VPN技術(shù)在技工院校校園網(wǎng)中的應(yīng)用實(shí)例

陳建平

（廣東省高級技工學(xué)校 廣東 惠州 516100）

目前，廣東省各技工院校的規(guī)模在不斷擴(kuò)大，很多學(xué)校紛紛建立了新校區(qū)或分校區(qū)。出現(xiàn)的一個(gè)突出問題是，總校區(qū)與分校區(qū)之間或新校區(qū)與老校區(qū)之間沒有教學(xué)網(wǎng)絡(luò)聯(lián)系，分校區(qū)或新校區(qū)不能使用總校區(qū)的各種應(yīng)用系統(tǒng)（如辦公自動(dòng)化、教務(wù)管理系統(tǒng)、學(xué)生信息管理系統(tǒng)和電子圖書館等）等資源，急需高效、安全、低成本地將總校區(qū)與分校區(qū)或新校區(qū)的校園網(wǎng)連接起來，實(shí)現(xiàn)對資源的統(tǒng)一管理和充分利用。此外，利用網(wǎng)絡(luò)資源豐富辦學(xué)手段，實(shí)現(xiàn)和開展遠(yuǎn)程教育教學(xué)和遠(yuǎn)程辦公，提供個(gè)性化的學(xué)習(xí)支持服務(wù)和信息服務(wù)，也是各技工院校網(wǎng)絡(luò)建設(shè)發(fā)展的趨勢。VPN技術(shù)正是這些需求的最佳解決方案之一。

VPN概述

（一）VPN 概念

虛擬專用網(wǎng)絡(luò) （Virtual Private Network， 簡稱VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如 Internet、ATM（異步傳輸模式〉、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

（二）VPN 優(yōu)點(diǎn)

在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要進(jìn)行異地局域網(wǎng)之間的互連，方法是租用DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）專線或幀中繼。這樣的通訊方案必然導(dǎo)致高昂的網(wǎng)絡(luò)通訊/維護(hù)費(fèi)用。對于移動(dòng)用戶（移動(dòng)辦公人員）與遠(yuǎn)端個(gè)人用戶而言，一般通過撥號線路（Internet）進(jìn)入企業(yè)的局域網(wǎng)，而這樣必然帶來安全上的隱患。

虛擬專用網(wǎng)的出現(xiàn)就能解決這些問題：（1）使用VPN可降低成本。通過公用網(wǎng)來建立VPN，可以節(jié)省大量通信費(fèi)用，不必投入大量的人力和物力去安裝和維護(hù)WAN（廣域網(wǎng)）設(shè)備和遠(yuǎn)程訪問設(shè)備。（2）傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。（3）連接方便靈活。用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。（4）完全控制。虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)，又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其他安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以建立虛擬專用網(wǎng)。

（三）VPN 分類

（1）Access VPN（遠(yuǎn)程接入 VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。 （2）Intranet VPN（內(nèi)聯(lián)網(wǎng) VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。（3）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。

我校校園網(wǎng)VPN解決方案

（一）校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用需求

我校分為惠州總校區(qū)和廣州分校區(qū)，校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。總校區(qū)的網(wǎng)絡(luò)中有辦公自動(dòng)化系統(tǒng)、教務(wù)系統(tǒng)、學(xué)生管理系統(tǒng)、招生就業(yè)系統(tǒng)、資產(chǎn)管理系統(tǒng)、教學(xué)課件及教學(xué)視頻等資源，分校區(qū)的網(wǎng)絡(luò)中沒有這些應(yīng)用系統(tǒng)。現(xiàn)在，學(xué)校想讓分校區(qū)和總校區(qū)一樣能安全、可靠地使用總校區(qū)的應(yīng)用系統(tǒng)和教學(xué)資源，實(shí)現(xiàn)統(tǒng)一管理與教學(xué)資源共享；另外，學(xué)校還希望能實(shí)現(xiàn)遠(yuǎn)程辦公和使用校園網(wǎng)上的資源，網(wǎng)絡(luò)管理員希望能實(shí)現(xiàn)遠(yuǎn)程管理校園網(wǎng)網(wǎng)絡(luò)設(shè)備。

