李鑫
(山西大同大学网络中心,山西大同037009)
基于H3C路由器的VPN技术在高校校园网的基本实现模式
李鑫
(山西大同大学网络中心,山西大同037009)
论述了VPN技术的定义、运行环境及原理,并根据大多数高校应用VPN技术的目的同时结合VPN技术的常用实现模型,以H3C路由器为例,实现了校园网应用VPN技术的组网模型和详细的配置方法。
VPN;路由器;隧道协议
上世纪90年代以来,互联网技术得到了飞速发展的同时,我国大多数高校也在国家政策的鼓励下得到了高速的发展。主要体现在办学规模扩大,院校合并,优势教育资源整合,学术交流频繁,校外移动办公情况增多。这就导致了许多地理位置各异的高校成为一个整体,这对校内网络资源的整合及外网用户访问校内网络资源造成了许多问题。虽然可以通过WAN技术实现多个校区的互联,但是WAN技术需要租用线路和购买新设备,这些产生的昂贵费用令许多高校难堪重负。如果把校内网络资源全部放到公网上访问,又会增加网络安全风险。这就促使既经济又安全的VPN技术在高校中得到了广泛应用。
VPN即虚拟专用网,它是一种通信环境,其中的访问受到控制以允许只在预先定义好的共同利益社区内进行对等连接。VPN是通过对普通下层通信介质进行某种形式的划分来组建的,这些通信介质基于非独占的方式为网络提供服务。关于VPN的定义[1]是:VPN是一个在公共网络基础设施上构建的专用网技术。高校的网络正是上文所说的共同利益社区,合并的每个校区本身都是独立的定义好了的网络实体环境,通过VPN技术的实施就可以使不同校区之间或校外的用户通过公共网络访问校内的网络资源了。
VPN用户或者分支机构的用户通过宽带网或其他网络接入方式拨号连接目的网络的出口路由器,该路由器通过加密系统确认该用户的身份或分支机构出口路由器上配置的审核身份及密码,一旦验证通过,发起VPN连接端的边界路由器和目的网络出口路由器之间的INTERNET链路就会被加密封装为一条专用的连接通道,称为隧道(Tunnel)[2]。隧道是一个虚拟的概念,它随VPN的发起连接而产生,并且以非独占的方式使用物理链路。也就是说在隧道封装的物理链路上同时可以承载其它网络数据流。只不过隧道内的数据流是一定源和目的之间的专有的并且通过隧道协议封装加密的虚拟链路,对于其它普通数据流来说根本无法读懂隧道内的数据内容,只有经过隧道两端的边界路由器通过拆封被隧道协议封装加密的数据报文才能将数据的真正意义显示给两端的用户。根据网络传输的分层原理,隧道协议可以分为第二层隧道协议和第三层隧道协议。二层隧道协议主要有PPTP协议,L2F协议和L2TP协议,它们都是对点到点PPP协议的隧道封装,只是在拨号服务和安全控制以及服务质量方面后两者都优于PPTP协议,并且L2TP协议是当前最为常用的二层隧道协议。三层隧道协议主要有GRE协议和IPSEC协议,它们都是对IP协议的隧道封装,只是IPSEC协议不仅只是应用在VPN三层隧道封装,它更是将几种安全技术结合形成一个比较完整的安全体系结构。它由两大部分三类协议组成:IPSEC安全协议(AH/ESP)和密钥管理协议(IKE),前者提供认证和数据完整性,后者实现通信保密。无论是二层隧道协议还是三层隧道协议,它们都是根据具体的网络组网模型来实现的。
3.1 虚拟租用线(VLL)
VLL是一种最简单的VPN,用户仅仅使用点到点的连接,连接两个CPE设备,CPE设备和ISP结点的链路层可以是任何类型,CPE设备可以是路由器,网桥和主机[3-4]。
3.2 虚拟专用拨号网络(VPDN)
VPDN允许远端用户按需接入另一个网络的某个站点。远端用户通过PSTN/ISDN拨入公共IP网络,并将数据包通过隧道传送到目的网络,而用户则感觉好像直接连接到那个站点。VPDN隧道连接的一个关键特性就是需要对接入的用户进行身份认证,如在接入服务器PPP会话上使用AAA系统进行RADIUS认证。
3.3 虚拟专用LAN片段(VPRN)
VPRN被定义为通过公共IP网络进行VPN仿真,VPRN与其他VPN的主要区别就是数据包是在网络层进行转发的,在ISP的边缘路由器PE上可以根据每个VPRN组建各种拓扑结构的仿真网络。这种模式大大增加了组网的灵活性,同时可以在更大范围内组建VPN。
3.4 虚拟专用路由网(VPLS)
VPLS是利用公共IP资源进行局域网仿真的一种模型,这种虚拟局域网在拓扑结构和网络行为方面都与VPRN极为相似,只是VPLS在每个边缘结点实现链路层桥接,而不是网络层的转发。VPLS的主要好处就是完全协议透明,便于实现多协议传输。
结合高校实际应用VPN技术的目的,就是为了移动办公用户和分校区用户利用公共网络的拨号功能来实现虚拟专用网,从而访问校园网内部的网络资源。因此高校网络的VPN技术实现基本模式普遍符合虚拟拨号网络(VPDN)的组网模型。而VPDN的实现则是依靠二层隧道协议:PPTP和L2TP。由于L2TP比PPTP的技术先进,所以在现实组网实践中大多依靠L2TP协议。下面我们就上述模型具体如何实现做详细说明。
4.1 移动办公用户拨号实现虚拟专用网
