为一个大学校园网设计并配置实现.docx
《为一个大学校园网设计并配置实现.docx》由会员分享,可在线阅读,更多相关《为一个大学校园网设计并配置实现.docx(20页珍藏版)》请在冰豆网上搜索。
为一个大学校园网设计并配置实现
一、问题背景概述
从网络诞生的那一刻起,高校校园网络就一直充当着网络研究平台和人才培养基地的重要作用。
一直以来,校园网以其开放性和快速性己经成为高校信息交流必不可少的工具,尤其最近以来,随着我国经济的发展,高校也进行了扩招,许多学校建立了自己的新校区和分校区,如何让各个校区之间的数据能够安全的进行传输;校园的资源是开放的,因为每位师生都可以访问校园网资源。
但校园网资源又是独有的,在校园网覆盖范围之外,特别是偏远的教工和学生需要接入学校或者访问校内资源,这时如果按照传统方法是不能满足这些需求的,另外,校园网内一些重要的服务如财务、一卡通、图书馆、OA等如何既能确保优先传输,又要保证传输安全。
所以针对以上这些问题,我们需要在校园网中建立一种行之有效,既节省成本、又方便易行的网络安全体系机构,而VPN刚好可以满足我们以上需求。
二、协议分析说明分析
2.1协议规范概述
OpenVPN是基于SSL协议的一个开放源码。
SSL为Netscape所研发,用以保障在Internet上数据传输安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。
目前一般通用之规格为40bit之安全标准,美国则已推出128bit之更高安全标准,但限制出境。
只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL,当前版本为3.0。
它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两层:
SSL记录协议(SSLRecordProtocol):
它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSLHandshakeProtocol):
它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议提供的服务主要有:
(1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)加密数据以防止数据中途被窃取;
(3)维护数据的完整性,确保数据在传输过程中不被改变。
2.2需解决的问题
我们需要解决的关键问题有VPN关键技术和充分了解VPN在校园网中的应用现状以便于后期的实现,其中:
2.2.1VPN关键技术
1.隧道技术
隧道技术是VPN实现的关键技术之一,是通过某种协议进行另一种协议传输的技术,主要通过隧道协议进行这种功能的实现。
其中包含了三种协议,隧道、传输和乘客协议。
隧道协议主要负责建立、拆卸和保持隧道,传输协议主要进行隧道协议的传送,而乘客协议则是进行协议的封装。
通过隧道传递的数据通常为不同协议的数据包或数据帧,通过隧道协议将其重新封装并发送。
路由信息由新的帧头提供,确保封装的数据包通过互联网传递而到达目的节点,随后通过解封得到原始的数据包。
2.用户认证技术
在隧道正式连接准备开始前,通常使用用户认证技术对用户的身份进行确认,从而实现系统的用户授权和进一步资源访问控制。
通常情况下,认证协议采用的是摘要技术,它是通过HASH函数对长报文的长度进行函数变换,映射成为长度固定的摘要。
但由于HASH函数的特性难以掌握,使得在不同报文中找到长度相同的摘要变得更加困难。
在vpN中,这种特性使摘要技术有以下两种用途。
(l)数据的完整性验证。
发送方发送数据报文及其摘要,接收方对此进行计算对比,报文摘要与发送的摘要相同则表示报文没有经过修改。
(2)用户认证。
实质上而言,这种功能在一定程度上是第一种功能的延伸。
当某方希望对另一方进行验证,但不希望验证结果传送到网络时,这方可以随机发送一段报文,使对方将该报文摘要及秘密信息发回,另一方可以对摘要进行验证,如果正确,则可以达到对对方进行验证的目的。
3.数据加密技术
在数据包的传输过程中,主要靠数据加密技术来对数据包进行隐藏。
如果在这个过程中数据包通过的因特网不够安全,即使己经通过了用户认证,VPN也不是一定安全的。
在发送端隧道,用户认证应该首先加密,然后再进行数据传送。
在接收端隧道,通过认证的用户应该先将数据包解密,按照密钥类型的差异可以将当前的密码技术进行分类,主要分为两类:
对称和非对称加密系统。
