李鑫

（山西大同大學網絡中心，山西大同037009）

基于H3C路由器的VPN技術在高校校園網的基本實現(xiàn)模式

李鑫

（山西大同大學網絡中心，山西大同037009）

論述了VPN技術的定義、運行環(huán)境及原理，并根據(jù)大多數(shù)高校應用VPN技術的目的同時結合VPN技術的常用實現(xiàn)模型，以H3C路由器為例，實現(xiàn)了校園網應用VPN技術的組網模型和詳細的配置方法。

VPN；路由器；隧道協(xié)議

上世紀90年代以來，互聯(lián)網技術得到了飛速發(fā)展的同時，我國大多數(shù)高校也在國家政策的鼓勵下得到了高速的發(fā)展。主要體現(xiàn)在辦學規(guī)模擴大，院校合并，優(yōu)勢教育資源整合，學術交流頻繁，校外移動辦公情況增多。這就導致了許多地理位置各異的高校成為一個整體，這對校內網絡資源的整合及外網用戶訪問校內網絡資源造成了許多問題。雖然可以通過WAN技術實現(xiàn)多個校區(qū)的互聯(lián)，但是WAN技術需要租用線路和購買新設備，這些產生的昂貴費用令許多高校難堪重負。如果把校內網絡資源全部放到公網上訪問，又會增加網絡安全風險。這就促使既經濟又安全的VPN技術在高校中得到了廣泛應用。

1 VPN定義及其運行環(huán)境

VPN即虛擬專用網，它是一種通信環(huán)境，其中的訪問受到控制以允許只在預先定義好的共同利益社區(qū)內進行對等連接。VPN是通過對普通下層通信介質進行某種形式的劃分來組建的，這些通信介質基于非獨占的方式為網絡提供服務。關于VPN的定義[1]是：VPN是一個在公共網絡基礎設施上構建的專用網技術。高校的網絡正是上文所說的共同利益社區(qū)，合并的每個校區(qū)本身都是獨立的定義好了的網絡實體環(huán)境，通過VPN技術的實施就可以使不同校區(qū)之間或校外的用戶通過公共網絡訪問校內的網絡資源了。

2 VPN的原理

VPN用戶或者分支機構的用戶通過寬帶網或其他網絡接入方式撥號連接目的網絡的出口路由器，該路由器通過加密系統(tǒng)確認該用戶的身份或分支機構出口路由器上配置的審核身份及密碼，一旦驗證通過，發(fā)起VPN連接端的邊界路由器和目的網絡出口路由器之間的INTERNET鏈路就會被加密封裝為一條專用的連接通道，稱為隧道（Tunnel）[2]。隧道是一個虛擬的概念，它隨VPN的發(fā)起連接而產生，并且以非獨占的方式使用物理鏈路。也就是說在隧道封裝的物理鏈路上同時可以承載其它網絡數(shù)據(jù)流。只不過隧道內的數(shù)據(jù)流是一定源和目的之間的專有的并且通過隧道協(xié)議封裝加密的虛擬鏈路，對于其它普通數(shù)據(jù)流來說根本無法讀懂隧道內的數(shù)據(jù)內容，只有經過隧道兩端的邊界路由器通過拆封被隧道協(xié)議封裝加密的數(shù)據(jù)報文才能將數(shù)據(jù)的真正意義顯示給兩端的用戶。根據(jù)網絡傳輸?shù)姆謱釉?，隧道協(xié)議可以分為第二層隧道協(xié)議和第三層隧道協(xié)議。二層隧道協(xié)議主要有PPTP協(xié)議，L2F協(xié)議和L2TP協(xié)議，它們都是對點到點PPP協(xié)議的隧道封裝，只是在撥號服務和安全控制以及服務質量方面后兩者都優(yōu)于PPTP協(xié)議，并且L2TP協(xié)議是當前最為常用的二層隧道協(xié)議。三層隧道協(xié)議主要有GRE協(xié)議和IPSEC協(xié)議，它們都是對IP協(xié)議的隧道封裝，只是IPSEC協(xié)議不僅只是應用在VPN三層隧道封裝，它更是將幾種安全技術結合形成一個比較完整的安全體系結構。它由兩大部分三類協(xié)議組成：IPSEC安全協(xié)議（AH/ESP）和密鑰管理協(xié)議（IKE），前者提供認證和數(shù)據(jù)完整性，后者實現(xiàn)通信保密。無論是二層隧道協(xié)議還是三層隧道協(xié)議，它們都是根據(jù)具體的網絡組網模型來實現(xiàn)的。

3 VPN網絡的參考模型

3.1 虛擬租用線（VLL）

VLL是一種最簡單的VPN，用戶僅僅使用點到點的連接，連接兩個CPE設備，CPE設備和ISP結點的鏈路層可以是任何類型，CPE設備可以是路由器，網橋和主機[3-4]。

