【正文】 y nat_traversal=yes virtual_private=%v4:,%v4:,%v4:,%v4:! oe=off 虛擬可用的私網(wǎng)地址 conn %default press=yes authby=rsasig disablearrivalcheck=no leftrsasigkey=%cert 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 20 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 rightrsasigkey=%cert keyingtries=1 conn l2tpx509 使用 l2tp的 x509協(xié)議 進行 加密連接 pfs=no auto=add left= 網(wǎng)關左邊地址即為監(jiān)聽地址 leftcert= 網(wǎng)關所用證書 leftprotoport=17/1701 網(wǎng)關監(jiān)聽端口 right=%any 客戶端 地址為任意地址 rightca=%same 客戶端證書 rightprotoport=17/%any 客戶端使用的連接端口 內(nèi)網(wǎng) web和 ftp服務的安裝與配置 （ 1） LAMP 簡介 在本次課題中的內(nèi)網(wǎng) web 和 ftp 服務是采用的 LAMP 架構來實現(xiàn)的。 LAMP（ Linux ApacheMySQLPHP）網(wǎng)站架構是目前國際 上最 流行的 Web 框架 之一 ， 該框架主要包括 ：Linux 操作系統(tǒng)， Apache 網(wǎng)站 服務器， MySQL 數(shù)據(jù)庫， PHP 編程語言， 框架中的 所有產(chǎn)品 都 是開源軟件，是國際上 最 成熟的架構框架 之一 ， 現(xiàn)在有 很多商業(yè)應用都是 采用的這 一 架構， 相比于 Java/J2EE 架構， LAMP 的 Web 資源豐富、輕量、快速開發(fā)等特點 更加明顯 ， 和 微軟的 .NET 架構相比， LAMP 在 通用、跨平臺、高性能、低價格 等方面具有不俗 的優(yōu)勢，因此無論是性能、質(zhì)量還是價格 ， LAMP 都是企業(yè)搭建網(wǎng)站的首選 架構 平臺。 對于大流量、大并發(fā)量的網(wǎng)站系統(tǒng)架構來說，除了硬件上使用高性能的服務器、負載均衡、 CDN 等之外，在軟件架構上需要重點關注 以下 幾個環(huán)節(jié)：使用高性能的操作系統(tǒng)（ OS）、高性能的網(wǎng)頁服務器（ Web Server）、高性能的數(shù)據(jù)庫（ Database）、高效率的編程語言等。 下面將從這幾點對其一一討論。 一． 操作系統(tǒng) Linux 操作系統(tǒng) 具有很多不同的發(fā)行版本 ， 但是，基于 穩(wěn)定性和性能的考慮， 最理想的操作系統(tǒng)無疑是 CentOS。 CentOS（ Community ENTerprise Operating System）是 Linux 免費 發(fā)行版之一， 與RHEL 有著相同的源代碼。 不過， RHEL 和 SUSE LE 等企業(yè)版 Linux 系統(tǒng) ，提供的升級服務 都是需要收費的 ，無法免費 進行 在線升級，因此要求免費的高度穩(wěn)定性的服務器可以 使 用 CentOS 來 替代 RHEL。 二． Web 服務器、緩存和 PHP 加速 在 LAMP 架構 中 最核心 的模塊無疑是 Apache 服務器 （ Web Server） ， 穩(wěn)定、 開源、模塊豐富是 Apache 的優(yōu)勢 所在 。但 同樣 Apache 的缺點 也非常明顯 ，內(nèi)存和 CPU 的高開銷 ，性能上 的 損耗， 遠不如 Nginx 這類 輕量級的 Web 服務器高效， 就靜態(tài)文件的響 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 21 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 應能力這一點 輕量級的 Web 服務器遠高于 Apache 服務器。 作為 Web 服務器 的 Apache 是負載 PHP 的最佳選擇，如果 訪問流量過 大的話， 還 可以采用 Nginx 來負載非 PHP 的 Web 請求。 Nginx 是一個高性能的 HTTP 和反向代理服務器， Nginx 以它的穩(wěn)定性、 低系統(tǒng)資源的消耗 、示例配置文件和 豐富的功能集 而聞名。Nginx 雖然 不支持 CGI 和 PHP 等動態(tài)語言，但支持 容錯和 負載均衡， 還可以結(jié)合 Apache使用，是 首選的 輕量級 HTTP 服務器。 Web 服務器的緩存 方案有很多 ， Apache 自己也 提供 了 緩存模塊， 當然 也可以使用外加的 Squid 模塊 來 進行緩存，這兩種 上訴兩種 方式 對 Apache 的訪問響應能力 都有一定的提高 。 Squid Cache 是一個 Web Cache Server，支持高效的緩存，可以 用作 網(wǎng)頁服務器的前端 cache 服務器緩存相應的 請求 以 提高 Web 服務器的 響應 速度，把 Squid 放在 Apache服務器 的前端 用 來緩存 Web 服務器生成的動態(tài) 頁面 內(nèi)容，而 Web 應用程序只需要對頁面實效時間進行適當?shù)卦O置即可。如果 訪問量巨大 的話 則可考慮使用 Memcache 來進行分布式緩存。 PHP 使用 eAccelerator 加速器 來進行加速 ， eAccelerator 是一個 開放源代碼的 PHP 加速器 。 對 動態(tài)內(nèi)容緩存 進行優(yōu)化 ， 相應地 提高了 PHP 腳本的緩存性能， 即使 PHP 腳本處 在編譯狀態(tài)下， 它對于服務器的開銷也可以小到忽略不計 。它還有 優(yōu)化腳本的 作用，加快 腳本的執(zhí)行效率， 使 得 PHP 程序代碼 的執(zhí)行 效率能 得到 110 倍 的提高 。 三． 數(shù)據(jù)庫 在所有 開源的數(shù)據(jù)庫中， MySQL 在 穩(wěn)定性、功能和性能上無疑是 首選， MySQL 可以輕易地 達到百萬級別 以上的 數(shù)據(jù)存儲，網(wǎng)站 建設 初期可以將 MySQL 和 Web 服務器放在一起，但是當 數(shù)據(jù) 訪問量 到達一定規(guī)模之后 ， 就 應該將 MySQL 數(shù)據(jù)庫從 Web 服務器上獨立出來， 將 MySQL 數(shù)據(jù)庫和 Web 服務器單獨運行 ，同時 還需要保證 Web 服務器和 MySQL 數(shù)據(jù)庫之間 的穩(wěn)定連接。 綜上所述，基于 LAMP 架構設計具有 安全穩(wěn)定、 成本低廉、 快速開發(fā)、部署靈活 等特點，是 Web 網(wǎng)絡應用和環(huán)境的 最佳 組合 之一 。 （ 2） 安裝 ， mysql，以及 php （ LAMP） [root@localhost ~] yum install [root@localhost ~] yum install [root@localhost ~] yum install （ 3） 配置 LAMP [root@localhost ~] vim /etc/d/conf/ Apache主配置文件 ServerRoot /etc/d 配置文件主目錄 Timeout 60 連接超時時間 Listen 80 監(jiān)聽端口 ServerName :80 域名 DocumentRoot /var//html 網(wǎng)站根目錄 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 22 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 DirectoryIndex 網(wǎng)站默認主頁 ErrorLog logs/error_log 錯誤日志路徑 [root@localhost ~] vim /etc/ [mysqld] datadir=/var/lib/mysql 數(shù)據(jù)庫主目錄 socket=/var/lib/mysql/ 套接字路徑 user=mysql 用戶名 Disabling symboliclinks is remended to prevent assorted security risks symboliclinks=0 [mysqld_safe] logerror=/var/log/ 錯誤日志存放路徑 pidfile=/var/run/mysqld/ 進程文件存放路徑 設置開機自動啟動 ： [root@localhost ~] chkconfig –list d 0:off 1:off 2:on 3:on 4:on 5:on 6:off mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off phpfpm 0:off 1:off 2:on 3:on 4:on 5:on 6:off vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off 啟動服務 ： /etc//etc//etc/安裝 ftp 服務 ： [root@localhost ~] yum install [root@localhost ~] service vsftpd start [root@localhost ~] less /etc/vsftpd/ anonymous_enable=YES 允許匿名用戶登錄 local_enable=YES 允許本地用戶登錄 write_enable=YES 允許登錄用戶擁有寫權限 local_umask=022 設置本地用戶擁有寫和執(zhí)行權限 connect_from_port_20=YES 使用端口號 20連接 至此，本次課題的內(nèi)網(wǎng) web 和 ftp 服務搭建完成。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 23 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 內(nèi)網(wǎng)本地 web 服務以及 ftp 服務展示： 圖 內(nèi)網(wǎng)的 web服務 圖 內(nèi)網(wǎng)的 ftp服務 如圖 和 所示，內(nèi)網(wǎng)的 ftp 服務和 web 服務都已經(jīng)安裝好。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 24 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 4 本次課題實驗 環(huán)境測試 在第三章中 ，所有的 VPN 網(wǎng)關配置已經(jīng)全部完成。配置完成之后，需要進行調(diào)試，改進。 通過客戶端使用特殊的賬號密碼，連入 VPN 網(wǎng)關，然后 VPN 網(wǎng)關分配給客戶端一個內(nèi)網(wǎng)的 ip 地址，客戶端通過內(nèi)網(wǎng) ip 地址訪問內(nèi)網(wǎng)的 web 服務。 本次課題 實驗環(huán)境介紹 如圖 ， 和 所示， 本次課題中總共有三臺 PC 分別充當內(nèi)網(wǎng)服務器、 VPN網(wǎng)關服務器、外網(wǎng)客戶端。內(nèi)網(wǎng)服務器和 VPN 網(wǎng)關的右邊接口 eth0 屬于同一個 VLAN ，并且有相同的網(wǎng)關 。而 VPN 網(wǎng)關的左邊接口 eth1 和外網(wǎng)客戶端屬于同一個 VLAN ，并且有相同的網(wǎng)關 。由于客戶端和內(nèi)網(wǎng)服務器不屬于同一個 VLAN，所以客戶端無法訪問內(nèi)網(wǎng)服務器的任何服務。 圖 內(nèi)網(wǎng) ip 地址 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 25 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 圖 VPN網(wǎng)關 ip 地址 圖 外網(wǎng)客戶端 ip 地址 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 26 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 本次課題實驗 環(huán)境測試 圖 測試外網(wǎng)能否 ping通內(nèi)網(wǎng) 如圖 所示，在連入 VPN 之前，外網(wǎng)客戶端是無法 ping 通內(nèi)網(wǎng)的。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 27 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 圖 測試外網(wǎng)能否訪問內(nèi)網(wǎng) web服務 圖 測試外網(wǎng)能否訪問內(nèi)網(wǎng) ftp服務 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關平臺 28 上海應用技術學院 計算機科學與信息工程學院 畢業(yè)論文 如圖 和 所示， 在連入 VPN 服務器之前，客戶端嘗試 ping 內(nèi)網(wǎng)服務器，訪問內(nèi)網(wǎng)的 web 和 ftp 服務， 都無法訪問。由于他們屬于不同 VLAN，且沒有設置路由，所以客戶端無法訪問內(nèi)網(wǎng)服務器。 如圖 所示， 連上 VPN 網(wǎng)關服務器之后再進行測試。 圖 客戶端