基于vpn网络的数字化图书馆系统设计本科学位论文.doc

《基于vpn网络的数字化图书馆系统设计本科学位论文.doc》由会员分享，可在线阅读，更多相关《基于vpn网络的数字化图书馆系统设计本科学位论文.doc（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、基于VPN网络的数字化图书馆摘要：针对高校扩大生源和多校合并造成的图书馆数据共享困难，校外师生无法访问图书馆数据等问题，在校区之间实现校园图书馆的数字资源共享是必然的发展趋势。本组建方案提出了通过VPN来解决图书馆资源整合和资源共享等问题。先组建主校区的图书馆，在主校区的边界路由服务器上部署IPsec VPN，解决主校区和分校区图书馆的连接，和为校外师生提供访问校内图书馆资源的入口，实现校外作业也可以利用图书馆的资源来进行，从而提高图书馆资源利用率。为了实现本次方案，使用了GNS3模拟器和Windows server2008进行组网仿真，通过Win7对进行访问测试，测试证明该该方案是可以实现建

2、立高效安全的数字化图书馆。关键词：GNS3模拟器；资源整合；数据共享；IPsec VPNAbstract：For colleges and universities to expand the library data and multi-school students share consolidation resulting difficulties school teachers and students can not access the library data and other issues between campuses realize digital campus lib

3、rary resource sharing is an inevitable trend. The plan proposes the formation of a library of resources to address issues such as the integration and sharing of resources via VPN. First set up the main campus library, IPsec VPN deployment on the main campus of the border route server, to solve the m

4、ain campus and campuses connection libraries, and provide access to the school entrance for school teachers and library resources, to achieve off-campus job can also be use library resources to carry out, in order to improve the utilization of library resources.In order to realize this plan, the use

5、 of Windows server2008 GNS3 simulator and simulation for networking, access to the test by Win7, tests prove that the program is able to achieve the establishment of efficient and secure digital library.Keywords: integration of resources; data sharing; IPsec VPN; GNS3 simulator设计说明20世纪90年代开始，我国高等教育不

6、断改革发展，各高校扩大招生规模，而原有的校区面积以及分布不合理，通过多校合并、新建校区等方式进行资源整合，多在城市郊区建立分校区，导致图书馆从单一的服务一个校区的模式转化为一校多馆或总分馆并存的模式。本组建方案采用VPN技术来组建数字化图书馆网络。VPN技术是一种封包和加密网络数据，在公共网络上建立专用的虚拟通道，传输数据，保证专用网络的安全。这个逻辑上的专用通道可以提供和专用网络同样的功用。相对于传统租用线路高昂的运营成本，尤其是相距距离远时更甚。VPN是理想的解决方案。相对节约成本，只要在主校区部署VPN服务，在分校区只要做少量的安装工作就可以实现访问。该设计方案主要以主校区的图书馆为例，

7、组建主校区图书馆的网络，在校园网边界路由服务器的IPsecVPN功能，使得分校区可以通过IPsec客户端访问，外出人员和教师校外家庭可以通过该方式访问。在校园网中使用静态的路由协议，保证校园网互通和冗余备份，在校园网中部署了DHCP服务器，自动为子网分配IP地址，以及校园内WEB服务器，在边界路由服务器上还设计了NAT地址转换，将内网的IP转换为外网IP地址。本次设计使用基于IPsec VPN，适用于馆际资源共享，分校区需要向主校区申请认证的服务证书，经过主校区的VPN认证，建立IPSec隧道，再由IPSec VPN设备给分校区客户端分配虚拟IP地址，就可以像在校园网内一样安全、稳定、高效地访

8、问主校区图书馆的数据。同样适用于校外教师或学生使用，校外用户只需要使用具有WEB浏览器向VPN服务器申请证书即可，不需要部署客户端就可以连接到VPN进行安全会话。基于IPsec 的VPN在网络层工作，在安全各方面的优势使之成为最方便、通用的VPN。关键词：边界路由服务器；专用虚拟通道；资源整合；IPsec VPN；证书1 引言VPN技术越来越成熟、流行，应用的领域也非常的广泛。比如浏览特定网站、玩游戏、家庭办公等日常生活中也需要它。降低单位建立局域网成本。提升用户上网的品质。VPN 为远程访问内部网络提供公共安全连接。远程访问的安全机制来保护敏感信息和通信的安全性，而且很好的解决机构异地安全通