移动办公用户访问校园网过程如下:用户首先连接Internet,之后,直接由用户向校园网的出口路由器发起Tunnel连接的请求。在出口路由器接受此连接请求之后,移动办公用户与出口路由器之间就建立了一条虚拟的Tunnel。用户与校园网间的通信都通过它们之间的Tunnel进行传输。组网图如下:配置[3]步骤如下:
图1 移动办公用户拨号连接VPN网络拓扑图
用户配置如下:
在用户主机上必须装有 L2TP的客户端软件,如WinVPN Client,并且用户通过宽带拨号方式连接到Internet。然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
打开WinVPN Client输入用户名为vpnusername,口令为123456。
将校园网出口路由器出口IP地址设为路由器的Internet接口地址。
修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证,进行通道验证,通道的密码为:H3C。
校园网出口路由器的配置如下(配置命令均以h3c 18系列路由器为例):
设置用户名及口令(应与用户的设置一致)。
[H3C]local-user vpnusername
[H3C-luser-vpnusername]password simple 123456
[H3C-luser-vpnusername]service-type ppp
对VPN用户采用本地验证。
[H3C]domain system
[H3C-isp-system]scheme local
[H3C -isp -system] ip pool 1 192.168.0.2 192.168.0.100
启用L2TP服务,并设置一个L2TP组。
[H3C]l2tp enable
[H3C]l2tp-group 1
配置虚模板Virtual-Template的相关信息。
[H3C]interface virtual-template 1
[H3C-virtual-template1]ip address 192.168.0.1 255.255.255.0
[H3C-virtual-template1]ppp authentication-mode chap domain system
[H3C-virtual-template1]remote address pool
配置校园网出口路由器接收的通道对端名称。
[H3C]l2tp-group 1
[H3C-l2tp1]allow l2tp virtual-template 1
启用通道验证并设置通道验证密码。
[H3C-l2tp1]tunnel authentication
[H3C-l2tp1]tunnel password simple H3C
4.2 分校区用户拨号实现虚拟专用网
分校区使用分校区出口路由器作为L2TP客户端,与主校区建立隧道连接。并将所有私有网络的数据转发给主校区出口路由器组网图如下:
图2 分校区与主校区实现VPN连接网络拓扑图
配置步骤如下:
分校区出口路由器的典型配置
设置用户名及口令。
[H3C]local-user vpnusername
[H3C-luser-vpnusername]password simple 123456
[H3C-luser-vpnusername]service-type ppp
[H3C-luser-vpnusername]quit
启用L2TP服务,并设置一个L2TP组。
[H3C]l2tp enable
[H3C]l2tp-group 1
配置分校区本端名称,配置主校区路由器的出口IP地址。
[H3C-l2tp1]tunnel name fxq
[H3C-l2tp1]start l2tp ip 3.3.3.2 fullusername vpnusername
启用通道验证并设置通道验证密码。
[H3C-l2tp1]tunnel authentication
2.4 患儿及其家系成员的Sanger测序验证 患儿父亲检测到WDR62基因c.1128C>A突变,患儿母亲检测到c.3620_3621delAG突变(图1)。可见患儿WDR62基因存在的2个杂合突变分别来源于患儿父亲和母亲。该家系符合常染色体隐性遗传规律。同时,我们对100个正常人进行了突变筛查,均未发现携带WDR62基因c.1128C>A或c.3620_3621delAG突变。通过NCBI数据库查询发现c.1128C>A突变人群携带率小于万分之一,而c.3620_3621delAG突变及携带率都未查出有相关文献报道,为首次报道的新突变。提示这2个位点在中国乃至世界突变频率都极低。
[H3C-l2tp1]tunnel password simple H3C
[H3C-l2tp1]quit
配置虚模板Virtual-Template的相关信息。
[H3C]interface virtual-template 1
[H3C-virtual-template1]ip address ppp-negotiate
