陳建平

（廣東省高級技工學校 廣東 惠州 516100）

目前，廣東省各技工院校的規(guī)模在不斷擴大，很多學校紛紛建立了新校區(qū)或分校區(qū)。出現(xiàn)的一個突出問題是，總校區(qū)與分校區(qū)之間或新校區(qū)與老校區(qū)之間沒有教學網(wǎng)絡聯(lián)系，分校區(qū)或新校區(qū)不能使用總校區(qū)的各種應用系統(tǒng)（如辦公自動化、教務管理系統(tǒng)、學生信息管理系統(tǒng)和電子圖書館等）等資源，急需高效、安全、低成本地將總校區(qū)與分校區(qū)或新校區(qū)的校園網(wǎng)連接起來，實現(xiàn)對資源的統(tǒng)一管理和充分利用。此外，利用網(wǎng)絡資源豐富辦學手段，實現(xiàn)和開展遠程教育教學和遠程辦公，提供個性化的學習支持服務和信息服務，也是各技工院校網(wǎng)絡建設(shè)發(fā)展的趨勢。VPN技術(shù)正是這些需求的最佳解決方案之一。

VPN概述

（一）VPN 概念

虛擬專用網(wǎng)絡 （Virtual Private Network， 簡稱VPN）指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術(shù)。之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如 Internet、ATM（異步傳輸模式〉、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。VPN主要采用了隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)。

（二）VPN 優(yōu)點

在傳統(tǒng)的企業(yè)網(wǎng)絡配置中，要進行異地局域網(wǎng)之間的互連，方法是租用DDN（數(shù)字數(shù)據(jù)網(wǎng)）專線或幀中繼。這樣的通訊方案必然導致高昂的網(wǎng)絡通訊/維護費用。對于移動用戶（移動辦公人員）與遠端個人用戶而言，一般通過撥號線路（Internet）進入企業(yè)的局域網(wǎng)，而這樣必然帶來安全上的隱患。

虛擬專用網(wǎng)的出現(xiàn)就能解決這些問題：（1）使用VPN可降低成本。通過公用網(wǎng)來建立VPN，可以節(jié)省大量通信費用，不必投入大量的人力和物力去安裝和維護WAN（廣域網(wǎng)）設(shè)備和遠程訪問設(shè)備。（2）傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。（3）連接方便靈活。用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。（4）完全控制。虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務，同時，又完全掌握著自己網(wǎng)絡的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡資源，對于其他安全設(shè)置、網(wǎng)絡管理變化可由自己管理。在企業(yè)內(nèi)部也可以建立虛擬專用網(wǎng)。

（三）VPN 分類

（1）Access VPN（遠程接入 VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。 （2）Intranet VPN（內(nèi)聯(lián)網(wǎng) VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡架構(gòu)連接來自同公司的資源。（3）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個公司與另一個公司的資源進行連接。

我校校園網(wǎng)VPN解決方案

（一）校園網(wǎng)網(wǎng)絡結(jié)構(gòu)及應用需求

我校分為惠州總校區(qū)和廣州分校區(qū)，校園網(wǎng)網(wǎng)絡拓撲圖如圖1所示?？傂^(qū)的網(wǎng)絡中有辦公自動化系統(tǒng)、教務系統(tǒng)、學生管理系統(tǒng)、招生就業(yè)系統(tǒng)、資產(chǎn)管理系統(tǒng)、教學課件及教學視頻等資源，分校區(qū)的網(wǎng)絡中沒有這些應用系統(tǒng)?，F(xiàn)在，學校想讓分校區(qū)和總校區(qū)一樣能安全、可靠地使用總校區(qū)的應用系統(tǒng)和教學資源，實現(xiàn)統(tǒng)一管理與教學資源共享；另外，學校還希望能實現(xiàn)遠程辦公和使用校園網(wǎng)上的資源，網(wǎng)絡管理員希望能實現(xiàn)遠程管理校園網(wǎng)網(wǎng)絡設(shè)備。

（二）VPN應用方案

針對分校區(qū)使用總校區(qū)的應用系統(tǒng)和教學資源的需求，采用IPSec VPN來實現(xiàn)。IPSec VPN可以高效、安全、低成本地將總校區(qū)的網(wǎng)絡和分校區(qū)的網(wǎng)絡在邏輯上連接起來；基于SSL VPN功能非常適合移動辦公人員的遠程安全接入，故針對遠程辦公及遠程管理網(wǎng)絡設(shè)備的需求，采用SSL VPN來實現(xiàn)。

兩個校區(qū)的防火墻都選用了神州數(shù)碼的DCFW-1800系列，經(jīng)查看防火墻資料可知，此設(shè)備支持IPSec VPN和SSL VPN的功能，因此，無需再購買專門的VPN設(shè)備，在學校的防火墻上架設(shè)IPSec VPN和SSL VPN，就能達到學校的應用要求。解決方案網(wǎng)絡結(jié)構(gòu)圖如圖2所示。

