上海財經大學：IPSec VPN實現異地校區資源共享

文/李文才

兩所異地學校之間存在資源共享的需求，但彼此之間可能因為高昂的費用不能使用獨立光纖進行直接互聯,那么如何既實現資源共享又保證數據安全？

很多高校存在著獨立學院或者二級學院，校區之間有的相距較遠甚至不在同一座城市，但是彼此之間存在著資源共享的需求。

上海財大異地訪問資源需求

因經常有上海財經大學的老師前往地處浙江省金華市的上海財經大學浙江學院進行授課，以至于老師們需要在金華使用上海財經大學的OA系統等只有內網才可以訪問的管理信息系統。上海財經大學和上海財經大學浙江學院之間就存在著資源共享的需求。使用獨立光纖能夠有效滿足上述需求，但是高昂的成本迫使網管人員去尋找新的途徑。VPN利用某種技術在共享網絡基礎設施上安全地傳輸私有數據，從而形成不受地域限制，僅受統一策略管理和控制的專用網絡。VPN作為一種靈活的遠程接入解決方案，既解決了數據傳輸的安全問題，又降低了跨廣域網的專網聯網成本，因而具有較好的應用前景。

上海財經大學和上海財經大學浙江學院之間搭建了一條IPSec VPN隧道，搭建完成后彼此之間形成了一個類似內網的環境。浙江學院用戶可以自由地訪問上海財經大學的圖書館數據庫資源，老師可以自由地訪問上海財經大學管理信息系統。因為兩者都處在教科網環境下，彼此之間的網絡帶寬能夠保證這條IPSec VPN鏈路的穩定性和可用性。

圖1 IPSec VPN網絡拓撲

現狀分析及遇到的問題

現狀分析

目前，上海財經大學地處上海市楊浦區，其中主機房位于國定路校區，連接至校外的光纜都連接到該校區的機房。一根IPv4千兆教科網光纖鏈路連接至上海交通大學。教師及學生使用的IP地址是教科網IP地址及10.1.0.0/16和10.2.0.0/16的私有IP地址。上海財經大學金華學院地處浙江省金華市，距離上海約400公里，一根教科網光纖鏈路連接至浙江師范大學。核心網絡交換機同樣采用的是Catalyst 6509E，教師及學生使用的IP地址是10.10.0.0/16、10.11.0.0/16和10.12.0.0/16的私有IP地址。在IPSec VPN部署之前，教師用戶在金華只能使用賬號密碼對學校原有的SSL VPN進行撥號連接，訪問上海財經大學的圖書館數據庫資源和管理信息系統。因為SSL VPN設備本身的限制，網絡速度和穩定性沒有辦法保證。學生用戶因為沒有VPN賬號則不能訪問上海財經大學的數據庫資源，對學生寫論文等造成一定影響。

在兩所學校之間建立IPSec VPN后，用戶在訪問某些特定資源如圖書館數據庫資源、OA系統等時，路由指向IPSec VPN，通過IPSec VPN隧道訪問上述資源。教師用戶不用撥號就可以訪問上述資源，易用性、穩定性和網絡速度也大大提高。學生用戶也能夠使用圖書館數據庫資源，對于學生完成論文及進行科研工作有很大幫助。

升級面臨的問題

1. 在不改變原有網絡拓撲結構的基礎上，進行IPSec VPN的快速部署。

2.在升級改造完成后，用戶不需要進行大的改動，就可以使用IPSec VPN鏈路訪問內網資源。

3.用戶只有在訪問內網資源時才使用VPN鏈路，訪問其余資源走原有的運營商鏈路。

IPSec VPN部署方案

上海財經大學IPSec VPN部署方案不改變原有網絡拓撲結構，選用兩臺安全網關設備建立端到端的IPSec VPN隧道。兩臺設備分別配置一個教科網IP地址用于IPSec VPN的建立，分別配置與核心交換機進行互聯的IP地址。在浙江學院的核心交換機上添加上海財經大學內網資源的地址段路由指向浙江學院的IPSec VPN設備。浙江學院的IPSec VPN設備默認路由指向IPSec VPN隧道的對端IP地址，并添加浙江學院地址段的回程路由。上海的IPSec VPN設備添加默認路由指向VPN設備和上海核心交換機互聯的IP地址，并添加浙江學院地址段的回程路由。上海的核心交換機只需要增加浙江學院地址段的回程路由。

