【摘 要】本文提出了一种基于混合VPN技术的校园网建设模式。该模式借助混合VPN技术,一方面通过构建站点与站点式VPN实现了公网承载下的区间安全互访,满足了中学分校区之间的数据通信需求;另一方面,通过构建远程接入式VPN提供了远程单点对本地网络的安全联通,满足了异地师生利用现有公网远程接入校园网的需求。在此基础上,以南京市莲花实验学校建校初期的校园网改造为例,探讨了该模式的使用过程。实践表明,该模式对于资金受限情况下的中学校园网的建设具有重要的借鉴意义。
教育期刊网 http://www.jyqkw.com
关键词 混合VPN;区间互访;远程接入;公网承载;资金受限
【中图分类号】G434 【文献标识码】B
【论文编号】1671-7384(2014)03-0067-03
目前全国各级各类学校都在以各种方式大力建设校园网,在校园网扩建过程中也面临着众多问题,严重阻碍着校园网作用的进一步发挥。
如何在费用受限的情况下扩建中学校园网,成为中学信息化建设者们必须面对的棘手问题。为缓和该问题,本文提出了一种基于混合VPN(Virtual PrivateNetwork)技术的校园网建设模式。该模式充分利用了VPN的价格优势,在现有公网设施基础上借助混合VPN技术,一方面,通过构建站点与站点式VPN实现了公网承载下校区之间的网络安全互访,另一方面,通过构建远程接入式VPN,方便了异地师生通过公网安全地接入校园网。
VPN技术
VPN是20世纪90年代发展起来的一种互联网增值业务[1]。作为一种建立在实际网络(或物理网络)基础上的功能性网络,VPN充分利用开放的公共网络资源建立起私有传输通道,能够将远程的分支机构、商业伙伴和移动办公人员连接起来,并提供安全的端到端数据通信。
依据不同的标准,VPN存在如下分类:(1)依据所采用的隧道协议,可分为基于PPTP、L2TP和IPSec协议的VPN。其中PPTP和L2TP协议工作在TCP/IP体系的第二层,又称为二层隧道协议;IPSec协议工作在第三层(网络层),是最常见的隧道协议。目前的趋势是融合使用L2TP和IPSec。(2)依据面向的应用场合,可分为远程接入VPN(Access VPN)、内联网VPN(IntranetVPN)和外联网VPN(Extranet VPN)。其中远程接入VPN旨在实现客户端到网关的连接;内联网VPN旨在实现网关到网关的连接,主要用于连接同一个自治域内的不同资源;外联网VPN旨在连接不同自治域间的相关资源。(3)按所采用的设备类型,可分为路由器式VPN、交换机式VPN和防火墙式VPN。其中路由器式VPN部署比较容易,只需为路由器添加VPN服务即可;交换机式VPN主要用于用户较少的VPN网络;防火墙式VPN是最常见的一种VPN实现方式,许多厂商都提供这种配置类型。(4)按照实现原理划分,VPN可以分为重叠VPN和对等VPN。其中重叠VPN主要是指用户自建的端节点之间VPN链路,通常涉及GRE、L2TP和IPSec等众多技术;对等VPN主要指由网络运营商在主干网上建立的VPN通道,通常涉及MPLS、IPSec和SSL等技术。
VPN优势
VPN技术不需要用户拥有实际的长途数据线路,而是直接使用ISP(Internet服务提供商)和NSP(网络服务提供商)所提供的Internet公众数据网络来建立专用的数据通信链路。VPN数据通信链路的这种构建方式,使得在VPN中任意两个节点之间的连接并没有传统专网所需的端到端物理链路,而是利用某种公众网的资源动态组合而成。VPN不是专用网络(最符合应用需求的特定网络),却能提供专用网络的功能,这使得VPN一经推出即掀起了网络市场的繁荣,早在2001年,全球VPN市场就已高达120亿美元。
对用户来说,VPN另一个吸引力体现在价格方面。统计数据表明,如果用户放弃租用专线而采用VPN,其整个网络的成本可节约21%~45%,至于那些以电话拨号方式联网存取数据的用户,采用VPN则可以节约通讯成本50%~80%。这使得在网络建设中使用VPN技术无疑会大大缩减开销。
中学校园网建设模式
1.建设需求
(1) 校区互联
随着国家对基础教育优质资源共享、重组和整合的日益重视,近十年来陆续出现了合并和集团化办学模式。实践证明,借助该类办学模式的集中式统一管理,确保了原有各学校的优质资源得到更为充分的平衡调配与高效利用[2]。合并(或集团化)办学牵涉一系列问题,其中校园网的互联与扩建是新学校信息化建设无法回避的问题。合并前的各个学校在地域上通常较为分散,对于高校来说,可以通过专项资金架设专线将各个子校区高速互联起来,但这种方案对于经费缺乏的中学来说显然行不通。为此,必须寻求实现校园网互联的最小代价方法。
(2) 异地访问
近年来随着信息技术在科教兴国战略中的应用,以教室为根据地的传统教学活动开始向信息空间延伸。借助网络信息技术,教学活动的实施不再拘泥于定时定点的常规模式,而是演变成随时随地的快捷模式。校园网是信息化教学的前沿阵地,快捷教学模式的实施要求师生能够随时随地接入校园网,这要求当师生的信息终端处在校园网物理范围之外时,也可以在异地远程接入校园网。如何让师生利用已有的互联网基础设施零代价地接入校园网,必须寻求相应的解决方法。
2. 建设方案
满足中学校园网建设需求的经济方案是构建混合式VPN。
(1) 使用站点对站点式VPN来实现校区互联
由于在学校合并(或集团化)之前,原有学校通常都建有自己的校园网。这些校园网有可能处于同一个互联网自治域,也有可能处于不同的互联网自治域。针对这两种不同的情况,分别采用不同的站点对站点式VPN。处于同一个自治域的校园网,由于它们运行着相同的内部网关协议,对它们实施互联较为经济的方法是采用内联网VPN。处于不同自治域的校园网,由于它们运行着不同类型的内部网关协议,对它们实施互联较为经济的方法是采用外联网VPN。