9、信的问题。 1.1 研究背景1.1.1 VPN 的基本概念虚拟专用网络（Virtual Private Network，VPN），是公网上建立一条虚拟的通道，从而形成一个私有网络。VPN是局域网的扩展，连接不同地方的机构，在特定的节点之间建立安全可靠的连接，移动用户可以简单而有效的连接内部网络，确保传输稳定、安全的数据。例如，当一个教师下班后由于科研需求，想要访问学校内部网络图书馆的资源，就可以通过互联网建立远程连接，远程访问到图书馆资源。这是用到了VPN 技术，在学校内网部署VPN 服务器，就可以通过互联网依靠VPN 服务器进入公司内网。在VPN技术出现之前，传统方法是在固定两点租用DDN（

10、数字数据）专线和帧中继，必然会带来高昂的通讯和维护费用。而客户端拨号访问从公网网络进入企业内网。部署VPN服务器，通过互联网连接内网VPN服务器，访问内网数据。实际上就是利用加密技术对数据包加密，即使被别人获取到数据包，也无法读取其中的信息。当用户收到数据包之后对其解密，丢弃VPN 包头，通过一些算法对数据的真实性和完整性进行验证。如此便是在互联网上建立一个虚拟专用隧道，对数据进行封装、加解密、验证安全的在互联网上传输。无论客户端在何处，只要可以连接互联网就可以通过VPN访问内网资源。VPN 网络能够被目前几乎所有的网络协议所支持, 即使网络的传输方式改变了, VPN 也能够正常工作7。VPN

11、通过简单的设置，新用户可以快速方便地访问网络。VPN具有很高的安全系数，高级别的加密和身份识别协议确保数据不会被窥探，阻止数据被窃取和。用户使用ISP提供的网络资源，但网络控制权始终在用户手上，管理着网络的安全设置、变化管理。在内网也可以自己建立虚拟专用网。数字图书馆是构建未来自有高速公路信息主体，不是指建立真正的图书馆，而是将以电子商务的方式管理各地图书馆资数据源库，智能检索技术把在高速宽带上传输的多媒体信息传输到需要丽连接的客户端。数字化图书馆的建立以传统的图书馆为平台，根据科学技术来构建。就是一个集合多功能的图书馆平台，除了传统的纸质阅读之外，还可以利用强大的多媒体方式为我们提供各种格式

12、的数字化阅读，能够更轻松方便的掌握各种知识。1.2 研究目的与意义随着VPN技术的发展，如今已经使用的非常普遍，已经越来越被应用在数字化图书馆，由于使用安全的加密技术，其安全性较高，使用方便，只需要可以连接互联网就可以访问校内图书馆，不但可以解决异地图书馆互通，方便校外师生进行科学研究工作，为图书馆资源整合，统一管理带来便利，还可以节省校园开销，由于部署简单，维护方便，一般只需要前期投资，后期的维护简单，费用低廉，此技术已经应用到很多具有大量分部的企业中。通过对VPN的研究，结合典型组建VPN网络的实例，总结出优缺点，希望能够分析出VPN在应用中的问题，并且的出解决方案。1.2.1 国内外研究

13、状况根据国内VPN服务市场分析的评估报告，在全球经济领域中我国的地位以及处于高位，这将导致到我国投资的企业数量增加，相继在我国建立分公司。另一方面，国内不断致力于经济发展，培育许多年轻优秀企业，信息化建设为VPN发展提供广阔的潜在市场，对未来科技发展起到重要的作用。VPN早期是美国、以色列等国家研究出专门用于军事用途的信息传递工具，早在二十世纪九十年代中，就已经由IEIF着手开始了IPsec VPN的研究，其安全框架也在九十年代末发布，该安全框架可以兼容IPv4和IPv6，目前VPN技术在西方国家已经发展的相当成熟，为了降低用户的成本，国外推出了基于软件开放源代码IPsec VPN，国内厂商都

