校园网VPN规划与实现.doc

1、摘 要伴随着Internet技术应用的蓬勃发展，人们与Internet的关系也日益密切。在我国，政府上网工程、电子商务以及宽带网等一系列围绕Internet技术及应用的建设正全面展开。人们在享受Internet所带来的快捷与便利的同时，也面临着前所未有的安全危机。尤其是目前网络环境越来越复杂，安全、高速、有效的网络连接和Internet接入已经成为了信息化的必备条件之一。虚拟专用网( VPN )是平衡Internet的适用性、安全性和价格优势的最有前途的新兴通信手段之一。本文从校园网络安全性的角度出发，全面的介绍了在LINUX和WIN2003平台上用L2TP协议实现VPN( Virtual P

2、rivate Network )技术，本文从传统校园网络不足中提出了校园网络VPN技术。介绍了L2TP实现VPN的关键技术，包括隧道的基本概念、隧道技术及其应用、PPTP协议、L2TP协议、IP Sec协议等技术，涵盖了从校园网需求分析、VPN技术简介、VPN规划、VPN服务器和客户端的配置、性能测试、VPN维护和后期维护等。关键词：虚拟专用网，协议，隧道，网络规划ABSTRACTAlong with the application of Internet technology and the rapid development of the relationship between peop

3、le and the Internet have become increasingly close. In our country, the Government Online Project, e-commerce, as well as a range of broadband Internet technologies and applications around the building is in full swing. People enjoy the Internet brought about by fast and convenient, but also facing

4、an unprecedented security crisis. In particular, is increasingly complex network environment, security, high-speed and effective network connectivity and Internet access has become essential for information-based one. Virtual Private Network( VPN ) and win 2003 is a balanced application of Internet,

5、 security and price advantage of the most promising new means of communication. This article from the campus network security point of view, a comprehensive introduction to LINUX platform in the L2TP protocol to use VPN( Virtual Private Network ) technology, this article from the traditional campus

6、network in less than a campus network VPN technologies. L2TP introduces the key to the achievement of VPN technologies, including the basic concepts of the tunnel, the tunnel technology and its applications, PPTP protocol, L2TP protocol, IP Sec protocol, security and other technology, covers the VPN

7、 from the campus network planning, Needs analysis, VPN Technology VPN server and client configuration, performance test, VPN maintenance. and post-maintenance. Keywords：virtual private network, protocol, tunnels, network planning目 录1 绪 论11.1 引言11.2 研究或技术现状11.3 本人主要工作21.4 论文组织与结构22 需求分析32.1 概述32.1.1

8、学校概况32.1.2 信息处理状况32.2 需求分析42.2.1 功能需求42.2.2 技术需求52.2.3 业务需求52.3本章小结53 VPN的简介63.1 VPN基本概念63.2 VPN工作原理63.3 实现VPN的关键技术主要包括73.3.1 第二层隧道协议73.3.2 第三层隧道协议83.3.3 虚拟专用网络的基本用途83.4 本章小结94 校园网VPN网络规划104.1 拓扑结构104.2 IP地址规划114.2.1 IP地址规划的原则114.2.2 具体规划124.2.3 NAT配置124.3 本章小结135 校园网VPN配置145.1 VPN的服务器配置145.2 VPN客户端

9、的设置185.2.1 WIN2003客户端配置195.2.2 LINUX 客户端配置235.3 DHCP服务器的配置245.4 VPN防火墙设置295.5 本章小结316 校园网VPN测试与维护326.1 校园网VPN测试326.2 校园网VPN维护326.2.1 校园网VPN用户管理336.2.2 硬件维护336.2.3 软件维护346.3本章小结347 工作总结和心得体会357.1 工作总结357.2 心得体会35致 谢37参考文献38附录：英文文献翻译39IV重庆邮电大学计算机网络专业自学考试本科毕业设计(论文)1 绪 论1.1 引言现代社会是知识经济时代，以知识和信息的生产、传播和应用

