基于linux经济安全的校园网vpn系统的实现16252.docx

基于Liinuxx经济安安全的校校园网VVPN系系统的实实现林 少 丹1(福建交交通职业业技术学学院福建建福州33500007)摘 要要：使用双双网卡搭搭建基于于LINNUX的的VPNN系统，在实现现VPNN系统的的同时可可以为学学校节省省大量的的开支。使用linux系统自带IPTBALES防火墙对系统的访问进行有效的安全控制，从而实现安全的网络通信。关键词：校园网网;虚拟拟专用网网络;LLINUUX;双双网卡;IPTTABLLESThe Reaalizzatiion Of The Econnomiicall Annd SSafee Camppus VPNN Syysteem BBaseed OOn LLinuuxLIN ShaaoDaan1(Fujjiann Coommuuniccatiion Tecchnoologgy CColllegeeFujjiannFuzzhouu 35500007)AbsttracctUsedduaal-ccardd buuiltt thhe VVPN syysteem bbaseed oon tthe LINNUXccoulld aachiievee VPPN ssysttem,andd allso couuld savve aa loot oof exppensses forr scchoools. thhe VVPN syysteem bbaseed oon tthe LINNUX wass coonsttrucctedd annd aapplliedd IPPTBAALESS fiirewwalll too thhe aacceess on VPNN syysteem ffor efffecttivee seecurrityy coontrrol couuld achhievve ssecuuritty nnetwworkk commmuniicattionns.Keywwordds ccamppus nettworrk, virrtuaal pprivvatee neetwoorkss; LLINUUX; duaal-ccardd; IIPTAABLEESVPN（虚虚拟专用用网络）可可看成是是一个构构建在公公共网络络基础设设施上的的，同时时具有安安全特性性的网络络或网络络环境，也也可以理理解为一一种公共共网络中中隔离出出来的安安全网络络。用户户可以通通过ISSP提供供的各种种Intternnet接接入VPPN服务务，可以以方便建建立物理理连接。VPN技技术的核核心内容容主要包包括：配配置管理理技术、隧隧道技术术、协议议封装技技术和密密码技术术。以上上这些技技术构成成一个安安全可靠靠的专用用网络1。目前大大部分校校园网的的内部办办公系统统或内部部PC及及服务器器，外网网用户无无法直接接访问。如如：住在在校外的的人员，出出差在外外的人员员等无法法访问一一些没有有向外网网开放的的网络资资源。当当然，这这些网络络资源没没有对外外开放的的原因主主要出于于网络安安全方面面的考虑虑。如果果没有一一种安全全实用的的远程接接入技术术，那么么将给在在外的内内部人员员带来很很多不便便。那么么搭建VVPN系系统是解解决以上上问题的的一种比比较合适适的方法法。VPPN系统统可以提提供一个个安全可可靠的接接入方式式，通过过VPNN系统为为客户机机分配一一个内网网IP，这这样用户户便可以以在外网网方便地地访问内内网的网网络资源源。也就就解决了了上述我我们在外外网遇到到的不能能访问内内网资源源的问题题。因此此实施VVPN技技术在校校园网建建设中是是十分的的必要的的。1 搭搭建基于于Linnux的的VPNN系统1.1 硬件件环境的的搭建在一台普普通的服服务器上上安装一一个Reed HHat企企业版LLinuux。可可以选择择一台普普通的ppc，也也可以选选择一台台性能比比较好的的服务器器作为操操作系统统载体。选选择操作作系统硬硬件载体体取决于于VPNN系统支支持接入入用户的的数量。如如果想支支持越多多的用户户同时接接入，那那么在排排除网络络接入带带宽的因因素外我我们则要要重点考考虑VPPN服务务器的性性能。这这点处理理不当，可可能造成成是VPPN网络络服务的的一个瓶瓶颈。为了降低低实现VVPN系系统的复复杂程度度并实现现路由功功能，我我们可以以选择安安装双网网卡的技技术措施施2。即一一张网卡卡面向外外网接入入，另一一张网卡卡实现内内网连接接。双网卡安安装及配配置的关关键点是把Liinuxx缺省的的网关指指到外网网所在的的网卡上上，这点点则是关关系到系系统能否否运行成成功的关关键所在在。网卡IPP及网关关的设定定如表11所示。表1 双双网卡IIP分配配表内网（eeth00）IPP：211.80.2333.999GATEEWAYY：211.80.2333.1外网（eeth11）IPP：218.5.55.6GATEEWAYY: 218.5.55.2554配置步骤骤：（1）先先安装好好第一块块网卡,默认为为ethh0，插插上内网网线，一一般不会会有什么么问题。（2） 插上第第二块网网卡,开开机检测测，允许许对第二二块网卡卡进行配配置。（3） nettconnf（4）在在"Hoost Namme aand IP newworkk deevicces""设置好好两块网网卡的IIP和nnetmmaskk等信息息，然后后Accceptt。