李 鑫,張 琴

（1.山西大同大學網(wǎng)絡信息中心，山西大同037009；2.山西大同大學商學院，山西大同037009）

基于多VPN技術的高校數(shù)字化校園網(wǎng)組建研究

李 鑫1,張 琴2

（1.山西大同大學網(wǎng)絡信息中心，山西大同037009；2.山西大同大學商學院，山西大同037009）

大多數(shù)高校設立分校、人員外出交流和教職工住宿區(qū)外建等情況，使得如何安全、高效和可靠地訪問校園網(wǎng)數(shù)字化信息系統(tǒng)成為一個難題。分析和對比了常見的三種VPN技術，并提出了數(shù)字化校園網(wǎng)的訪問需求。為數(shù)字化校園VPN網(wǎng)絡的組建，采用ipsec+mpls VPN同時部署SSL VPN的組網(wǎng)方式，經(jīng)過模擬組網(wǎng)測試，達到了預先可靠性、安全性和入網(wǎng)靈活性的目標，為VPN技術在高校校園網(wǎng)中的推廣有一定的示范作用。

VPN；數(shù)字化校園網(wǎng)；eNSP模擬器

當前，中國高校的信息化水平正在穩(wěn)步推進，大多數(shù)高校都集中精力建設了數(shù)字化校園信息系統(tǒng),高校教育資源得到了有效整合，提高了教育資源的利用率和應用水平，使教學活動和教學管理決策得到了有力的支持。數(shù)字化校園信息系統(tǒng)是建立在數(shù)據(jù)統(tǒng)一、身份統(tǒng)一、門戶統(tǒng)一、信息標準統(tǒng)一、開發(fā)平臺統(tǒng)一基礎上的綜合性網(wǎng)絡平臺，它包含的子信息系統(tǒng)豐富多樣，實時產(chǎn)生大量的大數(shù)據(jù)信息，極大地依賴校園基礎網(wǎng)絡地有效支撐。然而，高校設立分校、人員外出交流和教職工住宿區(qū)外建等情況在大多數(shù)高校普遍存在，這使得如何安全、高效和可靠地訪問校園網(wǎng)數(shù)字化信息系統(tǒng)成為一個難題。如果采取租用光纜的方式，一方面會產(chǎn)生昂貴的費用，另一方面不能滿足外網(wǎng)連接方式多樣化的應用場景。而采用單一的VPN技術相對費用低廉，但無法兼顧外部連接的可靠性、安全性和高質(zhì)量。為此，本文提出融合多種VPN技術組建高校數(shù)字化校園網(wǎng)。

1 高校數(shù)字化校園網(wǎng)VPN技術分析

1.1 高校數(shù)字化校園網(wǎng)主要VPN技術

關于VPN技術的探討研究已經(jīng)很深入了，2003年，學者蔣東毅等就討論了VPN的關鍵技術是隧道技術，并明確指出VPN技術要在加密算法和QOS技術方面要深入發(fā)展，IPSEC技術必然成為主流[1]。之后，學者們通過對VPN技術的應用研究[2-3]，對比分析了各種VPN技術的優(yōu)缺點，得出多種VPN技術結合部署是應用的主要方向[4]。其中，對于多種VPN技術結合的應用研究大多數(shù)是兩種VPN技術在局域網(wǎng)出口的同時部署，如：同時部署SSL VPN和MPLS VPN技術，或者同時部署SSL VPN和MPLS VPN技術，而對于真正將IPSec VPN和MPLS VPN技術融合部署的研究有學者提出了部署框架，缺乏實際應用的案例。本文首先對高校數(shù)字化校園網(wǎng)廣泛采用的三種VPN技術：IPSec VPN、MPLS VPN和SSL VPN分別做下介紹。然后，根據(jù)學者任德玲等提出的基于IPSec VPN的MPLS IP VPN的設計與實現(xiàn)的框架結構[5]，結合高校數(shù)字化校園網(wǎng)的需求分析，通過華為路由器進行實際應用模擬。

