【正文】 y nat_traversal=yes virtual_private=%v4:,%v4:,%v4:,%v4:! oe=off 虛擬可用的私網(wǎng)地址 conn %default press=yes authby=rsasig disablearrivalcheck=no leftrsasigkey=%cert 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 20 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 rightrsasigkey=%cert keyingtries=1 conn l2tpx509 使用 l2tp的 x509協(xié)議 進(jìn)行 加密連接 pfs=no auto=add left= 網(wǎng)關(guān)左邊地址即為監(jiān)聽(tīng)地址 leftcert= 網(wǎng)關(guān)所用證書(shū) leftprotoport=17/1701 網(wǎng)關(guān)監(jiān)聽(tīng)端口 right=%any 客戶端 地址為任意地址 rightca=%same 客戶端證書(shū) rightprotoport=17/%any 客戶端使用的連接端口 內(nèi)網(wǎng) web和 ftp服務(wù)的安裝與配置 （ 1） LAMP 簡(jiǎn)介 在本次課題中的內(nèi)網(wǎng) web 和 ftp 服務(wù)是采用的 LAMP 架構(gòu)來(lái)實(shí)現(xiàn)的。 LAMP（ Linux ApacheMySQLPHP）網(wǎng)站架構(gòu)是目前國(guó)際 上最 流行的 Web 框架 之一 ， 該框架主要包括 ：Linux 操作系統(tǒng)， Apache 網(wǎng)站 服務(wù)器， MySQL 數(shù)據(jù)庫(kù)， PHP 編程語(yǔ)言， 框架中的 所有產(chǎn)品 都 是開(kāi)源軟件，是國(guó)際上 最 成熟的架構(gòu)框架 之一 ， 現(xiàn)在有 很多商業(yè)應(yīng)用都是 采用的這 一 架構(gòu)， 相比于 Java/J2EE 架構(gòu)， LAMP 的 Web 資源豐富、輕量、快速開(kāi)發(fā)等特點(diǎn) 更加明顯 ， 和 微軟的 .NET 架構(gòu)相比， LAMP 在 通用、跨平臺(tái)、高性能、低價(jià)格 等方面具有不俗 的優(yōu)勢(shì)，因此無(wú)論是性能、質(zhì)量還是價(jià)格 ， LAMP 都是企業(yè)搭建網(wǎng)站的首選 架構(gòu) 平臺(tái)。 對(duì)于大流量、大并發(fā)量的網(wǎng)站系統(tǒng)架構(gòu)來(lái)說(shuō)，除了硬件上使用高性能的服務(wù)器、負(fù)載均衡、 CDN 等之外，在軟件架構(gòu)上需要重點(diǎn)關(guān)注 以下 幾個(gè)環(huán)節(jié)：使用高性能的操作系統(tǒng)（ OS）、高性能的網(wǎng)頁(yè)服務(wù)器（ Web Server）、高性能的數(shù)據(jù)庫(kù)（ Database）、高效率的編程語(yǔ)言等。 下面將從這幾點(diǎn)對(duì)其一一討論。 一． 操作系統(tǒng) Linux 操作系統(tǒng) 具有很多不同的發(fā)行版本 ， 但是，基于 穩(wěn)定性和性能的考慮， 最理想的操作系統(tǒng)無(wú)疑是 CentOS。 CentOS（ Community ENTerprise Operating System）是 Linux 免費(fèi) 發(fā)行版之一， 與RHEL 有著相同的源代碼。 不過(guò)， RHEL 和 SUSE LE 等企業(yè)版 Linux 系統(tǒng) ，提供的升級(jí)服務(wù) 都是需要收費(fèi)的 ，無(wú)法免費(fèi) 進(jìn)行 在線升級(jí)，因此要求免費(fèi)的高度穩(wěn)定性的服務(wù)器可以 使 用 CentOS 來(lái) 替代 RHEL。 二． Web 服務(wù)器、緩存和 PHP 加速 在 LAMP 架構(gòu) 中 最核心 的模塊無(wú)疑是 Apache 服務(wù)器 （ Web Server） ， 穩(wěn)定、 開(kāi)源、模塊豐富是 Apache 的優(yōu)勢(shì) 所在 。但 同樣 Apache 的缺點(diǎn) 也非常明顯 ，內(nèi)存和 CPU 的高開(kāi)銷 ，性能上 的 損耗， 遠(yuǎn)不如 Nginx 這類 輕量級(jí)的 Web 服務(wù)器高效， 就靜態(tài)文件的響 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 21 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 應(yīng)能力這一點(diǎn) 輕量級(jí)的 Web 服務(wù)器遠(yuǎn)高于 Apache 服務(wù)器。 作為 Web 服務(wù)器 的 Apache 是負(fù)載 PHP 的最佳選擇，如果 訪問(wèn)流量過(guò) 大的話， 還 可以采用 Nginx 來(lái)負(fù)載非 PHP 的 Web 請(qǐng)求。 Nginx 是一個(gè)高性能的 HTTP 和反向代理服務(wù)器， Nginx 以它的穩(wěn)定性、 低系統(tǒng)資源的消耗 、示例配置文件和 豐富的功能集 而聞名。