（5）在在"Naame serrverr sppeciificcatiion(DNSS)"中中设置eeth11的DNNS，这这里为2202.1011.98.55（6）在在"Rooutiing andd gaatewwayss"中设设置"ddefaaultt"选项项的缺省省网关为为ethh1的网网关，这这里为2218.5.55.2554,（7）系系统默认认路由要要设成外外网接口口地址。（rroutte aadd deffaullt ggw 2218.5.55.2554）并将"EEnabble rouutinng"选选中。1.2 软件件环境的的实现为了让RRed Hatt企业版版Linnux支支持PPPTP协协议和微微软点对对点加密密MPPPE（由由于客户户端大多多为微软软的操作作系统）要要对系统统内核打打补丁、升升级自带带的PPPP程序序、安装装PPTTP和MMPPEE软件包包。VPN服服务所需需软件安安装包如如表2所所示。表2 安安装包及及其功能能说明表表软件安装装包说明dkmss-2.00.5-1.nnoarrch.rpmm动态内核核模块支支持kernnel_pppp_mpppe-0.00.5-2dkkms.noaarchh.rppmMPPEE加密协协议的内内核补丁丁ppp-2.44.3-5.rrhell4.ii3866.rppm升级PPPP到22.4.3版本本，以支支持MPPPE加加密协议议pptppd-1.33.0-0.ii3866.rppmPPTPP点对点点隧道协协议1.2.1 安装VVPN服服务器根据表表2中软软件安装装包的信信息，说说明VPPN服务务器的软软件都是是RPMM安装包包，因此此安装起起来比较较方便，可可以使用用下面的的命令安安装和升升级。rpmivhh dkkms-2.00.5-1.nnoarrch.rpmmrpmivhh keerneel_pppp_mpppe-00.0.5-22dkmms.nnoarrch.rpmmrpm Uvhh pppp-2.44.3-5.rrhell4.ii3866.rppmrpm ivhh ppptpdd-1.33.0-0.ii3866.rppm1.2.2 配置VVPN服服务器通过修改改/ettc/ppptppd.cconff和/eetc/pppp/chhap- seecreets文文件来配配置VPPN服务务器的运运行参数数3。这里里要注意意的一点点是：每每一次修修改配置置文件的的配置后后，都需需要重新新启动PPPTPP服务后后才能使使新的配配置生效效。（1）配配置主配配置文件件PPTPP服务的的主配置置文件是是/ettc/ppptppd.cconff3。进入入该文件件，首先先设置VVPN服服务器的的本地地地址。llocaalipp选项定定义了VVPN服服务器本本地的地地址，客客户机在在拨号后后VPNN服务器器会自动动建立一一个PPPP0网网络接口口供客户户机使用用。接着着配置给给客户机机的地址址段。rremooteiip选项项定义了了分配给给VPNN客户机机的地址址段，当当VPNN客户机机拨号到到VPNN服务器器后，服服务器从从这个地地址段中中分配一一个IPP地址给给VPNN客户机机，以便便客户机机能访问问内网。可可以用“”符号表表示连续续的地址址，用“，”符号隔隔开不连连续的地地址。（2）配配置账号号文件账号文文件/eetc/pppp/chhap-seccretts保存存了VPPN客户户机拨入入时所使使用的账账户名、口口令和分分配的IIP地址址，该文文件中每每个账户户的信息息为一行行，如表表3所示示。表3 系系统帐号号口令分分配表账户名服务口令 分配该账账户的IIPtestt1pptpptestt1192.1688.1.3testt2pptpptestt2*表3中分分配给ttestt2账户户的ipp地址参参数为”*”，它表表示VPPN客户户机IPP地址由由PPTTP服务务随机在在地址段段中选择择。1.2.3 操作VVPN服服务（1）启启动VPPN服务务命令：sservvicee ppptpdd sttartt（2）停停止VPPN服务务命令：sservvicee ppptpdd sttop（3）重重新启动动VPNN服务命令：sservvicee ppptpdd reestaart（4）自自动启动动VPNN服务如果需要要让VPPN服务务随系统统启动而而自动加加载，可可以执行行命令：chkkconnfigg ppptp on1.3 配置置linnux内内核路由由通常，在在校园网网内部存存在着多多个不同同的网段段。为了了能让VVPN客客户机与与内部网网络的各各个网段段互连，还还应打开开Linnux内内核的路路由功能能以及配配置相应应静态路路由，否否则VPPN客户户机只能能访问VVPN服服务器内内部网卡卡所在的的网段。（1）修修改内核核路由参参数echoo 1 > /prooc/ssys/nett/ippv4/ip_forrwarrd如果要永永久修改改内核路路由参数数则可以以：vi /ettc/ssyscctl.connf 后后加入nnet.ipvv4.iip_fforwwardd=1 （2）添添加静态态路由使用静态态路由，可可以使VVPN客客户机通通过所在在内部网网段访问问其他内内部网段段的网络络资源。