14、相继推出自己的产品，诸如：华为、深信服、网御神州等等国内厂商。目前VPN的技术不单单只是运用在数字化图书馆上面，已经与国民的生活息息相关，各种VPN品牌产品和服务占有率超过国内市场份额的86%，美国ArrayNetworks连续三年国内市场份额第一。我国内高校也越来越重视数字化的开发建设，建立数字化图书馆成为不可避免的趋势，为频繁跨校区访问资源带来便利，VPN务必要易于部署，使用简单。中山大学和厦门大学建立了具有代表性的基于VPN网络的数字化图书馆。从2003年起我国大力实施VPN校园网建设方案，在一些办学较为显著、拥有分校的院校，都具备较高的信息化水平，非常适合部署自身的校园网VPN方案。2

15、 VPN技术的基础研究2.1 VPN的分类VPN技术出现在人们视野中的时间并不长，之所以在较短的时间内为广大企业和厂家的支持，离不开其优越的性能和安全性，近年来发展十分迅速。生厂商根据消费群体的不同，对不同的VPN产品进行分类销售，以突出其产品的优越性和适应性。各地的ISP运营商也为了更多的占有市场份额，针对用户群体的不同提供不同的VPN接入方式。以下简单介绍VPN分类的方式。2.1.1 按应用范围分类这是最普遍的分类方法，VPN的各种模式满足用户在不同环境下需求，其应用模式基本上分为三种：Access VPN、Extrannet VPN（外联网VPN）和Internet VPN（内联网VPN

16、）。一般情况下的专线VPN指的是内联网VPN。2.1.1.1 Access VPN这种方式一般在用户较少远程访问总部的情况下使用，例如，远程办公用户和企业分公司通过因特网访问公司内网使用的VPN连接。远程办公用户是指终端，组成总部网络到终端的模型的VPN网络。2.1.1.2 Internet VPN内联网VPN是在公网中建立在公司总部和分公司之间的虚拟网络，采用对等的网络对网络的连接。2.1.1.3 Extranet VPN这种主要是企业收购兼并以及建立企业间的战略伙伴关系之后，将不同企业已经建立的虚拟网络通过公网连接起来。同样也是网络对网络的VPN，但是是以不对等的方式连接，主要的特点在于其

17、安全策略上的差异。但对于现实中的大型企业来说，最有可能的是同时用到三种VPN。2.1.2 按接入方式分类2.1.2.1 拨号VPN（VPDN）基于PPTP与L2TP协议为远程用户提供了对企业的远程访问。这是一种根据需要去连接的非固定VPN线路，服务对象为通过ADSL、ISDN或者PSTN等方式接入ISP的用户，这种方式一定程度的节省用户的费用。由于是漫游用户，VPDN一般需要利用CHAP和RADIUS做身份验证。其优点是用户不需要复杂的设备连接，实现连接的方式简单灵活，但是在PSTM用Modem拨号方式连接的时候速度较慢。该VPN连接方式比较适合远程用户。2.1.2.2 专线VPN这个方案是提

18、供专门解决访问边缘的运营商设备专线接入，客户采用固定的线道以做为专线长期与运营商连接，而无需拨号建立连接。这种接入方式与拨号VPN相比的优势在于，企业一直拥有静态IP，支持多个用户同时进行访问，其速度仍然比拨号方式快，令用户没有一直在线的感觉，相对节省费用，降低运营成本。2.1.3 按隧道建立方式分类根据原理可分类为强制和自愿隧道两种方式。2.1.3.1 由客户端发起在VPN服务体系中无论是起点还是终点都是要面向客户服务器的，可见于其内部技术组成，VPN实施的部署和管理。在这中间无论是客户端还是隧道服务器（也可以说是网关）都必须部署合适的隧道软件。由客户端的隧道服务器发起隧道，到达终点隧道服务

19、器终止隧道，ISP无需做人任何的工作。服务器通过认证用户的合法性和安全性之后，在双方建立一条感觉到ISP不参与的通信的虚拟隧道进行数据传输，双方还可以在通信过程中部署加密方式以保障数据传输安全。2.1.3.2 由服务端发起也可以称为客户透明模。VPN各种服务由运营商负责管理，客户无需了解起内部的构造、实现和维护管理，运营商的POP即是是VPN服务的起点也是终点，这种连接方式是针对运营商部署的。2.1.4 按协议实现类型分类OSI模型中的第二层可以建立VPN、第三层甚至在更高层都可以建立，根据OSI七层模型来分类是国内外VPN设备生厂商和ISP比较关注的分类方式。2.1.4.1 第二层隧道协议这

