浅谈VPN技术在校园网建设中应用.docVIP

浅谈VPN技术在校园网建设中应用 　　摘要：随着校园信息化建设的深入开展，内外网之间的数据访问越来越频繁。本文通过介绍VPN在功能原理，常见实现方法和技术，浅谈在校园网建设中VPN技术的应用 关键词：VPN 远程连接；L2TP 和IPSec；安全 中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2017）03-0039-01 1 VPN及其功能特点 虚拟专用网络（Virtual Private Network），即VPN，属于远程访问技术，就是利用加密技术在公网上封装出一个数据通讯隧道。用户不论在何地，通过互联网利用VPN也随时可以使用企业内部的资源 VPN因其具有易使用、成本低的特点，用户在使用网络运营商的设施和服务的同时，又掌握着自己网络的控制权。[1] 2 VPN的实现技术 VPN的实现有很多种，常用的有VPN服务器、软件VPN、硬件VPN、集成VPN。现以性能最好，应用最广泛的L2TP和IPSec创建的VPN服务器为例 以此校园网为例，服务器处于同一vlan中，网关地址172.18.1.1，VPN服务器单网卡 2.1 VPN服务器的架设 （1）配置并启用路由和远程访问，启用服务器VPN访问 （2）启用IP路由，配置VPN客户端连接后获取的IP地址池，此例我们将远程接入IP采用静态地址池172.18.1.101-172.18.1.150（根据同时连接数确定数量），另外定义默认路由，远程连接数据全部由网关172.18.1.1转发，并删除[DHCP 中继代理程序] 中的[内部]接口 （3）配置NAT路由，新增NAT路由协议，并在本地连接上的接口上启用NAT （4）创建用户客户端进行远程拨号连接的用?簦?设置允许拨入并配置权限为通过远程访问策略控制访问 2.2 远程访问策略配置 在路由和远程访问管理中，设置远程访问策略的匹配条件（如日期和时间），在权限页选择授予远程访问权限 2.3 身份验证 L2TP IPSEC VPN建立连接开始通信前需要互相验证VPN服务器和客户端身份合法性，下面来配置基于证书的L2TP IPSec VPN。[2] （1）配置CA服务器（以下简称CA）。本例在内网WEB服务器上直接配置为CA（见图1）。安装“证书服务”组件，创建“独立根CA”。因与WEB服务器在同一主机，需另外设置CA的站点 （2）证书申请。VPN服务器通过WEB浏览器访问之前设置的CA网站地址申请证书 （3）颁发证书。CA管理员在管理工具的“证书颁发机构”审核证书请求并手动颁发证书 （4）安装证书。浏览器访问CA，选 “查看挂起的证书申请的状态”按向导安装证书。为使CA所颁发证书合法，VPN服务器证书安装后还要安装CA根证书，因为只有根CA合法后才可以确保其所颁发证书的合法性。在CA页面 “下载CA证书”，导入证书到存储区 （5）创建VPN客户端连接并测试。客户端也需申请并安装相同CA颁发的证书，除证书类型选择“客户端身份验证证书”，其他与服务器相同 2.4 测试VPN PPTP穿透 通过路由器把VPN服务器的服务端口映射到外网IP。如L2TP VPN使用的1701端口，配置：route（config）#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701 2.5 VPN客户端设置 配置Windows 7计算机作为L2TP 客户端。新建VPN连接，选择“使用我的Internet连接（VPN）” ，设置服务器地址“218.67.78.78”；设置连接属性，允许协议为PAP、CHAP、MS-CHAP，VPN 类型为“L2TP IPSec VPN”；用具有远程拨入权限的用户进行连接 基于Windows的PPTP或L2TP VPN，默认网络流量全部通过VPN通道，如果访问内网的流量通过VPN，而其他流量通过原来的互联网连接，需更改客户端本地路由表 3 结语 L2TP IPSec VPN的配置在确保安全的同时也对客户端的配置带来不便 参考文献 [1]王占京.VPN网络技术与业务应用[M].国防工业出版社，2012：1-9，179-228. [2]邹县芳等.基于Windows平台中的服务器配置与管理[M].中国铁道出版社，2008：343-386. 1