伊蕓蕓

安徽工程大學(xué)計算機(jī)與信息學(xué)院，安徽 蕪湖 241000

采用OpenVPN的虛擬專用網(wǎng)設(shè)計方案

伊蕓蕓

安徽工程大學(xué)計算機(jī)與信息學(xué)院，安徽 蕪湖 241000

對于做科研的教師和學(xué)生，經(jīng)常使用校園資源查詢一些科研資料，由于IP地址的限制，只有位于校園網(wǎng)的電腦才能訪問這些資源，回到家中或離開了學(xué)校，就無法使用這些資源，為了解決這個問題，需要建立一個虛擬專用網(wǎng).在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，采用OpenVPN技術(shù)，建立基于校園環(huán)境的虛擬專用網(wǎng)方案，采用用戶名密碼的認(rèn)證方式，不使用證書認(rèn)證方式，這樣方便系統(tǒng)維護(hù)和客戶使用.同時該方案還實現(xiàn)了實時查看用戶的狀態(tài)，上線和下線時間，防止多用戶同時用一個賬號登陸虛擬網(wǎng)的功能，通過配置Linux自帶的防火墻，保障了校園網(wǎng)的安全，最終實現(xiàn)了一個低成本高安全的虛擬專用網(wǎng).經(jīng)過數(shù)月的運(yùn)行，表明該虛擬專用網(wǎng)負(fù)載能力強(qiáng)，速度快，穩(wěn)定性好.

OpenVPN；VPN；虛擬專線；校園網(wǎng)

0 引言

校園網(wǎng)資源對于做科研的教師和學(xué)生越來越重要，已經(jīng)難以離開它們了，但是由于IP地址的限定，只能在校園內(nèi)的主機(jī)才能訪問校園網(wǎng)資源，對于住在校外的教師和假期回家的學(xué)生來說，就無法使用校園網(wǎng)資源了，一方面給他們帶來了不便，另一方面也使得校園網(wǎng)資源不能充分利用.為了解決這個問題，很多學(xué)校使用各種方式實現(xiàn)VPN.文獻(xiàn)［1］通過對OpenVPN技術(shù)改造，通過StoneVPN技術(shù)實現(xiàn)了較為安全的VPN，文獻(xiàn)［2］提出了在校園網(wǎng)環(huán)境下實現(xiàn)了一種虛擬專用網(wǎng)，并實現(xiàn)了NAT，DNS和訪問控制，文獻(xiàn)［3］提出了一種WH－VPN技術(shù)，該技術(shù)會對每一個數(shù)據(jù)包都要進(jìn)行安全處理，降低了網(wǎng)絡(luò)速度，它一旦接入Internet后，性能和質(zhì)量往往很難控制，文獻(xiàn)［4］使用Windows系統(tǒng)作為服務(wù)器建立VPN，雖然操作簡單，但是系統(tǒng)的穩(wěn)定性無法保障．文獻(xiàn)［5］設(shè)計了一種Lan－to－Lan VPN，在Centos6．04操作系統(tǒng)下運(yùn)行，性能比較穩(wěn)定，但是缺乏必要安全配置，對網(wǎng)絡(luò)的攻擊抵御能力較弱，以上文獻(xiàn)中均提到了建立一種VPN的技術(shù)方案，大部分對其安全性沒有做有力保障，不能做到一個賬號只能一個用戶使用，本文使用Open-VPN技術(shù)和防火技術(shù)提出了一個快速安全的基于校園網(wǎng)環(huán)境的VPN技術(shù)方案，實現(xiàn)了一個賬號只能一個用戶使用，提高了系統(tǒng)的安全性.

1 OpenVPN技術(shù)

1.1 概述

VPN就是虛擬專用隧道，提供給企事業(yè)之間或個人與企業(yè)之間的一種安全的數(shù)據(jù)傳輸通道，OpenVPN是Linux下開源軟件，使用Openssl庫加密數(shù)據(jù)與控制信息，能夠使用任何Openssl支持的加密算法.