3.2 虛擬專用撥號網絡（VPDN）

VPDN允許遠端用戶按需接入另一個網絡的某個站點。遠端用戶通過PSTN/ISDN撥入公共IP網絡，并將數(shù)據(jù)包通過隧道傳送到目的網絡，而用戶則感覺好像直接連接到那個站點。VPDN隧道連接的一個關鍵特性就是需要對接入的用戶進行身份認證，如在接入服務器PPP會話上使用AAA系統(tǒng)進行RADIUS認證。

3.3 虛擬專用LAN片段（VPRN）

VPRN被定義為通過公共IP網絡進行VPN仿真，VPRN與其他VPN的主要區(qū)別就是數(shù)據(jù)包是在網絡層進行轉發(fā)的，在ISP的邊緣路由器PE上可以根據(jù)每個VPRN組建各種拓撲結構的仿真網絡。這種模式大大增加了組網的靈活性，同時可以在更大范圍內組建VPN。

3.4 虛擬專用路由網（VPLS）

VPLS是利用公共IP資源進行局域網仿真的一種模型，這種虛擬局域網在拓撲結構和網絡行為方面都與VPRN極為相似，只是VPLS在每個邊緣結點實現(xiàn)鏈路層橋接，而不是網絡層的轉發(fā)。VPLS的主要好處就是完全協(xié)議透明，便于實現(xiàn)多協(xié)議傳輸。

結合高校實際應用VPN技術的目的，就是為了移動辦公用戶和分校區(qū)用戶利用公共網絡的撥號功能來實現(xiàn)虛擬專用網，從而訪問校園網內部的網絡資源。因此高校網絡的VPN技術實現(xiàn)基本模式普遍符合虛擬撥號網絡（VPDN）的組網模型。而VPDN的實現(xiàn)則是依靠二層隧道協(xié)議：PPTP和L2TP。由于L2TP比PPTP的技術先進，所以在現(xiàn)實組網實踐中大多依靠L2TP協(xié)議。下面我們就上述模型具體如何實現(xiàn)做詳細說明。

4 移動辦公用戶和分校區(qū)用戶撥號實現(xiàn)虛擬專用網

4.1 移動辦公用戶撥號實現(xiàn)虛擬專用網

移動辦公用戶訪問校園網過程如下：用戶首先連接Internet，之后，直接由用戶向校園網的出口路由器發(fā)起Tunnel連接的請求。在出口路由器接受此連接請求之后，移動辦公用戶與出口路由器之間就建立了一條虛擬的Tunnel。用戶與校園網間的通信都通過它們之間的Tunnel進行傳輸。組網圖如下：配置[3]步驟如下：

圖1 移動辦公用戶撥號連接VPN網絡拓撲圖

用戶配置如下：

在用戶主機上必須裝有 L2TP的客戶端軟件，如WinVPN Client，并且用戶通過寬帶撥號方式連接到Internet。然后再進行如下配置（設置的過程與相應的客戶端軟件有關，以下為設置的內容）：

打開WinVPN Client輸入用戶名為vpnusername，口令為123456。

將校園網出口路由器出口IP地址設為路由器的Internet接口地址。

修改連接屬性，將采用的協(xié)議設置為L2TP，將加密屬性設為自定義，并選擇CHAP驗證，進行通道驗證，通道的密碼為：H3C。

校園網出口路由器的配置如下（配置命令均以h3c 18系列路由器為例）：

設置用戶名及口令（應與用戶的設置一致）。

[H3C]local-user vpnusername

[H3C-luser-vpnusername]password simple 123456

[H3C-luser-vpnusername]service-type ppp

對VPN用戶采用本地驗證。

[H3C]domain system

[H3C-isp-system]scheme local

[H3C -isp -system] ip pool 1 192.168.0.2 192.168.0.100

啟用L2TP服務，并設置一個L2TP組。

[H3C]l2tp enable

[H3C]l2tp-group 1

配置虛模板Virtual-Template的相關信息。

[H3C]interface virtual-template 1

[H3C-virtual-template1]ip address 192.168.0.1 255.255.255.0

[H3C-virtual-template1]ppp authentication-mode chap domain system

[H3C-virtual-template1]remote address pool

配置校園網出口路由器接收的通道對端名稱。

[H3C]l2tp-group 1

[H3C-l2tp1]allow l2tp virtual-template 1

啟用通道驗證并設置通道驗證密碼。

[H3C-l2tp1]tunnel authentication

[H3C-l2tp1]tunnel password simple H3C

4.2 分校區(qū)用戶撥號實現(xiàn)虛擬專用網

分校區(qū)使用分校區(qū)出口路由器作為L2TP客戶端，與主校區(qū)建立隧道連接。并將所有私有網絡的數(shù)據(jù)轉發(fā)給主校區(qū)出口路由器組網圖如下：

