1. 引言
随着宽带网络的发展,网络安全问题逐渐成为人们关注的焦点。虚拟专用网(Virtual Private Network)作为网络安全技术应用,因其具有降低用户成本;传输数据安全可靠和连接方便灵活等特性,而在教育、科研和企业等领域得到了迅速的应用 [1] [2] [3] 。文中主要讨论VPN概念和特点,重点介绍VPN实验的设计与实现。该实验在Windows Server 2012环境下完成,主要实现基于PPTP和L2TP的远程访问VPN技术。
2. 相关技术 [4] [5]
2.1. VPN的概念
VPN (Virtual Private Network虚拟专用网)。指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如Internet, ATM, Frame Relay等)之上的逻辑网络,用户数据在逻辑链路中传输。
2.2. VPN的特点
1) 降低成本
通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
2) 安全性高
VPN主要使用三个方面技术(即通信协议、数据加密和身份认证技术)保证数据通信的安全性。
3) 网络协议支持
VPN支持最常用的网络协议,这样基于IP, IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。新的VPN技术可以全面支持如AppleTalk, DECNet, SNA等几乎所有的局域网协议,应用更加全面。
4) 容易扩展
如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能及时实现,因为这些工作都可以交由专业的NSP来负责,从而可以保证工程的质量,更可以省去一大堆麻烦。企业只需与新的NSP签约,建立账户;或者与原有的NSP重签合约,扩大服务范围。VPN路由器还能对工作站自动进行配置。
5) 完全控制主动权
借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
2.3. Windows Server 2012系统对VPN的支持
Windows Server 2012系统支持四种类型的VPN,即PPTP, L2TP/IPSec, SSTP和IKEv2 VPN。
1) PPTP (Point to Point Tunneling Protocol,点对点隧道协议)
PPTP,该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。PPTP协议是点对点隧道协议,其将控制包与数据包分开,控制包采用TCP控制。PPTP使用TCP协议,适合在没有防火墙限制的网络中使用。
2) L2TP (Layer 2 Tunneling Protocol,第二层隧道协议)
它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。L2TP使用UDP协议,一般可以穿透防火墙,适合在有防火墙限制、局域网用户,如公司、网吧、学校等场合使用。
3) SSTP (Secure Socket Tunneling Protocol,又称安全套接字隧道协议)
安全套接字隧道协议(Secure Socket Tunneling Protocol, SSTP)是一种VPN隧道的形式,提供了一种通过SSL3.0通道传输PPP或L2TP流量的机制。SSL利用密钥协商提供传输级别的安全性。通过TCP端口443使用SSL,允许SSTP通过几乎所有的防火墙和代理服务器,除了需要身份验证的Web代理。这种SSTP只适用于远程访问,不能支持站点与站点之间的VPN隧道。
4) IKEv2 (Internet Key Exchange V2,因特网密钥交换版本2)
ikev2, Internet密钥交换协议,它是一个用于通讯双方协商加密的一个协议。由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。
Windows 2012系统支持以下两种方式的VPN,即远程访问VPN连接(Remote Access VPN connection)和站点对站点VPN连接(Site To Site VPN connection)。其中远程访问VPN连接的VPN客户端在远程利用无线网络、局域网等方式连上因特网后,就可以通过因特网与公司VPN服务器建立VPN,并通过VPN与内部计算机安全地通信。
对于站点对站点VPN连接是连个局域网的VPN服务器都连接到因特网,并通过因特网建立VPN,它让两个网络内的计算机之间可以通过VPN来安全地通信。
3. 实验内容设计与实现
3.1. 实验目的
了解VPN的使用场合;
理解VPN的配置及原理;
掌握VPN的配置方法。
3.2. 实验环境
PC (windows server 2012 R2)1台,两块网卡,交换机2台,PC (windows 7)2台,直通双绞线4根。
3.3. 实验拓扑
实验的组网图如图1所示。
3.4. 实验过程与主要实验步骤 [6] [7]
3.4.1. 实验环境及通用步骤
按图1所示正确连接线缆,其通用步骤如下:
1) 配置VPN服务器:修改计算机名称为HK-VPN-S,设置连接“交换机1”的网卡IP地址为192.168.30.10/24,并重命名网卡名称为LAN;设置连接“交换机2”的网卡IP地址为192.168.50.10/24,并重命名网卡名称为WAN;安装“远程访问服务器”,配置VPN服务器;创建VPN用户,并允许用户“远程拨入”。
2) 配置VPN客户端W7:在PC上设置IP为:192.168.50.30/24,建立VPN连接,连接到VPN服务器。
3.4.2. 配置PPTP的VPN服务器
步骤1 在服务器管理器界面中单击仪表板处的添加角色和功能→选择服务器角色界面时,勾选远程访问复选框→单击“添加功能”按钮→角色服务界面时,勾选Direct Access和VPN (RAS)复选框→直到出现确认安装选项界面时单击“安装”按钮,安装完“远程访问服务器”后,点击“关闭”按钮。
步骤2 在服务器管理器界面→单击工具→路由和远程访问→点击“打开RRAS管理控制台”→右击“HK-VPN-S”→单击“配置并启用路由和远程访问”→在向导中选中“远程访问(拨号或VPN)”→在“远程访问”界面勾选VPN→进入“VPN连接”界面选择连接到Internet的网络接口,本例中网络接口选WAN,如图2所示。接着进入“IP地址分配”界面,选择“来自一个指定的地址范围”单选按钮→进入“地址范围分配”界面,单击“新建”按钮,在弹出的“新建IPv4地址范围”对话框中输入起始地址为192.168.30.11,结束地址为192.168.30.20,如图3所示。接下来直接点“下一步”→点击“完成”完成配置。
步骤3 创建VPN用户。在“计算机管理”中创建“hk-vpn”用户,密码为123456,并勾选密码永不过期。接着右击“hk-vpn”选择“属性”命令,如图4所示,在弹出hk-vpn属性对话框中点击“拨入”选项卡,选中“允许访问”单选按钮,然后点击“确定”按钮,如图5所示,至此,VPN服务器的配置告一段落,下面将在客户机上进行验证。
![](//html.hanspub.org/file/10-1540831x10_hanspub.png)
Figure 2. VPN external network interface
图2. VPN的外网接口
步骤4 在Windows 7中配置VPN客户端验证测试。Windows 7 IP设为192.168.50.30/24。在“控制面板”→网络和Internet→网络和共享中心→设置新连接或网络→连接到工作区→使用我的Internet连接(VPN)→“键入要连接的Internet地址”界面,输入VPN服务器的IP地址(192.168.50.10)及目标名称(VPN连接)如图6所示,进入“键入您的用户名和密码”界面,设置VPN的用户名与密码,勾选“记住此密码”复选框如图7所示。创建成功后,便可连接到VPN服务器。VPN类型选择PPTP如图8。
步骤5 进行VPN连接测试结果如图9。
3.4.3. 配置L2TP的VPN服务器
L2TP (Layer Two Tunneling Protocol,第二层通道协议)是VPDN(虚拟专用拨号网络)技术的一种,专门用来进行第二层数据的通道传送,即将第二层数据单元,如点到点协议(PPP)数据单元,封装在IP或UDP载荷内,以顺利通过包交换网络(如internet),抵达目的地。IPSec协议通过相应的隧道技术,可实现VPN。该实验使用“预共享密码”方式组建L2TP协议的VPN网络。
步骤1 在Windows Server 2012服务器端打开“RRAS管理控制台”窗口,右击“HK_VPN_S”,在弹出的快捷菜单中选择“属性”命令,如图10所示。如图11所示在“HK_VPN_S属性”对话框“安全”选项卡选中复选框,并设置密码为abc456(密码区分大小写)。单击“确定”按钮,右击“HK_VPN_S”→所有任务→点击重新启动,如图12所示。
步骤2 配置VPN客户端:Windows 7系统的设置步骤如下:
1) 在“网络”单击右键→属性→单击更改网络适配器设置→选中VPN连接点击右键→属性→如图13所示单击“安全”选项卡,在“VPN类型”下拉列表中选择“使用IPSec的第2层隧道协议(L2TP/IPSec)”,单击“高级设置”,在弹出的对话框中选中“使用预共享的密钥作身份验证”单选按钮.并输入预共享的密码(abc456)。
2) 进行VPN连接测试结果如图14所示。
![](//html.hanspub.org/file/10-1540831x21_hanspub.png)
Figure 13. Modify VPN type and set L2TP key
图13. 修改VPN类型及设置L2TP密钥
4. 结束语
实验证明,利用VPN技术能够使用户可降低成本;连接方便灵活;提高传输数据安全可考性并使用户有完全控制主动权。文中重点介绍VPN实验的设计与实现。在Windows Server 2012环境下要实现基于PPTP和L2TP/IPSec VPN的远程访问VPN技术。SSTP和IKEv2 VPN模式有待进一步实验测试。
致谢
在此感谢中央高校基本科研业务费资助项目的支持,同时也向所有文献作者与研究相同领域的前辈们表示由衷的感谢。
基金项目
中央高校基本科研业务费资助项目(No.JSJ1202B) (No.3142015022)。