(2) 使用远程接入式VPN来实现异地访问
一方面,与分校区校园网之间关系(网关与网关)对等不同,异地师生的单点信息设备与校园网之间的关系不对等(客户端与网关)。另一方面,与站点对站点VPN中互联后校园网的安全性可以由各分校校园网协同控制不同,单点信息设备由于受制于本地计算能力,通常无能力对等地参与到全网的安全控制。综合上述两方面原因,异地师生接入校园网的较为经济的方案是使用远程接入式VPN。借助隧道技术在端系统与远程网关之间建立起安全的即时信息传输通道。
模式应用
在“名校引领、资源共享、优势互补”思路引领下,南京市建邺区加大优质学校与新建学校、薄弱学校及边远学校整合和重组力度。南京市莲花实验学校是由南京市双闸中学和南京市沙洲中学合并而成的特色试点学校,主要面向城镇务工人员子弟的基础教育。针对学校经费紧张的现状,在并校之初采用混合VPN技术对校园网实施了临时性改造。
1.核心拓扑
初步改造后的校园网拓扑如图1所示(出于安全考虑,隐藏了部分网络拓扑和关键IP地址)。由于两所学校原先采用的内部网关协议不同,在改造过程中添加使用了3台路由器,其中R4作为校外用户的接入路由器;AAA是认证服务器。
2. 关键配置
(1) AAA服务配置
创建需要认证的客户端,同时创建外出用户VPN账号,配置界面如图2。
(2)路由器R1部分配置
R1(config)#ip local pool vclient 172.16.0.1 172.16.0.254
R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255192.168.2.0 0.0.0.255
R1(config)#aaa authentication login vpna group radius
R1(config)#aaa authorization network vpnn group radius
R1(config)#radius-server host 192.168.1.1 auth-port 1645 keykkfloat
R1(config)#crypto isakmp client configuration group vpngroup
R1(config)#crypto ipsec transform-set kkfloatset esp-3des espmd5-hmac
R1(config)#crypto map company client authentication listvpna
R1(config)#crypto map company isakmp authorization listvpnn
R1(config)#crypto map company client configuration addressrespond
R1(config)#crypto map company 10 ipsec-isakmp dynamicvpnmap
(3)路由器R3部分配置
R3(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255192.168.1.0 0.0.0.255
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key kkfloat address 1.1.1.1
R3(config)#crypto ipsec transform-set kkfloatset esp-3des espmd5-hmac
R3(config)#crypto map vpnmap 10 ipsec-isakmp
R3(config-crypto-map)#set transform-set kkfloatset
R3(config-crypto-map)#match address 100
R3(config-if)#crypto map vpnmap
(4)路由器R4部分配置
R4(config)#access-list 1 permit 192.168.3.0 0.0.0.255
R4(config)#ip nat inside source list 1 int s0/1/0 overload
3. 连通性测试
整个测试从区间联通性和远程可访问性两个角度展开。
(1)区间联通性
使用原双闸中学校园网内任意主机PC0 与原沙洲中学校园网内任意主机PC1进行互ping,结果发现能够ping通,这表明本文提出的校园网改造模式能够提供区间互联功能。
(2)远程可访问性
笔者在家中对校园网进行了远程接入测试。图3左显示VPN连接前的客户端配置,图3右显示家中主机可以远程连接笔者校内办公主机。这表明本文提出的校园网改造模式能够提供远程访问功能。
本文针对中学校园网建设经费紧张的情况,充分利用VPN技术的便利性和价格优势,提出了一种基于混合VPN技术的中学校园网建设模式,并将该模式示范应用到了南京市莲花实验学校建校初期的校园网改造。下一步工作集中在两个方面:一是就模式自身而言,进一步优化该模式,使其更具通用性;二是就模式应用而言,对该模式进行推广,使其更好地服务于中学校园网建设。
基金项目:国家自然科学基金(71271117,70971067)、江苏省高校自然科学基金(12KJB520005,12KJD410001)、江苏省网络与信息安全重点实验室(BM2003201)、江苏省高校科研成果产业化推进工程(JHB2012-20)和南京审计学院实验课程建设一般项目(SYKC201316)的研究成果。