在实际中,通常对大量的数据加而对于关键的核心数据加密则通常采用公钥密码体制。
4.访问控制
决定了是否允许访问系统,允许访问系统的资源及资源的使用,通过适当的控制能够对未得到允许的用户的数据获取和授权用户的资源访问起到阻止作用。
2.2.2网络拓扑图的构建
此方案中实现出差或在家的教职工使用笔记本电脑或PC机中的VPN软件通过本地ISP连入Internet,再与大学的VPN设备相连来实现移动或家庭办公,根据构建配置实现一个远程连接虚拟专用网络的VPN的需求,构建网络拓扑结构。
2.2.3.OpenVPN的安装与配置
OpenVPN是一种基于SSL的开源VPN技术。
SSL是一个介于HTTP层及TCP层的安全协议。
传输内容是经过加密,OpenVPN使用SSL/TLS的握手协议来完成身份验证的,在身份验证的同时,双方也实现了会话密钥的交换。
根据VPN系统设计方案,远程用户通过VPN服务器,仅访问校园内网和一些特殊外部地址如,图书馆万方数据库镜像资源时必须走VPN专用隧道。
OpenVPN支持很多操作系统,我们在服务器端以及客户端都采用的是Windows平台下安装配置。
2.2.4VPN在校园网中应用的现状
目前,校园网对VPN技术的关注热度到了一个相对的高潮期,据《中国教育网络》调查,许多高校已经开始或者准备实施VPN。
各高校实施VPN的目的大致相同,首先,将校外需要VPN的学生或教职工引进来,为其提供VPN接入的服务,比如北航的VPN远程访问校园网资源系统正在部署;其次,要保证VPN服务的接入服务只为授权者提供,可以在本部与分校区之间建立一条VPN通道,从而进行信息传递和共享。
针对不同高校而言,其自身的需求也是不同的,有的高校需求较为独特,如东北大学的VPN建设,其主要目的是在校外的师生访问IPv6资源时,为其提供更方便的服务。
在当前的高校中,对于VPN的需求主要有以下几方面:
第一,满足校外师生对校内站点的访问需求。
VPN方案能够在公众的IP网络上建立私有的数据传输通道,从而进行分校的合作伙伴、分支办公室及移动办公人员等的远程连接,以降低校园网的访问负担,从根本上节约远程访问费用开支。
第二,满足分校之间相互访问的需求。
当前很多高校都在进行不同分校之间的服务器
整合研究,以方便进行管理控制,对资源进行统一获取、分配,对各分校web通讯的控制在学校地理分布上面临着极大的困难。
第三,解决图书馆资源的合理访问问题。
在高校的数字图书馆资源管理中,版权问题
一直都是不容忽视的重大问题,不论何种类型的图书资源,都得按照数字版权的规定保护进行,通过加密技术对数字内容的分发进行安全保护,从而避免数字资源的非法使用。
所以,在高校数字图书馆中,大部分电子资源都能够对访问的IP地址范围进行限制。
费用付之后,数据库能够对访问者的IP地址进行判断,辨别其是否经过授权。
因此,需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案。
2.3重点和难点
本设计采用的是选用OpenVPN作为接入服务器的软件,因此校园专用虚网的构建设计重点是OpenVPN的安装与配置,难点是配置服务器端OpenVPN。
VPN服务器配置:
架设OPENVPN服务器,服务器方面做的工作比较多,客户端相对来说就比较简单。
服务器采用RSA证书和密钥验证方式对客户端进行验证,默认情况下证书和用户是一对一的在进行操作之前,首先进行初始化工作,然后证书的制作。
三、实现条件及系统解决方案
3.1系统实现条件/环境配置说明
一、计算机硬件设备配置
设备名称
规格、型号、参数
数量
备注说明
内存
>256M以上
1
CPU
IntelPentium1G以上
1
硬盘
Seagate20G以上
1
网卡
3Com10/100M自适应网卡
1
二、计算机软件配置
软件名称
版本说明
数量
备注说明
操作系统
WindowsXP
2
客户端软件
openvpn
1
服务器端软件
openvpn
1
三、系统网络配置
项目名称
配置说明
数量
机器名/地址标识
备注说明
客户端PC1
LegendE390
1
Station1:
192.168.203.1
客户端PC2
LegendE390
1
Station2:
192.168.203.2
3.2系统解决方案
1设计思想
如图1所示,假设校园网内部服务器地址段为:
192.168.1.0/24,OpenVPN服务器有一合法IP地址与因特网相连,公网用户与因特网建立连接。
通过OpenVPN客户端软件与OpenVPN服务器建立加密的连通隧道,访问局域网内受到OpenVPN服务器保护的应用服务器。
