《基于linux经济安全的校园网vpn系统的实现精编版[4页].docx》由会员分享,可在线阅读,更多相关《基于linux经济安全的校园网vpn系统的实现精编版[4页].docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、最新资料推荐基于Linux经济安全的校园网VPN系统的实现林 少 丹1(福建交通职业技术学院 福建福州350007)摘 要: 使用双网卡搭建基于LINUX的VPN系统,在实现VPN系统的同时可以为学校节省大量的开支。使用linux系统自带IPTBALES防火墙对系统的访问进行有效的安全控制,从而实现安全的网络通信。关键词: 校园网;虚拟专用网络;LINUX;双网卡;IPTABLESThe Realization Of The Economical And Safe Campus VPN System Based On LinuxLIN ShaoDan1(Fujian Communication
2、 Technology College Fujian Fuzhou 350007)Abstract Used dual-card built the VPN system based on the LINUX could achieve VPN system,and also could save a lot of expenses for schools. the VPN system based on the LINUX was constructed and applied IPTBALES firewall to the access on VPN system for effecti
3、ve security control could achieve security network communications.Keywords campus network, virtual private networks; LINUX; dual-card; IPTABLES最新精品资料整理推荐,更新于二二一年一月十八日2021年1月18日星期一17:52:16VPN(虚拟专用网络)可看成是一个构建在公共网络基础设施上的,同时具有安全特性的网络或网络环境,也可以理解为一种公共网络中隔离出来的安全网络。用户可以通过ISP提供的各种Internet接入VPN服务,可以方便建立物理连接。V
4、PN技术的核心内容主要包括:配置管理技术、隧道技术、协议封装技术和密码技术。以上这些技术构成一个安全可靠的专用网络1。目前大部分校园网的内部办公系统或内部PC及服务器,外网用户无法直接访问。如:住在校外的人员,出差在外的人员等无法访问一些没有向外网开放的网络资源。当然,这些网络资源没有对外开放的原因主要出于网络安全方面的考虑。如果没有一种安全实用的远程接入技术,那么将给在外的内部人员带来很多不便。那么搭建VPN系统是解决以上问题的一种比较合适的方法。VPN系统可以提供一个安全可靠的接入方式,通过VPN系统为客户机分配一个内网IP,这样用户便可以在外网方便地访问内网的网络资源。也就解决了上述我们
5、在外网遇到的不能访问内网资源的问题。因此实施VPN技术在校园网建设中是十分的必要的。1 搭建基于Linux的VPN系统1.1 硬件环境的搭建在一台普通的服务器上安装一个Red Hat企业版Linux。可以选择一台普通的pc,也可以选择一台性能比较好的服务器作为操作系统载体。选择操作系统硬件载体取决于VPN系统支持接入用户的数量。如果想支持越多的用户同时接入,那么在排除网络接入带宽的因素外我们则要重点考虑VPN服务器的性能。这点处理不当,可能造成是VPN网络服务的一个瓶颈。为了降低实现VPN系统的复杂程度并实现路由功能,我们可以选择安装双网卡的技术措施2。即一张网卡面向外网接入,另一张网卡实现内
6、网连接。双网卡安装及配置的关键点是把Linux缺省的网关指到外网所在的网卡上,这点则是关系到系统能否运行成功的关键所在。网卡IP及网关的设定如表1所示。表1 双网卡IP分配表内网(eth0)IP:211.80.233.99GATEWAY:211.80.233.1外网(eth1)IP:218.5.5.6GATEWAY: 218.5.5.254配置步骤:(1)先安装好第一块网卡,默认为eth0,插上内网线,一般不会有什么问题。(2) 插上第二块网卡,开机检测,允许对第二块网卡进行配置。(3) netconf(4)在Host Name and IP nework devices设置好两块网卡的IP和
7、netmask等信息,然后Accept。(5)在Name server specification(DNS)中设置eth1的DNS,这里为202.101.98.55(6)在Routing and gateways中设置default选项的缺省网关为eth1的网关,这里为218.5.5.254,(7)系统默认路由要设成外网接口地址。(route add default gw 218.5.5.254)并将Enable routing选中。1.2 软件环境的实现为了让Red Hat企业版Linux支持PPTP协议和微软点对点加密MPPE(由于客户端大多为微软的操作系统)要对系统内核打补丁、升级自带的
8、PPP程序、安装PPTP和MPPE软件包。VPN服务所需软件安装包如表2所示。表2 安装包及其功能说明表软件安装包说明dkms-2.0.5-1.noarch.rpm动态内核模块支持kernel_ppp_mppe-0.0.5-2dkms.noarch.rpmMPPE加密协议的内核补丁ppp-2.4.3-5.rhel4.i386.rpm升级PPP到2.4.3版本,以支持MPPE加密协议pptpd-1.3.0-0.i386.rpmPPTP点对点隧道协议1.2.1 安装VPN服务器根据表2中软件安装包的信息,说明VPN服务器的软件都是RPM安装包,因此安装起来比较方便,可以使用下面的命令安装和升级。r
9、pm ivh dkms-2.0.5-1.noarch.rpmrpm ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpmrpm Uvh ppp-2.4.3-5.rhel4.i386.rpmrpm ivh pptpd-1.3.0-0.i386.rpm1.2.2 配置VPN服务器通过修改/etc/pptpd.conf和/etc/ppp/chap- secrets文件来配置VPN服务器的运行参数3。这里要注意的一点是:每一次修改配置文件的配置后,都需要重新启动PPTP服务后才能使新的配置生效。(1)配置主配置文件PPTP服务的主配置文件是/etc/pptpd.conf