10、为基础的知识经济将占世界经济发展的主导地位，国家综合国力和国际竞争能力越来越取决于教育发展、科学技术和知识创新的水平。随着学校规模逐渐扩大，学校的计算机也在不断增多，关键服务器的负荷也增加，出现了一种通过公共网络（如Internet）来建立自己的专用网络的技术，这种技术就是虚拟专用网（简称VPN）。VPN集灵活性、安全性、经济性以及扩展性于一身，可充分满足分支机构、移动办公安全通信的需求。在北美和欧洲，VPN已成为一项相当普及的网络业务。目前国内的VPN应用主要集中在大型企业和行业用户。随着宽带网的普及，Internet接入的性价比提高，中小企业以及一些普通高校也能利用VPN技术来扩展自己的网

11、络。通过宽带网组建的VPN增值潜力大，除了用于数据业务，还可以用于语音、视频教学，从而实现三网合一的需求。除了租用电信运营商的VPN服务外，还可通过自购VPN产品，在公网上建立更加安全的专用通道，来连接自己的分支机构和移动用户。VPN包含多方面技术，主要有安全隧道技术、加解密技术等技术，本文将对这些技术作出简要的阐述，并对VPN的隧道协议及应用模式进行比较分析。总结出每种协议和解决方案的优缺点及适用范围。这样学校可以根据自身的实际情况，选择相符合的协议类型以及应用模式的种类。此外，本文还就天立中学为例给出了具体的解决方案。并对VPN在学校中应用的制约因素及发展前景进行了探讨。VPN作为一种新型

12、的网络技术，为学校建设计算机网络提供了一种新的思路，可以通过在公共网络上建立虚拟的连接来传输私有数据，再用认证、加密等技术来保证数据的安全，这样不仅极大的降低了学校用于网络建设的费用，也提高了网络的安全性。1.2 研究或技术现状VPN（虚拟专用网）发展至今已经不在是一个单纯的经过加密的访问隧道了，它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，并在全球的信息安全体系中发挥着重要的作用。VPN技术的发展将促进业务市场的繁荣。VPN上传输的数据流是经过加密处理的，这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机密性，提供动态密匙交换功能，提供安全防护措施和访问控

13、制，抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。随着市场的扩大，用户需求将成为VPN技术发展的动力，多形式、多用途、灵活易用、功能强大、服务优异的VPN产品将适用于不同的用户群，部署在宽带、窄带、拨号或者移动通信网络上。1.3 本人主要工作我在写这篇论文时，做了以下工作：1、搜集用户VPN需求2、需求分析3、深入企业分析学校VPN的运用4、分析学校内外VPN安全策略5、全面进行学校VPN规划和设计，并实施安装6、网络综合调试1.4 论文组织与结构第一部分：绪论。本章是全文的概述，主要介绍论文的主要工作和结构；第一部分：需求分析。主要介绍了学校的概况和用户对VPN

14、的需求，以及本论文的研究背景和研究工作；第二部分：VPN简介。对VPN技术的概念、工作原理、协议等进行简单描述；第三部分：校园网VPN网络规划。学校VPN拓扑图的规划，IP地址的分配；第四部分：校园网VPN配置。介绍了VPN服务器、VPN客户端和VPN防火墙的配置，以及在LINUX下对VPN服务器和VPN客户端的配置；第五部分：校园网VPN测试与维护。对学校校园网络VPN是否配置成功进行测试，以及VPN后期的管理和维护；第六部分：结论。本章对全文工作进行总结，并指出还需要改进的地方。2 需求分析2.1 概述随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方

15、面的需求，对校园网络也提出进一步的要求。因此需要高速的、先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成未来建设的具体内容。2.1.1 学校概况泸州天立中学是泸州市教育局直属的民办全日制寄宿学校。学校座落在泸州市城北新区香林路，环境优美，交通便利。学校按国家级示范中学规划建设，占地160亩，建筑面积10万平方米。现有67个教学班，在校

