基于双网关+RADIUS认证的远程访问VPN设计与实现

赵　宏，王灵霞

(兰州文理学院信息中心， 甘肃　兰州　730000)



基于双网关+RADIUS认证的远程访问VPN设计与实现

赵宏，王灵霞

(兰州文理学院信息中心， 甘肃兰州730000)

[摘要]VPN系统能够提供从公网访问校园网内各个应用系统的安全通道，方便远程办公和远程获取校园网内信息和资源.本文针对内网和公用网提出一种基于双网关+RADIUS认证的远程访问VPN部署方法，突破校园网的地域限制，统一身份认证，实现资源共享、高速访问及负载均衡.

[关键词]双网关；RADIUS；认证；VPN

高校门户网站是高校信息化建设的窗口，对外向社会提供服务、展示和宣传学校业务.对内除了信息发布，更重要的是搭建了一个汇集各种应用的平台，在各种应用中还包括一些涉及版权和安全问题的内容，如：“教务系统”“OA系统”“财务系统”“模拟教学”“数字图书馆”等.出于版权保护和网站安全，都采取与外网隔离的方式架设，只有校内IP地址才能访问，不能对校外用户提供资源共享.这无疑就将校外居住、出差、进修的教工和假期回家及在外实习的学生拒之门外.为了打破地域范围的局限, 方便师生在校外充分利用校园网的信息资源 , 数字化校园建设的当务之急是建立一套安全高效的校园网远程访问解决方案.

虚拟专用网络 (VPN，Virtual Private Network)使用“隧道协议”建立跨专用网络和公用网络的点对点的安全通道，可以实现从校外访问校园内部网络的远程安全接入.利用VPN客户端，用户可以通过 Internet 启动与远程访问服务器虚拟的点对点连接.为了突破地域限制，实现内部资源外部使用，将VPN与校园认证系统结合并统一，提出一种基于双网关+radius认证的远程访问VPN部署方法，突破校园网的地域限制，统一身份认证，实现资源共享、高速访问及负载均衡.

1VPN概述

1.1　VPN的定义及功能

VPN虚拟专用网是一种利用开放的公共网络建立私有专用数据通信网络的技术.VPN 的任意两个节点之间没有传统专用网所需的端到端的物理连接，而是利用公共网络的资源动态建立连接[1].VPN作为一项较为成熟的技术已经被地方政府机关、企事业单位广泛用于传输、发布、共享本单位内部信息，较好地解决了在互联网上单位内部信息数据传输的信息安全问题[2].IETF草案对基于IP网络的VPN定义为：“使用IP机制仿真出一个私有的广域网.”

VPN采用隧道技术、加密解密、身份认证等技术在公共基础网中组建私有的专用网络，使分布在不同地理位置的多个网络节点或内部网络组成逻辑上的虚拟子网，保障数据的安全传输.将远程用户、分支机构、合作伙伴等跟企事业网或校园网连接起来，形成一个扩展延伸的企事业网或校园网.如图1所示，有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，而且VPN的加密数据可以使得数据报文在互联网络中保证安全性.

图1　VPN的功能

1.2　VPN的服务类型

根据应用环境，VPN应用方式主要分为3种类型：内联网VPN(Intranet VPN)、外联网VPN(Extranet VPN)及远程接入VPN.

内联网VPN：内联网VPN也称作内部虚拟专用网.这种VPN是从网络到网络以对等的方式连接起来的.通过公共网络将不同地理位置的两个内部网络进行连接，形成一个逻辑意义上的局域网.它是单位的总部与分支机构或用户之间通过公网，使用加密技术及身份认证技术构筑的虚拟专用网.

外联网VPN：外联网VPN也叫做外部虚拟专用网，和内联网VPN相似，也是一种从网络到网络的连接结构，但外联网VPN中不同内部网络的主机在功能上是不平等的，网络到网络以不对等的方式连接起来的，是不同单位间通过公网来构筑的虚拟网.外联网VPN在内联网VPN的基础上增加了身份认证、访问控制等安全机制，其实是对内联网VPN在功能上的延伸.

远程接入VPN：远程接入VPN是用户通过公网远程访问内部网络的VPN方式.远程接入方式可以是专线方式接入，也可以是拨号方式接入.这种VPN是以主机到网络的方式连接起来的.远程接入技术允许家庭用户、移动用户和远程办公用户就像直接在内部网络上一样，使用相同的协议访问某个网络.