1.2 原理

OpenVPN支持Tun和Tap方式，其中Tun方式使用Udp協(xié)議，傳輸速度較快，但是當(dāng)網(wǎng)絡(luò)丟包嚴(yán)重的情況下，效率極其低下，而Tap方式使用Tcp協(xié)議，具有良好的穩(wěn)定性，當(dāng)建立網(wǎng)絡(luò)連接時，會自動創(chuàng)建一塊虛擬的網(wǎng)卡，該網(wǎng)卡可以像真實的網(wǎng)卡一樣工作，可以配置IP地址，網(wǎng)關(guān)，域名，路由出口等.當(dāng)有數(shù)據(jù)傳送時，數(shù)據(jù)首先發(fā)往虛擬網(wǎng)卡，相關(guān)服務(wù)程序能夠讀到該數(shù)據(jù)并做相應(yīng)的處理，通過Socket從外網(wǎng)上發(fā)送出去，當(dāng)遠(yuǎn)程接收到該數(shù)據(jù)后，相關(guān)服務(wù)程序經(jīng)過處理后發(fā)往虛擬網(wǎng)卡，應(yīng)用軟件可以讀到該數(shù)據(jù)，從而完成了一次單向的傳輸.

1.3 驗證方式

OpenVPN支持基于證書的驗證方式和用戶名密碼的的認(rèn)證方式，基于證書的認(rèn)證方式必須為每個用戶創(chuàng)建安全證書，當(dāng)用戶長久不用時也可以吊銷該證書，基于用戶名和密碼的認(rèn)證方式，靈活性大，需要第三方數(shù)據(jù)庫支持.

2 設(shè)計方案

2.1 功能定義

在不影響現(xiàn)有校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的前題下設(shè)計一臺VPN認(rèn)證服務(wù)器，該服務(wù)器能夠使用原有校園網(wǎng)的用戶名和密碼，并且能夠?qū)υ撚脩暨M(jìn)行相關(guān)的權(quán)限控制.設(shè)計方案如圖1所示，主要功能如下：

使用校園網(wǎng)原有的認(rèn)證系統(tǒng)進(jìn)行認(rèn)證．

（1）能夠為合法用戶分配正確的校園網(wǎng)IP地址．

（2）能夠使用認(rèn)證用戶訪問校園網(wǎng)資源時走OpenVPN隧道，訪問其他資源時走正常的Internet網(wǎng)絡(luò).

（3）能夠記錄用戶上線，下線時間及在線時長．

（4）能夠限制異常用戶認(rèn)證VPN．

（5）能夠防止同一賬號多人同時使用．

（6）能夠查看用戶在線狀態(tài)．

（7）管理員能夠查看服務(wù)器負(fù)載情．

圖1 VPN系統(tǒng)結(jié)構(gòu)Fig.1 A VPN system structure

2.2 各模擬說明

（1）創(chuàng)建用戶模塊

該模塊主要為一些沒有開設(shè)校園網(wǎng)賬號的老師或?qū)W生創(chuàng)建一個本地賬號，用于認(rèn)證VPN.

（2）修改用戶模塊

用于修改本地賬號，如賬號使用期限，賬號密碼等.

（3）查詢用戶模塊

可以根據(jù)用戶名查詢該用戶在線時間，下線時間，在線時長等信息，能夠查詢所有校園網(wǎng)用戶和本地用戶.

（4）刪除用戶模塊

該模塊主要用來刪除本地用戶，不能操作校園網(wǎng)用戶，校園網(wǎng)用戶的管理由校園網(wǎng)管理中心統(tǒng)一管理.

（5）凍結(jié)用戶模塊

當(dāng)有些用戶行為發(fā)生異常，比如大批量的下載文獻(xiàn)，此時可以用該模塊凍結(jié)該賬戶，凍結(jié)后用戶不能認(rèn)證到VPN服務(wù)器，必須解凍后才可以正常使用.該模塊可以凍結(jié)所有校園網(wǎng)用戶和本地用戶，凍結(jié)校園網(wǎng)用戶只是凍結(jié)該用戶認(rèn)證VPN服務(wù)器，并不影響校園網(wǎng)的正常使用.