20、是属于比较早期的，其使用非常广泛，是点到点的隧道协议简称PPTP和L2TP，建立在OSI模型二层。是思科公司和微软公司共同制定的协议。PPTP和L2TP的优点是简易方便，缺点主要是在可扩展性和安全性上，例如没有内在的安全机制，没有满足企业和客户或合作伙伴之间会话的安全会话保密性要求。应此PPTP和L2TP协议的VPN最大的弱点就是其安全性、保密性和扩展性。这种方式比较适合客户端远程访问虚拟专用网。2.1.4.2 第三层隧道协议在OSI模型的三层工作，隧道中传递打包好的数据包。目前最常见的有：GRE协议、IPsec协议。其中重点是IPsec协议，在OSI模型的IP层工作。但安全性以及互操作性要超

21、过很多安全技术和隧道协议，管理上比较繁琐。它得到各大主流厂商的支持，适合组建各类VPN，在设备选择方面比较自由，性能优越，技术也相对成熟。适合需要链路保密、安全连接，业务实时性要求比较低，流量数据不大的VPN部署方案。此外有些协议是跨越第二层和第三层甚至跟高层，例如SSL VPN，有访问控制机制的功能，具有与IPsec相当的安全性，对客户端要求较低，只要支持SSL的浏览器即可，客户端上配置，适合远程移动用户访问内部局域网。目前比较普遍的是结合L2TP和IPsec的方式。L2TP作为隧道协议，IPsec保护数据。2.2 VPN技术的原理VPN ( Virtual Private Networks

22、) ，即虚拟专用网络，在穿越像在因特网这样不安全网络的两台机器之间的加密隧道，提供安全加密的隧道来保护通信1。隧道技术是VPN具体体现，需要涉及到身份验证，数据安全传输，主要关键性技术有隧道、加解密、身份认证和密钥管理等技术。2.2.1 隧道技术隧道技术利用互联网本身拥有基础设施使数据在不同的网路中传输。在一种协议这种传送其他协议，就是通过协议封装协议，再将“包裹”好的数据发送到网络中出去。对于隧道通信来说，一般采用的协议TCP或者UDP，各种协议都有各自的优点。隧道建立的起始位置一般有从主机到主机、从网关到网关和从主机到网关三种类型。2.2.2 加解密技术的应用通过隧道协议在互联网中传输数据

23、，必然存在不安全因素，因此为了保证数据包不被被他人截取后浏览、窃取和篡改，对数据包进行加密是必然的，即使数据包丢失，任何人也无法窃取其中的信息，便能够保证信息传输的安全性。加解密技术已经发展相当的成熟，直接可以应用在VPN当中来。目前的加密技术主要分为两种，公开密钥加密和对称密钥加密，对称密钥加密即相同的密钥可以加解密，主要运用于加密大量传输的数据和完整性保护，运用范围非常广，例DES加密，是非常典型的对称密钥加密。公开密钥即非对称密钥，使用一对不同的密钥加解密，分为“私钥”和“公钥”，必须配对，“公钥”是公开的，“私钥”是私人有，别人无法获取。如果采用对称密钥在公网上使用很难保证密钥在传输过

24、程中不被窃取，而使用公开密钥加密拥有者会产生一对密钥，让“公钥”在公网上传输，“私钥”自己保留，只有“私钥”才能解密“公钥”加密的文件，能够有效保证文件传输的安全性。主要运用于数字签名、认证和安全传输会话密钥等。实际运用中一般是融合两者之间的混合加密技术。在实际传输数据的过程中，为了确保数据一致性和完整性，摘要算法也称为哈希（Hash）算法或散列算法，是加解密技术中通常都会使用的，能够有效防止数据被篡改，该算法使用了摘要函数将长度各异的信息做为输入，输出一个固定长度的摘要。如果改变了输入信息的任何一位输出的再要信息就会发生不可预估的改变，因为输出的摘要与输入的每一位都有关系。典型的摘要算法有M

25、D5（Message Digest 5）与SHA(Secure Hash Algorithm)。2.2.3 密钥管理技术数据加密技术的密钥管理非常重要，假如密钥被窃取，明文内容会泄露。目前使用手工配置和使用密钥协议动态分发的两种方式。2.2.4 身份认证技术隧道建立之前需要认证对方身份，以保障传输数据的合法性和正确性，VPN采用了多种用户认证技术，如PPP协议的认证就采用了口令验证协议PAP和挑战握手协议CHAP，基于认证技术，在建立VPN之前，用户对服务器请求建立连接要进行身份验证，检查用户是否合法。还有双向认证，有VPN服务器要被客户验证其身份是否伪装欺骗。身份认证技术应用到网络安全管理中

