VPN技术在技工院校校园网中的应用实例

摘要：通过探讨虚拟专用（VPN）技术在校园网中的应用，本文对VPN技术优点、VPN技术分类进行了阐述，分析了校园网的应用需求，根据网络应用需求情况，提出了VPN应用解决方案，并对该方案的配置过程及要点进行讨论。

关键词：VPN技术；技工院校；校园网；IPSec；SSL

中图分类号：G712 文献标识码：A 文章编号：1672-5727（2013）06-0170-02

目前，广东省各技工院校的规模在不断扩大，很多学校纷纷建立了新校区或分校区。出现的一个突出问题是，总校区与分校区之间或新校区与老校区之间没有教学网络联系，分校区或新校区不能使用总校区的各种应用系统（如办公自动化、教务管理系统、学生信息管理系统和电子图书馆等）等资源，急需高效、安全、低成本地将总校区与分校区或新校区的校园网连接起来，实现对资源的统一管理和充分利用。此外，利用网络资源丰富办学手段，实现和开展远程教育教学和远程办公，提供个性化的学习支持服务和信息服务，也是各技工院校网络建设发展的趋势。VPN技术正是这些需求的最佳解决方案之一。

VPN概述

（一）VPN概念

虚拟专用网络（Virtual Private Network，简称VPN）指的是在公用网络上建立专用网络的技术。之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式〉、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加密解密技术、密钥管理技术和使用者与设备身份认证技术。

（二）VPN优点

在传统的企业网络配置中，要进行异地局域网之间的互连，方法是租用DDN（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet）进入企业的局域网，而这样必然带来安全上的隐患。

虚拟专用网的出现就能解决这些问题：（1）使用VPN可降低成本。通过公用网来建立VPN，可以节省大量通信费用，不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。（2）传输数据安全可靠。虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。（3）连接方便灵活。用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。（4）完全控制。虚拟专用网使用户可以利用ISP的设施和服务，同时，又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其他安全设置、网络管理变化可由自己管理。在企业内部也可以建立虚拟专用网。

（三）VPN分类

（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

我校校园网VPN解决方案

（一）校园网网络结构及应用需求

我校分为惠州总校区和广州分校区，校园网网络拓扑图如图1所示。总校区的网络中有办公自动化系统、教务系统、学生管理系统、招生就业系统、资产管理系统、教学课件及教学视频等资源，分校区的网络中没有这些应用系统。现在，学校想让分校区和总校区一样能安全、可靠地使用总校区的应用系统和教学资源，实现统一管理与教学资源共享；另外，学校还希望能实现远程办公和使用校园网上的资源，网络管理员希望能实现远程管理校园网网络设备。

（二）VPN应用方案

针对分校区使用总校区的应用系统和教学资源的需求，采用IPSec VPN来实现。IPSec VPN可以高效、安全、低成本地将总校区的网络和分校区的网络在逻辑上连接起来；基于SSL VPN功能非常适合移动办公人员的远程安全接入，故针对远程办公及远程管理网络设备的需求，采用SSL VPN来实现。

两个校区的防火墙都选用了神州数码的DCFW-1800系列，经查看防火墙资料可知，此设备支持IPSec VPN 和SSL VPN的功能，因此，无需再购买专门的VPN设备，在学校的防火墙上架设IPSec VPN和SSL VPN，就能达到学校的应用要求。解决方案网络结构图如图2所示。

