吳慧玲 韓志耕 陳耿 郁金華

【摘 要】本文提出了一種基于混合VPN技術(shù)的校園網(wǎng)建設(shè)模式。該模式借助混合VPN技術(shù)，一方面通過(guò)構(gòu)建站點(diǎn)與站點(diǎn)式VPN實(shí)現(xiàn)了公網(wǎng)承載下的區(qū)間安全互訪(fǎng)，滿(mǎn)足了中學(xué)分校區(qū)之間的數(shù)據(jù)通信需求；另一方面，通過(guò)構(gòu)建遠(yuǎn)程接入式VPN提供了遠(yuǎn)程單點(diǎn)對(duì)本地網(wǎng)絡(luò)的安全聯(lián)通，滿(mǎn)足了異地師生利用現(xiàn)有公網(wǎng)遠(yuǎn)程接入校園網(wǎng)的需求。在此基礎(chǔ)上，以南京市蓮花實(shí)驗(yàn)學(xué)校建校初期的校園網(wǎng)改造為例，探討了該模式的使用過(guò)程。實(shí)踐表明，該模式對(duì)于資金受限情況下的中學(xué)校園網(wǎng)的建設(shè)具有重要的借鑒意義。

【關(guān)鍵詞】混合VPN；區(qū)間互訪(fǎng)；遠(yuǎn)程接入；公網(wǎng)承載；資金受限

【中圖分類(lèi)號(hào)】G434 【文獻(xiàn)標(biāo)識(shí)碼】B

【論文編號(hào)】1671-7384（2014）03-0067-03

目前全國(guó)各級(jí)各類(lèi)學(xué)校都在以各種方式大力建設(shè)校園網(wǎng)，在校園網(wǎng)擴(kuò)建過(guò)程中也面臨著眾多問(wèn)題，嚴(yán)重阻礙著校園網(wǎng)作用的進(jìn)一步發(fā)揮。

如何在費(fèi)用受限的情況下擴(kuò)建中學(xué)校園網(wǎng)，成為中學(xué)信息化建設(shè)者們必須面對(duì)的棘手問(wèn)題。為緩和該問(wèn)題，本文提出了一種基于混合VPN（Virtual Private Network）技術(shù)的校園網(wǎng)建設(shè)模式。該模式充分利用了VPN的價(jià)格優(yōu)勢(shì)，在現(xiàn)有公網(wǎng)設(shè)施基礎(chǔ)上借助混合VPN技術(shù)，一方面，通過(guò)構(gòu)建站點(diǎn)與站點(diǎn)式VPN實(shí)現(xiàn)了公網(wǎng)承載下校區(qū)之間的網(wǎng)絡(luò)安全互訪(fǎng)，另一方面，通過(guò)構(gòu)建遠(yuǎn)程接入式VPN，方便了異地師生通過(guò)公網(wǎng)安全地接入校園網(wǎng)。

VPN技術(shù)

VPN是20世紀(jì)90年代發(fā)展起來(lái)的一種互聯(lián)網(wǎng)增值業(yè)務(wù)[1]。作為一種建立在實(shí)際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的功能性網(wǎng)絡(luò)，VPN充分利用開(kāi)放的公共網(wǎng)絡(luò)資源建立起私有傳輸通道，能夠?qū)⑦h(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)辦公人員連接起來(lái)，并提供安全的端到端數(shù)據(jù)通信。

依據(jù)不同的標(biāo)準(zhǔn)，VPN存在如下分類(lèi)：（1）依據(jù)所采用的隧道協(xié)議，可分為基于PPTP、L2TP和IPSec協(xié)議的VPN。其中PPTP和L2TP協(xié)議工作在TCP/IP體系的第二層，又稱(chēng)為二層隧道協(xié)議；IPSec協(xié)議工作在第三層（網(wǎng)絡(luò)層），是最常見(jiàn)的隧道協(xié)議。目前的趨勢(shì)是融合使用L2TP和IPSec。（2）依據(jù)面向的應(yīng)用場(chǎng)合，可分為遠(yuǎn)程接入VPN（Access VPN）、內(nèi)聯(lián)網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)VPN（Extranet VPN）。其中遠(yuǎn)程接入VPN旨在實(shí)現(xiàn)客戶(hù)端到網(wǎng)關(guān)的連接；內(nèi)聯(lián)網(wǎng)VPN旨在實(shí)現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)的連接，主要用于連接同一個(gè)自治域內(nèi)的不同資源；外聯(lián)網(wǎng)VPN旨在連接不同自治域間的相關(guān)資源。（3）按所采用的設(shè)備類(lèi)型，可分為路由器式VPN、交換機(jī)式VPN和防火墻式VPN。其中路由器式VPN部署比較容易，只需為路由器添加VPN服務(wù)即可；交換機(jī)式VPN主要用于用戶(hù)較少的VPN網(wǎng)絡(luò)；防火墻式VPN是最常見(jiàn)的一種VPN實(shí)現(xiàn)方式，許多廠(chǎng)商都提供這種配置類(lèi)型。（4）按照實(shí)現(xiàn)原理劃分，VPN可以分為重疊VPN和對(duì)等VPN。其中重疊VPN主要是指用戶(hù)自建的端節(jié)點(diǎn)之間VPN鏈路，通常涉及GRE、L2TP和IPSec等眾多技術(shù)；對(duì)等VPN主要指由網(wǎng)絡(luò)運(yùn)營(yíng)商在主干網(wǎng)上建立的VPN通道，通常涉及MPLS、IPSec和SSL等技術(shù)。