10、3。进入该文件,首先设置VPN服务器的本地地址。localip选项定义了VPN服务器本地的地址,客户机在拨号后VPN服务器会自动建立一个PPP0网络接口供客户机使用。接着配置给客户机的地址段。remoteip选项定义了分配给VPN客户机的地址段,当VPN客户机拨号到VPN服务器后,服务器从这个地址段中分配一个IP地址给VPN客户机,以便客户机能访问内网。可以用“”符号表示连续的地址,用“,”符号隔开不连续的地址。(2)配置账号文件账号文件/etc/ppp/chap-secrets保存了VPN客户机拨入时所使用的账户名、口令和分配的IP地址,该文件中每个账户的信息为一行,如表3所示。表3 系统帐
11、号口令分配表账户名服务口令 分配该账户的IPtest1pptptest1192.168.1.3test2pptptest2*表3中分配给test2账户的ip地址参数为”*”,它表示VPN客户机IP地址由PPTP服务随机在地址段中选择。1.2.3 操作VPN服务(1)启动VPN服务命令:service pptpd start(2)停止VPN服务命令:service pptpd stop(3)重新启动VPN服务命令:service pptpd restart(4)自动启动VPN服务如果需要让VPN服务随系统启动而自动加载,可以执行命令:chkconfig pptp on1.3 配置linux内核路
12、由通常,在校园网内部存在着多个不同的网段。为了能让VPN客户机与内部网络的各个网段互连,还应打开Linux内核的路由功能以及配置相应静态路由,否则VPN客户机只能访问VPN服务器内部网卡所在的网段。(1)修改内核路由参数echo 1 /proc/sys/net/ipv4/ip_forward如果要永久修改内核路由参数则可以:vi /etc/sysctl.conf 后加入net.ipv4.ip_forward=1 (2)添加静态路由使用静态路由,可以使VPN客户机通过所在内部网段访问其他内部网段的网络资源。通常内网存在有多少个网段就添加多少条静态路由。添加静态路由尽量把路由添加到路由配置文件,这
13、样在重新启动操作系统后,静态路由不会丢失。通过vi /etc/rc.d/rc.local,在rc.local文件的最后一行添加一条静态路由,命令格式如:route add net “内网网段网络地址” netmask 255.255.255.0 “内网网卡名”2 VPN系统的安全性实施由于VPN系统是基于Linux的,因此从系统安全性考虑我们可以开启Linux服务器的iptables防火墙功能。但是,要想能让客户机通过防火墙访问VPN服务,必须在iptables防火墙上开启VPN服务相应端口3。PPTP服务使用TCP协议的1723端口和编号为47的IP协议(GRE常规路由封装)3。如果Linu
14、x服务器开启防火墙功能,就需设置允许TCP协议的1723端口和编号为47的IP协议通过,可以使用以下命令开放TCP协议的1723端口和编号为47的IP协议。iptables -I INPUT -p tcp -dport 1723 -j ACCEPT4iptables -I INPUT -p gre -j ACCEPT4系统所处网络结构如图1所示:图系统网络拓扑结构图图1中的VPN/Client表示为外网VPN用户所在。内外网边界上放有Router(路由器)和Vpn Server。这里的内网包含管理中心、安全子网1、安全子网2。安全子网2则是DMZ(非军事区)所在,vpn server在DMZ前
15、添加了一道安全屏障5。从而使未授权的外网普通用户通过Router访问内网允许向外网开放的资源,让vpn/Client通过vpn server验证并授权后访问到内网资源。3 VPN技术的经济实用性目前VPN技术凭借其特有的灵活性、安全性、经济性和扩展性等,已成为企业、院校等主流的远程访问方式之一。VPN技术的最大优点在于利用了Internet这个廉价的公共网络平台安全地传输信息,大大降低了建设专用网络连接所需的高昂线路租用费用,同时使得网络可以无限延伸到地球的每个角落5。VPN除了降低了高昂线路租用费用以外,VPN所依附的Linux操作系统的一个主要特点是其完全免费的特点。由于Linux遵循通用
16、公共许可证GPL,因此任何人有使用、拷贝和修改Linux的自由。VPN系统在Linux上安装自然也是免费的。目前市场上流行的一些VPN专用设备,如兼容VPN的路由器,VPN型防火墙等。这些设备的价格都比较高,大多价格都在数万或数十万以上。比起以上所述的基于Linux的VPN系统对于一个校园网来说未尝不是一种经济实用的选择。4 结论(1)本文所述的VPN系统是完全免费的。(2)本VPN系统所涉及的技术关键点在于采用了双网卡来实现内外网的数据交换,并开启了linux操作系统的路由功能以及添加了必要的静态路由。(3)本VPN系统属于轻量级VPN系统,特别适合为节约资金又渴望实现VPN服务的企业或高校
17、。(4)该类型VPN系统存在着需要改进的方面。譬如:它从配置管理以及系统管理上还比较原始,需要靠熟悉LINUX网络操作系统的管理员来操作配置文件。这样使得VPN系统中如:用户开户,IP段地址配置,路由设置等系统及配置管理十分不便。如果可以制作一个基于后台数据库有着图形化操作界面的VPN管理系统,那么这样的VPN系统将更加实用。参考文献1 林柏钢.网络与信息安全教程.机械工业出版社,20052 邵闻珠,徐燕,周淑萍.基于Linux校园网双出口的实现.计算机工程与设计,2006,11(3):2010-20133 林慧琛,刘殊,尤国君.Red Hat Linux服务器配置与应用.人民邮电出版社,20064 袁海燕.基于Linux的经济安全VPN在校园网中的研究与应用.科技广场,2006,3(2):84-855 刘杰.构建基于Linux服务器的网络安全平台.信息网络安全,2007,5(2):36-37联系信息第一作者姓名:林少丹 单位:福建交通职业技术学院 职务:教师 Email:linshaodan 电话:0591-83511993 移动电话:13599392759