四、实验方案设计及实现
第一步:
安装openvpn
这一部分是服务端跟客户端都要做的工作,操作完全相同
双击OpenVPN_2.2.exe进行安装
点击NEXT
I
点击IAgree
NEXT之后开始选择安装路径,
手动修改为C:
\ProgramFiles\OpenVPN,点击Install开始安装,
点击next,Finish完成安装。
第二步:
VPN服务器配置:
说明:
架设OPENVPN服务器,服务器方面做的工作比较多,客户端相对来说就比较简单。
服务器采用RSA证书和密钥验证方式对客户端进行验证,默认情况下证书和用户是一对一的,多个用户使用同一证书会被踢出。
所以首先要做的工作就是证书的制作。
在进行操作之前,首先进行初始化工作:
(1)修改C:
\ProgramFiles\OPENVPN\easy-rsa\vars.bat.sample的以下部分
setHOME=%ProgramFiles%\OpenVPN\easy-rsa
setKEY_COUNTRY=US
setKEY_PROVINCE=CA
setKEY_CITY=SanFrancisco
setKEY_ORG=FortFunston
setKEY_EMAIL=mail@
改为:
setHOME=C:
\ProgramFiles\OPENVPN\easy-rsa
setKEY_COUNTRY=CN#(国家)
setKEY_PROVINCE=GuangDong#(省份)
setKEY_CITY=ShenZhen#(城市)
setKEY_ORG=#(组织)
setKEY_EMAIL=admin@#(邮件地址)
上面#开始的是注释,
打开命令提示符:
开始-->运行...-->键入cmd,回车,进入命令提示符
或者开始-->程序-->附件-->命令提示符
进入C:
\ProgramFiles\openvpn\easy-rsa目录下:
命令如下:
(1)cdC:
\ProgramFiles\openvpn\easy-rsa
init-config
vars
clean-all
上面是初始化工作,以后,在进行证书制作工作时,仍旧需要进行初始化,但只需要进入openvpn\easy-rsa目录,运行vars就可以了,不需要上面那些步骤了。
(2)下面开始证书的制作:
生成根证书:
(请输入红字部分)
build-ca
build-dh
生成服务端密钥:
build-key-serverserver
生成客户端密钥
build-keyclient1
以上步骤完成后,生成以下文件:
接下来开始配置服务器和客户端:
(3)将生成的ca.crt,dh1024.pem,server.crt,server.key复制到C:
\ProgramFiles\OPENVPN\KEY目录下,这四个文件是VPN服务端运行所需要的文件。
(4)ca.crt,client.crt,client.key是VPN客户端所需要的文件,复制到客户端C:
\ProgramFiles\OPENVPN\KEY目录下
(5)在C:
\ProgramFiles\OpenVPN\config目录下创建server.ovpn:
服务器端文件示例:
(server.ovpn)
local192.168.3.1#建立VPN的IP
port443#端口号,根据需要,自行修改,如果是用http代理连接,请不要修改
prototcp-server#通过TCP协议连接
devtap#win下必须设为tap
server192.168.1.0255.255.255.0#虚拟局域网网段设置
push"route0.0.0.00.0.0.0"#表示client通过VPNSERVER上网
keepalive20180
ca"C:
\\ProgramFiles\\OPENVPN\\KEY\\ca.crt"#CA证书存放位置,
cert"C:
\\ProgramFiles\\OPENVPN\\KEY\\server.crt"#服务器证书存放位置
key"C:
\\ProgramFiles\\OPENVPN\\KEY\\server.key"#服务器密钥存放位置
dh"C:
\\ProgramFiles\\OPENVPN\\KEY\\dh1024.pem"#dh1024.pem存放位置
push"redirect-gatewaydef1"
push"dhcp-optionDNS219.141.140.10"#DNS
modeserver
tls-server
status"C:
\\ProgramFiles\\OPENVPN\\log\\openvpn-status.log"#LOG记录文件存放位置
comp-lzo
verb4
(6)客户端设置:
在客户端安装完成之后,需要将ca.crtclient.crtclient.key这三个文件拷贝到C:
\ProgramFiles\openvpn\key目录下,这三个文件由服务端生成。
然后,编辑一个client.ovpn的配置文件存放到C:
\ProgramFiles\openvpn\config目录下,客户端就可以进行连接了。
客户端文件示例:
(client.ovpn)
client
devtap#windows下面用tap
prototcp-client
remote192.168.3.1443#VPN服务器的域名或IP端口
resolv-retryinfinite
nobind
#http-proxy192.168.1.180#这里填入你的代理服务器地址和端口
mute-replay-warnings
ca"C:
\\ProgramFiles\\OPENVPN\\KEY\\ca.crt"
cert"C:
\\ProgramFiles\\OPENVPN\\KEY\\client.crt"#这里改成每个客户端相应的证书
key"C:
\\ProgramFiles\\OPENVPN\\KEY\\client.key"#这里改成每个客户端相应的密钥
comp-lzo
verb4
statusopenvpn-status.log
(8)VPN服务端命令行启动:
"C:
\ProgramFiles\OpenVPN\bin\openvpn""C:
\ProgramFiles\OpenVPN\config\server.ovpn"//启动VPN到443端口
(9)VPN客户端命令行连接:
"C:
\ProgramFiles\OpenVPN\bin\openvpn"
"C:
\ProgramFiles\OpenVPN\config\client.ovpn"
五、方案分析评估
5.1和其他备选方案的分析比较
目前主流的VPN技术有IPsecVPN和SSLVPN,我们选择的是SSLVPN。
下面对IPsecVPN的原理及主要协议进行简单介绍。
(1)IPSec协议简介
IPsec(IPsecuxity)产生于IPv6的制定中,主要用于为IP层提供安全性能。
在所有主机(支持TCP/IP协议)进行通信的过程中,必须经过IP层的处理,因此提高IP层的安全性能也是奠定整个网络通信的安全基础。
由于IPv4的应用仍较为广泛,因此,在后来的IPSec制定中还添加了对IPv4的支持。
(2)IPSec基本工作原理
从基本工作原理来看,IPSec与包过滤防火墙有些相似,可以理解为是在包过滤防的基础上进行的一种扩展。
当一个IP数据包被接收时,包过滤防火墙会在一个规则对其头部进行匹配。
找到其中较为匹配的规则,并按照规则对接收到的IP数据进行相应的处理。
IPSec通过对安全策略的数据库进行查询,从而做出对接收的IP数据包的处理决定。
但相对于包过滤防火墙而言,IPSec在数据包的处理上,除了转发、丢弃等方法外,还能够进行IPSec处理。
这多出来的处理方法为网络的安全性能提高起到了极大的积极作用,比包过滤防火墙更进一步。
IPSec处理就是对IP数据包进行认证和加密。
相比较而言,包过滤防火墙只能对通过某个站点的IP数据包进行控制,可以对某个站点访问的IP数据包拒绝,但它不能保证内部传送出去的数据包的安全,也不能确保内部网络中存在的数据包的安全。
只有在对内部数据包实施IPSee处理之后,才能在内部和外部的网络数据传输过程中的真实性、完整性和机密性,通过网络的安全通信才能实现。
IPsec可以只对IP数据包进行认证,也可以只进行加密,还可以同但无论是哪种方法,它的工作模式只有两种,即传输模式和隧道模式。
(3)IPSec中的主要协议
在上文中己经提到IPSec的主要功能,就是对网络传输中的IP数据包进行加密和认证。
为了这项功能的进行,IPSec还必须实现密钥的交换和管理功能,从而为加密和认证过程提供必须的密钥,并实现对密钥使用的管理。
上述三方面的工作是由AH、IKE和ESP三个协议所规定。
1)AH(authentieationheader)
AH存在着两种实现方式,即传输和隧道方式。
当其以传输方式实现的时候,主要是对高层协议提供保护,在这种情况下,数据不采取加密。
当其以隧道方式实现的时候,主要用于隧道通过的IP包协议。
AH的功能只有认证,没有加密。
2)IKE(encapsulatingsecuritypayload)