（二）VPN應(yīng)用方案

針對分校區(qū)使用總校區(qū)的應(yīng)用系統(tǒng)和教學(xué)資源的需求，采用IPSec VPN來實(shí)現(xiàn)。IPSec VPN可以高效、安全、低成本地將總校區(qū)的網(wǎng)絡(luò)和分校區(qū)的網(wǎng)絡(luò)在邏輯上連接起來；基于SSL VPN功能非常適合移動(dòng)辦公人員的遠(yuǎn)程安全接入，故針對遠(yuǎn)程辦公及遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備的需求，采用SSL VPN來實(shí)現(xiàn)。

兩個(gè)校區(qū)的防火墻都選用了神州數(shù)碼的DCFW-1800系列，經(jīng)查看防火墻資料可知，此設(shè)備支持IPSec VPN和SSL VPN的功能，因此，無需再購買專門的VPN設(shè)備，在學(xué)校的防火墻上架設(shè)IPSec VPN和SSL VPN，就能達(dá)到學(xué)校的應(yīng)用要求。解決方案網(wǎng)絡(luò)結(jié)構(gòu)圖如圖2所示。

（三）IPSec VPN 配置

總校區(qū)防火墻IPSec VPN配置 第一步：創(chuàng)建IKE第一階段提議。在VPN/IPSec VPN/P1提議中，定義IKE第一階段的協(xié)商內(nèi)容 （提議名稱：P1、認(rèn)證方式：Pre-shared、 驗(yàn)證算法：SHA-1、 加密算法：3DES、DH組：Groups、生存時(shí)間：86400）。兩臺(tái)防火墻的IKE第一階段協(xié)商內(nèi)容需要一致。第二步：創(chuàng)建IKE第二階段提議。在VPN/IPSec VPN/P2提議中定義IKE第二階段協(xié)商內(nèi)容（例如，提議名稱：P2、協(xié)議：ESP、驗(yàn)證算法：SHA-1、PFS 組：NO PFS、生存時(shí)間：28800）。 兩臺(tái)防火墻第二階段協(xié)商內(nèi)容需要一致。第三步：創(chuàng)建對等體（peer）。在VPN/IPSec VPN/VPN對端中新建對端，并定義相關(guān)參數(shù)（對端名稱：peer、接口：ethernet0/1、模式：主模式、類型：靜態(tài)IP、對端IP地址：218.240.143.220、提議 1：P1、預(yù)共享密碼：1216）。 第四步：創(chuàng)建隧道。在VPN/IPSec VPN/IPSec VPN中創(chuàng)建到防火墻FW-B的VPN隧道，并定義相關(guān)參數(shù)（名稱：ipsec_tun、模式：tunnel、提議名稱：P2、代理 ID：手工、本地 IP/掩碼：172.17.0.0/16、遠(yuǎn)程 IP/掩碼：192.168.0.0/16、服務(wù)：Any）。第五步：創(chuàng)建隧道接口并與IPSec綁定。在網(wǎng)絡(luò)/接口中，新建隧道接口指定安全域并綁定IPSec隧道（接口名：tunnel8、安全域類型：三層安全域、安全域：untrust、類型：靜態(tài) IP、隧道類型：IPSec、VPN名稱：ipsec_tun）。第六步：添加隧道路由。在網(wǎng)絡(luò)/路由/目的路由中新建一條路由，目的地址是對端加密保護(hù)子網(wǎng)（IP：192.168.0.0、子網(wǎng)掩碼：255.255.0.0、下一跳：接口、接口：tunnel8），網(wǎng)關(guān)為創(chuàng)建的tunnel口。第七步：添加安全策略。在創(chuàng)建安全策略前首先要?jiǎng)?chuàng)建本地網(wǎng)段（名為local）和對端網(wǎng)段（名為remote）的地址簿，創(chuàng)建完成兩個(gè)地址簿后，在防火墻/策略中新建策略，允許本地VPN保護(hù)子網(wǎng)訪問對端VPN保護(hù)子網(wǎng)。允許對端VPN保護(hù)子網(wǎng)訪問本地VPN保護(hù)子網(wǎng)。