26、，对于防止恶意攻击和资源窃取具有重要的作用，能够有效地防止非授权访问。目前在实现VPN的方式中有两个主流：IPsecVPN、SSL VPN。（1）IPsec VPN：位于OSI模型的网络层，为IP数据流提供安全服务，这些安全服务包括完整性、数据来源验证、重放防范、数据保密性和有限的流量保密性2。（2）SSL VPN：位于OSI模型的应用层，采用标准的安全套接层(Secure Socket Layer , 简称SSL)协议, 对传输中的数据包进行加密, 从而在应用层保护了数据的安全性3。2.3 设计原则为了能够建立安全可靠的VPN网络的数字化图书馆，必须遵循以下网络组建原则。2.3.1安全性VP

27、N是依托公网建立起来的，安全问题必须重视，因此保证数据的完整性以及提升数据的安全性尤为重要，并且还要防止非法用户访问网络资源或者私有信息，通过内外网物理隔离、数据加密与隧道分离等技术，对数字化图书馆网络的安全策略统一制定，整体考虑数字图书馆的安全性。2.3.2 VPN管理VPN的管理想要其网络系统管理的功能连接到公网，以至于分机构，虽然服务提供商能够完成某些不是很重要的管理，还是有许多管理要求由自己达成，因此，将VPN 管理体系建立完备在VPN的组建中必不可少。3 基于VPN网络的数字化图书馆需求分析3.1 数字化图书馆的现状在对一个现有网络进行改造升级的时候，首先需要充分了解用户的需求以达到

28、预期的目标或解决存在的问题。现有的图书馆是校园网的组成分子，使用二层交换机来连接核心交换机。图书馆内部部署电子资源服务器，电子教学资源则是建立数字化高校的重点之一，近年从网上购买了大量电子数据库提供校园师生开展教学研究，这些电子资料对学校的学科建设和科学研究的工作具有重大意义。然而根据保护数字版权的规定，要防止侵权，必须使用安全加密的技术来控制字数内容和分发的途径。在知识产权保护的大背景下，出售电子数据库大都会限制访问的范围，只要付给提供服务的商家费用，该服务商家才会对该提供一定的访问校园网的服务。尽管目前校园信息化建设趋于完善，但是很多方面的信息还是无法共享。做为一个局域网的校园网，为了安全

29、性考虑外网一般无法访问内网的资源，包括图书馆，对图书馆的资源就形成了一种孤立的状态，即使是同一家高校，校区不同导致资源的重复和共享方面的困难。假如学校师生在任一个能够连接互联网的地方去访问学校已购买电子资源，采用ADSL、校区宽带等方式都属于外网的范围，而数据库就会拒绝这些客户的访问，以非授权为理由。单个校区图书馆外购了的大量电子类资源，对方可以为学校开放多个IP地址为做为可访问授权，然而各个校区间的图书馆不能共享彼此的电子资源。有许多学生会在校外租房，或者假期会回家，老师也会因为各种原因而不在学校。这些人需要访问校内电子资源，还有学校请来的客座教授、老校友以及外聘教师更需要随时随地接入校园网

30、享用资源，然而这些校外用户大多数都是使用动态IP地址，而且数量巨大，所以也无法为其加入固定的授权IP之中。3.2 VPN数字化图书馆的特点2000年至今，绝大多数的高校都进行了信息化建设，基本形成了比较完整的校园网信息平台，将教学资源，购买的资源、各院系和图书馆的资源等集成到校园网平台，以供校园网内用户使用。校区间图书馆的资源由于经费的问题不会投入过多去铺设专有线路，采用VPN建设数字化图书馆网络实现各校区资源共享的需求具有一定的优势，VPN技术成熟，部署方便简单，而且前期和后期的投入相对较少。推进高校信息化的快速发展，还解决校区间互相访问和资源共享共管理，并且考虑到外出住宿、实习、出差等师生

