■ 肇慶 陳建敏 盧江興

編者按：區(qū)內(nèi)三所學(xué)校需進(jìn)行跨校間合作交流、資源共享，但只有其中一所學(xué)校具有靜態(tài)IP地址可以對外提供網(wǎng)絡(luò)服，其余學(xué)校都是動態(tài)IP。通過安裝SoftEther VPN建立校間VPN安全通道、搭配rinetd端口轉(zhuǎn)發(fā)軟件完滿地解決了這個(gè)需求。

區(qū)內(nèi)的A、B、C三所學(xué)校各有特長的學(xué)科（A校：語文、B校：數(shù) 學(xué)、C校：英 語），需要實(shí)現(xiàn)跨校間資源共享。三所學(xué)校的網(wǎng)絡(luò)條件如下：

A校：電信網(wǎng)絡(luò)直接到校內(nèi)，學(xué)校內(nèi)部架設(shè)服務(wù)器，具有靜態(tài)IP地址。

B、C 校：通過移動網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，由移動分配IP，是動態(tài)IP地址。

解決方案：考慮到A校有靜態(tài)IP地址，只要在A、B、C三校間布署VPN服務(wù)器，建立VPN通道，通過以下安全傳輸路線，就可以將B、C兩校的資源對外發(fā)布：

A校的靜態(tài)IP端口轉(zhuǎn)發(fā)---A校的VPN服務(wù)器端口轉(zhuǎn)發(fā) ---B、C校的VPN橋端口轉(zhuǎn)發(fā)---B、C校 的WEB服務(wù)器

表1 服務(wù)器設(shè)置表

圖1 服務(wù)器設(shè)置表

V P N 選?。喝ｉg的合作可能是一種短期行為，如果選用硬件VPN設(shè)備，成本較高，可以排除。從熟悉程度、易用性、穩(wěn)定性出發(fā)，決定選用CentOS7平臺，Softether-V P N軟 件，Softether-VPN包括Softether-S e r v e r 、S o f t e t h e r-B r i d g e 、S o f t e t h e r-Client三類。因Softether-VPN可以添加一個(gè)虛擬網(wǎng)卡組成VPN網(wǎng) 絡(luò)，安 裝Softether-VPN軟件的電腦只需要一張真實(shí)網(wǎng)卡。三校的VPN服務(wù)器設(shè)置如表1所示。VPN邏輯結(jié)構(gòu)如圖1所示。

SoftetherServer、SoftetherBridge的安裝相似，下載tar.gz包，解壓，make安裝即可。

進(jìn)入安裝目錄，如果是Softether Server則運(yùn)行./vpnserver start，如果是Softether Bridge則 運(yùn)行./ vpnbridge start ，開啟不同服務(wù)?？梢允褂妹睿?/vpncmd對VPN設(shè)備進(jìn)行配置、管理。安裝過程較簡單，一般可順利完成。

用命令行方式進(jìn)行配置較麻煩，建議使用Windows圖型界面程序進(jìn)行管理。

在Windows系統(tǒng)中安裝SoftEther VPN Server Manage管理器，接入各所學(xué)校局域網(wǎng)，分別對VPN Server與VPN Bridge進(jìn)行配置，Server與VPN的配置略有不同，下面分別進(jìn)行陳述。

圖2 管理器主窗口設(shè)置

圖3 新建立用戶

圖4 橋接設(shè)置

VPN Server配置

在管理器主窗口，點(diǎn)擊“新設(shè)置”，在新窗口填入VPN Server的資料：主機(jī)名、端口號、虛擬HUB名稱、密碼，點(diǎn)擊“確定”返回，可以見到新建的配置項(xiàng)，如圖2所示。

在管理器主窗口，選擇剛才建立的連接，點(diǎn)擊“連接”按鈕，連接到VPN Server，彈出VPN服務(wù)器管理窗口，可以看到VPN監(jiān)聽的端口，外部設(shè)備可以通過這些端口連接到本VPN Server設(shè)備。

點(diǎn)擊“管理用戶”按鈕，為設(shè)備添加用戶。在彈出“管理用戶”窗口---點(diǎn)擊“新建”---輸入用戶名、密碼、驗(yàn)證類型等資料---點(diǎn)擊“確定”按鈕，在新窗口可以見到新建立的用戶，如圖3所示。