VPN優(yōu)勢(shì)

VPN技術(shù)不需要用戶(hù)擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線(xiàn)路，而是直接使用ISP（Internet服務(wù)提供商）和NSP（網(wǎng)絡(luò)服務(wù)提供商）所提供的Internet公眾數(shù)據(jù)網(wǎng)絡(luò)來(lái)建立專(zhuān)用的數(shù)據(jù)通信鏈路。VPN數(shù)據(jù)通信鏈路的這種構(gòu)建方式，使得在VPN中任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組合而成。VPN不是專(zhuān)用網(wǎng)絡(luò)（最符合應(yīng)用需求的特定網(wǎng)絡(luò)），卻能提供專(zhuān)用網(wǎng)絡(luò)的功能，這使得VPN一經(jīng)推出即掀起了網(wǎng)絡(luò)市場(chǎng)的繁榮，早在2001年，全球VPN市場(chǎng)就已高達(dá)120億美元。

對(duì)用戶(hù)來(lái)說(shuō)，VPN另一個(gè)吸引力體現(xiàn)在價(jià)格方面。統(tǒng)計(jì)數(shù)據(jù)表明，如果用戶(hù)放棄租用專(zhuān)線(xiàn)而采用VPN，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%～45%，至于那些以電話(huà)撥號(hào)方式聯(lián)網(wǎng)存取數(shù)據(jù)的用戶(hù)，采用VPN則可以節(jié)約通訊成本50%～80%。這使得在網(wǎng)絡(luò)建設(shè)中使用VPN技術(shù)無(wú)疑會(huì)大大縮減開(kāi)銷(xiāo)。

中學(xué)校園網(wǎng)建設(shè)模式

1.建設(shè)需求

（1） 校區(qū)互聯(lián)

隨著國(guó)家對(duì)基礎(chǔ)教育優(yōu)質(zhì)資源共享、重組和整合的日益重視，近十年來(lái)陸續(xù)出現(xiàn)了合并和集團(tuán)化辦學(xué)模式。實(shí)踐證明，借助該類(lèi)辦學(xué)模式的集中式統(tǒng)一管理，確保了原有各學(xué)校的優(yōu)質(zhì)資源得到更為充分的平衡調(diào)配與高效利用[2]。合并（或集團(tuán)化）辦學(xué)牽涉一系列問(wèn)題，其中校園網(wǎng)的互聯(lián)與擴(kuò)建是新學(xué)校信息化建設(shè)無(wú)法回避的問(wèn)題。合并前的各個(gè)學(xué)校在地域上通常較為分散，對(duì)于高校來(lái)說(shuō)，可以通過(guò)專(zhuān)項(xiàng)資金架設(shè)專(zhuān)線(xiàn)將各個(gè)子校區(qū)高速互聯(lián)起來(lái)，但這種方案對(duì)于經(jīng)費(fèi)缺乏的中學(xué)來(lái)說(shuō)顯然行不通。為此，必須尋求實(shí)現(xiàn)校園網(wǎng)互聯(lián)的最小代價(jià)方法。

（2） 異地訪(fǎng)問(wèn)

近年來(lái)隨著信息技術(shù)在科教興國(guó)戰(zhàn)略中的應(yīng)用，以教室為根據(jù)地的傳統(tǒng)教學(xué)活動(dòng)開(kāi)始向信息空間延伸。借助網(wǎng)絡(luò)信息技術(shù)，教學(xué)活動(dòng)的實(shí)施不再拘泥于定時(shí)定點(diǎn)的常規(guī)模式，而是演變成隨時(shí)隨地的快捷模式。校園網(wǎng)是信息化教學(xué)的前沿陣地，快捷教學(xué)模式的實(shí)施要求師生能夠隨時(shí)隨地接入校園網(wǎng)，這要求當(dāng)師生的信息終端處在校園網(wǎng)物理范圍之外時(shí)，也可以在異地遠(yuǎn)程接入校園網(wǎng)。如何讓師生利用已有的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施零代價(jià)地接入校園網(wǎng)，必須尋求相應(yīng)的解決方法。