16、生3000余人，有教职工330人，其中专任教师230人。学校以英语、计算机、艺术三大教育特色。2004年，与成都实验外国语学校签定了长期、稳定的合作协议，同步教学、同步检测、为学校的发展注入了新的活力。成立了国际部，负责对外交流与合作。学校已与美国佳伦学校结为友好姊妹学校，同时与澳大利亚、英国等国教育行政部门和名牌院校建立了合作关系，已先后派出三批师生共16名教师30名学生赴美考察、交流和学习。天立学校校长田亩、佳伦学校校长斯耐特于2004年成功互访，为两校进一步发展奠定了良好基础。努力实现与国际教育交融，让天立学子与世界握手，让天立教育与世界同步。学校开办三年来，先后被评为四川省民办教育先进

17、单位，四川省艺术教育特色学校、泸州市实验教学示范学校、泸州市现代教育示范学校、泸州市校风示范校、市青少年科技示范学校，市创卫迎复检先进单位。2.1.2 信息处理状况虽然在国内外合作学校仅有近十人的领导加老师，但是每月由于和本学校进行联系和开展业务等方面的需要，通信费用超出了预算，而且有递增的趋势。彼此间信息反馈等重要信息也由于距离和通信等原因无法同步，每次国内外学校的数据通过邮件、传真等方法汇总到本学院时经常会延误，影响学校的各种工作和信息流通。而在国内外学校了解本学校的工作任务等靠电话等方法联系，非常繁琐，也多次误事。2.2 需求分析2.2.1 功能需求天立中学是一所私立学校，随着学校的不断

18、壮大，对外开展广泛的学术交流和合作也逐渐成型，与美国、澳大利亚、英国等国名牌院校建立了校际关系。而且我们的领导及老师也常年在以上等国家的合作院校执教或学习，所以要跟本校做好良好沟通和联系，以便及时的反馈信息和指导本学校的学生工作和学习，可是在这样的联系中就暴露出很多新问题。虽然在国外合作院校仅有近十人的领导加老师，但是每月由于和本校进行联系和开展业务等方面的需要，通信费用超出了预算，而且有递增的趋势。彼此间信息反馈等重要信息也由于距离和通信等原因无法同步，每次国外学院的数据通过邮件、传真等方法汇总到本学院时经常会延误，影响学院的各种工作和信息流通。而在国外学院了解本学院的工作任务等靠电话等方法

19、联系，非常繁琐，也多次误事。因此迫切的需要一个可以起到这种联系的桥梁，而纵观现代科技的网络技术，只有VPN可以做到既方面快捷而又简约使用的网络。具体功能实现如下：1、学校内部采用专线和ADSL接入方式，采用动态主机分配协议DHCP分配IP，建立了VPN链路，实现了数据资源安全共享，内部局域网安全互连的功能；2、在国内外学校办公的人员，可以通过L2TP方式与学校建立连接，实现VPN隧道连接；3、本学校内部访问Internet的功能，对ADSL接入更有内置PPPOE自动拨号功能；4、内部VPN防火墙，阻断来自Internet的非法访问和入侵，有效保护内部局域网；5、避免语音网和数据网重复建设，不需

20、同时维护两套网络，提高效益，降低建设成本与维护费用；6、在节约成本开支的前提下，建立学校分支间的虚拟内线，加强学校与外部用户之间的沟通与联系，提高办事效率。2.2.2 技术需求从技术角度考虑。一个好的网络应该从它多提供的服务和网络的安全性。在设计网络时服务方面至少应具备以下几点：1、资源共享功能网络内的各个桌面用户可以共享数据库和共享打印机，实现办公自动化系统中的所有功能；2、通信服务功能用户能够通过服务器和广域网连接进行电子邮件的收发，实现WEB服务和FTP服务，接入互联网，进行安全的数据访问。3、多媒体功能能够进行电影的在线播放和视频会议。支持视频点播和视频会议并具有教好的质量保证。2.2