[H3C-virtual-template1]ppp pap local-user vpnusername password simple 123456
[H3C-virtual-template1]quit
配置私网路由。
[H3C]ip route-static 10.1.0.0 16 virtual-template 1
主校区路由器的配置如下:
设置用户名及口令。
[H3C]local-user vpnusername
[H3C-luser-vpdnuser]password simple 123456
[H3C-luser-vpdnuser]service-type ppp
配置GigabitEthernet3/0接口(出口)。
[H3C]interface gigabitethernet3/0
[H3C-GigabitEthernet3/0]ip address3.3.3.2 255.255.0.0 [H3C-GigabitEthernet3/0]quit
配置域及地址池。
[H3C]domain system
[H3C-isp-system]scheme local
[H3C-isp-system]ip pool1 192.168.0.2 192.168.0.10
[H3C-isp-system]quit
启用L2TP服务,并设置一个L2TP组。
[H3C]l2tp enable
[H3C]l2tp-group 1
配置虚模板Virtual-Template的相关信息。
[H3C]interface virtual-template 1
[H3C-virtual-template1]ip address 192.168.0.1 255.255.255.0
[H3C-virtual-template1]remote address pool 1
[H3C-virtual-template1]ppp authentication-mode pap
[H3C-virtual-template1]quit
配置主校区路由器接收的通道对端名称。
[H3C]l2tp-group 1
[H3C-l2tp1]allow l2tp virtual-template 1 remote fxq启用通道验证并设置通道验证密码。
[H3C-l2tp1]tunnel authentication
[H3C-l2tp1]tunnel password simple H3C
[H3C-l2tp1]quit
配置私网路由。
[H3C]ip route-static 10.2.0.0 16 virtual-template1启动L2TP连接
在分校区路由器的虚模板接口视图下执行启动L2TP连接命令
[H3C]interface virtual-template 1
[H3C-virtual-template1]l2tp-auto-client enable
由于高校发展的步伐不断加快,导致高校对外交流愈加频繁,这就使VPN技术在校园网的应用越来越广泛。关于VPN技术在网络安全和服务质量方面的应用已经成为当前研究的重点,因此我们要加紧研究VPN技术在这两方面的应用以适应互联网发展的潮流。
[1]Cisco Systems.思科网络技术学院教程(第三~四学期)(第三版)[M].北京:人民邮电出版,2007.
[2]侯琳.校园VPN网络建设解决方案[J].电脑编程技巧与维护,2009(18):81-82.
[3]雷震甲.网络工程师教程[M].北京:清华大学出版社,2004.
[4]王达.路由器配置与管理完全手册[M].武汉:华中科技大学出版社,2011.
H 3C R outer based on VPN T echnology in C am pus N etwork Basic I m plementation M ode
LIX in
(Network C enter of ShanxiDatong University,Datong Shanxi,037009)
This paper discusses the definition of VPN technology,the operation environmentand the principle,and according to most college application aim of VPN technology combined with VPN technology of commonly used model to H3C router,realizes the campus network application technology of VPN network model and detailed configurationmethod.
VPN;r outer;T unnel P rotocol〔责任编辑 高海〕
O174.5
A
1674-0874(2012)03-0013-04
2012-01-05
山西大同大学校级科研项目[2012K5]
李鑫(1980-),男,山西怀仁人,实验师,研究方向:网络技术。