1.3　VPN的隧道协议

VPN通过一个公用网络(Internet)建立了一个模拟、临时、点对点的连接.这个连接也称为VPN的隧道.VPN隧道进行通信所使用的公共网络可以是Internet，也可以是单位局域网.为创建隧道，VPN的客户机和服务器必须使用相同的隧道协议.隧道协议是VPN区别于一般网络互联的关键，也是保证数据安全传输的关键.数据可以通过隧道在公用网络中安全地传输.常用的隧道协议有PPTP(点到点隧道协议)、L2TP(第二层隧道协议).

PPTP和L2TP协议都是在基于TCP/IP协议的数据网络上创建VPN连接，可以被多种协议所支持，用户可以在原有的协议或单位原有的IP地址的基础上应用.PPTP将数据通过IP网络封装在点对点协议(PPP)的帧中，并通过Internet发送.PPTP比PPP的安全等级高，PPTP协议增强了PPP的加密、压缩和认证功能.通过此协议，远程用户能够通过Windows操作系统实现从远程计算机到内网服务器的数据传输，并能拨号连入本地ISP，安全访问单位网络.基于 PPTP协议的VPN连接使用加密技术来提供数据保密性，在VPN服务器上执行验证和安全检查，并对数据进行加密，所以数据传输更加安全.

L2TP既综合了PPTP的优点，又是PPP协议的扩展.既支持Client-to-LAN(客户端到网络)类型的VPN，也支持LAN-to-LAN(网络到网络)类型的VPN.L2TP方式中，远程用户不需安装专门的客户端软件，可以使用未注册的IP 地址.相比PPTP，L2TP提供了差错和流量的控制，双方用序列号来判断数据包的顺序和缓冲区，如果有数据丢失，可以根据序列号重新进行发送.L2TP也有其局限性，因为L2TP协议在隧道的开始端及终止端加密及认证，而隧道一旦建立，源用户及目的用户的身份不需要再进行二次验证，所以数据传输过程中会存在安全隐患.

2RADIUS协议

RADIUS (Remote Authentication Dial In User Service)即远程认证用户拨号系统，是一种分布式的信息交互协议，和TCP协议相同，都是采用C/S结构模式.远程用户要通过公用网访问内网资源，首先要经内部网络的允许.内部网络对远程访问用户进行审核的内容主要包括：哪些用户可以拥有访问权，拥有访问权的用户可以使用哪些服务，如何对访问的用户进行计费.如图2所示：用户接入NAS(网络接入服务器，也可理解为RADIUS客户端)，NAS使用Access-Require数据包向RADIUS服务器提交用户信息(用户名、密码等)，RADIUS服务器负责接收用户的接入请求，基于用户名和密码进行身份认证，并为NAS返回为用户提供服务的配置信息.RADIUS服务器会建立唯一的用户数据库，用来存储用户名及密码来对用户进行认证.同时，RADIUS会存储配置信息和服务类型，从而完成用户认证及授权.Radius的认证流程如图3所示.

图2　Radius用户认证、授权体系结构

图3　Radius 认证流程

3基于双网关+RADIUS认证的VPN设计及实现

以兰州文理学院为例，校园网实现了双出口，电信200 Mbps、联通200 Mbps、教育网10 Mbps，总出口带宽410 Mbps.校内总铺设光缆约5千多米，信息点5 000多个，并通过三层汇聚交换机，以及200余台接入层交换机.千兆到楼，百兆到桌面，实现了校园网络的全面覆盖.从教工行政办公及教学需求出发，已建有网络智能办公系统OA、教科研系统、邮件系统、教学摸拟平台、专业教学资源库、WEB、FTP、精品课程等网络应用系统.从学生需求出发，建有新生报到系统、图书借阅系统、学籍管理系统、学工在线系统、教务系统、心理咨询与测试系统、FTP 服务、网络点播系统、一卡通系统、数字图书馆等许多应用服务.校园网众多的应用对信息化的可靠性和易用性提出了更高的要求，但各种资源受版权保护及网络安全限制，大多只针对校内IP用户开放.这就给出差教工以及校外顶岗实习学生对学校网络服务的访问带来了诸多的不便.为了使师生在校外高效、安全地访问校内资源，同时满足合作院校以及合作企业的无缝对接，我们采用双网关+RADIUS认证的校园网VPN部署，将认证计费服务器作为RADIUS服务器，配置了两台VPN服务器，每台服务器设置两个网关(电信网、联通网IP各占一个)，允许双路接入，以保证高速访问和负载均衡.如图4所示，VPN服务器将VPN客户提交的身份验证信息发送至RADIUS服务器进行验证，由RADIUS服务器来决定是否授权VPN客户的访问.这是一种集身份验证、授权、记账方式为一体的集中管理方式.

