摘? 要：網(wǎng)絡(luò)空間安全博弈日益激烈，先進(jìn)的網(wǎng)絡(luò)安全技術(shù)已成為主動(dòng)應(yīng)對(duì)安全威脅、及時(shí)打破安全攻防不對(duì)稱(chēng)局面的關(guān)鍵因素。針對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境和多樣的網(wǎng)絡(luò)應(yīng)用需求，分析對(duì)比了多種虛擬專(zhuān)用網(wǎng)技術(shù)，設(shè)計(jì)了基于點(diǎn)對(duì)點(diǎn)傳輸協(xié)議的虛擬專(zhuān)用網(wǎng)方案。方案選用MS CHAP（微軟質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議）來(lái)驗(yàn)證客戶(hù)端身份，采用MPPE（點(diǎn)對(duì)點(diǎn)加密算法）對(duì)公網(wǎng)地址封裝私網(wǎng)地址后的IP數(shù)據(jù)包進(jìn)行加密，確保了數(shù)據(jù)的機(jī)密性、完整性和可靠性。最后，利用免費(fèi)的開(kāi)源代碼在Linux平臺(tái)進(jìn)行了驗(yàn)證。實(shí)驗(yàn)證明，該方案實(shí)現(xiàn)了大數(shù)據(jù)處理過(guò)程中數(shù)據(jù)從采集、傳輸、應(yīng)用到存儲(chǔ)和分析的安全保證，部署靈活，應(yīng)用范圍廣，為大數(shù)據(jù)中心與數(shù)據(jù)源采集點(diǎn)，以及各企事業(yè)單位跨地區(qū)之間搭建專(zhuān)用網(wǎng)提供了參考。

關(guān)鍵詞：網(wǎng)絡(luò)空間安全;大數(shù)據(jù);點(diǎn)對(duì)點(diǎn)傳輸協(xié)議;虛擬專(zhuān)用網(wǎng)

中圖分類(lèi)號(hào)：TP393.2? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Application of Virtual Private Network based on Point-to-Point

Tunneling Protocol in Big Data

LIU Banggui

（School of Artificial Intelligence， The Open University of Guangdong， Guangzhou 510091， China）

liubanggui@qq.com

Abstract： With the increasingly fierce security game in cyberspace， advanced network security technology has become a key factor in actively responding to security threats and breaking the asymmetry of security offense and defense in time. Aiming at the complex network environment and diverse network application requirements， this paper proposes to design a virtual private network solution based on point-to-point tunneling protocol by comparing a variety of virtual private network technologies. MS CHAP （Microsoft Challenge Handshake Authentication Protocol） is used to verify clients' identity， and MPPE （Point-to-Point Encryption Algorithm） is used to encrypt the IP data packets after the public network address encapsulates the private network address， so to ensure the confidentiality， integrity and reliability of the data. Finally， free open source code is used to verify the proposed solution on Linux platform. Experiments have proved that the security guarantee is realized from data collection， transmission， application to storage and analysis in the process of big data processing. The solution is flexible in deployment and has a wide range of application， providing a reference for building a private network between the big data center and data source collection points， as well as various cross-regional enterprises and institutions.

Keywords： cyberspace security; big data; point-to-point tunneling protocol; virtual private network

1? ?引言（Introduction）

隨著全球信息化建設(shè)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷深入，網(wǎng)絡(luò)規(guī)模逐漸變大，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，加上網(wǎng)絡(luò)空間具有開(kāi)放性、虛擬性、資源豐富性與時(shí)空壓縮化等優(yōu)勢(shì)[1]，對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的功能和可延伸性提出了新的要求。例如，一些跨地區(qū)組織的各分支機(jī)構(gòu)之間需要進(jìn)行遠(yuǎn)距離互聯(lián);一些單位員工需要遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)進(jìn)行移動(dòng)辦公。為了解決各分支機(jī)構(gòu)局域網(wǎng)之間的互聯(lián)問(wèn)題，早期只能直接鋪設(shè)網(wǎng)絡(luò)線路或租用運(yùn)營(yíng)商的專(zhuān)線，不但成本高，而且實(shí)現(xiàn)困難。對(duì)于移動(dòng)辦公用戶(hù)，一般采用撥號(hào)方式接入內(nèi)部網(wǎng)絡(luò)，在需要支付較高的網(wǎng)絡(luò)流量通信費(fèi)用的同時(shí)[2]，卻無(wú)法保證數(shù)據(jù)的機(jī)密性、完整性和可靠性。