21、.3 业务需求为了保证重要业务信息在学校校园网以及在互联网通道上传输的安全，学校网络中心应该做到以下几点：第一，需要严格认证用户身份，保证接入人员的可控性；第二，学校网络中心需要对接入用户的权限实现控制，保证内部应用的安全性；第三，学校网络中心需要保证链路通道的安全保密性，这样可以保证数据传输的安全；第四，学校需要逻辑隔离后台应用系统，用户需要通过代理访问后台服务器，保证后台服务器的安全，同时必须确保不改变用户的使用习惯。天立中学网络中心安全接入项目的典型用户有两类：一类是普通教职员工，他们需要访问诸如教务系统等应用系统；一类是网络管理员和领导，他们需要访问更多的应用系统，包括对应用系统的管理

22、配置等。2.3本章小结本章介绍天立中学学校的概况及信息处理，介绍用户对VPN的功能、技术和业务上的需求。3 VPN的简介3.1 VPN基本概念VPN是建立在实际网络(或称物理网络)基础上的一种功能性网络，是一种专用网的组网方式，它向使用者提供一般专用网所具有的功能，但本身却不是一个独立的物理网络。所以，可以说它是一种逻辑上的专用网络，也就是说VPN依靠网络服务供应商，将企业的内部网与公共网络建立连接，在公用网络中建立起内部网络间的专用数据传输通道（隧道），而这类专用通道并非真实的物理专用线路，只是在现有的公用网络中临时搭建的，因而它又是一种虚拟专用网。事实上，VPN的效果相当于在Interne

23、t上形成一条专用线路（隧道），从作用的效果看，VPN与IP电话类似，但VPN对于数据加密的要求更高。VPN由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送。数据加密和用户认证则包含安全性的两个方面：数据加密保证敏感数据不会被盗取，用户认证则保证未获认证的用户无法访问内部网络。3.2 VPN工作原理VPN通过公众IP网络建立了私有数据传输通道，将远程的移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话费用开支，并且提供了安全的端到端的数据通讯。用户连接VPN的形式：常规的直接拨号连接与虚拟专网连接的异同点在于在

24、前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的服务器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的服务器。VPN的工作原理如下图3.1所示。图3.1 VPN的工作原理3.3 实现VPN的关键技术主要包括VPN实现的关键技术是隧道，而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议，同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中，通过公网Internet进行传输。因此，VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IP Se

25、c、L2TP、PPTP等。其中IP Sec属于第三层隧道协议，L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN技术使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息，使敏感的数据不会被窃听。3.3.1 第二层隧道协议L2TP是L2F( Layer 2 Forwarding )和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP，因此PPTP仍比较流行。隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”( Network Access Server )隧道。前者一般指

26、“主动”隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下：1、用户通过Modem与NAS建立连接；2、用户通过NAS的L2TP接入服务器身份认证；3、在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；4、用户与L2TP接入服务器之间建立一条点到点协议( Point to Point Protocol，PPP )访问服务隧道；5、用户通过该隧道获得VPN服务。在L2

27、TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。所以学校采用的是PPTP接入移动用户。3.3.2 第三层隧道协议IP Sec是将几种安全技术结合在一起形成的一个较完整的体系，它可以保证IP数据包的私有性、完整性和真实性。

28、IP Sec使用了Diffie-Hellman密钥交换技术，用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IP Sec协议定义了如何在IP数据包中增加字段来保证其完整性、私有性和真实性，这些协议还规定了如何加密数据包：Internet密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IP Sec定义了两个新的数据包头增加到IP包上，这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IP Sec认证包头协议来完成，数

29、据的加密性则由安全荷载封装协议来实现。3.3.3 虚拟专用网络的基本用途虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。与使用专线拨打长途或( 1-8000 )电话连接企业的网络接入服务器( NAS )不同，虚拟专用网络用户首先拨通本地IPS的NAS，然后VPN软件利用与本地IPS建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。通过Internet实现网络互连可以采用以下两种方式使用VPN连接远程局域网络。1、使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线

