网关地址
192.168.1.1 192.168.2.1 192.168.3.1 192.168.4.1
表4.2 服务器地址
IP 网关
FTP/DNS/DHCP服务器
192.168.5.1/24 192.168.5.254
表4.3 网关地址
图书馆电子资源服务器
192.168.5.2/24 192.168.5.254
主校区边界路由服务器 分校区边界路由服务器
内部接口IP 192.168.0.1/24 192.168.100.1/24
外部接口IP 100.1.1.1/24 200.1.1.1/24
4.2.4 L2TP/IPsec(L2TP over IPsec)VPN方案
L2TP/IPsec(L2TP over IPsec)是将L2TP和IPsec结合的VPN方式,在
前文中有提及是目前最普遍的部署方案,L2TP/IPsec加密隧道中被传递的数据,L2TP对第二层数据进行封装,IPsec再加密数据和保护提供数据的完整性,即可以克服L2TP安全性、保密性和扩展性的弱点,又可以利用L2TP隧道实现异地局域网互联。
部署L2TP/IPsec VPN需要在Windows Server 2008 的服务器中配备两块网卡,一块连接内部局域网,另一块连接ISP运营商,在服务器中加入路由与远程访问角色,并启用成功部署路由与远程访问服务。使用L2TP/IPsec通信时一般使用三种验证方式:
(一)kerberos协议验证:但是不适合目前的网络环境。
(二)预共享密钥验证:这种方式在VPN服务器和客户端上输入预先定义的共享密钥,所有的客户端都要配置服务器方提供的预共享密钥,但是只要能够接触客户端服务器的人都有可能知道这个密钥,L2TP/IPsec安全性就会被降低,因此在中是使用的这种验证方式企业比较少。
(三)计算机证书验证:VPN服务器和客户端申请不同类型的身份证书,
16
通信时VPN服务器向对方显示VPN服务器身份验证证书,客户端VPN服务器向对方显示客户端身份验证证书,如此才能通过验证。
综合上述的验证方式,本网络使用证书是最为合适的安全验证方式。 如此必须要在服务器上搭建一台CA服务器颁发证书,VPN服务器和VPN客户端通过CA下载证书,进行身份认证。
5 VPN数字化图书馆的组建
5.1 搭建L2TP/IPsec VPN服务器
搭建L2TP/IPsec VPN服务器首先两台需要Windows server 2008的服务器和一台客户端测试用。在计算机名为VPNServe的Windows server 2008的服务器之中安装两块网卡,其中一块作为内网接口,IP地址为192.168.0.1/24,另一块为外网接口,IP地址为100.1.1.1/24。计算机名为AD的Windows server 2008的服务器作为内网证书服务器,IP地址为192.168.0.254/24。计算机名为PC的W7作为客户端,IP地址为10.1.1.2/24。
5.1.1 VPNServer
一、在VPNServer上安装”网络策略和访问服务”角色 在“服务器管理”中“添加角色”。 勾选“网络策略与访问服务”继续。
17
图4.2 添加角色
勾选“路由和远程访问”的所有条目,继续执行。
图4.3 选择角色服务
18
图4.4 安装结果
显示安装完成。
二、配置VPNServer的VPN服务器 打开“路由和远程访问”管理窗口。
19
图4.5 路由与远程访问
点击VPNSERVER右键之后选择“配置并启用路由远程访问”。
图4.6 配置路由
选择“远程访问”。
20
基于VPN网络的数字化图书馆系统设计
