使用Ipsec-tools构建企业VPN

王煜林

（广东技术师范学院天河学院，广东 广州 510540）

1.引言

VPN（Virtual Private Network）即为“虚拟专用网络”。VPN被定义为通过一个公用网络（通常是因特网），在两个私有网络之间，建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道，以便保证两个私有网络之间安全地在互联网上传送信息。VPN的类型通常有两种：一种为远程访问的VPN，需要拔号，适合于出差的用户与远程办公的用户通过拔号的方式，比如PPTP，来连接到公司总部，访问公司总部内的相关服务;另一种为站点到站点的VPN，适合于公司总部与公司分部之间或者公司与合作伙伴之间在互联网上来安全地传送信息。

实现VPN的技术有第二层的PPTP、L2TP、L2F与第三层的GRE、IPSec等，常用于站点到站点的VPN协议为IPSec，IPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性，以及如何加密数据包。使用IPsec，数据就可以安全地在公网上传输。

实现IPSec的软件有很多，RHEL5包含的ipsec-tools就可以实现，它是一个开放源码的软件，具有极高的安全性与稳定性。ipsec-tools有两个工具，分别为Setkey与Racoon。Setkey为SAD与SPD的管理工具，Racoon则为IKE机制。

2.以Preshared Keys为验证模式下的隧道模式VPN实现

下面通过一个实例介绍VPN的实现。某公司有北京总部与广州分部，现要求企业总部与广州分部之间所有的通讯都以IPSec的方法在互联网上传送。北京总部设有VPN主机，两块网卡，eth0接外网，其IP地址是10.0.0.1/8，eth1接内网，其IP地址是192.168.1.0/24。广州分部VPN主机也有两块网卡，eth0接外网，其IP地址是10.0.0.2/8，eth1接内网，其IP地址是192.168.2.0/24。两台VPN主机上都安装了RHEL5，并且安装了ipsec-tools工具。现通过ipsec-tools组件来实现以Preshared Keys为验证模式下的隧道模式VPN配置，保证企业通讯安全，配置步骤如下：

(1)确保Client A与Client B两台主机的连通性；

(2)确保VPN主机A与VPN主机B两台主机的防火墙已关闭；

(3)在VPN主机A上配置IKE。修改其配置文件/etc/racoon/raccoon.conf，内容如下：

(4)设置预共享密钥，修改配置文件/etc/raccoon/psk.txt；

(5)设置SPD，配置文件为/etc/raccoon/setkey.conf；

(6)在另一台主机上也配置好IKE，预共享密钥与SPD；

配置IKE与共享密钥文件里面只需要把10.0.0.2改成才可以浏览页面。在教师和学生的公共主页面中可以看到“教师信息”，点击可以进入看到学校教师的相关信息。如果输入用户名、密码正确可以进入后台管理系统。不正确则会提示：您的输入有误！。这样可以增强该管理系统的安全性，对那些非法入侵起到遏制作用。

总之，设计在线课件管理系统是一项复杂的系统性工程，管理人员必须予以细心的管理，并定期更新，只有这样，才可以发挥它真正的功能。

[1]曾勇.在线课件制作系统的设计与实现[J].科技信息,2010,(28).

[2]李钢,肖守柏.网络课程的教学模式研究[J].科技广场,2007,(04)

[3]边春娜,邢娜.关于开放教育环境下网络课程功能结构的初探[J].科学大众(科学教育),2010,(01).

[4]李秀,王行言,安颖莲,姚瑞霞,田荣牌.高校网络课程教学的探究与实践[J].实验技术与管理,2004,(03).

[5]张西宁.网络课程中实现教学设计思想的思考[J].科技信息,2009,(05).

[6]余红,王柏清.网络课程在线测试系统的设计与实现 [J].华南师范大学学报(自然科学版),2002,(02).