趙　宏，王靈霞

(蘭州文理學(xué)院信息中心， 甘肅　蘭州　730000)

?

基于雙網(wǎng)關(guān)+RADIUS認證的遠程訪問VPN設(shè)計與實現(xiàn)

趙宏，王靈霞

(蘭州文理學(xué)院信息中心， 甘肅蘭州730000)

[摘要]VPN系統(tǒng)能夠提供從公網(wǎng)訪問校園網(wǎng)內(nèi)各個應(yīng)用系統(tǒng)的安全通道，方便遠程辦公和遠程獲取校園網(wǎng)內(nèi)信息和資源.本文針對內(nèi)網(wǎng)和公用網(wǎng)提出一種基于雙網(wǎng)關(guān)+RADIUS認證的遠程訪問VPN部署方法，突破校園網(wǎng)的地域限制，統(tǒng)一身份認證，實現(xiàn)資源共享、高速訪問及負載均衡.

[關(guān)鍵詞]雙網(wǎng)關(guān)；RADIUS；認證；VPN

高校門戶網(wǎng)站是高校信息化建設(shè)的窗口，對外向社會提供服務(wù)、展示和宣傳學(xué)校業(yè)務(wù).對內(nèi)除了信息發(fā)布，更重要的是搭建了一個匯集各種應(yīng)用的平臺，在各種應(yīng)用中還包括一些涉及版權(quán)和安全問題的內(nèi)容，如：“教務(wù)系統(tǒng)”“OA系統(tǒng)”“財務(wù)系統(tǒng)”“模擬教學(xué)”“數(shù)字圖書館”等.出于版權(quán)保護和網(wǎng)站安全，都采取與外網(wǎng)隔離的方式架設(shè)，只有校內(nèi)IP地址才能訪問，不能對校外用戶提供資源共享.這無疑就將校外居住、出差、進修的教工和假期回家及在外實習(xí)的學(xué)生拒之門外.為了打破地域范圍的局限, 方便師生在校外充分利用校園網(wǎng)的信息資源 , 數(shù)字化校園建設(shè)的當(dāng)務(wù)之急是建立一套安全高效的校園網(wǎng)遠程訪問解決方案.

虛擬專用網(wǎng)絡(luò) (VPN，Virtual Private Network)使用“隧道協(xié)議”建立跨專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)的點對點的安全通道，可以實現(xiàn)從校外訪問校園內(nèi)部網(wǎng)絡(luò)的遠程安全接入.利用VPN客戶端，用戶可以通過 Internet 啟動與遠程訪問服務(wù)器虛擬的點對點連接.為了突破地域限制，實現(xiàn)內(nèi)部資源外部使用，將VPN與校園認證系統(tǒng)結(jié)合并統(tǒng)一，提出一種基于雙網(wǎng)關(guān)+radius認證的遠程訪問VPN部署方法，突破校園網(wǎng)的地域限制，統(tǒng)一身份認證，實現(xiàn)資源共享、高速訪問及負載均衡.

1VPN概述

1.1　VPN的定義及功能

VPN虛擬專用網(wǎng)是一種利用開放的公共網(wǎng)絡(luò)建立私有專用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù).VPN 的任意兩個節(jié)點之間沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理連接，而是利用公共網(wǎng)絡(luò)的資源動態(tài)建立連接[1].VPN作為一項較為成熟的技術(shù)已經(jīng)被地方政府機關(guān)、企事業(yè)單位廣泛用于傳輸、發(fā)布、共享本單位內(nèi)部信息，較好地解決了在互聯(lián)網(wǎng)上單位內(nèi)部信息數(shù)據(jù)傳輸?shù)男畔踩珕栴}[2].IETF草案對基于IP網(wǎng)絡(luò)的VPN定義為：“使用IP機制仿真出一個私有的廣域網(wǎng).”