30、路通过本地的ISP连通Internet，VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。2、使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或( 1-800 )电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接

31、，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。3.4 本章小结本章主要介绍VPN的基本概念、工作原理和协议等，主要介绍了VPN第二层隧道协议的建立过程，并且要注意在什么情况下采用什么协议。4 校园网VPN网络规划4.1 拓扑结构根据需求分析，天立中学拓扑结构图制定并遵循了以下几个原则：第一，安全性和保密性原则本原则一是保证在业务系统传输的业务数据的机密性和完整性，不能被非法或未授权用户获取和篡改；二是建立完善的用户和设备认证机制，确保非法用户和非法设备不能进入系统。第二，高可用性和可靠性原则本原

32、则要求在设计上要充分考虑提供安全可靠的技术和管理方式，系统必须要保证其工作的高可靠性和高稳定性；能够提供长期不间断的服务。第三，易操作性原则本原则主要对安全接入系统的可操作性进行严格要求。用户界面友好，操作方便、简单；系统维护方便、简单。结合综上所述，设计出天立中拓扑结构图，如下图4.1所示：图4.1天立中学校园网络VPN拓扑图拓扑图的说明：结合上图所示，为了充分保证学校资源的安全性，把学校内部网络构建成一个局域网，采用DHCP动态分配私有IP，内部用户通过核心路由器进行地址转换（NAT技术）来实现，再通过VPN防火墙接入Internet，而外来用户要访问学校内部资源，要通过VPN接入Inte

33、rnet，再通过VPN防火墙到达路由器，通过路由器地址转换技术把到外网IP转换成内部IP，这样才能进入学校内部网络，访问学校内的资源。本校校园网VPN的选择的产品如下：服务器群：分别有VPN、DHCP、WEB、E-mail服务器；路由器：从上图可以看出只有一个核心路由器，它具有NAT技术，所以选择CISCO2811；交换机：三栋楼总共有5个三层交换机构成，选择CISCO CATALYST 3560，中间还有一个核心交换机，选择CISCO SRW 2048；防火墙：具有VPN功能的防火墙，选择Cisco PIX 506E。4.2 IP地址规划目前的网络大多是Internet/Interne结构，

34、是一个与外间网络有联系，但又相对而言独立的网络，它的IP地址规划需要考虑以下问题：用什么样的IP地址，怎么划分地址，用什么方式分配用户地，如何使用NAT，以及如何管理IP地址等。4.2.1 IP地址规划的原则关于IP地址规划应遵循以下原则：1、IP地址的唯一性。即IP地址是区分网络主机的唯一标识，同一个网络中不能有相同的IP地址，否则就不会有可靠的路由选择方式把包发送到指定的目标地址。2、IP地址规划的简单性。IP地址的规划应本着简单的原则，避免在网络主干采用复杂的网络掩码形式。3、IP地址规划的层次性。IP地址在规划时，应考虑到网络中的子网，以及子网中计算机的数量，这样才能确定IP地址的类型

35、和子网掩码。4、IP地址的连续性。5、IP地址规划的可扩展性。6、IP地址规划的灵活性。7、网络的安全性。8、IP地址根据需要采用静态或动态分配。4.2.2 具体规划根据以上原则，结合天立中学的实际情况，IP地址规划如下：DHCP服务器IP地址：192.168.0.105DHCP服务器：192.168.0.106192.168.2.10路由器：内部IP：192.168.1.36 255.255.255.0外部IP：218.70.172.11 255.255.255.04.2.3 NAT配置NAT( Network Address Translation )的功能，就是指在一个网络内部，根据需要

36、可以随意自定义IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯，而当内部的计算机要与外部Internet网络进行通讯时，具有NAT功能的设备(比如路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。这三种NAT设置都有不足，结合学校经济和实用性，本校选择NAT动态地址转换，以下设置以Cisco路由器动态地址转换配置过程：动态地址转换也是将内部本地地址与内部合法地址一对一地址转换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。动态