在整個部署過程中，只需要修改核心交換機的路由配置以及安全網關設備自身的IPSec VPN的配置，拓撲結構清晰，配置過程較為簡單、易于實施。實施完成后，用戶不需要做任何改動，就具有訪問內網資源的權利。

升級原則

1.保證現有用戶正常使用網絡。在升級過程中，網絡設備配置的改動不能影響到現有用戶網絡的正常使用。

2.升級不能破壞原有的網絡結構、網絡安全性和網絡性能。

3.簡化用戶操作。在網絡升級完成后，用戶不需要太復雜的設置，就能實現內網資源的正常訪問。

網絡拓撲圖

在進行IPSec VPN部署的過程中，未改變原有的網絡拓撲結構，只是在原有的核心交換機上分別連接兩根網線至IPSec VPN設備，一根用來設備間互聯，一根用于IPSec VPN的建立，拓撲結構簡單，路由走向清楚。如圖1所示。

圖2 IPSec VPN流量概覽

IPSec VPN建立過程

IPSec VPN的建立分為兩個階段。第一階段，協商創建一個通信信道（ISAKMP SA），并對該信道進行認證，為雙方進一步通信提供機密性、數據完整性以及數據源認證服務。創建過程包括：協商一系列算法和參數（這些算法和參數用于保護隧道建立過程中的數據）；計算出兩邊使用的加密KEY值；對等體的驗證，如何才能知道對端就是要與之通信的對端，這里驗證有三種方法（預共享密鑰、數字簽名、加密臨時值）。

第二階段，使用第一階段已建立的通信通道建立IPSec SA（安全聯盟），該SA是為數據傳輸而建立的安全聯盟。這一階段協商建立IPSec SA，為數據交換提供IPSec服務。第二階段協商消息受第一階段SA保護，任何沒有第一階段SA保護的消息將被拒收。

關鍵配置

在IPSecVPN的部署過程中，關鍵配置如下：

浙江學院核心交換機：增加上海財經大學圖書館數據庫資源和管理信息系統IP地址段的靜態路由指向浙江學院IPSec VPN設備的互聯IP地址10.1.2.2。

浙江學院IPSec VPN設備：新建一個IPSec VPN實例ToShanghai。IPSec VPN第一階段配置：配置IPSec VPN的peer IP地址202.121.142.1，配置提議1為P1協議，并設置預共享密鑰。IPSec VPN第二階段配置：設置模式為隧道模式，并配置P2提議為P2協議。設備默認路由指向IPSec VPN隧道，并配置浙江學院用戶IP地址段回程路由指向浙江學院核心交換機互聯地址：10.1.2.1。

上海財經大學IPSec VPN設備：IPSec VPN的協議配置和浙江學院VPN設備配置相同，不同的是，IPSec VPN名稱和peer IP地址為121.192.46.1。設備默認路由指向上海財經大學核心交換機互聯IP地址192.168.202.1，配置浙江學院用戶IP地址段回程路由指向IPSec VPN隧道。

上海財經大學核心交換機：增加浙江學院用戶IP地址段靜態路由指向IPSec VPN設備互聯地址192.168.202.2。

部署完成后的使用情況

部署完成后，浙江學院的用戶無需做任何改動，就擁有了訪問上海財經大學圖書館數據庫資源和管理信息系統的權限，有效解決了用戶在異地訪問內網資源的需求。該應用推廣工作較為順利，用戶反響很好。因為IPSec VPN設備都是用教科網IP地址進行IPSec VPN的建立，網絡的速度和穩定性都很好。圖2給出了部署完成后用戶使用的TOP10 IP地址流量、TOP10應用流量以及網絡接口流量。

IPSec VPN在網對網( Site_Site) 的VPN 連接中具備易于部署、安全性較好等優勢。利用IPSec架構安全VPN 可以在不影響原有應用的前提下, 提供可互操作的、高質量的、基于加密的安全服務。本著夠用、易用、實用的原則，針對學校的實際情況和有限的資金投入，利用IPsec VPN技術解決了異地資源安全訪問的問題，有效解決了上海財經大學（浙江學院）訪問上海財經大學圖書館數據庫資源和管理信息系統的需求，明顯改善了浙江學院的教學和科研環境。