基于多出口的校園網(wǎng)VPN網(wǎng)絡(luò)構(gòu)建

◆李 曉 劉清云

（濟南大學(xué)泉城學(xué)院 山東 265600）

基于多出口的校園網(wǎng)VPN網(wǎng)絡(luò)構(gòu)建

◆李 曉 劉清云

（濟南大學(xué)泉城學(xué)院 山東 265600）

本文結(jié)合校園網(wǎng)的具體網(wǎng)絡(luò)結(jié)構(gòu)和使用情況提出了一個基于多出口的校園網(wǎng)VPN網(wǎng)絡(luò)構(gòu)建方案，根據(jù)這個方案不僅可以實現(xiàn)虛擬的跨區(qū)域的專線聯(lián)通，還可以通過接入移動和聯(lián)通兩大網(wǎng)絡(luò)運營商，將校園專用網(wǎng)內(nèi)資源被訪問的區(qū)域范圍擴展到任何連接Internet的地方，還可以優(yōu)化專用網(wǎng)內(nèi)部的資源管理。

校園網(wǎng)；多出口；VPN；網(wǎng)絡(luò)技術(shù)

0 前言

21世紀(jì)是信息化的社會，隨著科技的不斷進(jìn)步和網(wǎng)絡(luò)的迅猛發(fā)展，當(dāng)今社會已經(jīng)進(jìn)入了高速發(fā)展的信息化時代。高校作為文化知識的傳播和培養(yǎng)高素質(zhì)人才的中心，更應(yīng)該緊跟信息發(fā)展的步伐，發(fā)展成數(shù)字化、信息化的校園。因此，多出口校園的網(wǎng)絡(luò)構(gòu)建成為進(jìn)入信息化社會的不可避免的問題。

最近幾年來，隨著高校信息化網(wǎng)絡(luò)構(gòu)建工作的不斷開展，校園網(wǎng)用戶對校園網(wǎng)的要求也越來越高，單一的傳統(tǒng)網(wǎng)絡(luò)接入已經(jīng)不能滿足日益復(fù)雜的應(yīng)用需求。高校的教師都習(xí)慣用自己的筆記本上網(wǎng)瀏覽學(xué)校資源或者是在就可以登入學(xué)校的教務(wù)處系統(tǒng)管理學(xué)生的成績隨時隨地的沒有限制的訪問網(wǎng)絡(luò)。但是我們都知道，一般情況下，我們是無法用自己的電腦訪問學(xué)校圖書館資源并下載、查閱內(nèi)部資料的，因為我們大多數(shù)的學(xué)校圖書館、教育處等等都是做了訪問限制的，通過教育網(wǎng)我們是無法訪問的。我們都知道在學(xué)校放假后我們只能查看學(xué)校官網(wǎng)卻不能訪問學(xué)校的圖書館系統(tǒng)查看圖書館內(nèi)的資源，這時候我們很多工作就無法繼續(xù)進(jìn)行。

因此，我們需要擴展網(wǎng)絡(luò)的規(guī)模，升級網(wǎng)絡(luò)的結(jié)構(gòu)，在發(fā)展的基礎(chǔ)上不斷的擴大網(wǎng)絡(luò)結(jié)構(gòu)。基于多出口的校園VPN網(wǎng)絡(luò)構(gòu)建就是在學(xué)校網(wǎng)絡(luò)的基礎(chǔ)上增加多條ISP出口，使學(xué)校教職工能夠在使用學(xué)校資源的時候能夠不受限制，更方便快捷地找到自己需要的資源。這就要在設(shè)置的時候在總部增加訪問限制，達(dá)到預(yù)想設(shè)計的目標(biāo)。比如，我們小區(qū)只需要向ISP申請一條專門的線路，這條線路分配了一個IP地址，配置實現(xiàn)全學(xué)院的主機都能實現(xiàn)訪問指定的網(wǎng)絡(luò)。

1 系統(tǒng)分析

1.1 需求分析

按照我校的需求和實際的需要，需求的總目標(biāo)：

（1）先進(jìn)性：由于科技的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)日新月異，更多的運營商和更先進(jìn)的技術(shù)層出不窮,本校的網(wǎng)絡(luò)結(jié)構(gòu)要求在以后的幾年內(nèi)達(dá)到應(yīng)用的需求先進(jìn)性,等夠達(dá)到比較先進(jìn)的水平。

（2）可靠性：本校的網(wǎng)絡(luò)要具有較高的可靠性，不間斷、無故障的全天24小時運行，網(wǎng)絡(luò)的局部問題不會影響到整個網(wǎng)絡(luò)的可靠運行。

（3）可擴展性：整個的網(wǎng)絡(luò)的節(jié)點要有很好的向上擴展性，能夠滿足未來幾年的網(wǎng)絡(luò)擴展的需求，并且具備可承受更高的寬帶和網(wǎng)速的需求。