IPSec VPN技術，是一種常用的專用網(wǎng)絡隧道技術，同時也是IETF（Internet Engineering Task Force）互聯(lián)網(wǎng)工程任務組建立的IP協(xié)議安全集合。它工作在OSI模型的網(wǎng)絡層，定義了在網(wǎng)際層使用的安全服務，其功能包括數(shù)據(jù)加密、對網(wǎng)絡單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊。為了提高數(shù)據(jù)的安全性和可靠性，它對傳輸數(shù)據(jù)以密鑰認證的方式進行篩選，確保對唯一的發(fā)送端和接收端的保護。IPSec數(shù)據(jù)包的安全結構的隧道模式分別在IP數(shù)據(jù)包中加入了AH(Au?thenticationHeader)協(xié)議、ESP(EncapsulatedSecuri?tyPayload)協(xié)議。其中，AH(AuthenticationHeader)協(xié)議，具備保證IP通信的數(shù)據(jù)完整性功能，以密鑰的方式進行身份認證。ESP(EncapsulatedSecuri?tyPayload)協(xié)議對IP層數(shù)據(jù)包進行加密，加入驗證機制保證數(shù)據(jù)源的保密性，無法被非法監(jiān)聽。

MPLS VPN是指采用MPLS（多協(xié)議標記轉(zhuǎn)換）技術在骨干的寬帶IP網(wǎng)絡上構建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信，并結合差別服務、流量工程等相關技術，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結合在一起。MPLS通過在二層數(shù)據(jù)包插入MPLS標簽來區(qū)別數(shù)據(jù)流，當建立在MPLS VPN技術之上的專用網(wǎng)絡間相互交互信息時，各數(shù)據(jù)包按照定義好的標簽實現(xiàn)二層數(shù)據(jù)的交換轉(zhuǎn)發(fā)，到達專用網(wǎng)絡的邊緣，則由三層路由協(xié)議完成路由選擇。因此，MPLS VPN是結合二層交換和三層路由的技術，具有非常強的擴展性和適應性。

SSL VPN是Secure Socket Layer即安全套接層協(xié)議和VPN的結合。SSL協(xié)議包含兩層協(xié)議：記錄協(xié)議和握手協(xié)議。記錄協(xié)議負責把高層協(xié)議的數(shù)據(jù)進行壓縮、封裝和加密等；握手協(xié)議負責將數(shù)據(jù)以協(xié)商好的公鑰加密的方式進行傳輸。利用SSL協(xié)議的特點可以基于瀏覽器方便地構建虛擬專用網(wǎng)絡。

1.2 MPLSVPN、IPSecVPN和SSLVPN技術比較

應用MPLS VPN的虛擬專用網(wǎng)通信的分支機構,在出口路由器使用標簽封裝包含數(shù)據(jù)信息的高層協(xié)議。通過ISP的公共網(wǎng)絡時，可以根據(jù)標簽方便地對數(shù)據(jù)業(yè)務進行分類、QOS、流量控制等操作，有利于視頻、語音和數(shù)據(jù)等多種網(wǎng)絡數(shù)據(jù)的融合。并且，MPLS VPN的配置主要集中在提供服務的ISP,減少了接入分支機構的工作量，管理簡單，擴展性強。接入費用比租用專線要低很多。因此，成為了許多有VPN接入需求單位廣泛采用的VPN接入技術。但是，MPLS VPN也不是完美的VPN接入技術，由于它基于標簽交換轉(zhuǎn)發(fā)的機制，是在原有的交換轉(zhuǎn)發(fā)上多了一次轉(zhuǎn)發(fā)，因此，增加了網(wǎng)絡的開銷。

應用IPSec VPN的虛擬專用網(wǎng)通信，主要優(yōu)勢體現(xiàn)在安全性方面。根據(jù)IPSec VPN隧道封裝結構圖，通過IPSec協(xié)議封裝形成的通信隧道，可以保證IP通信的數(shù)據(jù)完整性、保密性和安全性。但是，IPSec VPN存在配置復雜，要求用戶使用客戶端，難于維護的缺點。