2. 建設(shè)方案

滿(mǎn)足中學(xué)校園網(wǎng)建設(shè)需求的經(jīng)濟(jì)方案是構(gòu)建混合式VPN。

（1） 使用站點(diǎn)對(duì)站點(diǎn)式VPN來(lái)實(shí)現(xiàn)校區(qū)互聯(lián)

由于在學(xué)校合并（或集團(tuán)化）之前，原有學(xué)校通常都建有自己的校園網(wǎng)。這些校園網(wǎng)有可能處于同一個(gè)互聯(lián)網(wǎng)自治域，也有可能處于不同的互聯(lián)網(wǎng)自治域。針對(duì)這兩種不同的情況，分別采用不同的站點(diǎn)對(duì)站點(diǎn)式VPN。處于同一個(gè)自治域的校園網(wǎng)，由于它們運(yùn)行著相同的內(nèi)部網(wǎng)關(guān)協(xié)議，對(duì)它們實(shí)施互聯(lián)較為經(jīng)濟(jì)的方法是采用內(nèi)聯(lián)網(wǎng)VPN。處于不同自治域的校園網(wǎng)，由于它們運(yùn)行著不同類(lèi)型的內(nèi)部網(wǎng)關(guān)協(xié)議，對(duì)它們實(shí)施互聯(lián)較為經(jīng)濟(jì)的方法是采用外聯(lián)網(wǎng)VPN。

（2） 使用遠(yuǎn)程接入式VPN來(lái)實(shí)現(xiàn)異地訪(fǎng)問(wèn)

一方面，與分校區(qū)校園網(wǎng)之間關(guān)系（網(wǎng)關(guān)與網(wǎng)關(guān)）對(duì)等不同，異地師生的單點(diǎn)信息設(shè)備與校園網(wǎng)之間的關(guān)系不對(duì)等（客戶(hù)端與網(wǎng)關(guān)）。另一方面，與站點(diǎn)對(duì)站點(diǎn)VPN中互聯(lián)后校園網(wǎng)的安全性可以由各分校校園網(wǎng)協(xié)同控制不同，單點(diǎn)信息設(shè)備由于受制于本地計(jì)算能力，通常無(wú)能力對(duì)等地參與到全網(wǎng)的安全控制。綜合上述兩方面原因，異地師生接入校園網(wǎng)的較為經(jīng)濟(jì)的方案是使用遠(yuǎn)程接入式VPN。借助隧道技術(shù)在端系統(tǒng)與遠(yuǎn)程網(wǎng)關(guān)之間建立起安全的即時(shí)信息傳輸通道。

模式應(yīng)用

在“名校引領(lǐng)、資源共享、優(yōu)勢(shì)互補(bǔ)”思路引領(lǐng)下，南京市建鄴區(qū)加大優(yōu)質(zhì)學(xué)校與新建學(xué)校、薄弱學(xué)校及邊遠(yuǎn)學(xué)校整合和重組力度。南京市蓮花實(shí)驗(yàn)學(xué)校是由南京市雙閘中學(xué)和南京市沙洲中學(xué)合并而成的特色試點(diǎn)學(xué)校，主要面向城鎮(zhèn)務(wù)工人員子弟的基礎(chǔ)教育。針對(duì)學(xué)校經(jīng)費(fèi)緊張的現(xiàn)狀，在并校之初采用混合VPN技術(shù)對(duì)校園網(wǎng)實(shí)施了臨時(shí)性改造。

1.核心拓?fù)?/p>

初步改造后的校園網(wǎng)拓?fù)淙鐖D1所示（出于安全考慮，隱藏了部分網(wǎng)絡(luò)拓?fù)浜完P(guān)鍵IP地址）。由于兩所學(xué)校原先采用的內(nèi)部網(wǎng)關(guān)協(xié)議不同，在改造過(guò)程中添加使用了3臺(tái)路由器，其中R4作為校外用戶(hù)的接入路由器；AAA是認(rèn)證服務(wù)器。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

2. 關(guān)鍵配置

（1） AAA服務(wù)配置

創(chuàng)建需要認(rèn)證的客戶(hù)端，同時(shí)創(chuàng)建外出用戶(hù)VPN賬號(hào)，配置界面如圖2。

圖2 認(rèn)證服務(wù)配置界面

（2）路由器R1部分配置

R1（config）#ip local pool vclient 172.16.0.1 172.16.0.254

R1（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R1（config）#aaa authentication login vpna group radius