大數(shù)據(jù)處理過(guò)程中從采集點(diǎn)獲取數(shù)據(jù)時(shí)，除了必要的身份認(rèn)證以外，還需要對(duì)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全保護(hù)，對(duì)機(jī)密等級(jí)較高的數(shù)據(jù)使用加密算法進(jìn)行加密處理，以確保數(shù)據(jù)不被篡改或非法獲取，提高數(shù)據(jù)的正確性和完整性，減少冗余干擾信息，提升數(shù)據(jù)采集質(zhì)量。為此在數(shù)據(jù)安全傳輸過(guò)程中，虛擬專(zhuān)用網(wǎng)技術(shù)拓寬了網(wǎng)絡(luò)環(huán)境的應(yīng)用，大數(shù)據(jù)傳輸可以采用虛擬專(zhuān)用網(wǎng)技術(shù)來(lái)建立安全通道，為數(shù)據(jù)中心和采集點(diǎn)之間遠(yuǎn)程連接提供廉價(jià)的方式，將需要保護(hù)的數(shù)據(jù)樣本通過(guò)加密和封裝處理后作為載荷嵌套在其他協(xié)議數(shù)據(jù)報(bào)文中傳輸[3]。本文在Linux平臺(tái)中使用PPTP（點(diǎn)對(duì)點(diǎn)傳輸協(xié)議）實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng)來(lái)滿(mǎn)足安全需求。

2? ?VPN與隧道（VPN and tunneling）

2.1? ?VPN基本概念

VPN（Virtual Private Network），中文名稱(chēng)為虛擬專(zhuān)用網(wǎng)絡(luò)[4]。虛擬專(zhuān)用網(wǎng)絡(luò)是一種虛擬通道，是一組通信協(xié)議，并不是一種獨(dú)立的組網(wǎng)技術(shù)，目的是在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，通過(guò)隧道技術(shù)提供兩個(gè)節(jié)點(diǎn)之間進(jìn)行安全傳輸?shù)膶?zhuān)用通道。這條隧道可以有選擇地對(duì)數(shù)據(jù)進(jìn)行必要加密和認(rèn)證，從而保證傳輸數(shù)據(jù)的機(jī)密性和完整性，只有通過(guò)了接入認(rèn)證并且獲得服務(wù)端授權(quán)的用戶(hù)才能使用隧道。虛擬專(zhuān)用網(wǎng)技術(shù)通過(guò)建立可信的安全連接，運(yùn)用在公司外出員工、合作伙伴、公司分支機(jī)構(gòu)等有內(nèi)部網(wǎng)訪問(wèn)需求的任何環(huán)境。這條承載在公用網(wǎng)絡(luò)上的私有信息隧道在客戶(hù)端看來(lái)，與在局域網(wǎng)內(nèi)互訪沒(méi)有太大區(qū)別，加上配備有永久和臨時(shí)隧道的不同特點(diǎn)，成為多種網(wǎng)絡(luò)應(yīng)用的優(yōu)選“承載協(xié)議”。

VPN包含認(rèn)證、授權(quán)和加密。認(rèn)證是鑒定用戶(hù)的真?zhèn)魏屯ㄐ艛?shù)據(jù)的不可抵賴(lài);授權(quán)是檢查客戶(hù)端撥入后可以訪問(wèn)哪些資源;加密是訪問(wèn)資源過(guò)程中對(duì)通信數(shù)據(jù)采用加密算法進(jìn)行處理，以此來(lái)保證數(shù)據(jù)的機(jī)密性、完整性、可靠性和不可抵賴(lài)性。

