孙晓林 文 杰
(南阳师范学院现代教育技术与网络中心 河南 473061)
目前校园网存在以下问题:由于版权问题,图书资源等不能对社会公开,只有校园网用户才能访问使用,不能实现资源共享;为了提高安全性,教务系统、财务系统等只限于校内用户登陆,教职工不能随时随地办公,给居住于校外人员和出差人员带来诸多不便。
虚拟专用网(Virtual Private Network,VPN)正是建立在公用网基础上既安全又经济的远程访问内部资源的一种方式。随着数字化校园的发展,如何统一用户的数据信息,实现统一认证成为亟待解决的问题。因此,提出一种基于双网关和radius认证的VPN部署方法,将VPN服务与现有的认证系统相融合,真正达到统一,并配置两个VPN服务器,实现负载均衡,提高用户远程访问校内资源的速度。
VPN指基于因特网服务提供商(Internet Service Provider,ISP)提供的公用网络,应用密钥管理技术、身份认证技术、加解密技术和隧道技术,在内部网络和VPN用户之间建立的一条虚拟安全专用通道。用户可以跨越公用网络,访问并使用内部网络资源,实现公网私用、资源共享。VPN的解决方案有以下三种:
利用 Internet通信线路,使用隧道、认证和加密等技术实现企业内部各个局域网之间的安全关联,保证信息安全传输,也叫做企业内部虚拟专用网。
用于实现企业与客户、供应商以及其他相关组织之间的互联互通,通过接入控制和身份认证机制,使用户动态地访问公司业务和数据,也叫做企业外部虚拟专用网。
通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。
为了实现内部资源的外部访问,需要建立的是远程接入VPN,当用户接入当地的ISP后,再通过VPN网关和客户端之间的虚拟专用线路进行通信,访问校内资源。
为了保证数据安全传输,常用的隧道协议有:数据链路层协议PPTP和L2TP、网络层协议IPSec、应用层协议SSL以及L2TP和IPSec的组合等,其中IPSec和SSL协议需要额外的配置或第三方软件。为了降低配置的难度,节约部署成本,采用PPTP隧道协议。
同时,为了确保用户的合法性和有效性,需要对接入内部网络的用户进行身份验证,常用的认证方式有:基于 windows身份认证和基于radius身份认证。前者与windows系统用户集成,降低了VPN服务器的安全性;后者使用独立的服务器对用户进行管理和认证,提高了可靠性,且易于与其他系统集成。为了与我校已有的校园网用户集中认证计费系统相融合,选择使用radius身份认证,并且将该系统作为radius认证服务器。
远程用户拨号认证系统(Remote Authentication Dial In User Service,Radius)[6]在网络接入服务器(Network Access Server,NAS)和认证服务器之间承载授权、认证和计费功能,而且将拨号和认证分开进行,radius服务器上存放用户相关信息的数据库,提供认证功能,NAS负责接收用户的拨号请求。
Radius协议工作在Client/Server模式下,工作原理是NAS将用户提交的用户名、密码等信息封装成Access-require数据包转发给 radius服务器,radius服务器对接收的用户信息进行验证,如果合法,则返回 Access-accept数据包,否则返回Access-reject数据包。其中,NAS和radius服务器之间通过共享密钥进行通信,传递的信息用 MD5方式加密,且所有的用户密码都采用密文方式传送,进一步增强了数据传输的安全性。
结合我校设备的实际情况,现有的计费认证系统作为radius认证服务器,实现对VPN用户的用户名和密码等信息的认证计费。同时,为了保证网通和电信网的用户高质量的接入,配置两台VPN服务器,提供两个VPN网关,采取双路接入,不同ISP线路的用户接入不同的VPN服务器,提高访问校园网的速度,同时实现负载均衡。
用户位于校园网范围以外时,通过VPN客户端向服务器发送用户名和密码,此时,VPN服务器通过共享密钥与radius认证服务器建立连接,并发送用户信息,radius服务器将该信息与数据库所保存的信息进行对比。如果不一致,则认证失败;如果一致,表明认证成功,VPN服务器向用户授予远程访问的权限,同时给用户分配一个校内IP地址,使用户以校内用户的身份访问内部资源。
基于双网关和radius认证的VPN部署需要分别对VPN服务器、radius认证服务器和VPN客户端进行配置。
VPN服务器采用双网卡,分别配置为教育网IP地址和网通或电信的IP地址,分别连接到校园网和ISP。由于是双网关,需要对两台VPN服务器进行设置。通过在windows2003系统中配置“路由和远程访问”实现VPN服务的过程如下:
(1)在“身份验证提供程序”中选择“RADIUS身份验证”,并进行配置,“服务器名”为radius服务器的IP地址,“机密”与radius服务器中设置的登陆密码相同,“端口”为认证端口号1812。
(2)启用IP路由,并配置“静态地址池”,输入“起始IP地址”和“结束IP地址”,减少IP地址分配时间,提高连接速度。每一个通过radius认证的用户,被分配到该地址池中的一个IP地址,进而虚拟成为校园网用户,访问校内资源。
(3)配置路由:具体格式是,routeadd 目的 IP 子网掩码网关。通过该办法设置VPN用户可以访问的校内资源,可以是某个资源所在服务器的IP地址,也可以是某个IP地址段,提高了校园网的安全性。
认证计费系统启用radius认证服务,设定接入VPN服务器的IP地址,并设置登录密码,即共享密钥,与服务器端配置的radius机密相同。只有通过该服务器认证的用户才能在校外通过VPN客户端访问校内资源。
按照Windows系统自带的网络连接配置VPN客户端,不引入第三方软件或证书,简化用户的接入方式,提高通用性。
连接成功后,VPN用户使用分配到的校内IP地址访问校园网资源,保证了数据传输的安全性。
VPN为校外人员访问校内资源、实现资源共享提供一种经济、安全、灵活的方式。本文提出的基于双网关和radius的VPN部署方法,不仅与原有的计费认证系统结合,避免开新通账户的工作,有利于网络中心管理和用户使用,而且避免重购设备,节约资金,使现有设备得到充分利用。该VPN系统已经在我校投入使用,正在安全稳定运行中,收到了良好的反响。
[1]张祥梅.Windows 平台下图书馆 VPN 的应用与改进[J].贵图学刊,2013(1):45-48.
[2]杨文凯.SSLVPN 安全关键技术研究[D].西南交通大学,2010.
[3]雷震甲.网络工程师教程[M].清华大学出版社,2009:242-243.
[4]程思,程家兴.VPN 中的隧道技术研究[J].计算机技术与发展,2010,20(2):156-159.
[5]朱晓静.基于 VPN 技术的校园网安全防护[J].计算机安全,2013(4):86-89.
[6]Rigney C,Rubens A,Simpson W,et al.Remote Authentication Dial In User Service(RFC 2865)[J].2000.
[7]张书奎.基于 Radius 的 VPN 设计与实现[J].计算机工程,2003,9:124-126.