應用SSL VPN的虛擬專用網(wǎng)通信，主要優(yōu)勢是用戶接入簡單方便，只要通過系統(tǒng)內(nèi)置的瀏覽器訪問即可接入。當通過瀏覽器接口訪問機構的內(nèi)部網(wǎng)絡資源時，需要根據(jù)提示安裝相應的安全插件，通過用戶和密碼驗證即可訪問許可的應用服務，并且SSL協(xié)議可以對通信的數(shù)據(jù)進行加密，保證了通信的安全。但是，由于SSL VPN是基于應用接口方式部署的虛擬專用網(wǎng)，要求的鏈路質(zhì)量比較高，然而，外出用戶的網(wǎng)絡與機構網(wǎng)絡之間的鏈路質(zhì)量很難保證，因此，SSL VPN的可靠性一般。另外，提供SSL VPN功能的設備往往根據(jù)同時在線人數(shù)授權收費，其價格不菲。到目前為止，SSL VPN還不能與常用的手機操作系統(tǒng)兼容，手機上網(wǎng)用戶不可以使用SSL VPN。

1.3 建立高校數(shù)字化校園VPN網(wǎng)絡的需求分析

高校校園的數(shù)字化建設，主要體現(xiàn)在數(shù)字化校園平臺的部署和運行。在這個平臺上集成了關于日常教學和管理的多種應用系統(tǒng)，與教學活動密切相關，特別是大數(shù)據(jù)的廣泛應用和挖掘，要求高校校園網(wǎng)的基礎網(wǎng)絡架構體現(xiàn)超強的承載性;同時，考慮到教育經(jīng)費的寶貴，還要在設計基礎網(wǎng)絡時考慮費用的節(jié)約。因此，建設高校數(shù)字化校園VPN網(wǎng)絡要注意以下幾個方面的需求：

（1）建設高校數(shù)字化校園VPN網(wǎng)絡要求具備高帶寬、高穩(wěn)定性。

數(shù)字化校園的建成打破了時空的限制，將實地授課模式改為網(wǎng)絡視頻授課，分屬兩個校區(qū)或者身處校外的教師可以通過VPN網(wǎng)絡進行網(wǎng)絡視頻教學。也可以將上課的內(nèi)容和課后的提問視頻通過VPN網(wǎng)絡上傳到教學平臺服務器,這些實時或分時的視頻數(shù)據(jù)需要占用大量的網(wǎng)絡帶寬，并依賴于網(wǎng)絡的穩(wěn)定。

（2）建設高校數(shù)字化校園VPN網(wǎng)絡要求方便用戶接入、入網(wǎng)方式靈活。

數(shù)字化校園的建成意味著廣大師生需要使用幾十種以上的應用，對于各種應用的審計認證顯然必不可少。統(tǒng)一認證，消除了廣大師生記憶幾十個網(wǎng)絡應用驗證信息帶來的負擔，只需通過校園唯一的認證接口即可。VPN技術和個性化定制功能的應用，則使得廣大師生可以隨時隨地接入校園網(wǎng)和靈活配置專屬于自己的校園網(wǎng)首頁，實現(xiàn)了入網(wǎng)方式的方便、靈活。

（3）建設高校數(shù)字化校園VPN網(wǎng)絡要求高安全性、可管理性。

高校數(shù)字化校園VPN網(wǎng)絡打破了校園網(wǎng)原來相對封閉、獨立的網(wǎng)絡結構，通過建立在Internet上的專用隧道傳輸私有數(shù)據(jù)信息，雖然對于拓展聯(lián)網(wǎng)規(guī)模具有經(jīng)濟性和便捷性，但對于數(shù)字化校園網(wǎng)的安全形成了挑戰(zhàn)。因此，高校數(shù)字化校園VPN技術一定采用適應校園網(wǎng)絡整體的統(tǒng)一的網(wǎng)絡安全策略，統(tǒng)一部署，統(tǒng)一管理。只用這樣才能適應瞬息萬變的網(wǎng)絡安全環(huán)境。