VPN服務(wù)安全通道有主動(dòng)和被動(dòng)連接兩種。主動(dòng)連接一般首先需要客戶(hù)端主動(dòng)請(qǐng)求撥入VPN服務(wù)器，經(jīng)過(guò)VPN服務(wù)器與認(rèn)證中心對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證并得到授權(quán)后，VPN服務(wù)器與客戶(hù)端建立連接才開(kāi)始傳送數(shù)據(jù)，適合在少量或者單個(gè)用戶(hù)不定時(shí)不固定位置與VPN服務(wù)連接的情況。被動(dòng)連接主要是在連接兩個(gè)遠(yuǎn)程局域網(wǎng)的網(wǎng)關(guān)位置進(jìn)行，內(nèi)網(wǎng)客戶(hù)端無(wú)須配置便可與對(duì)端內(nèi)網(wǎng)用戶(hù)通信，適合在大量用戶(hù)固定或者暫時(shí)固定的場(chǎng)合使用。

2.2? ?隧道協(xié)議

VPN采用隧道技術(shù)進(jìn)行通信。待轉(zhuǎn)發(fā)的數(shù)據(jù)經(jīng)過(guò)源局域網(wǎng)與公網(wǎng)的接口時(shí)，用設(shè)定的隧道協(xié)議將數(shù)據(jù)包作為有效載荷封裝進(jìn)行封裝，封裝后的數(shù)據(jù)包經(jīng)過(guò)公網(wǎng)路由轉(zhuǎn)發(fā)到達(dá)目的局域網(wǎng)與公網(wǎng)接口時(shí)，由同樣的隧道協(xié)議解封裝，再取出載荷中的源局域網(wǎng)中傳輸?shù)臄?shù)據(jù)包轉(zhuǎn)發(fā)到目的主機(jī)。被封裝數(shù)據(jù)包在公網(wǎng)上傳輸時(shí)經(jīng)過(guò)的邏輯路徑稱(chēng)為“隧道”。

常用隧道協(xié)議有PPTP、L2TP、GRE、IPSec等。其中PPTP、L2TP是網(wǎng)絡(luò)參考模型第二層的隧道協(xié)議，GRE、IPSec是第三層的隧道協(xié)議。

（1）PPTP（Point-to-Point Tunneling Protocol）點(diǎn)對(duì)點(diǎn)傳輸協(xié)議[5]，實(shí)現(xiàn)的前提是通信雙方有連通且可用的IP網(wǎng)絡(luò)，服務(wù)器監(jiān)聽(tīng)端口號(hào)為1723，有認(rèn)證、加密等功能。

（2）L2TP（Layer 2 Tunneling Protocol）第二層隧道協(xié)議，使用UDP協(xié)議封裝，協(xié)議端口號(hào)為1701，默認(rèn)無(wú)加密算法，若想使用加密算法，可結(jié)合IPsec。

（3）GRE（Generic Routing Encapsulation）通用路由封裝協(xié)議是由思科公司提出的，目前版本是GREv2，可以應(yīng)用于多種承載和載荷協(xié)議，為解決IPv4和IPv6技術(shù)孤島提供了解決方案，提供了對(duì)建立隧道雙方用戶(hù)的認(rèn)證，沒(méi)有對(duì)數(shù)據(jù)的加密功能。

（4）IPsec（Internet Protocol Security）Internet協(xié)議安全[6]，其基本思想是把與密碼學(xué)相關(guān)的安全機(jī)制引入IP協(xié)議，通過(guò)現(xiàn)代密碼學(xué)所創(chuàng)立的方法來(lái)支持保密和驗(yàn)證服務(wù)，使用戶(hù)可以有選擇地使用所提供的功能，并得到所要求的安全服務(wù)。原本IPv6的制定才產(chǎn)生了安全性較高的IPsec，但目前IPv4協(xié)議還在廣泛應(yīng)用，所以在IPsec標(biāo)準(zhǔn)制定過(guò)程中也增加了對(duì)IPv4的支持，引入了IKE等密鑰交換協(xié)議，工作模式有多種，數(shù)據(jù)加密和驗(yàn)證算法多樣，能嵌套在GRE、l2tp中，滿(mǎn)足大部分使用的場(chǎng)景，為此部署也相對(duì)復(fù)雜，對(duì)設(shè)備的要求也較高，一般在路由器和防火墻設(shè)備上實(shí)現(xiàn)。