31、对校园网络数字化图书馆资源的访问，满足合作院校和企业的无缝对接。3.3 VPN数字化图书馆的应用需求根据现有的图书馆现状，为解决安全管理认证远程访问校内图书馆的组建，校园网作为一个中转站，给予外面的用户一个转换一个可用的内网地址和访问数据库的权利。本文提出了建立基于VPN网络的数字化图书馆的组建。在研究目前远程访问技术的应用成果基础上，寻找能达到需求目标的安全、经济、便捷的解决方案，并且要兼容校园网信息化的基础上提供数字资源远程访问服务。研究各个VPN远程连接方案，IPsec的技术可以实现远程访问大量数据的方式，它具有相对低的运行成本和后期维护成本而高效率的优势，使用也相对复杂，必须对客户端软

32、件进行安装和维护，其双方使用的IP必须是固定的，适合在校区之间采用的远程访问方式，在两个校园网内部之间进行远程访问可降低其受到攻击或被病毒感染的可能性，并且对客户端的设备要求低，因而降低配置的困难度和运行成本，提高图书馆工作效率和很好解决了安全问题。根据目前主要远程访问的技术应用和成果的基础，学习总结，尝试使用IPsec VPN远程访问技术解决方案，尝试使用IPsec VPN远程访问技术解决方案，使用户能都以一种低成本、高安全性的方式不受时间、空间限制的访问到校园网内的电子资源，进行资源共享，高校在社会知识共享、普及中应有的作用。 4 基于VPN网络的数字化图书馆总体设计方案4.1 总体方案在

33、此次方案的总体设计当中，通过图书馆网络现状和应用需求的分析，以及对VPN技术方案进行选型，主校区和各分校区之间的VPN连接建立选用IPsec VPN，通过互联网做为载体使校区之间网络互连，实现整个校园网的资源、信息和数据共享和交流。既可以克服路由器在公网中对访问的限制，还能保护数据传输过程中的数据安全，对IPsec协议进行分析可知，使用IPsec架构VPN网络时，使用的是ESP协议对在IPsec VPN上传输的数据加密认证，可以完全满足学院所需要的网络安全性、功能性和可管理性的需求。传还可以达到节约成本的目的，省去租用专线的花费。当两地建立起IPsec VPN之后，两地的访问就像在同一校园网一

34、样方便，能够满足校区间信息共享的功能需求，并且保证数据安全传输；IPsec VPN的部署需要再两端的边界路由服务器上进行相关的配置，将所有到对方网络的访问都通过VPN，通过对各校分区部署了VPN的边界服务器适当配置账户、访问控制等协议，在主区与分区之间构建出虚拟专网。分区用户根据定义好的静态路由连接主区，虚拟通道连接主区VPN路由器，根据用户账户名密码等信息检验匹配成功之后，会给该用户分配主校区网络内使用的专用IP地址，授予相应的权限。而在外合作伙伴或者校外教职员工和学生也可以使用IPsec VPN方式连接到校内图书馆。为了保证校园网的安全，在边界路由服务器上还会部署访问控制策略，对外部的连接

35、进行严格的访问控制，抵御外部网络的入侵。在现实部署VPN服务器在网络中，VPN服务器为访问校内图书馆网络的用户分配校园网内部IP，即可实现两个网络之间的互联，组成数字化的图书馆网络，在目前的主流服务器Windows server 2008具有中部署选择部署L2TP/IPsec VPN服务。4.2 VPN数字化图书馆的组建设计4.2.1 基本的校内网络首先组建主校区的校园网重点是图书馆方面，基于一个真实的校园网环境，该校内局域网各个区域在不同网段，所有服务器指定一个特定的网段，校园网内部各区域路由协议采用静态路由配置。所有子网连接到汇聚层，内网在服务器上配置NAT转换与公网通信。并且搭建了DNS

36、、DHCP和WEB服务器。目前只需要在服务器上部署VPN，搭建L2TP/IPsec VPN与分校做端对端的连接 ，使分校区获得内部局域网IP去访问图书馆电子资源服务器。4.2.2 图书馆VPN的网络拓扑根据需求，分校区的图书馆是一个局域网，部署L2TP/IPsec VPN拨号访问。而校外用户也通过IPsec VPN进行浏览拨号访问。具体结构如图4.1所示：图4.1 网络拓扑4.2.3 网络地址规划主校区图书馆使用192.168.1.0/24网段，宿舍楼使用192.168.2.0/24网段，教学楼使用192.168.3.0/24网段，办公楼使用192.168.4.0/24网段，服务器使用192.