2 高校數(shù)字化校園網(wǎng)VPN網(wǎng)絡模擬組建

2.1 高校數(shù)字化校園網(wǎng)VPN網(wǎng)絡拓撲設計

高校數(shù)字化校園網(wǎng)絡由主校區(qū)和分校區(qū)組成，兩個校區(qū)分屬于城市的不同區(qū)域相距幾十公里，租用專線實現(xiàn)兩個校區(qū)的互聯(lián)費用昂貴，因此，采用租用VPN虛擬專用線路的方式實現(xiàn)兩校區(qū)互聯(lián)。根據(jù)上述三種VPN技術的特性和實際場景需求，采用IPsec+mpls的方式實現(xiàn)兩校區(qū)互聯(lián)。而對于外部網(wǎng)絡的教工用戶，則通過數(shù)字化校園網(wǎng)部署的SSL VPN服務器快捷、方便地連接校園網(wǎng)?？傊?，通過三種VPN技術的有機結合，既考慮到了數(shù)字化校園網(wǎng)的安全、可靠和高質(zhì)量的服務，又為學校節(jié)約了寶貴的教育經(jīng)費。

2.2 高校數(shù)字化校園網(wǎng)VPN網(wǎng)絡組建

根據(jù)高校數(shù)字化校園網(wǎng)VPN網(wǎng)絡拓撲設計，網(wǎng)絡規(guī)劃如下：數(shù)字化網(wǎng)絡資源集中部署于主校區(qū)，IP劃分為：10.1.1.0/24；主校區(qū)的出口路由器IP為172.26.1.1/24;而SSL VPN服務器旁路部署與出口路由器直連，其IP為10.1.0.2/24。分校區(qū)的內(nèi)部網(wǎng)絡IP劃分為：192.168.10.0/24；其出口路由器IP為：172.26.6.2/24。根據(jù)VPN網(wǎng)絡組建的需求，要求ISP提供商配置IPsec+mpls專用鏈路實現(xiàn)兩校區(qū)互聯(lián)。而SSL VPN服務器則通過NAT端口映射為外網(wǎng)用戶提供服務連接接口，共享數(shù)字化校園網(wǎng)絡資源。兩個校區(qū)的內(nèi)網(wǎng)用戶通過ISP提供商配置的出口路由器NAT后訪問Internet，具體配置細節(jié)在本文不重點關注。

3 高校數(shù)字化校園VPN網(wǎng)絡仿真

3.1 高校數(shù)字化校園VPN網(wǎng)絡拓撲仿真

根據(jù)上述網(wǎng)絡規(guī)劃，筆者使用華為網(wǎng)絡系統(tǒng)模擬軟件eNSP模擬仿真上述VPN組網(wǎng)過程，該模擬器使用的pc環(huán)境是Windows 7旗艦版。在eNSP的仿真拓撲如圖1所示：

圖1 eNSP中仿真拓撲

圖1中PC3模擬主校區(qū)的內(nèi)網(wǎng)資源服務器，SSL VPN旁路式接入主校區(qū)出口路由器；

圖1中間部分PE1、P1、P2和PE2路由器模擬租用ISP運營商的MPLS專線；圖1右面是分校區(qū)的出口路由器和代表分校區(qū)內(nèi)網(wǎng)的PC4。

3.2 高校數(shù)字化校園VPN網(wǎng)絡仿真配置

3.2.1 網(wǎng)絡基礎搭建

網(wǎng)絡基礎搭建負責模擬兩校區(qū)的出口互聯(lián)。主要任務是模擬分配主校區(qū)、分校區(qū)和ISP運營商的IP地址，通過OSPF協(xié)議實現(xiàn)兩校區(qū)的出口路由和ISP運營商之間聯(lián)通。配置情況舉例：

主校區(qū)路由器基礎配置

其他網(wǎng)絡設備配置情況類似，都為先指定接口IP，然后啟用OSPF動態(tài)路由協(xié)議，只是注意主要區(qū)和分校區(qū)的內(nèi)網(wǎng)路由網(wǎng)段不通過路由協(xié)議發(fā)布。

3.2.2 Ipsec vpn+mpls vpn配置

這部分配置是本文多VPN技術應用的核心部分，主要是將主校區(qū)到分校區(qū)的路由器之間通過Ipsec tunnel封裝，ISP提供商部分則配置mpls vpn提高整個鏈路的可靠性和效率。配置情況舉例：