返回到VPN服務(wù)器管理窗口，點(diǎn)擊“本地網(wǎng)橋設(shè)置”，添加網(wǎng)橋設(shè)備。

在新窗口中，選擇要橋接的虛擬HUB、新tap設(shè)備的橋接以及輸入新tap設(shè)備名稱：v1，然后再點(diǎn)擊“創(chuàng)建本地橋”，為系統(tǒng)創(chuàng)建一張?zhí)摂M網(wǎng)卡tap_v1用于橋接到虛擬HUB，如圖4所示。

到這里，已經(jīng)為VPN Server添加了虛擬網(wǎng)卡tap_v1，為了每次啟動都可以正確加載VPN配置，把相關(guān)指令寫到 rc.local 文件，內(nèi)容如下：

echo "1">/proc/sys/net/ipv4/ip_forward

c d /s o f t w a r e/vpnserver

./vpnserver start

sleep 10

wait

i p a d d a d d 192.16.30.1/24 dev tap_v1

圖 5 設(shè)置 VPN Bridge

/usr/sbin/rinetd

由于啟動 vpnserver 需要一定的時(shí)間，使用 sleep 10、wait 指令稍作等待，然后再往下執(zhí)行 ip add 指令。這樣做的目的是保證tap_v1 虛擬網(wǎng)卡可以獲取正確的IP地址。如果在實(shí)際操作中發(fā)現(xiàn)tap_v1虛擬網(wǎng)卡不能正確獲取IP地址，可以適當(dāng)延長等待時(shí)間，例如調(diào)整為：sleep 20。

使用rinetd 進(jìn)行端口轉(zhuǎn)發(fā)，/etc/rinetd.conf 文件配置如下：

0.0.0.0 8080 172.16.30.2 8080

0.0.0.0 8081 172.16.30.3 8081

表示訪問本機(jī)8080 、8081端口的數(shù)據(jù)通過VPN通道，分別轉(zhuǎn)發(fā)到B校、C校的VPN Bridge設(shè)備。

提示：如果VPN Server有防火墻，需要打開8080、8081端口。

VPN Bridge配置

VPN Bridge的設(shè)置與VPN Server設(shè)置相似，只是不需要建立用戶，同樣需要添加虛擬網(wǎng)卡tap_v1，這與上述步驟類似。B、C校要與A校組成一個(gè)統(tǒng)一的VPN網(wǎng)絡(luò)，需要將B、C校本地VPN Bridge設(shè)備級聯(lián)到A校VPN Server設(shè)備，通過“管理虛擬HUB” --- “管理級聯(lián)連接”---“新建”---在彈出窗口輸入“A校的公網(wǎng)IP：8079、用戶名、密碼”，然后“確定”，建立一條到A校虛擬HUB的VPN連接，如圖5所示。

為VPN Bridge添加虛擬網(wǎng)卡tap_v1、設(shè)置好到上一級A校VPN Server的級聯(lián)，為了每次啟動都可以正確加載VPN配置，把相關(guān)指令寫到 rc.local 文件。

B、C校rc.local 文件相似， 內(nèi)容如下：

echo "1">/proc/sys/net/ipv4/ip_forward

C d /s o f t w a r e/vpnbridge

./ vpnbridge start#啟動vpnbridge

Sleep 10 #為保證虛擬網(wǎng)卡可以取IP地址，可延長等待時(shí)間，如：sleep 20

wait

i p a d d a d d 192.16.30.2/24 dev tap_v1

/usr/sbin/rinetd

B校使用rinetd 進(jìn)行端口轉(zhuǎn)發(fā)，/etc/rinetd.conf文件配置如下：

0.0.0.0 8080 192.168.1.100 80

C校使用rinetd 進(jìn)行端口轉(zhuǎn)發(fā)，/etc/rinetd.conf文件配置如下：

0.0.0.0 8081 192.168.2.100 80

表示訪問本機(jī)8080 、8081端口的數(shù)據(jù)通過VPN通道，分別轉(zhuǎn)發(fā)到B校、C校的VPN Bridge設(shè)備。

提示：如果VPN Server、VPN Bridge有防火墻，需要打開8080、8081等相關(guān)端口。

這樣，通過以下鏈接就可以訪問B、C校的Web服務(wù)器，實(shí)現(xiàn)網(wǎng)絡(luò)資源對外開放。

http://A校靜態(tài)IP：8080