37、168.5.0/24网段，边界路由服务器外部接口IP使用100.1.1.1/24，分校区边界路由服务器外部接口使用200.1.1.0/24网段。内网通过NAT转换为图书馆网段为100.1.1.100/24的IP和转换校内其他网段为100.1.1.200/24的IP连接互联网。分校使用192.168.100.0/24网段，边界出口IP为200.1.1.1/24。移动用户只要能连接上Internet就可以，这里拟IP为300.1.1.1/24，具体IP分配如下表所示。分校区通过L2TP/IPsec VPN连接,VPN服务器为连接用户分配192.168.0.51/24-192.168.0.100/2

38、4网段的IP，就可以在建立之后访问到主校区图书馆电子资源。表4.1 网络地址规图书馆办公楼宿舍楼教学楼IP地址192.168.1.0/24192.168.2.0/24192.168.3.0/24192.168.4.0/24网关地址192.168.1.1192.168.2.1192.168.3.1192.168.4.1表4.2 服务器地址FTP/DNS/DHCP服务器图书馆电子资源服务器IP192.168.5.1/24192.168.5.2/24网关192.168.5.254192.168.5.254表4.3 网关地址内部接口IP外部接口IP主校区边界路由服务器192.168.0.1/24100

39、.1.1.1/24分校区边界路由服务器192.168.100.1/24200.1.1.1/244.2.4 L2TP/IPsec（L2TP over IPsec）VPN方案L2TP/IPsec（L2TP over IPsec）是将L2TP和IPsec结合的VPN方式，在前文中有提及是目前最普遍的部署方案，L2TP/IPsec加密隧道中被传递的数据，L2TP对第二层数据进行封装，IPsec再加密数据和保护提供数据的完整性，即可以克服L2TP安全性、保密性和扩展性的弱点，又可以利用L2TP隧道实现异地局域网互联。部署L2TP/IPsec VPN需要在Windows Server 2008 的服务器中

40、配备两块网卡，一块连接内部局域网，另一块连接ISP运营商，在服务器中加入路由与远程访问角色，并启用成功部署路由与远程访问服务。使用L2TP/IPsec通信时一般使用三种验证方式：（一）kerberos协议验证：但是不适合目前的网络环境。（二）预共享密钥验证：这种方式在VPN服务器和客户端上输入预先定义的共享密钥，所有的客户端都要配置服务器方提供的预共享密钥，但是只要能够接触客户端服务器的人都有可能知道这个密钥，L2TP/IPsec安全性就会被降低，因此在中是使用的这种验证方式企业比较少。（三）计算机证书验证：VPN服务器和客户端申请不同类型的身份证书，通信时VPN服务器向对方显示VPN服务器身

41、份验证证书，客户端VPN服务器向对方显示客户端身份验证证书，如此才能通过验证。综合上述的验证方式，本网络使用证书是最为合适的安全验证方式。如此必须要在服务器上搭建一台CA服务器颁发证书，VPN服务器和VPN客户端通过CA下载证书，进行身份认证。5 VPN数字化图书馆的组建5.1 搭建L2TP/IPsec VPN服务器搭建L2TP/IPsec VPN服务器首先两台需要Windows server 2008的服务器和一台客户端测试用。在计算机名为VPNServe的Windows server 2008的服务器之中安装两块网卡，其中一块作为内网接口，IP地址为192.168.0.1/24，另一块为外

42、网接口，IP地址为100.1.1.1/24。计算机名为AD的Windows server 2008的服务器作为内网证书服务器，IP地址为192.168.0.254/24。计算机名为PC的W7作为客户端，IP地址为10.1.1.2/24。5.1.1 VPNServer一、 在VPNServer上安装”网络策略和访问服务”角色在“服务器管理”中“添加角色”。勾选“网络策略与访问服务”继续。图4.2 添加角色勾选“路由和远程访问”的所有条目，继续执行。图4.3 选择角色服务图4.4 安装结果显示安装完成。二、 配置VPNServer的VPN服务器打开“路由和远程访问”管理窗口。图4.5 路由与远程访