除此之外，還有多種VPN實(shí)現(xiàn)技術(shù)，比如OpenVPN。它是一種基于OpenSSL庫(kù)和SSL/TSL協(xié)議的應(yīng)用層VPN，屬于免費(fèi)開(kāi)源軟件，加密強(qiáng)度高，信息的機(jī)密性和完整性保護(hù)效果好，還可以配置在任意端口運(yùn)行，具有NAT穿越等功能，但安裝和配置過(guò)程復(fù)雜，連接速度和傳輸效率相對(duì)較低。

3? 點(diǎn)對(duì)點(diǎn)傳輸協(xié)議（Point-to-point tunneling protocol）

PPTP協(xié)議是常用的一種協(xié)議，是在PPP協(xié)議和TCP/IP協(xié)議上開(kāi)發(fā)的二層隧道協(xié)議，通過(guò)加密、認(rèn)證、壓縮算法增強(qiáng)了安全性和可靠性。PPTP將PPP幀封裝成IP數(shù)據(jù)包，在互聯(lián)網(wǎng)上進(jìn)行傳輸。PPTP運(yùn)用TCP通過(guò)三次握手實(shí)現(xiàn)隧道創(chuàng)建、維護(hù)與終止，使用GRE（通用路由封裝）封裝隧道數(shù)據(jù)的PPP幀。PPTP通信與FTP類(lèi)似，需要建立控制連接和數(shù)據(jù)連接。控制連接主要進(jìn)行連接的維護(hù)，數(shù)據(jù)連接主要負(fù)責(zé)數(shù)據(jù)的通信。

3.1? ?PPTP工作過(guò)程

對(duì)于基于PPTP的VPN，由于客戶(hù)端通過(guò)撥號(hào)方式接入VPN服務(wù)器，因此該VPN服務(wù)器也稱(chēng)為VPDN虛擬專(zhuān)用撥號(hào)網(wǎng)（Virtual Private Dial-Up Network）服務(wù)器。其實(shí)現(xiàn)過(guò)程如下：

（1）發(fā)送建立連接請(qǐng)求。在VPDN服務(wù)器為PPTP客戶(hù)端預(yù)先建立好用戶(hù)賬戶(hù)（包括登錄賬號(hào)和密碼）。PPTP客戶(hù)端利用VPN連接軟件（Windows操作系統(tǒng)自帶）向VPDN服務(wù)器發(fā)起連接請(qǐng)求。在客戶(hù)端輸入VPDN服務(wù)器對(duì)外公開(kāi)的IP地址后，首先將分配的用戶(hù)賬號(hào)和密碼發(fā)送到服務(wù)器進(jìn)行認(rèn)證和授權(quán)。PPTP對(duì)用戶(hù)進(jìn)行認(rèn)證的方法有：密碼身份驗(yàn)證協(xié)議PAP（Password Authentication Protocol）、質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議CHAP（Challenge Handshake Authentication Protocol）、微軟質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議MS CHAP（Microsoft Challenge Handshake Authentication Protocol）等。

（2）如果用戶(hù)認(rèn)證通過(guò)，正式建立VPN連接，返回連接完成信息。

（3）VPN安全隧道建立后，將進(jìn)行正常數(shù)據(jù)傳輸。為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性，可以選用數(shù)據(jù)加密算法DES（Data Encryption Standard）、點(diǎn)對(duì)點(diǎn)加密算法MPPE（Microsoft Point-to-Point Encryption）對(duì)IP數(shù)據(jù)進(jìn)行加密。如果我們的客戶(hù)端是Windows操作系統(tǒng)，默認(rèn)使用MPPE。

（4）數(shù)據(jù)傳輸至目的地。VPDN服務(wù)器收到發(fā)往內(nèi)網(wǎng)的PPTP數(shù)據(jù)包后，將按流程對(duì)其進(jìn)行解封裝，解封裝后從PPTP數(shù)據(jù)包中取出目的地址為本地內(nèi)網(wǎng)主機(jī)的網(wǎng)絡(luò)地址，然后按照原先設(shè)定的私網(wǎng)路由進(jìn)行轉(zhuǎn)發(fā)，完成傳輸。