（6）解凍用戶模塊

用于解凍已經(jīng)凍結(jié)的賬戶.

（7）認(rèn)證模塊

主要用于合法用戶的正常認(rèn)證，當(dāng)認(rèn)證成功后就可以使用VPN訪問校園網(wǎng)資源了.

（8）安全模塊

主要利用Centos 6．4自帶的高性能防火墻來進(jìn)行一些安全方面的設(shè)置，防止一些網(wǎng)絡(luò)攻擊而導(dǎo)致服務(wù)器癱瘓.

（9）策略路由模塊

主要向用戶推送路由信息，使用校外用戶能夠選擇正常路由訪問網(wǎng)絡(luò)，當(dāng)訪問校內(nèi)資源時走VPN，當(dāng)訪問其他網(wǎng)絡(luò)時走正常的Internet網(wǎng)絡(luò).

2.3 主要算法設(shè)計

本節(jié)主要討論認(rèn)證算法的設(shè)計，算法程序如圖2所示.由于校園網(wǎng)用戶所占比例遠(yuǎn)遠(yuǎn)高于本地用戶，所以認(rèn)證算法先選擇校園網(wǎng)認(rèn)證服務(wù)器，如果認(rèn)證失敗再選擇本地認(rèn)證服務(wù)器，這樣更有利于縮短認(rèn)證平均時間，提高認(rèn)證速度.

圖2 認(rèn)證算法流程圖Fig.2 The authentication algorithm flow chart

3 實驗結(jié)果

經(jīng)過數(shù)月運(yùn)行，服務(wù)器工作穩(wěn)定，圖3是在當(dāng)前用戶數(shù)33的情況下，網(wǎng)絡(luò)的下行速度和上行速度，下行速度已經(jīng)達(dá)到近17 MBytes，上行速度達(dá)到近1．7 MBytes，這是因為下載的人數(shù)多，上傳的人數(shù)少.圖4顯示了當(dāng)前系統(tǒng)用戶情況即當(dāng)前用戶數(shù)33，圖5顯示了下行流量為17 MBytes的情況下系統(tǒng)負(fù)載情況，前1 min平均負(fù)載為0．25，前5 min內(nèi)平均負(fù)載為0．15，前15 min內(nèi)平均負(fù)載為0．15，由此可以看出，系統(tǒng)目前負(fù)載較輕，當(dāng)更多用戶接入VPN服務(wù)器時，服務(wù)器的服務(wù)能力應(yīng)該不存在問題.

系統(tǒng)采用Openvpn技術(shù)進(jìn)行搭建，和現(xiàn)有普遍使用PPTP技術(shù)而言，OpenVPN使用SSL/TLS安全加密，這使得其安全性要比PPTP高很多，另外OpenVPN穩(wěn)定性也要比PPTP穩(wěn)定的多.但是PPTP可以在很多操作系統(tǒng)上運(yùn)行且不用安裝客戶端，而OpenVPN安裝相對比較復(fù)雜，如果考慮穩(wěn)定性和安全性，使用OpenVPN技術(shù)不失為一個好的選擇.和現(xiàn)有系統(tǒng)比較起來，系統(tǒng)不僅使用了OpenVPN技術(shù)自身的安全性，還使用了Linux自帶的防火墻，進(jìn)一步提高了系統(tǒng)的安全性.

圖3 網(wǎng)絡(luò)當(dāng)前流量Fig.3 The current traffic network

圖4 用戶上下線情況Fig.4 The information of line up and down customers

圖5 系統(tǒng)負(fù)載情況Fig.5 The information of system load

4 結(jié)語

筆者從校園網(wǎng)的實際情況出發(fā)，設(shè)計了一種可以勝任于校園網(wǎng)環(huán)境下的VPN服務(wù)器，由于使用了開源免費(fèi)軟件OpenVPN和防火墻，極大地降低了構(gòu)建成本，提高了訪問速度和安全程度，方便了校外師生無地域限制地訪問校內(nèi)資源.該服務(wù)器不僅適用于校園網(wǎng)環(huán)境中，也適用于公司網(wǎng)絡(luò)環(huán)境，并且僅更改服務(wù)器的少量配置即可達(dá)到目的，具有較好的擴(kuò)展性.

