浅谈VPN技术在校园网建设中的应用

陈建华

摘要：随着校园信息化建设的深入开展，内外网之间的数据访问越来越频繁。本文通过介绍VPN在功能原理，常见实现方法和技术，浅谈在校园网建设中VPN技术的应用。

关键词：VPN 远程连接；L2TP 和IPSec；安全

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2017）03-0039-01

1 VPN及其功能特点

虚拟专用网络（Virtual Private Network），即VPN，属于远程访问技术，就是利用加密技术在公网上封装出一个数据通讯隧道。用户不论在何地，通过互联网利用VPN也随时可以使用企业内部的资源。

VPN因其具有易使用、成本低的特点，用户在使用网络运营商的设施和服务的同时，又掌握着自己网络的控制权。[1]

2 VPN的实现技术

VPN的实现有很多种，常用的有VPN服务器、软件VPN、硬件VPN、集成VPN。现以性能最好，应用最广泛的L2TP和IPSec创建的VPN服务器为例。

以此校园网为例，服务器处于同一vlan中，网关地址172.18.1.1，VPN服务器单网卡。

2.1 VPN服务器的架设

（1）配置并启用路由和远程访问，启用服务器VPN访问。

（2）启用IP路由，配置VPN客户端连接后获取的IP地址池，此例我们将远程接入IP采用静态地址池172.18.1.101-172.18.1.150（根据同时连接数确定数量），另外定义默认路由，远程连接数据全部由网关172.18.1.1转发，并删除[DHCP 中继代理程序] 中的[内部]接口。

（3）配置NAT路由，新增NAT路由协议，并在本地连接上的接口上启用NAT。

（4）创建用户客户端进行远程拨号连接的用戶，设置允许拨入并配置权限为通过远程访问策略控制访问。

2.2 远程访问策略配置

在路由和远程访问管理中，设置远程访问策略的匹配条件（如日期和时间），在权限页选择授予远程访问权限。

2.3 身份验证

L2TP IPSEC VPN建立连接开始通信前需要互相验证VPN服务器和客户端身份合法性，下面来配置基于证书的L2TP IPSec VPN。[2]

（1）配置CA服务器（以下简称CA）。本例在内网WEB服务器上直接配置为CA（见图1）。安装“证书服务”组件，创建“独立根CA”。因与WEB服务器在同一主机，需另外设置CA的站点。

（2）证书申请。VPN服务器通过WEB浏览器访问之前设置的CA网站地址申请证书。

（3）颁发证书。CA管理员在管理工具的“证书颁发机构”审核证书请求并手动颁发证书。

（4）安装证书。浏览器访问CA，选 “查看挂起的证书申请的状态”按向导安装证书。为使CA所颁发证书合法，VPN服务器证书安装后还要安装CA根证书，因为只有根CA合法后才可以确保其所颁发证书的合法性。在CA页面 “下载CA证书”，导入证书到存储区。

（5）创建VPN客户端连接并测试。客户端也需申请并安装相同CA颁发的证书，除证书类型选择“客户端身份验证证书”，其他与服务器相同。

2.4 测试VPN PPTP穿透

通过路由器把VPN服务器的服务端口映射到外网IP。如L2TP VPN使用的1701端口，配置：route（config）#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701。

2.5 VPN客户端设置

配置Windows 7计算机作为L2TP 客户端。新建VPN连接，选择“使用我的Internet连接（VPN）” ，设置服务器地址“218.67.78.78”；设置连接属性，允许协议为PAP、CHAP、MS-CHAP，VPN 类型为“L2TP IPSec VPN”；用具有远程拨入权限的用户进行连接。

基于Windows的PPTP或L2TP VPN，默认网络流量全部通过VPN通道，如果访问内网的流量通过VPN，而其他流量通过原来的互联网连接，需更改客户端本地路由表。

3 结语

L2TP IPSec VPN的配置在确保安全的同时也对客户端的配置带来不便。

参考文献

[1]王占京.VPN网络技术与业务应用[M].国防工业出版社，2012：1-9，179-228.

[2]邹县芳等.基于Windows平台中的服务器配置与管理[M].中国铁道出版社，2008：343-386.