VPN采用隧道技術(shù)、加密解密、身份認證等技術(shù)在公共基礎(chǔ)網(wǎng)中組建私有的專用網(wǎng)絡(luò)，使分布在不同地理位置的多個網(wǎng)絡(luò)節(jié)點或內(nèi)部網(wǎng)絡(luò)組成邏輯上的虛擬子網(wǎng)，保障數(shù)據(jù)的安全傳輸.將遠程用戶、分支機構(gòu)、合作伙伴等跟企事業(yè)網(wǎng)或校園網(wǎng)連接起來，形成一個擴展延伸的企事業(yè)網(wǎng)或校園網(wǎng).如圖1所示，有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN訪問內(nèi)網(wǎng)資源，而且VPN的加密數(shù)據(jù)可以使得數(shù)據(jù)報文在互聯(lián)網(wǎng)絡(luò)中保證安全性.

圖1　VPN的功能

1.2　VPN的服務(wù)類型

根據(jù)應(yīng)用環(huán)境，VPN應(yīng)用方式主要分為3種類型：內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)、外聯(lián)網(wǎng)VPN(Extranet VPN)及遠程接入VPN.

內(nèi)聯(lián)網(wǎng)VPN：內(nèi)聯(lián)網(wǎng)VPN也稱作內(nèi)部虛擬專用網(wǎng).這種VPN是從網(wǎng)絡(luò)到網(wǎng)絡(luò)以對等的方式連接起來的.通過公共網(wǎng)絡(luò)將不同地理位置的兩個內(nèi)部網(wǎng)絡(luò)進行連接，形成一個邏輯意義上的局域網(wǎng).它是單位的總部與分支機構(gòu)或用戶之間通過公網(wǎng)，使用加密技術(shù)及身份認證技術(shù)構(gòu)筑的虛擬專用網(wǎng).

外聯(lián)網(wǎng)VPN：外聯(lián)網(wǎng)VPN也叫做外部虛擬專用網(wǎng)，和內(nèi)聯(lián)網(wǎng)VPN相似，也是一種從網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接結(jié)構(gòu)，但外聯(lián)網(wǎng)VPN中不同內(nèi)部網(wǎng)絡(luò)的主機在功能上是不平等的，網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對等的方式連接起來的，是不同單位間通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng).外聯(lián)網(wǎng)VPN在內(nèi)聯(lián)網(wǎng)VPN的基礎(chǔ)上增加了身份認證、訪問控制等安全機制，其實是對內(nèi)聯(lián)網(wǎng)VPN在功能上的延伸.

遠程接入VPN：遠程接入VPN是用戶通過公網(wǎng)遠程訪問內(nèi)部網(wǎng)絡(luò)的VPN方式.遠程接入方式可以是專線方式接入，也可以是撥號方式接入.這種VPN是以主機到網(wǎng)絡(luò)的方式連接起來的.遠程接入技術(shù)允許家庭用戶、移動用戶和遠程辦公用戶就像直接在內(nèi)部網(wǎng)絡(luò)上一樣，使用相同的協(xié)議訪問某個網(wǎng)絡(luò).

1.3　VPN的隧道協(xié)議

VPN通過一個公用網(wǎng)絡(luò)(Internet)建立了一個模擬、臨時、點對點的連接.這個連接也稱為VPN的隧道.VPN隧道進行通信所使用的公共網(wǎng)絡(luò)可以是Internet，也可以是單位局域網(wǎng).為創(chuàng)建隧道，VPN的客戶機和服務(wù)器必須使用相同的隧道協(xié)議.隧道協(xié)議是VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵，也是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵.數(shù)據(jù)可以通過隧道在公用網(wǎng)絡(luò)中安全地傳輸.常用的隧道協(xié)議有PPTP(點到點隧道協(xié)議)、L2TP(第二層隧道協(xié)議).