（4）可管理性：本校的網(wǎng)絡(luò)采用集中式的管理，能夠掌握整個網(wǎng)絡(luò)的運行，并且能夠容易的找出網(wǎng)絡(luò)故障的節(jié)點所在，應(yīng)對復(fù)雜用戶的需求。

（5）安全性：本校的網(wǎng)絡(luò)系統(tǒng)要足夠的安全，因為本院校所有的管理事務(wù)都是在校園網(wǎng)上進(jìn)行，不同部門的數(shù)據(jù)要絕對的安全，可訪問的和不能訪問的要嚴(yán)格的控制區(qū)分開來。

1.2系統(tǒng)設(shè)計分析

要實現(xiàn)上述總目標(biāo)，方案會采用星型拓?fù)浣Y(jié)構(gòu)，方案特點：

（1）高性能雙向交換，多模光纖、百兆位交換到桌面（雙絞線）。

（2）虛擬局域網(wǎng)（WLAN）策略，提高局域網(wǎng)內(nèi)部的安全。

（3）管理簡單，基于瀏覽器和網(wǎng)絡(luò)管理的圖形化界面配置。

（4）系統(tǒng)安全，集成路由器防火墻，提高接入互聯(lián)網(wǎng)的安全保證。

（5）多媒體教學(xué)、辦公、廣播等的需求，實現(xiàn)多媒體教學(xué)的需求。

（6）高速緩存，實現(xiàn)廣域網(wǎng)的快速訪問，減少不必要的網(wǎng)絡(luò)流量的浪費。

（7）經(jīng)濟適應(yīng),使用性價比高的產(chǎn)品配置，支持系統(tǒng)的升級。

（8）在預(yù)算的范圍內(nèi)，最大的實現(xiàn)網(wǎng)絡(luò)系統(tǒng)。

2 校園網(wǎng)主要開發(fā)工具

2.1 校園網(wǎng)模擬主要應(yīng)用技術(shù)

圖1 鏈路聚合

虛擬專用網(wǎng)（Virtual Private Network VPN），是指穿過混亂網(wǎng)絡(luò)的虛擬的專用的網(wǎng)絡(luò)通道，是穿過因特網(wǎng)的一個臨時的安全連接。它有使用VPN降低成本，傳輸數(shù)據(jù)安全可靠，連接方便靈活，完全控制等特點。通過這條隧道可以安全的傳輸信息，用于保密性的通訊中。

圖2 鏈路冗余

（1）IpSec VPN，它的目的就是為了使IP地址具有更高的安全性，VPN是為了實現(xiàn)這種安全特性的方式下產(chǎn)生的一種方便的解決辦法。IPSec是一個框架性的結(jié)構(gòu)，具體由AH協(xié)議和ESP協(xié)議兩部分組成。提供了傳輸Transport和隧道Tunnel兩種封裝模式。端到端的IPSec中，需要被保護(hù)的流量經(jīng)過路由器時，路由器將會啟動相應(yīng)的秘鑰交換IKE（Internet Key Exchange）協(xié)商過程。

（2）Easy VPN是思科獨有的遠(yuǎn)程接入VPN技術(shù)，從Easy VPN的名字上就知道這個應(yīng)該是個簡單的VPN應(yīng)用技術(shù)，只要配置好Server一端，只要客戶機能夠連接上網(wǎng)，使用思科的一個VPN撥號軟件就可以通過VPN實現(xiàn)遠(yuǎn)程訪問公司的網(wǎng)絡(luò)。

（3）鏈路聚合。

（4）鏈路冗余。

2.2 生成樹協(xié)議STP

生成樹協(xié)議（Spanning Tree Protocol STP）它是一個簡單的二層鏈路管理協(xié)，不僅能夠提供鏈路冗余還能在邏輯上斷開鏈路，更能防止產(chǎn)生廣播風(fēng)暴的。當(dāng)線路出現(xiàn)故障的時候，斷開的接口就會自動的被激活，恢復(fù)通信后，起備用線路的作用。