致謝

安徽工程大學(xué)為本研究提供了資金資助，特此感謝！

［1］薛濤，趙維加，楊斌，等．Linux環(huán)境下一種改進(jìn)的技術(shù)在集團(tuán)化公司網(wǎng)絡(luò)傳輸中的應(yīng)用［J］．青島大學(xué)學(xué)報：自然科學(xué)版，2012，25（1）：68－72.

XUE Tao，ZHAO Wei－jia，YAN Bin，et al．An improved open VPN technology under linux for company group’s network transmission［J］．Journal of Qin Dao University（Sience and Technology），2012，25（1）：68－72.（in Chinese）

［2］白雪峰，劉洋，李洋，等．基于校園網(wǎng)認(rèn)證系統(tǒng)的OpenVPN的研究與實現(xiàn)［J］．沈陽工程學(xué)院學(xué)報，2011，7（4）：354－356

BAI Xue－feng，LIU Yan，LI Yang，et al．Research and implementation of OpenVPN system based on compus network authentication［J］．Journal of Shenyang Engineering College，2011，7（4）：354－356.（in Chinese）

［3］楊先麟，楊良榆．WH證券虛擬專用網(wǎng)（VPN）的設(shè)計及應(yīng)用［J］．計算機(jī)工程，2004，30（2）：135－137.

YANG Xian－lin，YANG Liang－yu．Disign and application for WH virtual private network［J］．Journal of Computer Engineering，2004，30（2）：135－137.（in Chinese）

［4］劉藝培．淺淡虛擬專用網(wǎng)（VPN）在校園網(wǎng)下的具體應(yīng)用［J］．無線互聯(lián)科技，2013（10）：28－29.

LIU Yi－pei．Introduction to a virtual private network（VPN）application in campus net［J］．Journal of Wire-Less Technology，2013（10）：28－29.（in Chinese）

［5］林圣東，陳小惠，趙瑞卿，等．基于OpenVPN的Lanto－Lan VPN的設(shè)計與實現(xiàn)［J］．電子測試，2012，4（4）：86－92.

LIN Sheng－dong，CHEN Xiao－h(huán)ui，ZHAO Rui－qing，et al．Lan－to Lan VPN design and implementation based on OpenVPN［J］．Electronic Test，2012，4（4）：86－92.（in Chinese）

Design scheme of virtual private network based on OpenVPN

YI Yun－yun
School of Computer and Information，Anhui Polytechnic University，Wuhu 241000，China

Some teachers and students look up some scientific research data by using campus resources，but because of the limitation of the IP address，they only use the computers in the campus network to access these resources，or else they can＇t．To solve this problem，a virtual private networks should be set up．A scheme was proposed by using OpenVPN to establish VPN in campus network environment without changing the existing network architecture．The scheme checks the real－time state and on－line and off－line time of users，preventing multiple users landing virtual network at the same time with the same account using the username and password authentication mode，and it guarantees the safety of campus network by configuring the Linux built－in firewall．Finally a low cost and high security virtual private network was realized．After several months of running，it demonstrates that the virtual private network has advantages of good load capacity，fast speed and good stability．

Openvpn；VPN；virtual private line；campus network

TB35

A

10.3969/j.issn.1674-2869.2015.07.016

1674－2869（2015）07－0075－04

本文編輯：陳小平

2015－06－

安徽工程大學(xué)青年基金（2007YQ031）

伊蕓蕓（1981-)，女，山東蒙陰人，講師，碩士.研究方向：網(wǎng)絡(luò)與數(shù)據(jù)庫.