主校區(qū)路由器Ipsec tunnel封裝配置

本部分配置主要是建立Ipsec tunnel隧道，首先定義兩校區(qū)內(nèi)網(wǎng)互通的訪問控制列表acl 3001和ip?sec提議，然后啟用ike v2提議確定數(shù)據(jù)流的加密方式為：共享密鑰加密；接著定義ipsec策略將acl 3001、ipsec提議和ike v2提議關聯(lián)；最后，在主校區(qū)路由器的出接口上應用ipsec vpn。

該部分主要是按照mpls vpn鏈路建立方式，分為兩部一部分是全局mpls vpn，另一部分為接口mpls vpn；為了保證鏈路的穩(wěn)定，需要建立loopback接口，并在mpls全局定義是采用。

3.2.3 配置驗證

（1）ipsec設置驗證

下面是主校區(qū)路由器的ipsec鏈路建立情況，通過配置可以看出已經(jīng)實現(xiàn)ipsec tunnel的封裝建立。

（2）Mpls設置驗證

下面是ISP運營商pe1路由器的mpls鏈路建立情況，通過配置可以看出已經(jīng)實現(xiàn)mpls lsp的鏈路建立。

（3）連通性驗證

通過模擬主校區(qū)內(nèi)網(wǎng)資源的pc3對分校區(qū)內(nèi)網(wǎng)的pc4做連通性測試（ping命令）表明，鏈路情況良好。

以上對多VPN技術應用的情況做了模擬測試和驗證，本文重點是對于ipsec+mpls聯(lián)合使用的可行性的測試，通過模擬實驗完全可以；對于SSL VPN的實現(xiàn)因為筆者完全在圖形界面下配置實現(xiàn)，配置環(huán)境比較簡單獨立，這里不再贅述。

4 結束語

在梳理VPN技術應用相關文獻的基礎上，對常用的VPN技術做了分析和對比，為數(shù)字化校園VPN網(wǎng)絡的組建實踐了ipsec+mpls同時配合部署SSL VPN的組網(wǎng)方式，經(jīng)過模擬組網(wǎng)測試，達到了預先可靠性、安全性和入網(wǎng)靈活性的目標，為VPN技術在高校校園網(wǎng)中的推廣有一定的示范作用。

[1]蔣東毅,呂述望,羅曉廣.VPN的關鍵技術分析[J].計算機工程與應用,2003（15）：173-177.

[2]何亞輝.基于SSL協(xié)議的VPN技術研究及在校園網(wǎng)中的應用[J].重慶理工大學學報（自然科學版),2011（2）:86-90.

[3]朱偉珠.利用VPN技術實現(xiàn)高校圖書館資源共享[J].情報科學,2007(7)：1058-1061.

[4]易光華,傅光軒,周錦順.MPLS VPN IPSec VPN和SSL VPN技術研究與比較[J].貴州科學,2007（2）：34-38.

[5]任德玲,衛(wèi)韋.基于IPSec VPN的MPLS IP VPN的設計與實現(xiàn)[J].計算機應用研究,2006（3）:116-118.

Research on the Construction of Digital Campus Network Based on Multi VPN Technology

LI Xin1，ZHANG Qin2
（1.Network information Center,Shanxi Datong University,Datong Shanxi,037009;2.Business School,Shanxi Datong University,Datong Shanxi,037009）

Most colleges and universities set up campuses,exchange staff and build outside staff accommodation and so on,mak?ing it a problem safe,efficient and reliable access to campus network digital information system.This paper analyzes and compares the three kinds of common VPN technologies,and puts forward the demand of digital campus network.For the construction of digital cam?pus VPN network,we used ipsec+mpls VPN and SSL VPN network deployment,through simulation testing,to achieve the goal of safety and reliability,advance network flexibility,for the application of VPN technology in the campus network in colleges and universities in a certain exemplary role.

VPN;digital campus network;eNSP simulator

TP393

A

1674-0874(2017)03-0010-06

〔責任編輯 高?！?/p>

2017-02-15

山西大同大學校級科研項目[2012K5]

李鑫（1980-），男，山西懷仁人，碩士，實驗師，研究方向：網(wǎng)絡技術與信息資源管理。