R1（config）#aaa authorization network vpnn group radius

R1（config）#radius-server host 192.168.1.1 auth-port 1645 key kkfloat

R1（config）#crypto isakmp client configuration group vpn-group

R1（config）#crypto ipsec transform-set kkfloatset esp-3des esp-md5-hmac

R1（config）#crypto map company client authentication list vpna

R1（config）#crypto map company isakmp authorization list vpnn

R1（config）#crypto map company client configuration address respond

R1（config）#crypto map company 10 ipsec-isakmp dynamic vpnmap

（3）路由器R3部分配置

R3（config）#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R3（config-isakmp）#authentication pre-share

R3（config）#crypto isakmp key kkfloat address 1.1.1.1

R3（config）#crypto ipsec transform-set kkfloatset esp-3des esp-md5-hmac

R3（config）#crypto map vpnmap 10 ipsec-isakmp

R3（config-crypto-map）#set transform-set kkfloatset

R3（config-crypto-map）#match address 100

R3（config-if）#crypto map vpnmap

（4）路由器R4部分配置

R4（config）#access-list 1 permit 192.168.3.0 0.0.0.255

R4（config）#ip nat inside source list 1 int s0/1/0 overload

3. 連通性測(cè)試

整個(gè)測(cè)試從區(qū)間聯(lián)通性和遠(yuǎn)程可訪(fǎng)問(wèn)性?xún)蓚€(gè)角度展開(kāi)。

（1）區(qū)間聯(lián)通性

使用原雙閘中學(xué)校園網(wǎng)內(nèi)任意主機(jī)PC0 與原沙洲中學(xué)校園網(wǎng)內(nèi)任意主機(jī)PC1進(jìn)行互ping，結(jié)果發(fā)現(xiàn)能夠ping通，這表明本文提出的校園網(wǎng)改造模式能夠提供區(qū)間互聯(lián)功能。

（2）遠(yuǎn)程可訪(fǎng)問(wèn)性

筆者在家中對(duì)校園網(wǎng)進(jìn)行了遠(yuǎn)程接入測(cè)試。圖3左顯示VPN連接前的客戶(hù)端配置，圖3右顯示家中主機(jī)可以遠(yuǎn)程連接筆者校內(nèi)辦公主機(jī)。這表明本文提出的校園網(wǎng)改造模式能夠提供遠(yuǎn)程訪(fǎng)問(wèn)功能。

圖3 遠(yuǎn)程接入測(cè)試

本文針對(duì)中學(xué)校園網(wǎng)建設(shè)經(jīng)費(fèi)緊張的情況，充分利用VPN技術(shù)的便利性和價(jià)格優(yōu)勢(shì)，提出了一種基于混合VPN技術(shù)的中學(xué)校園網(wǎng)建設(shè)模式，并將該模式示范應(yīng)用到了南京市蓮花實(shí)驗(yàn)學(xué)校建校初期的校園網(wǎng)改造。下一步工作集中在兩個(gè)方面：一是就模式自身而言，進(jìn)一步優(yōu)化該模式，使其更具通用性；二是就模式應(yīng)用而言，對(duì)該模式進(jìn)行推廣，使其更好地服務(wù)于中學(xué)校園網(wǎng)建設(shè)。

基金項(xiàng)目：國(guó)家自然科學(xué)基金（71271117，70971067）、江蘇省高校自然科學(xué)基金（12KJB520005，12KJD410001）、江蘇省網(wǎng)絡(luò)與信息安全重點(diǎn)實(shí)驗(yàn)室（BM2003201）、江蘇省高?？蒲谐晒a(chǎn)業(yè)化推進(jìn)工程（JHB2012-20）和南京審計(jì)學(xué)院實(shí)驗(yàn)課程建設(shè)一般項(xiàng)目（SYKC201316）的研究成果。

（作者單位：江蘇南京市蓮花實(shí)驗(yàn)學(xué)校 江蘇南京審計(jì)學(xué)院信息科學(xué)學(xué)院 江蘇南京審計(jì)學(xué)院信息科學(xué)學(xué)院 江蘇南京審計(jì)學(xué)院）

參考文獻(xiàn)

Request for Comments： 4026 Provider Provisioned Virtual Private Network （VPN） Terminology [EB/OL].http：//tools.ietf.org/html/rfc4026.

馬建.合并高等學(xué)校發(fā)展現(xiàn)狀抽樣調(diào)查研究總報(bào)告[EB/OL].http：//www.doc88.com/ p-6179926374223.html.