图4　双网关+RADIUS认证的校园网VPN部署

3.1　双网卡的2008Server 服务器搭建双网卡VPN

首先需要给两台VPN服务器设置两块网卡，分别用于连接外网和内网.外网网卡以桥接方式连接，内网网卡以主机模式方式连接.在Windows Server 2008 R2上配置VPN Sever，需要完成4个步骤.

第1步：启用角色服务器.服务器需要添加“网络策略和访问服务”角色，网络策略服务器是根据接入者在身份未认证前、认证后、认证失败后对VPN的使用限制.启用以下角色服务器：网络策略服务器、路由和远程访问服务(Routing & Remote Access Services)远程访问服务(Remote Access Service).

第2步：启用“路由与远程访问服务”.点击“管理工具”选项下“路由与远程访问”，右击“服务器名”选择“配置并启用路由和远程访问” ，选择 “远程访问”再选择“VPN” 选项.

第3步：配置VPN服务.右击“服务器名属性”，在属性窗口中选择“IPv4”，选择“静态地址池”，点击“添加”，把内网地址划入地址池.通过RADIUS认证的每个用户，将被分配到该地址池中的一个IP地址，从而成为虚拟的校园网用户，享有访问校内资源的权利.

3.2　VPN客户端设置

VPN客户端不需要专门的第三方软件，使用Windows网络连接即可.客户端连接成功后，远程用户使用分配的校内IP地址访问校内资源.这样，接入方式既简单又通用，而且保证了数据传输的安全.

3.3　RADIUS服务器设置

RADIUS服务器不需要另外配置单独的服务器，只需在原有的认证计费系统上添加RADIUS服务器即可，仅需两步即可完成.

第1步：添加RADIUS客户端.在“管理工具(Administrative Tools)”中选择“网络策略服务器”，右击“Radius Clients”并选择“新建”，添加“远程访问服务器”的名称和IP地址，并创建一个共享密码.

第2步：添加Radius服务器.右键单击“Remote RADIUS服务器”并给本组命名.点击“添加”按钮向该组添加一个新的radius服务器，并输入IP地址，在第2个选项中输入共享密码.

4结语

本文针对校外用户远程访问校内资源的需求，考虑到用户高速便捷地接入、数据的安全传输以及和现有计费认证系统的结合，提出一种基于双网关+RADIUS认证的远程访问VPN部署方法，通过VPN技术将外部系统与内部系统安全连接，而VPN的登录需要通过RADIUS认证，延伸了校园网的范围，解决了远程访问校园网内部系统资源的难题 , 既可以减少用户管理开销，又可以使远程登录过程更加安全.这种VPN部署已在兰州文理学院投入使用，运行稳定，达到了预期目标.

[参考文献]

[1]朱宇兰,庄旭辉.基于VPN技术的校园网方案研究[J].重庆工贸职业技术学院学报,2012,23(3):87-88.

[2]马浚,夏苏.基于 VPN 技术的部队卫生信息数据全传输体系研究[J].医疗卫生装备,2013,34(9):54-56.

[3]付向东,孙宁,王焕民. 基于VPN技术的校园网教学资源远程访问[J].电化教育研究,2009,190(2):84-86.

[4]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.

[5]戴宗坤,唐三平.VPN与网络安全[M].北京：北京电子工业出版社，2002：3-5.

[6]俞海平.基于PPTP的VPN技术在图书馆资源共享中的应用[J].农业网络信息,2007(2):74-75.

[7]Ivan Pepelnjak Jim Guichard. MPLS和VPN体系结构[M]. 田果,刘丹宁,沈铮，译.北京：人民邮电出版社,2010：8-15.

[8]梁军,聂瑞华.基于IPSec的VPN技术的研究[J].计算机与现代化,2009(11):57-59.

(责任编辑穆刚)

On the design and realization of remote access to VPN based on

authentication of double gateway +RADIUS

ZHAO Hong，WANG Lingxia

(Lanzhou University of Arts and Science, Lanzhou Gansu73000, China)

Abstract：The system of VPN provides a secure entrance for accessing to all the application systems of campus network through the public network. It offers convenience for the telecommuting and remote access to information and resources of campus network. Aiming at the intranet and public network, this paper puts forward a deploy method of remote access to VPN based on authentication of double gateway +RADIUS. The purpose of this method is to overcome the geographic restriction of campus network, to integrate the identity authentications and to realize the resources sharing, the high-speed access and the load balancing.

Key words：double gateway; radius; authentication; VPN

[中图分类号]TP393.1

[文献标志码]A

[文章编号]1673-8004(2015)05-0134-04

[作者简介]赵宏(1972—)，女，甘肃渭源人，硕士，讲师，主要从事网络安全、网络技术等方面的研究.

[基金项目]国家社科基金项目(14XTQ004).

[收稿日期]2015-03-24