分校區(qū)防火墻IPSec VPN配置 由于分校區(qū)防火墻與總校區(qū)的一樣，所以配置過程同總校區(qū)防火墻。

（四）SSL VPN 配置

在總校區(qū)的防火墻上配置SSL VPN，具體步驟如下。第一步：配置SCVPN地址池。通過配置SCVPN地址池為VPN接入用戶分配IP地址，地址池需配置網(wǎng)路中未使用網(wǎng)段。在SCVPN/SCVPN實(shí)例/地址池中新建一個(gè)名為scvpn的地址池，起始地址為172.17.250.10，終止地址為 172.17.250.254， 子網(wǎng)掩碼為255.255.255.0。第二步：配置SCVPN實(shí)例——?jiǎng)?chuàng)建實(shí)例。在SCVPN/SCVPN實(shí)例中新建SCVPN實(shí)例，HTTPS服務(wù)端口設(shè)為4433、綁定出接口ethernet0/1、地址池設(shè)為scvpn后點(diǎn)擊確認(rèn)，再次編輯，點(diǎn)出添加按鈕，隧道路由目標(biāo)網(wǎng)絡(luò)指向172.17.1.0/24，AAA服務(wù)器設(shè)為local。要注意，在添加隧道路由時(shí)，度量值建議設(shè)置成1。第三步：創(chuàng)建SCVPN所屬安全域。在網(wǎng)絡(luò)/安全域中為創(chuàng)建的SCVPN新建一個(gè)安全域，安全域類型為“三層安全域”。第四步：創(chuàng)建隧道接口并引用SCVPN隧道。為了SCVPN客戶端能與防火墻上其他接口所屬區(qū)域之間正常路由轉(zhuǎn)發(fā)，需要為他們配置一個(gè)網(wǎng)關(guān)接口，這在防火墻上通過創(chuàng)建一個(gè)隧道接口，并將創(chuàng)建好的SCVPN實(shí)例綁定到該接口上來實(shí)現(xiàn)，具體配置為：接口名：tunnel1、安全域類型：三層安全域、安全域：scvpn、IP 類型：靜態(tài)IP、IP/網(wǎng)絡(luò)掩碼：172.17.250.1/24、隧道類型：SCVPN、VPN名稱：scvpn。第五步：創(chuàng)建安全策略。在防火墻/策略中添加訪問策略，允許通過SCVPN到內(nèi)網(wǎng)的訪問。第六步：添加SCVPN用戶賬號。創(chuàng)建SCVPN登陸賬號，因SCVPN實(shí)例使用local認(rèn)證，所以需在AAA服務(wù)器local中添加用戶，輸入用戶名和密碼。第七步：SCVPN登陸演示。在客戶端上打開瀏覽器，在地址欄中鍵入：https：//59.39.146.126：4433，在登陸界面中填入用戶賬號和密碼點(diǎn)擊登陸即可。

通過以上VPN技術(shù)在我校的應(yīng)用，學(xué)校以非常低的成本解決了分校使用總校網(wǎng)絡(luò)資源和遠(yuǎn)程辦公等問題。VPN技術(shù)為我們提供了一種安全、高效、靈活和經(jīng)濟(jì)的聯(lián)網(wǎng)方式，解決了技工院校辦學(xué)方式變化后校園網(wǎng)建設(shè)面臨的具體問題。

[1]何亞輝，肖路，陳鳳英.基于IPSec的VPN技術(shù)原理與應(yīng)用[J].重慶工學(xué)院學(xué)報(bào)，2006（11）.

[2]殷平.VPN技術(shù)及其應(yīng)用的研究[J].電腦知識與技術(shù)，2010（21）.

[3]張宓.采用SSL VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程辦公自動(dòng)化[J].科技風(fēng)，2011（12）.