第3章 虚拟环境下xxxxxx学院的VPN构建
3.1 需求分析
本次实验将要完成的是模拟xxxxxx学院主校区与分校区之间的物理链路环境,通过VPN的构建,实现两个校区间数据的虚拟专线传输。
VPN技术的用法有很多种,VPN的构建方式也多不胜数,但我认为针对于学校主、分校区之间的VPN建设应该基于成本低、易使用、易维护、易扩展的特点,故此选择了使用Windows server 2008的内置拨号VPN功能。在我分析看来,学校构建的VPN主要的用途将用在一些试卷的传输、学生实验平台的搭建、文件的传达等,所以在此基础上我选择了使用配置较高的PC或小型服务器作为主、分校区的服务器,而不是如企业或银行等保密性较高的机构中使用的一些硬件VPN来构建VPN专线。
本次实验本着成本低、使用便捷的原则,通过两台服务器或高性能PC机作为两个校区的VPN服务器,使用Windows server 2008内置的路由和远程访问功能分别构建主校区服务器与分校区服务器拨号VPN,以达到每一位用户都可以主动发出连接请求并建立连接,实现数据专线传输的目的。根据上述情况,我简单的模拟了xxxxxx学院主校区与分校区之间的网络拓扑情况,请见图3-1。
图 3-1 xxxxxx学院主、分校区网络拓扑
通过图3-1可以看出主校区终端通过正常的网络互联设备连接到了主校区服务器上,此服务器就是本次实验的主要组成部分——VPN服务器。我将在此服务器上安装Windows server 2008操作系统,并安装网络策略和访问服务,使用系统内置的路由和远程访问功能来实现分校区终端对主校区终端的访问。而之所以在主校区和分校区设计了两个相同结构的拓扑是因为考虑到了主动连接的关
第 12 页 共29 页
系。因为按照我的设计来看,VPN构建的成本是比较低的,所以完全可以有能力承受上述的设计方法。同样的,在分校区的VPN服务器上,也将通过Windows server 2008 内置的功能构建拨号VPN,我将这种VPN构建方式称之为“交叉VPN”。
虽然上述设计方案存在着冗余的网络结构,但我认为从主动性的角度来看,这份冗余是很有必要的,因为如果是传统的拨号VPN,只有在一方拨通服务器建立连接后,另一方才可以发起会话。而通过上述方法构建的VPN却可以非常灵活的实现主动的试卷安全传输、学生实验平台的建设、以及上级部门下发保密文件或重要信息的传达。其中尤其是学生实验平台的建设,可以通过设置用户权限来控制学生的访问范围。假如xxxxxx学院主校区将要搭建一个只能在内网访问的图书在线阅览及资料查询网站的话,分校区的学生就可以通过VPN拨入主校区的服务器进行访问。而主校区的学生也可以很方便的通过这样的方式与分校区的学生在分校区的内网上搭建的论坛上进行交流。冗余结构的设计正是为了能让数据的传输、信息的交流变的更加的主动、更加的灵活。
3.2 实验环境与操作简述
本次实验所使用的设备都是通过虚拟环境所实现的,如果通过物理设备在真实的网络环境下构建,理论上可行,但不排除与实验有差距的情况发生。
本次实验用到装有2块网卡的虚拟服务器2台(主校区服务器、分校区服务器),分别安装了Windows server 2008,并安装了路由和远程访问功能。2台安装了Windows XP系统的PC机作为主、分校区的终端。
主校区服务器的LAN端口,也就是内网IP地址与主校区终端在同一网段192.168.0.0/24内。WAN端口,也就是外网IP地址与分校区终端在同一网段192.168.20.0/24内(实际情况下分校区终端到主校区服务器之间的连接是通过VPN技术在Internet上进行连接,实验中没有具体环境所以设置为同一网段,物理链路中不需考虑此情况),在主校区服务器上通过路由和远程访问功能配置VPN,并为分校区建立一个公用帐户FXQ,设置其拨入权限。之后在分校区终端上创建一个VPN的专用连接,用于连接主校区的VPN服务器,已达到通过主校区服务器访问主校区终端的目的。这里值得一提的是,本次实验用到的都是静态的IP地址,并没有用到DHCP技术,如在实际操作中需要用到DHCP技术的话,还需要在VPN服务器端配置NAT转换功能。
分校区与主校区的配置方法基本相同,分校区的服务器LAN端口,也就是内网IP地址与分校区终端在同一网段192.168.20.0/24内。WAN端口,也就是外网IP地址与主校区终端在同一网段192.168.0.0/24内。
如此设计IP地址是因为实验所用的环境是使用Hyper-v构建的虚拟环境,由于没有真实的Internet接入所以主校区服务器与分校区服务器的WAN端口的IP地址都是根据主、分校区的终端进行设置的,如在真实环境下终端通过路由
第 13 页 共29 页
器连接Internet,自然不需要考虑此项设置。
3.3 实际操作过程
如图3-1所示,物理结构已构建完成,开始配置主校区服务器。
1.首先在主校区服务器上分别配置两块网卡的IP,WAN端口IP为192.168.20.1,LAN端口IP为192.168.0.1,请见图3-2、图3-3。
图 3-2 主校区服务器WAN端口IP
图 3-3 主校区服务器LAN端口IP
第 14 页 共29 页
2.在主校区服务器上安装网络策略和访问服务——路由和远程访问服务。如图3-4所示。
图 3-4 安装Windows server 2008 网络策略和访问服务
3.进入开始——管理工具——路由和远程访问配置VPN,见图3-5。
图 3-5 打开路由和远程访问
第 15 页 共29 页