通通常内网网存在有有多少个个网段就就添加多多少条静静态路由由。添加静态态路由尽尽量把路路由添加加到路由由配置文文件，这这样在重重新启动动操作系系统后，静静态路由由不会丢丢失。通过vii /eetc/rc.d/rrc.llocaal，在在rc.loccal文文件的最最后一行行添加一一条静态态路由，命命令格式式如：routte aadd neet“内网网网段网络络地址” nettmassk 2255.2555.2555.00 “内网网网卡名名”2 VVPN系系统的安安全性实实施由于VPPN系统统是基于于Linnux的的，因此此从系统统安全性性考虑我我们可以以开启LLinuux服务务器的iiptaablees防火火墙功能能。但是是，要想想能让客客户机通通过防火火墙访问问VPNN服务，必必须在iiptaablees防火火墙上开开启VPPN服务务相应端端口33。PPTPP服务使使用TCCP协议议的17723端端口和编编号为447的IIP协议议（GRRE常规规路由封封装）3。如如果Liinuxx服务器器开启防防火墙功功能，就就需设置置允许TTCP协协议的117233端口和和编号为为47的的IP协协议通过过，可以以使用以以下命令令开放TTCP协协议的117233端口和和编号为为47的的IP协协议。iptaablees -I IINPUUT -p ttcp -ddporrt 117233 -jj ACCCEPPT44iptaablees -I IINPUUT -p ggre -j ACCCEPTT4系统所处处网络结结构如图图1所示示：图系统统网络拓拓扑结构构图图1中的的VPNN/Clliennt表示示为外网网VPNN用户所所在。内内外网边边界上放放有Roouteer（路路由器）和和Vpnn Seerveer。这这里的内内网包含含管理中中心、安安全子网网1、安安全子网网2。安安全子网网2则是是DMZZ（非军军事区）所所在，vvpn serrverr在DMMZ前添添加了一一道安全全屏障5。从从而使未未授权的的外网普普通用户户通过RRoutter访访问内网网允许向向外网开开放的资资源，让让vpnn/Clliennt通过过vpnn seerveer验证证并授权权后访问问到内网网资源。3 VVPN技技术的经经济实用用性目前VPPN技术术凭借其其特有的的灵活性性、安全全性、经经济性和和扩展性性等，已已成为企企业、院院校等主主流的远远程访问问方式之之一。VVPN技技术的最最大优点点在于利利用了IInteerneet这个个廉价的的公共网网络平台台安全地地传输信信息，大大大降低低了建设设专用网网络连接接所需的的高昂线线路租用用费用，同同时使得得网络可可以无限限延伸到到地球的的每个角角落55。VPNN除了降降低了高高昂线路路租用费费用以外外，VPPN所依依附的LLinuux操作作系统的的一个主主要特点点是其完完全免费费的特点点。由于于Linnux遵遵循通用用公共许许可证GGPL，因因此任何何人有使使用、拷拷贝和修修改Liinuxx的自由由。VPPN系统统在Liinuxx上安装装自然也也是免费费的。目前市市场上流流行的一一些VPPN专用用设备，如如兼容VVPN的的路由器器，VPPN型防防火墙等等。这些些设备的的价格都都比较高高，大多多价格都都在数万万或数十十万以上上。比起起以上所所述的基基于Liinuxx的VPPN系统统对于一一个校园园网来说说未尝不不是一种种经济实实用的选选择。4 结结论（1）本本文所述述的VPPN系统统是完全全免费的的。（2）本本VPNN系统所所涉及的的技术关关键点在在于采用用了双网网卡来实实现内外外网的数数据交换换，并开开启了llinuux操作作系统的的路由功功能以及及添加了了必要的的静态路路由。（3）本本VPNN系统属属于轻量量级VPPN系统统，特别别适合为为节约资资金又渴渴望实现现VPNN服务的的企业或或高校。（4）该该类型VVPN系系统存在在着需要要改进的的方面。譬譬如：它它从配置置管理以以及系统统管理上上还比较较原始，需需要靠熟熟悉LIINUXX网络操操作系统统的管理理员来操操作配置置文件。这这样使得得VPNN系统中中如：用用户开户户，IPP段地址址配置，路路由设置置等系统统及配置置管理十十分不便便。如果果可以制制作一个个基于后后台数据据库有着着图形化化操作界界面的VVPN管管理系统统，那么么这样的的VPNN系统将将更加实实用。参考文献献1 林柏钢钢.网络络与信息息安全教教程.机机械工业业出版社社,200052 邵闻珠珠,徐燕燕,周淑淑萍.基基于Liinuxx校园网网双出口口的实现现.计算算机工程程与设计计,20006,11(3):20110-2201333 林慧琛琛,刘殊殊,尤国国君.RRed Hatt Liinuxx服务器器配置与与应用.人民邮邮电出版版社,2200664 袁海燕燕.基于于Linnux的的经济安安全VPPN在校校园网中中的研究究与应用用.科技技广场,20006,33(2):844-8555 刘杰.构建基基于Liinuxx服务器器的网络络安全平平台.信信息网络络安全,20007,55(2):366-377联系信息息第一作者者姓名：林少丹丹 单位：福建交交通职业业技术学学院 职务务：教师师 Emmaill:liinshhaoddanm电话：005911-83351119933 移移动电话话：133599939227599