37、地址转换基本配置步骤：1、在全局配置模式下，定义内部正当地址池 Ip nat pool地址池名称起始IP地址终止IP地址子网掩码其中地址池名称可以任意设定。2、在全局配置模式下，定义一个标准的Access-list准则以答应哪些内部地址可以执行动态地址转换。Access-list标号permit源地址通配符其中标号为1-99之间的整数。3、在全局配置模式下，将由access-list指定的内部本地地址与指定的内部正当地址池执行地址转换。IP nat inside source list访问列表标号pool内部正当地址池名字。4、定与内部网络相连的内部端口在端口配置状态下：IP nat insi

38、de 5、指定与外部网络相连的外部端口：IP nat outside 4.3 本章小结本章主要介绍校园网VPN的拓扑图和IP地址的规划，解决规划IP地址过程中的问题，还介绍了NAT技术，最重要的是IP地址的分配。5 校园网VPN配置5.1 VPN的服务器配置POPTOP实现了二层隧道协议中的PPTP( Point to Point Tunneling Protocol )封装，利用它建立远程访问VPN服务，可以替代现有的电话长途拨号访问。POPTOP官方网站上的定义是The PPTP Server for Linux，就是利用PPTP（Point to Point Tunneling Prot

39、ocol，点到点隧道协议）通过Internet访问VPN（Virtual Private Network,虚拟局域网），它允许远程用户安全、花费低廉地从Internet上的任何地方访问公司内部网络。依据连接方式划分，VPN可以分为LAN to LAN模式和client to LAN模式两种。前者可以将两个彼此独立的局域网连接起来，就像同属于一个局域网内一样，可以利用OPENVPN来实现。而后者就该用到POPTOP了。PPTP使用了client-server模式来建立VPN连接。大多数微软操作系统都内置了PPTP客户端，所以就不需要安装第三方客户端软件，这就比其他VPN技术有了便于安装的优势。在

40、POPTOP出现以前，并没有使用PPTP客户端连接Linux主机的方法存在。使用POPTOP，Linux主机可以立即在一个PPTP VPN环境下进行工作。最新版本支持Windows 95/98/Me/NT/2000/XP/2003 PPTP客户端和Linux PPTP客户端。POPTOP属于自由软件，遵守GNU GPL许可证。这里用的是POPTOP，一个Linux下开源的PPTP服务器产品( 忽略此处忽略.poptop.org )特性：微软兼容的认证和加密（MSCHAPv2，MPPE40128位RC4加密）。支持多个客户端连接。使用RADIUS插件无缝集成到一个微软网络环境中 。先去官方下载适

41、合的版本，要用的平台是RHEL4, 忽略此处图5.1 RADIUS插件通过Win SCP传到Linux服务器指定的目录中，如下图5.2所示。图5.2 Linux服务器指定的目录按照如下图5.3所示的顺序进行安装。图5.3 PPP安装PPTP需要PPP支持，虽然2.6内核本身有PPP功能，但它并不支持MPPE，所以需要用Uvh这个参数来更新系统的PPP组件，如下图5.4所示。图5.4 安装MPPE通过这条命令来验证一下MPPE这个补丁是否安装成功，success表示成功安装，如下图5.5所示。图5.5 安装成功检查一下内核MPPE补丁是否安装成功；然后用strings/usr/sbin/pppd

42、|grep -i mppe|wc -lines 来检查PPP是否支持MPPE。我这里显示46，只要输出的值大于30就表明支持。接下来修改配置文件：有三个文件需要我们做一些必要的修改，分别是：/etc/pptpd.conf、/etc/ppp/options.pptpd 、/etc/ppp/chap-secrets 首先修改主配置文件pptpd.conf。图5.6 配置客户端remoteip代表要给客户端分配地址的范围，如上图5.6所示。图5.7 配置PPPD指出了pppd服务的具体位置，如上图5.7所示。options.pptpd 文件。图5.8 服务器主机名这里要修改成你的VPN服务器的主机名