PPTP和L2TP協(xié)議都是在基于TCP/IP協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建VPN連接，可以被多種協(xié)議所支持，用戶可以在原有的協(xié)議或單位原有的IP地址的基礎(chǔ)上應(yīng)用.PPTP將數(shù)據(jù)通過IP網(wǎng)絡(luò)封裝在點對點協(xié)議(PPP)的幀中，并通過Internet發(fā)送.PPTP比PPP的安全等級高，PPTP協(xié)議增強了PPP的加密、壓縮和認證功能.通過此協(xié)議，遠程用戶能夠通過Windows操作系統(tǒng)實現(xiàn)從遠程計算機到內(nèi)網(wǎng)服務(wù)器的數(shù)據(jù)傳輸，并能撥號連入本地ISP，安全訪問單位網(wǎng)絡(luò).基于 PPTP協(xié)議的VPN連接使用加密技術(shù)來提供數(shù)據(jù)保密性，在VPN服務(wù)器上執(zhí)行驗證和安全檢查，并對數(shù)據(jù)進行加密，所以數(shù)據(jù)傳輸更加安全.

L2TP既綜合了PPTP的優(yōu)點，又是PPP協(xié)議的擴展.既支持Client-to-LAN(客戶端到網(wǎng)絡(luò))類型的VPN，也支持LAN-to-LAN(網(wǎng)絡(luò)到網(wǎng)絡(luò))類型的VPN.L2TP方式中，遠程用戶不需安裝專門的客戶端軟件，可以使用未注冊的IP 地址.相比PPTP，L2TP提供了差錯和流量的控制，雙方用序列號來判斷數(shù)據(jù)包的順序和緩沖區(qū)，如果有數(shù)據(jù)丟失，可以根據(jù)序列號重新進行發(fā)送.L2TP也有其局限性，因為L2TP協(xié)議在隧道的開始端及終止端加密及認證，而隧道一旦建立，源用戶及目的用戶的身份不需要再進行二次驗證，所以數(shù)據(jù)傳輸過程中會存在安全隱患.

2RADIUS協(xié)議

RADIUS (Remote Authentication Dial In User Service)即遠程認證用戶撥號系統(tǒng)，是一種分布式的信息交互協(xié)議，和TCP協(xié)議相同，都是采用C/S結(jié)構(gòu)模式.遠程用戶要通過公用網(wǎng)訪問內(nèi)網(wǎng)資源，首先要經(jīng)內(nèi)部網(wǎng)絡(luò)的允許.內(nèi)部網(wǎng)絡(luò)對遠程訪問用戶進行審核的內(nèi)容主要包括：哪些用戶可以擁有訪問權(quán)，擁有訪問權(quán)的用戶可以使用哪些服務(wù)，如何對訪問的用戶進行計費.如圖2所示：用戶接入NAS(網(wǎng)絡(luò)接入服務(wù)器，也可理解為RADIUS客戶端)，NAS使用Access-Require數(shù)據(jù)包向RADIUS服務(wù)器提交用戶信息(用戶名、密碼等)，RADIUS服務(wù)器負責(zé)接收用戶的接入請求，基于用戶名和密碼進行身份認證，并為NAS返回為用戶提供服務(wù)的配置信息.RADIUS服務(wù)器會建立唯一的用戶數(shù)據(jù)庫，用來存儲用戶名及密碼來對用戶進行認證.同時，RADIUS會存儲配置信息和服務(wù)類型，從而完成用戶認證及授權(quán).Radius的認證流程如圖3所示.

圖2　Radius用戶認證、授權(quán)體系結(jié)構(gòu)

圖3　Radius 認證流程

3基于雙網(wǎng)關(guān)+RADIUS認證的VPN設(shè)計及實現(xiàn)