3.2? ?數(shù)據(jù)封裝與解封裝過(guò)程

PPTP協(xié)議數(shù)據(jù)采用多層封裝的方式。具體封裝和解封裝的過(guò)程如圖1所示。

封裝過(guò)程：（1）初始應(yīng)用層數(shù)據(jù)封裝成IP數(shù)據(jù)包;（2）利用內(nèi)網(wǎng)私有路由將數(shù)據(jù)包發(fā)送到VPN虛擬接口;（3）在虛擬接口中使用設(shè)置的安全協(xié)議，對(duì)其壓縮和加密，添加PPP頭部信息，封裝成PPP幀后發(fā)送給PPTP協(xié)議;（4）為PPTP幀添加GRE頭部信息后提交給TCP/IP協(xié)議;（5）TCP/IP協(xié)議為GRE報(bào)頭添加公網(wǎng)源IP地址和目的IP地址;（6）為IP數(shù)據(jù)包進(jìn)行數(shù)據(jù)鏈路層封裝后通過(guò)物理層與普通數(shù)據(jù)包一樣選擇合適路由進(jìn)行轉(zhuǎn)發(fā)。

解封裝過(guò)程：（1）物理層收到數(shù)據(jù)包;（2）鏈路層剝掉外層幀后交給TCP/IP協(xié)議;（3）TCP/IP協(xié)議剝掉IP頭;（4）IP協(xié)議剝掉GRE頭后通過(guò)內(nèi)網(wǎng)私有路由，將PPP幀發(fā)給VPN虛擬接口;（5）VPN虛擬接口剝掉PPP頭對(duì)有效載荷進(jìn)行解壓縮或解密后提交給上層應(yīng)用;（6）對(duì)數(shù)據(jù)進(jìn)行普通處理。

4? ?方案設(shè)計(jì)（Solution design）

4.1? ?方案背景

為了數(shù)據(jù)采集點(diǎn)能在外網(wǎng)環(huán)境下通過(guò)公網(wǎng)訪問(wèn)內(nèi)部數(shù)據(jù)中心，需要內(nèi)網(wǎng)VPN服務(wù)網(wǎng)關(guān)給采集點(diǎn)提供一個(gè)內(nèi)網(wǎng)IP地址，通過(guò)訪問(wèn)側(cè)和公網(wǎng)側(cè)的網(wǎng)關(guān)對(duì)數(shù)據(jù)進(jìn)行封裝和解封裝，以實(shí)現(xiàn)數(shù)據(jù)通信，為此整個(gè)過(guò)程均需要對(duì)應(yīng)的公網(wǎng)和私網(wǎng)路由。對(duì)于采集點(diǎn)較多，而且需要同一時(shí)間訪問(wèn)內(nèi)部服務(wù)的公司來(lái)說(shuō)，需要購(gòu)置一臺(tái)專(zhuān)門(mén)支持PPTP VPN的路由器或者防火墻，資金允許的情況下還可以購(gòu)置專(zhuān)門(mén)用于用戶(hù)認(rèn)證的服務(wù)器。對(duì)于采集點(diǎn)訪問(wèn)量不是很大的情況，可以使用Windows或者Linux服務(wù)器操作系統(tǒng)來(lái)實(shí)現(xiàn)，既節(jié)約成本又方便管理。本文用一臺(tái)安裝有Red Hat Linux 7.4的服務(wù)器來(lái)開(kāi)展研究。

4.2? ?方案需求分析

為了保證采集點(diǎn)和數(shù)據(jù)中心實(shí)現(xiàn)安全數(shù)據(jù)傳輸，加上數(shù)據(jù)交換不是很多，在不增加購(gòu)買(mǎi)設(shè)備的情況下，利用公司企業(yè)內(nèi)網(wǎng)配置一臺(tái)雙網(wǎng)卡的Linux服務(wù)器來(lái)做VPN服務(wù)器，由于經(jīng)過(guò)解包、配置、編譯和安裝四個(gè)步驟就能進(jìn)行配置和使用，開(kāi)源軟件pptpd源碼包成為方案的首選。方案網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