（三）IPSec VPN配置

总校区防火墙IPSec VPN配置 第一步：创建IKE第一阶段提议。在VPN/IPSec VPN/P1提议中，定义IKE第一阶段的协商内容（提议名称：P1、认证方式：Pre-shared、验证算法：SHA-1、加密算法：3DES、DH组：Groups、生存时间：86400）。两台防火墙的IKE第一阶段协商内容需要一致。第二步：创建IKE第二阶段提议。在VPN/IPSec VPN/P2提议中定义IKE第二阶段协商内容（例如，提议名称：P2、协议：ESP、验证算法：SHA-1、PFS组：NO PFS、生存时间：28800）。两台防火墙第二阶段协商内容需要一致。第三步：创建对等体（peer）。在VPN/IPSec VPN/VPN对端中新建对端，并定义相关参数（对端名称：peer、接口：ethernet0/1、模式：主模式、类型：静态IP、对端IP地址：218.240.143.220、提议1：P1、预共享密码：1216）。第四步：创建隧道。在VPN/IPSec VPN/IPSec VPN中创建到防火墙FW-B的VPN隧道，并定义相关参数（名称：ipsec_tun、模式：tunnel、提议名称：P2、ID：手工、本地IP/掩码：172.17.0.0/16、远程IP/掩码：192.168.0.0/16、服务：Any）。第五步：创建隧道接口并与IPSec绑定。在网络/接口中，新建隧道接口指定安全域并绑定IPSec隧道（接口名：tunnel8、安全域类型：三层安全域、安全域：untrust、类型：静态IP、隧道类型：IPSec、VPN名称：ipsec_tun）。第六步：添加隧道路由。在网络/路由/目的路由中新建一条路由，目的地址是对端加密保护子网（IP：192.168.0.0、子网掩码：255.255.0.0、下一跳：接口、接口：tunnel8），网关为创建的tunnel口。第七步：添加安全策略。在创建安全策略前首先要创建本地网段（名为local）和对端网段（名为remote）的地址簿，创建完成两个地址簿后，在防火墙/策略中新建策略，允许本地VPN保护子网访问对端VPN保护子网。允许对端VPN保护子网访问本地VPN保护子网。

分校区防火墙IPSec VPN配置 由于分校区防火墙与总校区的一样，所以配置过程同总校区防火墙。

（四）SSL VPN配置

在总校区的防火墙上配置SSL VPN，具体步骤如下。第一步：配置SCVPN地址池。通过配置SCVPN地址池为VPN接入用户分配IP地址，地址池需配置网路中未使用网段。在SCVPN/SCVPN实例/地址池中新建一个名为scvpn的地址池，起始地址为172.17.250.10，终止地址为172.17.250.254，子网掩码为255.255.255.0。第二步：配置SCVPN实例——创建实例。在SCVPN/SCVPN实例中新建SCVPN实例，HTTPS服务端口设为4433、绑定出接口ethernet0/1、地址池设为scvpn后点击确认，再次编辑，点出添加按钮，隧道路由目标网络指向172.17.1.0/24，AAA服务器设为local。要注意，在添加隧道路由时，度量值建议设置成1。第三步：创建SCVPN所属安全域。在网络/安全域中为创建的SCVPN新建一个安全域，安全域类型为“三层安全域”。第四步：创建隧道接口并引用SCVPN隧道。为了SCVPN客户端能与防火墙上其他接口所属区域之间正常路由转发，需要为他们配置一个网关接口，这在防火墙上通过创建一个隧道接口，并将创建好的SCVPN实例绑定到该接口上来实现，具体配置为：接口名：tunnel1、安全域类型：三层安全域、安全域：scvpn、IP类型：静态IP、IP/网络掩码：172.17.250.1/24、隧道类型：SCVPN、VPN名称：scvpn。第五步：创建安全策略。在防火墙/策略中添加访问策略，允许通过SCVPN到内网的访问。第六步：添加SCVPN用户账号。创建SCVPN登陆账号，因SCVPN实例使用local认证，所以需在AAA服务器local中添加用户，输入用户名和密码。第七步：SCVPN登陆演示。在客户端上打开浏览器，在地址栏中键入：https：//59.39.146.126：4433，在登陆界面中填入用户账号和密码点击登陆即可。

通过以上VPN技术在我校的应用，学校以非常低的成本解决了分校使用总校网络资源和远程办公等问题。VPN技术为我们提供了一种安全、高效、灵活和经济的联网方式，解决了技工院校办学方式变化后校园网建设面临的具体问题。

参考文献：

[1]何亚辉，肖路，陈凤英.基于IPSec的VPN技术原理与应用[J].重庆工学院学报，2006（11）.

[2]殷平.VPN技术及其应用的研究[J].电脑知识与技术，2010（21）.

[3]张宓.采用SSL VPN技术实现远程办公自动化[J].科技风，2011（12）.

作者简介：

陈建平（1978—），男，广东电白人，广东省高级技工学校讲师，电子商务设计师，研究方向为电子商务安全。