MacOS等操作系統(tǒng)中使用的性能卓越的圖形化界面網(wǎng)絡(luò)模擬虛擬軟件。它能夠模擬使用思科系統(tǒng)的網(wǎng)絡(luò)設(shè)備，并且能根據(jù)對(duì)設(shè)備加載的IOS不同，模擬配置效果也會(huì)有所不同，由此在設(shè)備選型中給我們更大的選擇空間。用其進(jìn)行網(wǎng)絡(luò)構(gòu)建，更接近使用真實(shí)設(shè)備效果，對(duì)于缺少真實(shí)設(shè)備進(jìn)行架構(gòu)網(wǎng)絡(luò)實(shí)驗(yàn)和在配置真實(shí)設(shè)備前模擬測(cè)試網(wǎng)絡(luò)可行性更提供了一種有效便捷的模擬平臺(tái)。

VirtualBox是一款功能強(qiáng)大的虛擬機(jī)軟件，它不僅具有豐富的特色，而且性能也很優(yōu)異。VirtualBox是一款開源、免費(fèi)的虛擬機(jī)軟件，性能不比Vmware、VirtualPC差，支持系統(tǒng)環(huán)境也很豐富。用VirtualBox安裝各類操作系統(tǒng)后還可以安裝其增強(qiáng)工具，使鼠標(biāo)在主機(jī)與虛擬機(jī)間自由移動(dòng)、并且可共用剪切板。性能優(yōu)異卻占用很少的資源。

在GNS3中架構(gòu)好接近實(shí)際的網(wǎng)絡(luò)環(huán)境后，可根據(jù)在測(cè)試的性能的不同，配置所需要操作系統(tǒng)的虛擬機(jī)。再根據(jù)實(shí)際需要，在虛擬機(jī)內(nèi)配置相關(guān)服務(wù)，成功搭建出一個(gè)具有模擬與實(shí)際網(wǎng)絡(luò)互通互連的網(wǎng)絡(luò)工程模擬實(shí)驗(yàn)環(huán)境，使模擬環(huán)境更接近于實(shí)際網(wǎng)絡(luò)環(huán)境。

4 利用GNS部署校園網(wǎng)VPN

4.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

由于本次課題需要解決某高校主校區(qū)與分校區(qū)園區(qū)網(wǎng)絡(luò)之間通信安全性問(wèn)題，故分別構(gòu)建兩個(gè)園區(qū)網(wǎng)絡(luò)，分別代表主校區(qū)網(wǎng)絡(luò)和分校區(qū)網(wǎng)絡(luò)，并且兩地之間通信經(jīng)過(guò)公網(wǎng)Internet。由此在兩個(gè)站點(diǎn)出口路由處構(gòu)建站點(diǎn)到站點(diǎn)VPN，以達(dá)到數(shù)據(jù)在公網(wǎng)上安全傳輸。

另外，對(duì)于遠(yuǎn)程用戶，即公網(wǎng)上的用戶需要訪問(wèn)肇慶學(xué)院主校區(qū)校園網(wǎng)，故在增加VPN網(wǎng)關(guān)和VPN服務(wù)器，和利用一臺(tái)連接公網(wǎng)Internet上的虛擬機(jī)模擬遠(yuǎn)程電腦，以此搭建遠(yuǎn)程訪問(wèn)VPN。圖1為搭建好后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

4.2 遠(yuǎn)程訪問(wèn)VPN設(shè)計(jì)

在校園網(wǎng)絡(luò)VPN構(gòu)建中，遠(yuǎn)程訪問(wèn)是十分重要的一部分。本次主要使用VPN業(yè)務(wù)中的VPDN在服務(wù)器內(nèi)部署。由于VPDN會(huì)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行封裝和加密，從而保障了傳輸數(shù)據(jù)的私密性，并使VPN達(dá)到私有安全網(wǎng)絡(luò)的級(jí)別。同時(shí)VPDN部署不太復(fù)雜，遠(yuǎn)程用戶在遠(yuǎn)程訪問(wèn)校園網(wǎng)時(shí)操作相對(duì)簡(jiǎn)單。

在VPN網(wǎng)關(guān)中，利用NAT靜態(tài)映射，把VPN服務(wù)器映射到公網(wǎng)地址上，再在VPN服務(wù)器利用VPDN技術(shù)進(jìn)行相關(guān)的安全性配置，然后讓遠(yuǎn)程用戶通過(guò)接入VPN服務(wù)器訪問(wèn)校園網(wǎng)資源。

5 方案驗(yàn)證

5.1 遠(yuǎn)端站點(diǎn)訪問(wèn)測(cè)試

5.1.1 使用ping命令在分校區(qū)學(xué)生宿舍中虛擬機(jī)xp（172.16.8.120）ping主校區(qū)公共文件服務(wù)器（192.168.0.120），能正常ping通。