此方案需要內(nèi)網(wǎng)配置有數(shù)據(jù)中心，通過(guò)圖2中的通用交換機(jī)互聯(lián)，VPN配置在安裝有Linux 7.4的軟網(wǎng)關(guān)上，該網(wǎng)卡上的IP地址也是處在外網(wǎng)的采集點(diǎn)，包括員工、辦事處和合作企業(yè)，均采用通過(guò)撥號(hào)獲得網(wǎng)關(guān)分配的內(nèi)網(wǎng)地址后連入內(nèi)外的唯一可識(shí)別公網(wǎng)地址，內(nèi)網(wǎng)數(shù)據(jù)中心的地址全部不對(duì)外公開(kāi)，方案驗(yàn)證之前需要確保內(nèi)網(wǎng)到VPN內(nèi)外地址、外網(wǎng)到VPN網(wǎng)關(guān)外網(wǎng)地址的路由連通性。

5? ?方案驗(yàn)證（Solution verification）

5.1? ?VPN服務(wù)器端的配置

VPN服務(wù)器安裝在Linux 7.4中，在系統(tǒng)中配置VPN服務(wù)，基于PPTP的VPN服務(wù)名稱(chēng)是pptpd。pptpd是PPTP的守護(hù)進(jìn)程，用來(lái)管理基于PPTP隧道協(xié)議的VPN連接。當(dāng)pptpd接收到用戶(hù)的VPN接入請(qǐng)求后，會(huì)自動(dòng)調(diào)用PPP協(xié)議的pptpd程序來(lái)完整驗(yàn)證，然后建立VPN連接，需要安裝ppp和pptpd兩個(gè)軟件包。

（1）安裝ppp和pptpd。

ppp安裝ppp服務(wù)：

[root@vpnserver/]# yum install

解壓縮pptpd源碼文件：

[root@vpnserver vpn]# tar zxfv pptpd-1.4.0.tar.gz

使用源碼目錄中的configure腳本將程序安裝到指定目錄：

[root@vpnserver pptpd-1.4.0]#./configure--prefix=/usr/local/pptpd

使用make命令將源代碼文件變?yōu)槎M(jìn)制的可執(zhí)行程序：

[root@vpnserver pptpd-1.4.0]#make

將上一步編譯好的程序文件復(fù)制到系統(tǒng)中：

[root@vpnserver pptpd-1.4.0]#make install

（2）基于pptpd協(xié)議的VPN服務(wù)主配置文件是/etc/pptpd.conf。使用模板生成主配置文件，主要配置分配給內(nèi)網(wǎng)的地址。

[root@vpnserver etc]# vi pptpd.conf

設(shè)置pppd程序的位置：

ppp/usr/sbin/pppd

設(shè)置options文件的位置：

option/etc/ppp/options.pptpd

局域網(wǎng)分配給客戶(hù)機(jī)的網(wǎng)關(guān)地址：

localip 192.168.1.1

局域網(wǎng)分配給客戶(hù)機(jī)的IP地址：

remoteip 192.168.1.7-177

（3）由于pptpd在接收到用戶(hù)VPN接入請(qǐng)求后，會(huì)自動(dòng)調(diào)用ppp服務(wù)來(lái)完成驗(yàn)證過(guò)程，以建立VPN連接，因此，要使pptpd服務(wù)正常工作，還必須在ppp配置文件中對(duì)VPN連接驗(yàn)證服務(wù)等進(jìn)行相關(guān)的配置。ppp選項(xiàng)文件由pptpd.conf文件中的option參數(shù)指定默認(rèn)為/etc/ppp/options.pptpd，文件中可以設(shè)置身份驗(yàn)證方式、加密長(zhǎng)度，以及為VPN客戶(hù)端指定的DNS服務(wù)器和WINS服務(wù)器的IP地址。

[root@vpnserver ppp]# vi options.pptpd

設(shè)置DNS服務(wù)器地址：

ms-dns 8.8.8.8

默認(rèn)使用/etc/ppp/chap-secrets文件來(lái)進(jìn)行VPN用戶(hù)身份驗(yàn)證：

auth

（4）在ppp選項(xiàng)文件中，已通過(guò)auth選項(xiàng)指定默認(rèn)使用/etc/ppp/chap-secrets安全驗(yàn)證文件進(jìn)行身份驗(yàn)證，所以創(chuàng)建VPN用戶(hù)和密碼可以通過(guò)直接編輯該文件來(lái)完成。