Nginx 雖然 不支持 CGI 和 PHP 等動(dòng)態(tài)語(yǔ)言，但支持 容錯(cuò)和 負(fù)載均衡， 還可以結(jié)合 Apache使用，是 首選的 輕量級(jí) HTTP 服務(wù)器。 Web 服務(wù)器的緩存 方案有很多 ， Apache 自己也 提供 了 緩存模塊， 當(dāng)然 也可以使用外加的 Squid 模塊 來(lái) 進(jìn)行緩存，這兩種 上訴兩種 方式 對(duì) Apache 的訪問(wèn)響應(yīng)能力 都有一定的提高 。 Squid Cache 是一個(gè) Web Cache Server，支持高效的緩存，可以 用作 網(wǎng)頁(yè)服務(wù)器的前端 cache 服務(wù)器緩存相應(yīng)的 請(qǐng)求 以 提高 Web 服務(wù)器的 響應(yīng) 速度，把 Squid 放在 Apache服務(wù)器 的前端 用 來(lái)緩存 Web 服務(wù)器生成的動(dòng)態(tài) 頁(yè)面 內(nèi)容，而 Web 應(yīng)用程序只需要對(duì)頁(yè)面實(shí)效時(shí)間進(jìn)行適當(dāng)?shù)卦O(shè)置即可。如果 訪問(wèn)量巨大 的話 則可考慮使用 Memcache 來(lái)進(jìn)行分布式緩存。 PHP 使用 eAccelerator 加速器 來(lái)進(jìn)行加速 ， eAccelerator 是一個(gè) 開(kāi)放源代碼的 PHP 加速器 。 對(duì) 動(dòng)態(tài)內(nèi)容緩存 進(jìn)行優(yōu)化 ， 相應(yīng)地 提高了 PHP 腳本的緩存性能， 即使 PHP 腳本處 在編譯狀態(tài)下， 它對(duì)于服務(wù)器的開(kāi)銷也可以小到忽略不計(jì) 。它還有 優(yōu)化腳本的 作用，加快 腳本的執(zhí)行效率， 使 得 PHP 程序代碼 的執(zhí)行 效率能 得到 110 倍 的提高 。 三． 數(shù)據(jù)庫(kù) 在所有 開(kāi)源的數(shù)據(jù)庫(kù)中， MySQL 在 穩(wěn)定性、功能和性能上無(wú)疑是 首選， MySQL 可以輕易地 達(dá)到百萬(wàn)級(jí)別 以上的 數(shù)據(jù)存儲(chǔ)，網(wǎng)站 建設(shè) 初期可以將 MySQL 和 Web 服務(wù)器放在一起，但是當(dāng) 數(shù)據(jù) 訪問(wèn)量 到達(dá)一定規(guī)模之后 ， 就 應(yīng)該將 MySQL 數(shù)據(jù)庫(kù)從 Web 服務(wù)器上獨(dú)立出來(lái)， 將 MySQL 數(shù)據(jù)庫(kù)和 Web 服務(wù)器單獨(dú)運(yùn)行 ，同時(shí) 還需要保證 Web 服務(wù)器和 MySQL 數(shù)據(jù)庫(kù)之間 的穩(wěn)定連接。 綜上所述，基于 LAMP 架構(gòu)設(shè)計(jì)具有 安全穩(wěn)定、 成本低廉、 快速開(kāi)發(fā)、部署靈活 等特點(diǎn)，是 Web 網(wǎng)絡(luò)應(yīng)用和環(huán)境的 最佳 組合 之一 。 （ 2） 安裝 ， mysql，以及 php （ LAMP） [root@localhost ~] yum install [root@localhost ~] yum install [root@localhost ~] yum install （ 3） 配置 LAMP [root@localhost ~] vim /etc/d/conf/ Apache主配置文件 ServerRoot /etc/d 配置文件主目錄 Timeout 60 連接超時(shí)時(shí)間 Listen 80 監(jiān)聽(tīng)端口 ServerName :80 域名 DocumentRoot /var//html 網(wǎng)站根目錄 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 22 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 DirectoryIndex 網(wǎng)站默認(rèn)主頁(yè) ErrorLog logs/error_log 錯(cuò)誤日志路徑 [root@localhost ~] vim /etc/ [mysqld] datadir=/var/lib/mysql 數(shù)據(jù)庫(kù)主目錄 socket=/var/lib/mysql/ 套接字路徑 user=mysql 用戶名 Disabling symboliclinks is remended to prevent assorted security risks symboliclinks=0 [mysqld_safe] logerror=/var/log/ 錯(cuò)誤日志存放路徑 pidfile=/var/run/mysqld/ 進(jìn)程文件存放路徑 設(shè)置開(kāi)機(jī)自動(dòng)啟動(dòng) ： [root@localhost ~] chkconfig –list d 0:off 1:off 2:on 3:on 4:on 5:on 6:off mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off phpfpm 0:off 1:off 2:on 3:on 4:on 5:on 6:off vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off 啟動(dòng)服務(wù) ： /etc//etc//etc/安裝 ftp 服務(wù) ： [root@localhost ~] yum install [root@localhost ~] service vsftpd start [root@localhost ~] less /etc/vsftpd/ anonymous_enable=YES 允許匿名用戶登錄 local_enable=YES 允許本地用戶登錄 write_enable=YES 允許登錄用戶擁有寫(xiě)權(quán)限 local_umask=022 設(shè)置本地用戶擁有寫(xiě)和執(zhí)行權(quán)限 connect_from_port_20=YES 使用端口號(hào) 20連接 至此，本次課題的內(nèi)網(wǎng) web 和 ftp 服務(wù)搭建完成。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 23 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 內(nèi)網(wǎng)本地 web 服務(wù)以及 ftp 服務(wù)展示： 圖 內(nèi)網(wǎng)的 web服務(wù) 圖 內(nèi)網(wǎng)的 ftp服務(wù) 如圖 和 所示，內(nèi)網(wǎng)的 ftp 服務(wù)和 web 服務(wù)都已經(jīng)安裝好。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 24 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 4 本次課題實(shí)驗(yàn) 環(huán)境測(cè)試 在第三章中 ，所有的 VPN 網(wǎng)關(guān)配置已經(jīng)全部完成。配置完成之后，需要進(jìn)行調(diào)試，改進(jìn)。 通過(guò)客戶端使用特殊的賬號(hào)密碼，連入 VPN 網(wǎng)關(guān)，然后 VPN 網(wǎng)關(guān)分配給客戶端一個(gè)內(nèi)網(wǎng)的 ip 地址，客戶端通過(guò)內(nèi)網(wǎng) ip 地址訪問(wèn)內(nèi)網(wǎng)的 web 服務(wù)。 本次課題 實(shí)驗(yàn)環(huán)境介紹 如圖 ， 和 所示， 本次課題中總共有三臺(tái) PC 分別充當(dāng)內(nèi)網(wǎng)服務(wù)器、 VPN網(wǎng)關(guān)服務(wù)器、外網(wǎng)客戶端。內(nèi)網(wǎng)服務(wù)器和 VPN 網(wǎng)關(guān)的右邊接口 eth0 屬于同一個(gè) VLAN ，并且有相同的網(wǎng)關(guān) 。而 VPN 網(wǎng)關(guān)的左邊接口 eth1 和外網(wǎng)客戶端屬于同一個(gè) VLAN ，并且有相同的網(wǎng)關(guān) 。由于客戶端和內(nèi)網(wǎng)服務(wù)器不屬于同一個(gè) VLAN，所以客戶端無(wú)法訪問(wèn)內(nèi)網(wǎng)服務(wù)器的任何服務(wù)。 圖 內(nèi)網(wǎng) ip 地址 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 25 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 圖 VPN網(wǎng)關(guān) ip 地址 圖 外網(wǎng)客戶端 ip 地址 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 26 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 本次課題實(shí)驗(yàn) 環(huán)境測(cè)試 圖 測(cè)試外網(wǎng)能否 ping通內(nèi)網(wǎng) 如圖 所示，在連入 VPN 之前，外網(wǎng)客戶端是無(wú)法 ping 通內(nèi)網(wǎng)的。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 27 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 圖 測(cè)試外網(wǎng)能否訪問(wèn)內(nèi)網(wǎng) web服務(wù) 圖 測(cè)試外網(wǎng)能否訪問(wèn)內(nèi)網(wǎng) ftp服務(wù) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺(tái) 28 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 如圖 和 所示， 在連入 VPN 服務(wù)器之前，客戶端嘗試 ping 內(nèi)網(wǎng)服務(wù)器，訪問(wèn)內(nèi)網(wǎng)的 web 和 ftp 服務(wù)， 都無(wú)法訪問(wèn)。由于他們屬于不同 VLAN，且沒(méi)有設(shè)置路由，所以客戶端無(wú)法訪問(wèn)內(nèi)網(wǎng)服務(wù)器。 如圖 所示， 連上 VPN 網(wǎng)關(guān)服務(wù)器之后再進(jìn)行測(cè)試。 圖 客戶端