以蘭州文理學(xué)院為例，校園網(wǎng)實現(xiàn)了雙出口，電信200 Mbps、聯(lián)通200 Mbps、教育網(wǎng)10 Mbps，總出口帶寬410 Mbps.校內(nèi)總鋪設(shè)光纜約5千多米，信息點5 000多個，并通過三層匯聚交換機，以及200余臺接入層交換機.千兆到樓，百兆到桌面，實現(xiàn)了校園網(wǎng)絡(luò)的全面覆蓋.從教工行政辦公及教學(xué)需求出發(fā)，已建有網(wǎng)絡(luò)智能辦公系統(tǒng)OA、教科研系統(tǒng)、郵件系統(tǒng)、教學(xué)摸擬平臺、專業(yè)教學(xué)資源庫、WEB、FTP、精品課程等網(wǎng)絡(luò)應(yīng)用系統(tǒng).從學(xué)生需求出發(fā)，建有新生報到系統(tǒng)、圖書借閱系統(tǒng)、學(xué)籍管理系統(tǒng)、學(xué)工在線系統(tǒng)、教務(wù)系統(tǒng)、心理咨詢與測試系統(tǒng)、FTP 服務(wù)、網(wǎng)絡(luò)點播系統(tǒng)、一卡通系統(tǒng)、數(shù)字圖書館等許多應(yīng)用服務(wù).校園網(wǎng)眾多的應(yīng)用對信息化的可靠性和易用性提出了更高的要求，但各種資源受版權(quán)保護及網(wǎng)絡(luò)安全限制，大多只針對校內(nèi)IP用戶開放.這就給出差教工以及校外頂崗實習(xí)學(xué)生對學(xué)校網(wǎng)絡(luò)服務(wù)的訪問帶來了諸多的不便.為了使師生在校外高效、安全地訪問校內(nèi)資源，同時滿足合作院校以及合作企業(yè)的無縫對接，我們采用雙網(wǎng)關(guān)+RADIUS認證的校園網(wǎng)VPN部署，將認證計費服務(wù)器作為RADIUS服務(wù)器，配置了兩臺VPN服務(wù)器，每臺服務(wù)器設(shè)置兩個網(wǎng)關(guān)(電信網(wǎng)、聯(lián)通網(wǎng)IP各占一個)，允許雙路接入，以保證高速訪問和負載均衡.如圖4所示，VPN服務(wù)器將VPN客戶提交的身份驗證信息發(fā)送至RADIUS服務(wù)器進行驗證，由RADIUS服務(wù)器來決定是否授權(quán)VPN客戶的訪問.這是一種集身份驗證、授權(quán)、記賬方式為一體的集中管理方式.

圖4　雙網(wǎng)關(guān)+RADIUS認證的校園網(wǎng)VPN部署

3.1　雙網(wǎng)卡的2008Server 服務(wù)器搭建雙網(wǎng)卡VPN

首先需要給兩臺VPN服務(wù)器設(shè)置兩塊網(wǎng)卡，分別用于連接外網(wǎng)和內(nèi)網(wǎng).外網(wǎng)網(wǎng)卡以橋接方式連接，內(nèi)網(wǎng)網(wǎng)卡以主機模式方式連接.在Windows Server 2008 R2上配置VPN Sever，需要完成4個步驟.

第1步：啟用角色服務(wù)器.服務(wù)器需要添加“網(wǎng)絡(luò)策略和訪問服務(wù)”角色，網(wǎng)絡(luò)策略服務(wù)器是根據(jù)接入者在身份未認證前、認證后、認證失敗后對VPN的使用限制.啟用以下角色服務(wù)器：網(wǎng)絡(luò)策略服務(wù)器、路由和遠程訪問服務(wù)(Routing & Remote Access Services)遠程訪問服務(wù)(Remote Access Service).

第2步：啟用“路由與遠程訪問服務(wù)”.點擊“管理工具”選項下“路由與遠程訪問”，右擊“服務(wù)器名”選擇“配置并啟用路由和遠程訪問” ，選擇 “遠程訪問”再選擇“VPN” 選項.

第3步：配置VPN服務(wù).右擊“服務(wù)器名屬性”，在屬性窗口中選擇“IPv4”，選擇“靜態(tài)地址池”，點擊“添加”，把內(nèi)網(wǎng)地址劃入地址池.通過RADIUS認證的每個用戶，將被分配到該地址池中的一個IP地址，從而成為虛擬的校園網(wǎng)用戶，享有訪問校內(nèi)資源的權(quán)利.

3.2　VPN客戶端設(shè)置

VPN客戶端不需要專門的第三方軟件，使用Windows網(wǎng)絡(luò)連接即可.客戶端連接成功后，遠程用戶使用分配的校內(nèi)IP地址訪問校內(nèi)資源.這樣，接入方式既簡單又通用，而且保證了數(shù)據(jù)傳輸?shù)陌踩?