43、，如上图5.8所示。图5.9 配置MPPErefuse-pap #拒绝pap身份验证#refuse-chap #拒绝chap身份验证#refuse-mschap #拒绝mschap身份验证#require-mschap-v2 #注意在采用mschap-v2身份验证方式时可以同时使用MPPE进行加密 #require-mppe-128 #使用 128-bit MPPE 加密#，如上图5.9所示。图5.10 DNS服务器这里是DNS服务器地址，如上图5.10所示。chap-secrets 文件图5.11 配置客户端添加如上图5.11所示的内容，test代表客户端在VPN链接时的用户名，server

44、1是VPN服务器的主机名，第三项是客户端登录时要验证的密码，最后一项是给客户端指定一个IP地址，用*代表无特别限制。至此我们已经完成大部分配置，接下来启动pptp服务。图5.12 启动PPTPD用ps和netstat命令来验证一下是否启用，如上图5.12所示。#典型的IP Sec使用UDP端口500，PPTP使用了1723的端口，L2tp使用了UDP端口1701。图5.13 启动服务用ntsysv来选中PPTPD服务，如上图5.13所示，表示是VPN服务器重启后就会自动加载服务。5.2 VPN客户端的设置本校VPN主要应用于校园网网络设备的远程管理以及校外用户访问校内网络资源。具体应用是通过W

45、indow2003平台和LINUX平台下VPN客户端实现，它允许用户在安全的网络上建立VPN终端设备与客户端之间的VPN通道，从而使得用户能够通过拨号等上网方式来安全的接入到校园网内部，接入后获得校园网内部地址，这样就可以访问校内的共享资源。5.2.1 WIN2003客户端配置由于目前大多数用户都使用Windows操作系统，为了满足这一要求，下面是Windows2003下VPN客户端的配置步骤如下：1、在桌面“网上邻居”图标上单击鼠标右键，在弹出的快捷菜单中执行“属性”命令。2、在“网络连接”窗口左侧单击“创建一个新的连接”连接，将弹出如图5.14所示的“新建连接向导”对话框。3、在“新建连接

46、向导”对话框中单击“下一步”按钮进入“网络连接类型”对话框，在该对话框中选择“连接到我的工作场所的网络”选项，如图5.15所示。4、单击“下一步”按钮进入“网络连接”对话框，在该对话框中选择“虚拟专用网络连接”选项，如图5.16所示。图5.14“新建连接向导”对话框图5.15“网络连接类型”对话框图5.16“网络连接”5、在选择“虚拟专用网络连接”选项后，单击“下一步”按钮进入“连接名”对话框，在该对话框中输入一个连接名称，如图5.17所示。图5.17“连接名”对话框6、输入连接名称后，单击“下一步”按钮进入“公用网络”对话框，在该对话框中有“不拨初始连接 ”和“自动拨此初始连接”两个选项，如

47、果选择“自动拨此初始连接”选项，则可在列表中选择一个接入Internet的连接或方法。由于VPN连接一般用于异地办公操作，所以应选择“不拨初始连接”选项，如图5.18所示。图5.18“公用网络”对话框7、选择“不拨初始连接”选项后，单击“下一步”按钮进入“VPN服务器选择”对话框，在该对话框中输入法VPN服务器的域名或IP地址，如图5.19所示。8、输入VPN服务器的域名或IP地址后，单击“下一步”按钮进入“完成连接”对话框，在该对话框中直接单击“完成”按钮即可。图5.19“VPN服务器选择”对话框9、完成建立VPN连接后，计算机会自动弹出“连接”对话框，在该对话框中输入接入VPN服务器的用户名和密码，如图5.20所示。图5.20“正在连接”对话框10、连接VPN服务器，如果服务器账号及服务设置都正确的话，就可以看到提示框显示“正在网络上注册你的计算机”，