43、问点击VPNSERVER右键之后选择“配置并启用路由远程访问”。图4.6 配置路由选择“远程访问”。图4.7 配置路由图4.8 配置路由图4.9 配置路由图4.10 配置路由图4.11 配置路由图4.12 配置完成三、 在AD中安装“证书服务”角色添加必需的角色服务，其余一路“下一步”图4.13 添加证书服务角色图4.14 添加所需角色服务四、 在VPNServer中进行VPN服务器证书申请与配置更改浏览器的Internet选项，暂时调为本地Internet区域的安全级别为“低”，本地Intranet信任中站点添加新的记录为CA的IP。图4.15 添加信任站点在VPN服务器打开IE，键入htt

44、p:/192.168.0.254/certsrv/。申请证书，选择高级证书申请，创建并向此CA提交一个申请。图4.17 访问证书服务器图4.18 申请高级证书图4.19 提交申请图4.20 申请信息填写图4.21 申请挂起在CA服务器上颁发证书图4.22 查看挂起证书图4.23 颁发证书在VPN服务器打开IE，键入http:/192.168.0.254/certsrv/，选择“查看挂起的证书申请的状态”的任务， “IPSec 证书 (2015年3月13日 14:27:36) ” ，“安装此证书”， “该 CA 不受信任。若要信任从该证书颁发机构颁发的证书，请安装该 CA 证书”，安装证书到“受

45、信任的根证书颁发机构”组里。刷新当前浏览器，选择“安装此证书”，看到“ 您的新证书已成功安装。”的回复即可。图4.24 查看证书情况图4.25 安装证书图4.26 安装CA证书图4.27 导入证书图4.28 安装成功在VPNserver中打开控制台，在“文件”选项中选择“添加/删除管理单元”添加“我的用户帐户”“证书”和“计算机账户”“证书”。导出证书：把.pfx的个人证书从当前用户个人证书导出，导出时选择导出私钥。图4.29 导出证书图4.30 导出证书把.cer的个人证书从当前用户受信任的根证书颁发机构里导出，按照导出向导执行导出。导入证书：把刚才被导出.pfx的个人证书导入到本地计算机个

46、人证书。把刚才被导出.cer的个人证书导入到本地计算机受信任的根证书颁发机构。图4.31 导入证书结束步骤，重启“路由和远程访问”。五、 外网客户端证书申请与配置在PC中先用PPTP的连接方式连接到CA申请安全证书在VPN服务器分配允许远程拨入用户权限给用户。步骤如下图：右键我的计算机，选择“管理”,进入到以下界面：图4.32 授予拨入权限“制控制面板”中选择“网络和Internet选项”。具体步骤：在“网络共享中心”选择“设置新的连接或网络”，“连接到工作区”，“使用我的Internet连接（VPN）”，“我将稍后设置Internet连接”，在Internet地址里填入连接外网的IP（10.

47、1.1.1）完成。创建一个用于L2TP的VPN连接。图4.33 PPTP拨号成功拨号成功后，就可以向CA申请安全证书了。将已申请的证书进行导出导入。外网客户端执行与VPN服务器相同的申请和导出导入证书的步骤。六、 以L2TP/IPSec（证书）方式连接VPN申请和配置安全证书后，我们可以改变VPN的属性L2TP/IPSec连接方式，如下步骤：图4.34 修改VPN类型选择“高级设置”选项，勾选高级属性的“将证书用于身份验证”和附属的选项。图4.35 选择验证方式就可以连接到VPN服务器访问局域网了。6 数字化图书馆VPN测试在本系统投入运行之前，为了尽可能的发现系统错误，消除潜在危机，保障系统网络功能运行正常可靠。若测试结果与期待不符合，说明服务配置出现错误，针对错误的地方进行改正。6.1 测试目标本次测试的目标是尽可能发现网络系统中的错误，以保证网络系统投入使用之后各项功能运行正常，各服务器正常运行，客户端能够从外网接入VPN服务器，请求安全证书之后的连接视为安全的客户端连接。6.2 测试环境对VPN网络的数字化图书馆的测试硬件平台为：一台校园网内服务器，上面安装有FTP服务器、WWW服务以及证书服务器。多台交换机和客户端PC机。6.3 测试过程下面对VPN登陆功能和VPN基本功能以及安全性方面进行测试。6.3.1 VPN登陆功能测试学院分校区VPN登陆界