生成樹協(xié)議形成一個無環(huán)拓?fù)涞牟襟E：

（1）選擇一個合適的根網(wǎng)橋（Root Bridge）；

（2）選擇一個合適的根端口（Root Port）；

（3）選擇特定的端口（Designated Ports）；

（4）BPDU。

2.3 Rip協(xié)議

RIP（路由信息）協(xié)議適合應(yīng)用于局域網(wǎng)等小型內(nèi)部網(wǎng)絡(luò)，由于學(xué)校校園網(wǎng)的規(guī)模并不是很大，所以RIP協(xié)議非常適合作為校園網(wǎng)網(wǎng)絡(luò)協(xié)議來使用。在一個自治系統(tǒng)中（Autonomous System AS），路由信息協(xié)議是最經(jīng)常用到的在路由器之間交換路由信息表的協(xié)議。RIP通過數(shù)據(jù)包經(jīng)過的路由器的個數(shù)也就是條數(shù)來計算距離，選擇條數(shù)最少的來作為最佳路徑。因此，RIP最典型的就是距離向量協(xié)議。本次設(shè)計通過多路由器上RIP協(xié)議的配置以及核心，使交換機RIP協(xié)議的配置來實現(xiàn)校園網(wǎng)網(wǎng)絡(luò)的暢通。

2.4 OSPF 協(xié)議（開放式最短路徑優(yōu)先路由協(xié)議）

OSPF配置的核心代碼：

圖3 OSPF協(xié)議

3 基于多出口校園VPN網(wǎng)絡(luò)構(gòu)建

網(wǎng)絡(luò)拓?fù)鋱D如圖4所示：

圖4 校園網(wǎng)絡(luò)拓?fù)鋱D

以本校為實例模型，主要針對網(wǎng)絡(luò)環(huán)境中的設(shè)備和策略、網(wǎng)絡(luò)分布進(jìn)行的研究。高校校園網(wǎng)的組建和搭配，學(xué)校與各分院區(qū)域間通過VPN聯(lián)系的實現(xiàn)，匯聚層通過三層交換機和硬件防火墻的模式實現(xiàn)了與總校區(qū)的網(wǎng)絡(luò)中心的信息交互和共享。各部門的辦公室之間利用三層交換機進(jìn)行VLAN的劃分。又因為我們本校區(qū)下設(shè)多個分學(xué)院，學(xué)校對信息安全和教學(xué)資源等等的保密性要求都比較高，因此基本上都采用了防火墻加軟件管理的方式，通過NAT技術(shù)來實現(xiàn)內(nèi)外網(wǎng)絡(luò)的訪問，在保證學(xué)校資源安全的同時，又可以允許其他校園可以共享我們本校區(qū)的信息和教學(xué)資源。網(wǎng)絡(luò)中心的核心交換機實行雙核心的冗余交換，通過配置冗余交換機防止設(shè)備發(fā)生意外的情況導(dǎo)致校區(qū)網(wǎng)絡(luò)的癱瘓等問題，同時也考慮到了高峰期網(wǎng)絡(luò)阻塞問題，不用帶給核心交換機太多的壓力，在核心交換機上還配置了鏈路聚合增加網(wǎng)絡(luò)的承載能力等等。各個設(shè)備之間通過路由交換技術(shù)實現(xiàn)網(wǎng)絡(luò)的安全和暢通。

分部獲取地址如下圖所示：

圖5 VPN的配置

圖6 客戶端已經(jīng)連接上VPN

圖7 客戶端獲取到的

客戶端能夠ping通網(wǎng)址1.1.1.2，如下圖所示：

圖8 遠(yuǎn)端客戶機連通狀態(tài)

4 結(jié)束語

本文以我校校園網(wǎng)為例，對校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行設(shè)計，并通過Cisco packet tracer軟件的網(wǎng)絡(luò)模擬，已經(jīng)基本完成了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計、規(guī)劃、分部、關(guān)鍵技術(shù)的配置，有關(guān)服務(wù)的模擬，測試的結(jié)果等等。

[1]王達(dá).一個虛擬專用網(wǎng)絡(luò)（VPN）解決方案[M].北京：清華大學(xué)出版社，2004.

[2]備受金.Remoteaccess公共圖書館的電子資源基于SSL VPN[J].圖書館雜志，2009.

[3]虧寧.安全訪問控制技術(shù)及其應(yīng)用[M].北京：電子工業(yè)出版社，2005.

[4]曹茸.DHCP網(wǎng)絡(luò)環(huán)境的構(gòu)建與實現(xiàn)[J].電子科技，2011.

[5]陳立德，蔣冬英.高校校園網(wǎng)的規(guī)劃與設(shè)計[J].中國水運（下半月刊），2010.

[6]古忻艷，孟慶偉.中小型園區(qū)網(wǎng)的設(shè)計與實現(xiàn)[J].現(xiàn)代電子技術(shù)，2010.

[7]王朝陽.校園網(wǎng)IP地址分配方式的使用分析[J].山西科技，2009.

[8]梁桂才，李奇國，張順，蔡偉.校園網(wǎng)IP地址規(guī)劃[J].桂林電子科技大學(xué)學(xué)報，2008.

[9]楊帆.RIP路由協(xié)議分析及配置簡述[J].硅谷，2012.

[10]桑世慶，盧曉慧.交換機/路由器配置與管理[M].人民郵電出版社，2010.