技术与应用ｗ’Ⅳｗ．Ｉｔｅｄｕ．ｏｒｇ．ＣＲ网络与资源应用叨儿塾融豳丝篓鼻用ＯｐｅｎＶＰＮ构建高效安全的ＶＰＮ口／李彬在构建ＶＰＮ时，我们经常会遇到这样的困惑：配会自动创建一个名为ＴＡＰ—Ｗｉｎ３２ＡｄａｐｔｅｒＶ８的置简单的ＶＰＮ往往不太安全（如ＰＰＴＰ）；配置安全虚拟网络设备，安装完成后可以在Ｃ：＼Ｐｒｏｇｒａｉｎ的ＶＰＮ往往过于复杂（如ＩＰＳｅｃ），而且基于ＩＰＳｅｃＦｉｌｅｓ＼ＯｐｅｎＶＰＮ看到以下几个目录：ｂｉｎ（放置的ＶＰＮ无法很好地解决ＮＡＴ的穿透问题。但是用ｏＰｅｎＶＰＮ的主程序）、ｃｏｎｆｉｇ（放置配置文件）、ＯｐｅｎＶＰＮ就能构建既安全又高效的ＶＰＮ，从而解决ｄｒｉｖｅｒ（放置设备驱动文件）、ｅａｓｙ—ｒｓａ（放置陕速生以上问题。成密钥的批处理文件）、ｌｏｇ（放置Ｓｅｒｖｅｒ的日志文ＯｐｅｎＶＰＮ是一套全功能的ＳＳＬＶＰＮ解决方案，件）、ｓａｍＰｌｅ—ｃｏｎｆｉｇ（放置配置文件模板）。它包含多种配置应用，包括远程访问、站对站虚拟私四配置ＶＰＮＳｅｒｖｅｌ－网、ＷｉＦｉ安全，以及负载均衡、容错性好的企业级远程访问方案。它具有跨平台的可移植性、良好的稳在命令提示符下进入ｃ：＼ｐｒｏｇｒａｍ定性、成千上万个客户端支持的可伸展性、支持动态Ｆｉｌｅｓ＼ＯｐｅｎＶＰＮ＼ｅａｓｙ—ｒｓａ目录，以下操作如没ＩＰ地址及ＮＡＴ等主要特征。有特别说明均在此目录中进行。本文介绍一个应用开放源码软件ＯｐｅｎＶＰＮ构建（一）进行初始化基于ＳＳＬ／ＴＬＳ的校园ＶＰＮ案例。客户端将通过校１．运行ｉｎｉｔ—ｃｏｎｆｉｇ．ｂａｔ。园服务端的防火墙，穿透ＮＡＴ，建立基于ＴＬＳ认证２．修改ｖａｒｓ文件，为了缩小篇幅，只保留了实方式的ＶＰＮ。该案例在我校的校园网中应用，稳定际修改部分。性很好。ｓｅｔＫＥＹＣｏＵＮＴＲＹ＝ＣＮ＃定义你所在的国软件环境—一家，２个字符ｓｅｔＫＥＹＰＲｏＶＩＮＣＥ＝ＪＸ＃定义你所在的省份ＶＰＮ服务端采用Ｗｉｎｄｏｗｓ２００３Ｓｅｒｖｅｒ—ｓｅｔＫＥＹＣＩＴＹ＝ＤＡＹＵ＃定义你所在的城市＋ＯｐｅｎＶＰＮｆｏｒＷｉｎｄｏｗｓ２０００／ＸＰａｎｄｈｉｇｈｅｒ。＿ｓｅｔＫＥＹＯＲＧ＝ＤＹＺ×＃定义你所在的组织客户端采用ＷｉｎｄｏｗｓＸＰ—ＳＰ２＋ＯｐｅｎＶＰＮｆｏｒ＿ｓｅｔＫＥＹＥＭＡＩＬ＝ｊｘＩｉｂｉｎ＠１６３．ｃｏｒｎ＃定义你的Ｗｉｎｄｏｗｓ２０００／ＸＰａｎｄｈｉｇｈｅｒ。＿邮件地址二网络环境（二）生成ＣＡ和Ｃｅｒｔ／ＫｅｙＶＰＮＳｅｒｖｅｒ—Ｆｉｒｅｗａ１ｌ—Ｉｎｔｅｒｎｅｔ—ＡＤＳＬ１．创建ＣＡ的公钥和私钥Ｃｌｉｅｎｔ，即服务端的ＶＰＮ服务器通过一台防火墙—（１）运行ｖａｒｓ，使上述修改的变量生效。连接到因特网，客户端多采用ＡＤＳＬ方式上网。（２）运行ｃｌｅａｎ—ａｌｌ，初始化Ｋｅｙｓ目录，创建服务端主要网络设备ＩＰ分配情况：防火墙的对Ｋｅｙｓ目录和所需要的文件。外网卡（ｅｔｈ０）ＩＰ为６１．１．１．１（公网ｔ￣ｔｌｋ），对内的网（３）运行ｂｕｉｌｄ—ｃａ，生成ＲｏｏｔＣＡ证书，用卡（ｅｔｈ１）ＩＰ为ｌ９２．１６８．１０．１／２４。ＶＰＮ服务器上有于签发Ｓｅｒｙｅｒ和Ｃｌｉｅｎｔ证书。块物理网卡，ＩＰ为ｌ９２．１６８．１０．２／２４。一完成以上步骤后系统会在ｋｅＹｓ目录中创建ｃａ．三安装ＯｐｅｎＶＰＮｆｏｒＷｉｎｄｏｗｓ２０００／ｃｒｔ、ｃａ．ｋｅｙ、ｉｎｄｅｘ．ｔｘｔ、ｓｅｒｉａｌ四个文件。ＸＰａｎｄｈｉｇｈｅｒ２．建立ＤｉｆｆｉｅＨｅｌｌｍａｎ文件执行ｂｕｉｌｄ—ｄｈ，生成ＴＬＳｓｅｒｖｅｒ需要使用的ＯｐｅｎＶＰＮｆｏｒＷｉｎｄｏｗｓ２０００／ＸＰａｎｄｈｉｇｈｅｒ文件ｄｈｌ０２４．Ｐｅｍ。安装包下载地址是ｈｔｔＰ：／／ｏＰｅｎｖＰｎ．ｎｅｔ／ｄｏｗｎｉｏａｄ．ｈｔｉｎ１。服务端和客户端安装使用相同的软３．创建Ｓｅｒｖｅｒ端的ｃｅｒｔ和ｋｅｙ文件件包。执行ｂｕｉＩｄ—ｋｅｙ—ｓｅｒｖｅｒｓｅｒｖｅｒ，ｓｅｒｖｅｒ为创在服务端按默认方式安装ＯＰｅｎＶＰＮ，安装系统建后的文件名，分别为ｓｅｒｙｅｒ．ｃｒｔ、ｓｅｒｖｅｒ．ｋｅｙ。１３４Ｉ中小学信息技术教育ＩＩ２００７年第７－８期