5.1.2 基于應(yīng)用層上，使用分校區(qū)學(xué)生宿舍中虛擬機(jī)xp（172.16.8.120）訪問(wèn)主校區(qū)公共文件服務(wù)器（192.168.0.120），在xp虛擬機(jī)上輸入ftp：//192.168.0.120，虛擬機(jī)xp能正常訪問(wèn)公共服務(wù)器；再在xp虛擬機(jī)上復(fù)制文件夾名為<172.16.8.120>的文件到公共FTP服務(wù)器上，經(jīng)測(cè)試文件能復(fù)制到FTP服務(wù)器上。

5.1.3 利用遠(yuǎn)程移動(dòng)用戶虛擬機(jī)，訪問(wèn)私有文件服務(wù)器（ftp：//172.17.1.120），測(cè)試結(jié)果顯示遠(yuǎn)程移動(dòng)用戶能正常訪問(wèn)校園網(wǎng)內(nèi)部資源。

5.2 站點(diǎn)到站點(diǎn)安全性測(cè)試

在本次研究中，主要目的是保證校外用戶能安全訪問(wèn)校園網(wǎng)內(nèi)部資源，即使在公網(wǎng)上被捕獲到數(shù)據(jù)，也不能對(duì)其恢復(fù)成明文信息。

圖2為分校區(qū)用戶即IP地址為172.16.8.120的虛擬機(jī)訪問(wèn)肇慶學(xué)院主校區(qū)公共文件服務(wù)器（192.168.0.254）的時(shí)候，利用Wireshark是在Internet處捕獲的數(shù)據(jù)包。

從捕獲到的數(shù)據(jù)包，可以了解到以下幾個(gè)問(wèn)題。

即使沒有進(jìn)行地址轉(zhuǎn)換，IPSec VPN不會(huì)把內(nèi)網(wǎng)使用的私有地址暴露在Internet上，原地址和目的地址都會(huì)被公有地址所替換掉，從而保證了校園內(nèi)網(wǎng)安全。

其所傳輸?shù)臄?shù)據(jù)流，都是經(jīng)過(guò)封裝加密的，在前面研究可以知道，ESP協(xié)議是能夠?yàn)閿?shù)據(jù)提供私密性、完整性和源認(rèn)證3大方面保護(hù)，并且能夠抵御重放攻擊，從而能保障數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩珕?wèn)題，即使數(shù)據(jù)被截獲，也不能對(duì)其恢復(fù)。

另外陰影標(biāo)示的ISAKMP協(xié)議，它是IKE的核心協(xié)議，其主要用于雙方之間的認(rèn)證協(xié)商，其進(jìn)行策略協(xié)商后，對(duì)加密策略、散列函數(shù)、認(rèn)證方式等等進(jìn)行進(jìn)一步的安全性保護(hù)，保障雙方在互相認(rèn)證時(shí)的安全性，不會(huì)被第三方截獲密鑰。

5.3 遠(yuǎn)程訪問(wèn)安全性檢驗(yàn)

利用遠(yuǎn)程移動(dòng)虛擬機(jī)（172.18.166.120）訪問(wèn)校園網(wǎng)私有文件服務(wù)器（172.17.1.120）時(shí)候再Internet上捕獲的數(shù)據(jù)包。

從捕獲到的數(shù)據(jù)包可以知道在公網(wǎng)線路上的傳輸是經(jīng)過(guò)GRE隧道的封裝，數(shù)據(jù)都是加密后的報(bào)文，即使在傳輸?shù)木€路上被他人截獲，也無(wú)法查看數(shù)據(jù)包內(nèi)容。

可能以此與之前說(shuō) GRE沒有采用任何的安全防護(hù)手段，如果在VPN連接技術(shù)中單獨(dú)使用GRE，會(huì)造成較大的安全隱患；但是因?yàn)槲覀冊(cè)谂渲肰PN服務(wù)器時(shí)，為其配置了VPDN，VPDN主要利用PPTP、L2TP、PPP等協(xié)議進(jìn)行數(shù)據(jù)傳輸，VPDN在傳輸數(shù)據(jù)時(shí)，都會(huì)對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步封裝和加密。所以GRE間接通過(guò)VPND的PPP數(shù)據(jù)加密技術(shù)，對(duì)其傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

6 結(jié)束語(yǔ)

從以上的測(cè)試可以看出，利用GNS3部署的VPN具有良好的安全性和可用性，可以快速部署在實(shí)際網(wǎng)絡(luò)中，為實(shí)際網(wǎng)絡(luò)的部署提供了非常快速的模擬解決方案。

參考文獻(xiàn)

[1]秦柯.Cisco IPSec VPN實(shí)戰(zhàn)指南[M].北京：人民郵電出版社，2012：28.

[2]易建勛，姜臘林，史長(zhǎng)瓊.計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)[M].第二版.北京：人民郵電出版社，2011：109.

[3]范青.淺談虛擬專用網(wǎng)（VPN）的技術(shù)研究與應(yīng)用[D].北京：北京理工大學(xué)，2007.

[4]馬淑文.SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].計(jì)算機(jī)工程與設(shè)計(jì)期刊報(bào)，2007，21（3）：11-16.

[5]中藍(lán)工作室.局域網(wǎng)服務(wù)器安裝與配置實(shí)戰(zhàn)[M].北京：科學(xué)出版社，2004：126.