ESP协议主要用来处理对IP数据包的加密,此外对认证也体统某种程度的支持。
ESP是与具体的加密算法相独立的,几乎可以支持各种对称密钥算法,例如,DES,3DES,RCS等。
为了保证各种IPsec实现间的互操作性,目前ESP必须提供对56位DES算法的支持。
3)ESP(internetkeyexehange)
IKE(因特网密钥交换)主要用于SA的动态建立。
它标示着IPsec对SA的协商,并对SA进行补充。
在RFC2409的文档描述中,IKE是一种混合型协议。
它在ISAMP的基础之上,沿用了SKEME的共享、Oakley的模式和密钥更新技术,从而定义了独特的协商共享策略和验证加密材料生成技术。
在IKE实现过程中,主要采用了ISAKMP,可以分为两个阶段,第一,通信的各方建立起了一个安全保护的、通过身份验证的通道,也就是IKE安全关联的建立。
第二,在这个安全关联的基础之上,为IPSec协商出详细的安全关联。
因特网密钥交换定义两个交换阶段,即阶段1和阶段2交换以及两个额外的交换。
在阶段1的交换中,IKE采取主模式交换,也就是身份保护交换,此外,还有在ISAKMP基础之上制定的野蛮模式交换;在阶段2交换中,IKE则采用快速模式交换。
此外,另外两种定义交换都属于信息方面的交换。
5.2方案评估分析
(1)SSLVPN的优点
1)无需安装客户端软件:
只需要标准的Web浏览器连接因特网,即可通过网页访问到企业总部的网络资源。
2)适用于大多数设备:
浏览器可以访问任何设备,如PDA、移动电话等设备。
Web成为标准平台早已是大势所趋,越来越多的企业开始将ERP,CRM,SCM移植到Web上,SSLVPN将是Web应用热潮的直接受益者。
3)适用于大多数操作系统:
Windows,Unix及Linux。
4)支持网络驱动器访问。
5)良好的安全性。
6)SSL不需要对远程设备或网络做任何改变。
(2)SSLVPN的主要不足
1)SSLVPN的认证方式比较单一。
只能采用证书。
而且一般是单项认证。
它认证方式往往进行长时间的二次开发。
IPSccVPN认证方式更为灵活。
2)SSLVPN应用的局限性很大,只适用于数据库—应用服务器—Web服务器—浏览器这种模式。
3)SSL协议只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一个主机的整个通道进行加密。
4)SSL不能对应用层的消息进行数字签名。
5)站点到站点连接缺少理想的SSL解决方案。
6)SSLVPN的加密级别通常不如IPSecVPN高。
(3)应用范围
目前SSLVPN与远程网络进行通信的应用主要是基于Web的客户,这些Web己前主要是内部网页浏览、电子邮件及其它基于Web的查询工作。
在SSLVPN通常用SSLProxy的技术来提高VPN服务器的通信性能和安全身份验证能力。
对通常的企业高级用户(poweruser)和LAN一to一LAN连接所需要的直接访问企业网络功能IPSecVPN无可比拟。
然而,典型的SSLVPN被认为最适合于普通远程员工访问基于Web的应用。
虽然SSLVPN有诸多好处,但SSLVPN并不能取代IPSecVPN。
因为,这两种技术具有不同的着重点。
SSLVPN主要应用在Web远程的接入,实现应用软件的安全性。
IPSecVPN是通过对两网站间的专线连接或两台服务器间的互联网连接,实现对点对点间通信的保护,它不仅应用于Web还应用于其他方面。
六、前景展望
6.1本课题的不足之处和可改进之处
本文首先简要介绍了选题背景,对高校校园网应用VPN的情况进行了了解,介绍了高校校园网应用VPN的需求,进而指出了本文的主要研究内容。
从VPN原理出发,介绍了VPN的主要类型和VPN的特点以及VPN的关键技术,并结合主流技术,介绍了IPSecVPN和SSLVPN的原理和优缺点,并对这两种VPN的应用场合做了简单的介绍。
总之,本文从校园网实际出发,把VPN技术运用到校园网当中来,设计了一个校园网VPN的安全体系,并对架设过程进行了检测和分析,从而在一定程度上验证了所提方案的正确性。
6.2技术前景展望/下一步的工作
由于时间仓促和水平有限,本文只对架设IPSec和SSL的一般方法进行了研究,使得校园网中的VPN体系能够运行,而对IPsec与SSL的QoS技术以及细粒度的访问控制没有做更进一步的研究,这也是校园网VPN体系以后管理要不断尝试改进的地方。
另外,目前校园网只能在主干网络上的路由器上实现IPSec隧道功能,虽然对网络效率影响不大,但在今后的网络应用扩展中,往往会有
升级会员 