[root@vpnserver ppp]#vi/etc/ppp/chap-secrets

#client? ? server? secret? ? ?IP addresses

wgsu1? ? ? ? ?pptpd? ? 123456

啟動(dòng)PPTP對(duì)應(yīng)的服務(wù)：

[root@vpnserver～]#/usr/local/pptpd/sbin/pptpd

[root@vpnserver～]#systemctl stop firewalld

5.2? ?客戶(hù)端連接

客戶(hù)端通過(guò)新建網(wǎng)絡(luò)連接，輸入服務(wù)器地址和登錄用的賬號(hào)和密碼，登錄成功后可以查看客戶(hù)端獲取了服務(wù)器分配的內(nèi)網(wǎng)地址，同時(shí)查看服務(wù)端的日志發(fā)現(xiàn)客戶(hù)端詳細(xì)信息?？蛻?hù)端通過(guò)分配的內(nèi)網(wǎng)地址成功訪問(wèn)內(nèi)網(wǎng)服務(wù)群中的數(shù)據(jù)中心，查看連接情況可以了解使用的身份驗(yàn)證和數(shù)據(jù)加密算法，如圖3和圖4所示。

6? ?結(jié)論（Conclusion）

安全與應(yīng)用相伴而生，隨著大數(shù)據(jù)應(yīng)用不斷發(fā)展，安全問(wèn)題也隨之出現(xiàn)。該方案在Linux平臺(tái)上建立了PPTP VPN，實(shí)現(xiàn)了外網(wǎng)對(duì)內(nèi)網(wǎng)的私有訪問(wèn)，并對(duì)客戶(hù)端進(jìn)行了MS CHAP認(rèn)證，采用MPPE對(duì)數(shù)據(jù)加密，保證了PPTP客戶(hù)端與服務(wù)器之間的安全通信。客戶(hù)端無(wú)須下載任何軟件便可連接，能夠滿(mǎn)足安全等級(jí)中等的適用場(chǎng)合，也可以推廣運(yùn)用于大部分中小企事業(yè)單位。由于組網(wǎng)技術(shù)的原因，PPTP VPN 無(wú)法穿越NAT[7]，如果服務(wù)器的網(wǎng)關(guān)在防火墻內(nèi)部，客戶(hù)端將無(wú)法建立VPN連接，為此需要結(jié)合第三層的IPsec VPN來(lái)混合使用[8]，通過(guò)防火墻來(lái)增強(qiáng)VPN系統(tǒng)的安全性和實(shí)用性。

參考文獻(xiàn)（References）

[1] 岳少博，王清河，王曉春，等.基于虛擬專(zhuān)用技術(shù)的網(wǎng)絡(luò)空間防御方法仿真[J].計(jì)算機(jī)仿真，2020，37（5）：273-277.

[2] 陳良臣，高曙，劉寶旭，等.網(wǎng)絡(luò)流量異常檢測(cè)中的維數(shù)約簡(jiǎn)研究[J].計(jì)算機(jī)工程，2020，46（2）：11-20.

[3] 張堯，劉笑凱.基于國(guó)密算法IPSec VPN設(shè)計(jì)與實(shí)現(xiàn)[J].信息技術(shù)與網(wǎng)絡(luò)安全，2020，39（6）：49-52.

[4] 季征南，馬立國(guó)，吳英梁，等.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)的應(yīng)用研究[J].冶金管理，2021（1）：185-186.

[5] SAITO S， UEHARA T， IZUMI Y， et al. Implementation and performance evaluation of pass-through PPTP relay system with authentication at each gateway[J]. Electrical Engineering in Japan， 2010， 154（2）：40-51.

[6] 段翠華.計(jì)算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：8-9.

[7] 倪潔，徐志偉，李鴻志.PPTP VPN與L2TP/IPSec VPN的實(shí)現(xiàn)與安全測(cè)試[J].電子技術(shù)與軟件工程，2019（12）：192.

[8] 彭治湘.L2TP over IPSec VPN NAT穿越技術(shù)研究與實(shí)驗(yàn)仿真[J].信息技術(shù)與信息化，2020，247（10）：210-212.

作者簡(jiǎn)介：

劉邦桂（1983-），男，碩士，講師.研究領(lǐng)域：服務(wù)器技術(shù)，網(wǎng)絡(luò)安全技術(shù).