圖2 分校區(qū)與主校區(qū)實現(xiàn)VPN連接網絡拓撲圖

配置步驟如下：

分校區(qū)出口路由器的典型配置

設置用戶名及口令。

[H3C]local-user vpnusername

[H3C-luser-vpnusername]password simple 123456

[H3C-luser-vpnusername]service-type ppp

[H3C-luser-vpnusername]quit

啟用L2TP服務，并設置一個L2TP組。

[H3C]l2tp enable

[H3C]l2tp-group 1

配置分校區(qū)本端名稱，配置主校區(qū)路由器的出口IP地址。

[H3C-l2tp1]tunnel name fxq

[H3C-l2tp1]start l2tp ip 3.3.3.2 fullusername vpnusername

啟用通道驗證并設置通道驗證密碼。

[H3C-l2tp1]tunnel authentication

2.4 患兒及其家系成員的Sanger測序驗證 患兒父親檢測到WDR62基因c.1128C>A突變，患兒母親檢測到c.3620_3621delAG突變(圖1)?？梢娀純篧DR62基因存在的2個雜合突變分別來源于患兒父親和母親。該家系符合常染色體隱性遺傳規(guī)律。同時，我們對100個正常人進行了突變篩查，均未發(fā)現(xiàn)攜帶WDR62基因c.1128C>A或c.3620_3621delAG突變。通過NCBI數(shù)據(jù)庫查詢發(fā)現(xiàn)c.1128C>A突變人群攜帶率小于萬分之一，而c.3620_3621delAG突變及攜帶率都未查出有相關文獻報道，為首次報道的新突變。提示這2個位點在中國乃至世界突變頻率都極低。

[H3C-l2tp1]tunnel password simple H3C

[H3C-l2tp1]quit

配置虛模板Virtual-Template的相關信息。

[H3C]interface virtual-template 1

[H3C-virtual-template1]ip address ppp-negotiate

[H3C-virtual-template1]ppp pap local-user vpnusername password simple 123456

[H3C-virtual-template1]quit

配置私網路由。

[H3C]ip route-static 10.1.0.0 16 virtual-template 1

主校區(qū)路由器的配置如下：

設置用戶名及口令。

[H3C]local-user vpnusername

[H3C-luser-vpdnuser]password simple 123456

[H3C-luser-vpdnuser]service-type ppp

配置GigabitEthernet3/0接口（出口）。

[H3C]interface gigabitethernet3/0

[H3C-GigabitEthernet3/0]ip address3.3.3.2 255.255.0.0 [H3C-GigabitEthernet3/0]quit

配置域及地址池。

[H3C]domain system

[H3C-isp-system]scheme local

[H3C-isp-system]ip pool1 192.168.0.2 192.168.0.10

[H3C-isp-system]quit

啟用L2TP服務，并設置一個L2TP組。

[H3C]l2tp enable

[H3C]l2tp-group 1

配置虛模板Virtual-Template的相關信息。

[H3C]interface virtual-template 1

[H3C-virtual-template1]ip address 192.168.0.1 255.255.255.0

[H3C-virtual-template1]remote address pool 1

[H3C-virtual-template1]ppp authentication-mode pap

[H3C-virtual-template1]quit

配置主校區(qū)路由器接收的通道對端名稱。

[H3C]l2tp-group 1

[H3C-l2tp1]allow l2tp virtual-template 1 remote fxq啟用通道驗證并設置通道驗證密碼。

[H3C-l2tp1]tunnel authentication

[H3C-l2tp1]tunnel password simple H3C

[H3C-l2tp1]quit

配置私網路由。

[H3C]ip route-static 10.2.0.0 16 virtual-template1啟動L2TP連接

在分校區(qū)路由器的虛模板接口視圖下執(zhí)行啟動L2TP連接命令

[H3C]interface virtual-template 1

[H3C-virtual-template1]l2tp-auto-client enable

由于高校發(fā)展的步伐不斷加快，導致高校對外交流愈加頻繁，這就使VPN技術在校園網的應用越來越廣泛。關于VPN技術在網絡安全和服務質量方面的應用已經成為當前研究的重點，因此我們要加緊研究VPN技術在這兩方面的應用以適應互聯(lián)網發(fā)展的潮流。

5 結束語

[1]Cisco Systems.思科網絡技術學院教程（第三～四學期）（第三版）[M].北京：人民郵電出版，2007.

[2]侯琳.校園VPN網絡建設解決方案[J].電腦編程技巧與維護，2009（18）：81-82.

[3]雷震甲.網絡工程師教程[M].北京：清華大學出版社，2004.

[4]王達.路由器配置與管理完全手冊[M].武漢：華中科技大學出版社，2011.

H 3C R outer based on VPN T echnology in C am pus N etwork Basic I m plementation M ode

LIX in
（Network C enter of ShanxiDatong University，Datong Shanxi，037009）

This paper discusses the definition of VPN technology，the operation environmentand the principle，and according to most college application aim of VPN technology combined with VPN technology of commonly used model to H3C router，realizes the campus network application technology of VPN network model and detailed configurationmethod.

VPN；r outer；T unnel P rotocol〔責任編輯 高海〕

O174.5

A

1674-0874（2012）03-0013-04

2012-01-05

山西大同大學校級科研項目［2012K5］

李鑫（1980-），男，山西懷仁人，實驗師，研究方向：網絡技術。