3.3　RADIUS服務(wù)器設(shè)置

RADIUS服務(wù)器不需要另外配置單獨的服務(wù)器，只需在原有的認證計費系統(tǒng)上添加RADIUS服務(wù)器即可，僅需兩步即可完成.

第1步：添加RADIUS客戶端.在“管理工具(Administrative Tools)”中選擇“網(wǎng)絡(luò)策略服務(wù)器”，右擊“Radius Clients”并選擇“新建”，添加“遠程訪問服務(wù)器”的名稱和IP地址，并創(chuàng)建一個共享密碼.

第2步：添加Radius服務(wù)器.右鍵單擊“Remote RADIUS服務(wù)器”并給本組命名.點擊“添加”按鈕向該組添加一個新的radius服務(wù)器，并輸入IP地址，在第2個選項中輸入共享密碼.

4結(jié)語

本文針對校外用戶遠程訪問校內(nèi)資源的需求，考慮到用戶高速便捷地接入、數(shù)據(jù)的安全傳輸以及和現(xiàn)有計費認證系統(tǒng)的結(jié)合，提出一種基于雙網(wǎng)關(guān)+RADIUS認證的遠程訪問VPN部署方法，通過VPN技術(shù)將外部系統(tǒng)與內(nèi)部系統(tǒng)安全連接，而VPN的登錄需要通過RADIUS認證，延伸了校園網(wǎng)的范圍，解決了遠程訪問校園網(wǎng)內(nèi)部系統(tǒng)資源的難題 , 既可以減少用戶管理開銷，又可以使遠程登錄過程更加安全.這種VPN部署已在蘭州文理學(xué)院投入使用，運行穩(wěn)定，達到了預(yù)期目標.

[參考文獻]

[1]朱宇蘭,莊旭輝.基于VPN技術(shù)的校園網(wǎng)方案研究[J].重慶工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報,2012,23(3):87-88.

[2]馬浚,夏蘇.基于 VPN 技術(shù)的部隊衛(wèi)生信息數(shù)據(jù)全傳輸體系研究[J].醫(yī)療衛(wèi)生裝備,2013,34(9):54-56.

[3]付向東,孫寧,王煥民. 基于VPN技術(shù)的校園網(wǎng)教學(xué)資源遠程訪問[J].電化教育研究,2009,190(2):84-86.

[4]王達.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2004.

[5]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京：北京電子工業(yè)出版社，2002：3-5.

[6]俞海平.基于PPTP的VPN技術(shù)在圖書館資源共享中的應(yīng)用[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2007(2):74-75.

[7]Ivan Pepelnjak Jim Guichard. MPLS和VPN體系結(jié)構(gòu)[M]. 田果,劉丹寧,沈錚，譯.北京：人民郵電出版社,2010：8-15.

[8]梁軍,聶瑞華.基于IPSec的VPN技術(shù)的研究[J].計算機與現(xiàn)代化,2009(11):57-59.

(責(zé)任編輯穆剛)

On the design and realization of remote access to VPN based on

authentication of double gateway +RADIUS

ZHAO Hong，WANG Lingxia

(Lanzhou University of Arts and Science, Lanzhou Gansu73000, China)

Abstract：The system of VPN provides a secure entrance for accessing to all the application systems of campus network through the public network. It offers convenience for the telecommuting and remote access to information and resources of campus network. Aiming at the intranet and public network, this paper puts forward a deploy method of remote access to VPN based on authentication of double gateway +RADIUS. The purpose of this method is to overcome the geographic restriction of campus network, to integrate the identity authentications and to realize the resources sharing, the high-speed access and the load balancing.

Key words：double gateway; radius; authentication; VPN

[中圖分類號]TP393.1

[文獻標志碼]A

[文章編號]1673-8004(2015)05-0134-04

[作者簡介]趙宏(1972—)，女，甘肅渭源人，碩士，講師，主要從事網(wǎng)絡(luò)安全、網(wǎng)絡(luò)技術(shù)等方面的研究.

[基金項目]國家社科基金項目(14XTQ004).

[收稿日期]2015-03-24