刘涛
摘 要:利用公共网络平台创建虚拟专用网络,是当前解决外网用户对内部网络访问问题的最有效方法。提出了一种内部网络实现VPN的方法。该方法以Windows Server 2003路由协议、远程访问技术为基础,并结合了IPSec加密技术、PPTP隧道协议构建了IPSec VPN虚拟网络。实验证明该方法安全性较高、运行稳定且易于实现。
关键词:PPTP;虚拟专用网络;IPSec;路由和远程访问
中图分类号:TP39 文献标识码:B
虚拟专用网络(VPN)技术是解决Internet上信息加密和用户认证等难题的主要方法。利用VPN技术可以创建属于自己的专用网络,在互联网上使用这样的专用网络进行数据传输时,能满足数据安全的需求。VPN技术具有良好的可扩展性,在科研、企业、教育等领域得到广泛应用,日益成为一种比较成熟的互联网安全技术。
Windows Server2003作为微软成熟的网络操作系统,为用户提供网络多种解决方案的技术支持。利用Windows Server2003在外部网络与内部网络之间创建VPN服务器,可以实现外网、内网客户端与受限资源之间的相互连接。另外通过Internet或其它公共网络等基础设施创建隧道,可以为用户提供与专用网络相同的安全保证。VPN的创建使得各个不同网段连接起来,外网许可用户、出差员工,就能够访问必须是内网IP用户才能访问的受限网络资源。VPN网络环境如图1所示。
1 IPSec VPN技术与PPTP协议
IPSec VPN 指的是利用加密技术和通讯技术在公共网络(如Internet)中建立的虚拟专用网络。VPN专用网络中任意两个节点之间,不依赖传统的专用网络的端到端的物理链路连接,而是利用某种公共网络的资源动态来实现,这对于客户端用户是完全透明的,用户就好像在使用专线进行通信。IPSec VPN是目前使用率非常高的一种VPN技术,它同时兼具VPN与信息加密两项技术。VPN是IPSec的一种应用方式,IPSec(IP Security)的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方法。
隧道技术是IPSec VPN的具体实现形式。通过隧道技术,原始数据包被封装在新数据包内部,该数据包提供新的寻址和路由信息,这使的被封装的原始数据能够在网络上传输。隧道技术同时又融合了加密技术,增强了原始数据包数据在网络上传输的安全性。当封装的数据包传输到目的地时,封装报头将被丢弃,数据包以原始数据包报头为路由,将数据包传送到最终目的地。
因此,利用隧道协议将企业网的数据封装在隧道内进行传输,保证了在公共网络上数据传输的安全。隧道内采用隧道协议进行通信,使用隧道协议即可将一种协议用另一种协议或相同协议进行封装,又可以提供信息加密、安全认证等服务。
VPN服务器与客户端必须支持相同的隧道协议,以便建立VPN连接。常用的隧道协议有PPTP,L2TP。PPTP(点对点隧道协议)是一种新的增强型安全协议,由PPP(点对点协议)扩展而来,支持密码身份验证、加密和压缩机制。两个局域网之间若要建立PPTP的VPN,则必须与Internet和VPN服务器相连接,这里VPN服务器必须要执行TCP/IP通信协议,两个局域网的计算机进行通信时,可以支持不同通信协议,这些不同通信协议的数据包会被封装到PPP的数据包内,然后经过Internet传送,再由VPN服务器将其还原成其他通信协议的数据包。
PPTP加密信息的方法是MPPE(点对点加密)加密法。PPTP的VPN服务器支持内置于Windows Server 2003家族的成员。PPTP可以配置5个或128个PPTP端口。
2 VMware
Vmware一种用于仿真实验的软件,利用该软件能够模拟出多台虚拟计算机,简称虚拟机,各虚拟机配有对应的操作系统且能够独立运行。需要进行网络实验时,可将虚拟机互联成虚拟网络,这样真实网络实验的工作就可以在虚拟网络中来实现。
Vmware提供多种虚拟网络连接方式:桥接网络方式连接(Bridging)、私有主机网络方式连接(Host-only)和NAT网络方式连接(NAT),利用这些联网方式可以组建不同类型的虚拟网络,以满足不同的网络实验任务。
Vmware中虚拟网络连接方式不同,组建的虚拟网络的类型也不同,所采用的虚拟交换机也不同。Vmware提供8种虚拟交换机,即VMnet0、VMnet1、……VMnet8。其中VMnet0、VMnet1、VMnet8分别适用于Bridging、Host-only和NAT虚拟网络联网方式。本文的实验是采用VMnet1、VMnet2虚拟交换机,在Host-only主机网络联网方式下来实现。
3 VPN虚拟网络配置
在内外两个子网X、Y中配置VPN服务,如图2所示。子网Y中的客户机利用VPN服务器与子网X中的客户机建立连接,从而使外网客户机能够访问内部网络资源。
在VMware上对上述网络环境进行配置:
1)在主机上利用VMware新建3台虚拟机,即VPN服务器、子网X中客户机A,子网Y中客户机B。
2)各虚拟机基本配置如下:
a VPN服务器:Win server 2003系统、虚拟交换机为VMnet1,VMnet2、ip地址为192.168.80.1,218.28.192.1。
b客户机A:Win server 2003系统、虚拟交换机为VMnet1、ip地址为192.168.80.10,网关为192.168.80.1。
c客户机B:Windows server 2003系统、虚拟交换机为VMnet2、ip地址为218.28.192.10,网关为218.28.192.1。
1)因子网X、子网Y分属不同网段,所以子网X、子网Y中的虚拟交换机应分别设置为VMnet1、VMnet2,子网X、子网Y都采用Host-Only主机网络方式进行连接,保证了子网X、子网Y的相互独立。
2)VPN服务器用于连接两个子网,即内网和外网。VPN服务器与Internet连接时,外网客户端用户就可以通过拨号连接与VPN服务器进行通信,这时VPN服务器需要配置1块用于与外网(子网Y)连接的虚拟网卡VMnet2。同样地,VPN服务器和和内网相连时,需要配置1块用于与内网(子网Y)连接的虚拟网卡VMnet1。
4 实验结论
该实验选用的计算机设备的配置为:Intel P4 2.8GHz CPU、1GB DDR400 KingMax 内存条,软件平台:选用VMware Workstation 5.53 Build-34685虚拟机软件。VPN服务器保证了子网X和子网Y两个网段的客户机计算机实现通信,子网Y中客户机B上运行ping命令测试与子网X中客户机A是否通信畅通,测试结果如图3所示。
VPN客户端连接到VPN服务器,建立VPN后,PPTP提供一个端口,其状态为“活动”。用于实现与VPN服务器和企业内网客户机的通信。其PPTP端口,如图4所示。
参 考 文 献
[1]刘昊.一种面向IPSec VPN教学的实验系统的设计与实现[J].计算机应用与软件,2006,23(07):03-04.
[2]金海.基于WINDOWS SERVER 2003的VPN实验环境的构建[J].台州学院学报,2005,27(06):17-20.
[3]陈建锐,何增颖.基于虚拟机的VPN实验环境构建[J].实验室研究与探索,2010,29(01):59-61.
[4]蒋东毅.VPN的关键技术分析[J].计算机工程与应用,2003(15):173-177.
[5]平寒,于静,等.Windows Server 2003配置管理项目实训教程[M].北京:中国水利水电出版社,2009(11).