（三）IPSec VPN 配置

總校區(qū)防火墻IPSec VPN配置 第一步：創(chuàng)建IKE第一階段提議。在VPN/IPSec VPN/P1提議中，定義IKE第一階段的協(xié)商內(nèi)容 （提議名稱：P1、認證方式：Pre-shared、 驗證算法：SHA-1、 加密算法：3DES、DH組：Groups、生存時間：86400）。兩臺防火墻的IKE第一階段協(xié)商內(nèi)容需要一致。第二步：創(chuàng)建IKE第二階段提議。在VPN/IPSec VPN/P2提議中定義IKE第二階段協(xié)商內(nèi)容（例如，提議名稱：P2、協(xié)議：ESP、驗證算法：SHA-1、PFS 組：NO PFS、生存時間：28800）。 兩臺防火墻第二階段協(xié)商內(nèi)容需要一致。第三步：創(chuàng)建對等體（peer）。在VPN/IPSec VPN/VPN對端中新建對端，并定義相關(guān)參數(shù)（對端名稱：peer、接口：ethernet0/1、模式：主模式、類型：靜態(tài)IP、對端IP地址：218.240.143.220、提議 1：P1、預共享密碼：1216）。 第四步：創(chuàng)建隧道。在VPN/IPSec VPN/IPSec VPN中創(chuàng)建到防火墻FW-B的VPN隧道，并定義相關(guān)參數(shù)（名稱：ipsec_tun、模式：tunnel、提議名稱：P2、代理 ID：手工、本地 IP/掩碼：172.17.0.0/16、遠程 IP/掩碼：192.168.0.0/16、服務：Any）。第五步：創(chuàng)建隧道接口并與IPSec綁定。在網(wǎng)絡/接口中，新建隧道接口指定安全域并綁定IPSec隧道（接口名：tunnel8、安全域類型：三層安全域、安全域：untrust、類型：靜態(tài) IP、隧道類型：IPSec、VPN名稱：ipsec_tun）。第六步：添加隧道路由。在網(wǎng)絡/路由/目的路由中新建一條路由，目的地址是對端加密保護子網(wǎng)（IP：192.168.0.0、子網(wǎng)掩碼：255.255.0.0、下一跳：接口、接口：tunnel8），網(wǎng)關(guān)為創(chuàng)建的tunnel口。第七步：添加安全策略。在創(chuàng)建安全策略前首先要創(chuàng)建本地網(wǎng)段（名為local）和對端網(wǎng)段（名為remote）的地址簿，創(chuàng)建完成兩個地址簿后，在防火墻/策略中新建策略，允許本地VPN保護子網(wǎng)訪問對端VPN保護子網(wǎng)。允許對端VPN保護子網(wǎng)訪問本地VPN保護子網(wǎng)。

分校區(qū)防火墻IPSec VPN配置 由于分校區(qū)防火墻與總校區(qū)的一樣，所以配置過程同總校區(qū)防火墻。

（四）SSL VPN 配置

在總校區(qū)的防火墻上配置SSL VPN，具體步驟如下。第一步：配置SCVPN地址池。通過配置SCVPN地址池為VPN接入用戶分配IP地址，地址池需配置網(wǎng)路中未使用網(wǎng)段。在SCVPN/SCVPN實例/地址池中新建一個名為scvpn的地址池，起始地址為172.17.250.10，終止地址為 172.17.250.254， 子網(wǎng)掩碼為255.255.255.0。第二步：配置SCVPN實例——創(chuàng)建實例。在SCVPN/SCVPN實例中新建SCVPN實例，HTTPS服務端口設(shè)為4433、綁定出接口ethernet0/1、地址池設(shè)為scvpn后點擊確認，再次編輯，點出添加按鈕，隧道路由目標網(wǎng)絡指向172.17.1.0/24，AAA服務器設(shè)為local。要注意，在添加隧道路由時，度量值建議設(shè)置成1。第三步：創(chuàng)建SCVPN所屬安全域。在網(wǎng)絡/安全域中為創(chuàng)建的SCVPN新建一個安全域，安全域類型為“三層安全域”。第四步：創(chuàng)建隧道接口并引用SCVPN隧道。為了SCVPN客戶端能與防火墻上其他接口所屬區(qū)域之間正常路由轉(zhuǎn)發(fā)，需要為他們配置一個網(wǎng)關(guān)接口，這在防火墻上通過創(chuàng)建一個隧道接口，并將創(chuàng)建好的SCVPN實例綁定到該接口上來實現(xiàn)，具體配置為：接口名：tunnel1、安全域類型：三層安全域、安全域：scvpn、IP 類型：靜態(tài)IP、IP/網(wǎng)絡掩碼：172.17.250.1/24、隧道類型：SCVPN、VPN名稱：scvpn。第五步：創(chuàng)建安全策略。在防火墻/策略中添加訪問策略，允許通過SCVPN到內(nèi)網(wǎng)的訪問。第六步：添加SCVPN用戶賬號。創(chuàng)建SCVPN登陸賬號，因SCVPN實例使用local認證，所以需在AAA服務器local中添加用戶，輸入用戶名和密碼。第七步：SCVPN登陸演示。在客戶端上打開瀏覽器，在地址欄中鍵入：https：//59.39.146.126：4433，在登陸界面中填入用戶賬號和密碼點擊登陸即可。

通過以上VPN技術(shù)在我校的應用，學校以非常低的成本解決了分校使用總校網(wǎng)絡資源和遠程辦公等問題。VPN技術(shù)為我們提供了一種安全、高效、靈活和經(jīng)濟的聯(lián)網(wǎng)方式，解決了技工院校辦學方式變化后校園網(wǎng)建設(shè)面臨的具體問題。

[1]何亞輝，肖路，陳鳳英.基于IPSec的VPN技術(shù)原理與應用[J].重慶工學院學報，2006（11）.

[2]殷平.VPN技術(shù)及其應用的研究[J].電腦知識與技術(shù)，2010（21）.

[3]張宓.采用SSL VPN技術(shù)實現(xiàn)遠程辦公自動化[J].科技風，2011（12）.