上海财经大学:IPSec VPN实现异地校区资源共享
2013-10-25李文才
文/李文才
两所异地学校之间存在资源共享的需求,但彼此之间可能因为高昂的费用不能使用独立光纤进行直接互联,那么如何既实现资源共享又保证数据安全?
很多高校存在着独立学院或者二级学院,校区之间有的相距较远甚至不在同一座城市,但是彼此之间存在着资源共享的需求。
上海财大异地访问资源需求
因经常有上海财经大学的老师前往地处浙江省金华市的上海财经大学浙江学院进行授课,以至于老师们需要在金华使用上海财经大学的OA系统等只有内网才可以访问的管理信息系统。上海财经大学和上海财经大学浙江学院之间就存在着资源共享的需求。使用独立光纤能够有效满足上述需求,但是高昂的成本迫使网管人员去寻找新的途径。VPN利用某种技术在共享网络基础设施上安全地传输私有数据,从而形成不受地域限制,仅受统一策略管理和控制的专用网络。VPN作为一种灵活的远程接入解决方案,既解决了数据传输的安全问题,又降低了跨广域网的专网联网成本,因而具有较好的应用前景。
上海财经大学和上海财经大学浙江学院之间搭建了一条IPSec VPN隧道,搭建完成后彼此之间形成了一个类似内网的环境。浙江学院用户可以自由地访问上海财经大学的图书馆数据库资源,老师可以自由地访问上海财经大学管理信息系统。因为两者都处在教科网环境下,彼此之间的网络带宽能够保证这条IPSec VPN链路的稳定性和可用性。
图1 IPSec VPN网络拓扑
现状分析及遇到的问题
现状分析
目前,上海财经大学地处上海市杨浦区,其中主机房位于国定路校区,连接至校外的光缆都连接到该校区的机房。一根IPv4千兆教科网光纤链路连接至上海交通大学。教师及学生使用的IP地址是教科网IP地址及10.1.0.0/16和10.2.0.0/16的私有IP地址。上海财经大学金华学院地处浙江省金华市,距离上海约400公里,一根教科网光纤链路连接至浙江师范大学。核心网络交换机同样采用的是Catalyst 6509E,教师及学生使用的IP地址是10.10.0.0/16、10.11.0.0/16和10.12.0.0/16的私有IP地址。在IPSec VPN部署之前,教师用户在金华只能使用账号密码对学校原有的SSL VPN进行拨号连接,访问上海财经大学的图书馆数据库资源和管理信息系统。因为SSL VPN设备本身的限制,网络速度和稳定性没有办法保证。学生用户因为没有VPN账号则不能访问上海财经大学的数据库资源,对学生写论文等造成一定影响。
在两所学校之间建立IPSec VPN后,用户在访问某些特定资源如图书馆数据库资源、OA系统等时,路由指向IPSec VPN,通过IPSec VPN隧道访问上述资源。教师用户不用拨号就可以访问上述资源,易用性、稳定性和网络速度也大大提高。学生用户也能够使用图书馆数据库资源,对于学生完成论文及进行科研工作有很大帮助。
升级面临的问题
1. 在不改变原有网络拓扑结构的基础上,进行IPSec VPN的快速部署。
2.在升级改造完成后,用户不需要进行大的改动,就可以使用IPSec VPN链路访问内网资源。
3.用户只有在访问内网资源时才使用VPN链路,访问其余资源走原有的运营商链路。
IPSec VPN部署方案
上海财经大学IPSec VPN部署方案不改变原有网络拓扑结构,选用两台安全网关设备建立端到端的IPSec VPN隧道。两台设备分别配置一个教科网IP地址用于IPSec VPN的建立,分别配置与核心交换机进行互联的IP地址。在浙江学院的核心交换机上添加上海财经大学内网资源的地址段路由指向浙江学院的IPSec VPN设备。浙江学院的IPSec VPN设备默认路由指向IPSec VPN隧道的对端IP地址,并添加浙江学院地址段的回程路由。上海的IPSec VPN设备添加默认路由指向VPN设备和上海核心交换机互联的IP地址,并添加浙江学院地址段的回程路由。上海的核心交换机只需要增加浙江学院地址段的回程路由。
在整个部署过程中,只需要修改核心交换机的路由配置以及安全网关设备自身的IPSec VPN的配置,拓扑结构清晰,配置过程较为简单、易于实施。实施完成后,用户不需要做任何改动,就具有访问内网资源的权利。
升级原则
1.保证现有用户正常使用网络。在升级过程中,网络设备配置的改动不能影响到现有用户网络的正常使用。
2.升级不能破坏原有的网络结构、网络安全性和网络性能。
3.简化用户操作。在网络升级完成后,用户不需要太复杂的设置,就能实现内网资源的正常访问。
网络拓扑图
在进行IPSec VPN部署的过程中,未改变原有的网络拓扑结构,只是在原有的核心交换机上分别连接两根网线至IPSec VPN设备,一根用来设备间互联,一根用于IPSec VPN的建立,拓扑结构简单,路由走向清楚。如图1所示。
图2 IPSec VPN流量概览
IPSec VPN建立过程
IPSec VPN的建立分为两个阶段。第一阶段,协商创建一个通信信道(ISAKMP SA),并对该信道进行认证,为双方进一步通信提供机密性、数据完整性以及数据源认证服务。创建过程包括:协商一系列算法和参数(这些算法和参数用于保护隧道建立过程中的数据);计算出两边使用的加密KEY值;对等体的验证,如何才能知道对端就是要与之通信的对端,这里验证有三种方法(预共享密钥、数字签名、加密临时值)。
第二阶段,使用第一阶段已建立的通信通道建立IPSec SA(安全联盟),该SA是为数据传输而建立的安全联盟。这一阶段协商建立IPSec SA,为数据交换提供IPSec服务。第二阶段协商消息受第一阶段SA保护,任何没有第一阶段SA保护的消息将被拒收。
关键配置
在IPSecVPN的部署过程中,关键配置如下:
浙江学院核心交换机:增加上海财经大学图书馆数据库资源和管理信息系统IP地址段的静态路由指向浙江学院IPSec VPN设备的互联IP地址10.1.2.2。
浙江学院IPSec VPN设备:新建一个IPSec VPN实例ToShanghai。IPSec VPN第一阶段配置:配置IPSec VPN的peer IP地址202.121.142.1,配置提议1为P1协议,并设置预共享密钥。IPSec VPN第二阶段配置:设置模式为隧道模式,并配置P2提议为P2协议。设备默认路由指向IPSec VPN隧道,并配置浙江学院用户IP地址段回程路由指向浙江学院核心交换机互联地址:10.1.2.1。
上海财经大学IPSec VPN设备:IPSec VPN的协议配置和浙江学院VPN设备配置相同,不同的是,IPSec VPN名称和peer IP地址为121.192.46.1。设备默认路由指向上海财经大学核心交换机互联IP地址192.168.202.1,配置浙江学院用户IP地址段回程路由指向IPSec VPN隧道。
上海财经大学核心交换机:增加浙江学院用户IP地址段静态路由指向IPSec VPN设备互联地址192.168.202.2。
部署完成后的使用情况
部署完成后,浙江学院的用户无需做任何改动,就拥有了访问上海财经大学图书馆数据库资源和管理信息系统的权限,有效解决了用户在异地访问内网资源的需求。该应用推广工作较为顺利,用户反响很好。因为IPSec VPN设备都是用教科网IP地址进行IPSec VPN的建立,网络的速度和稳定性都很好。图2给出了部署完成后用户使用的TOP10 IP地址流量、TOP10应用流量以及网络接口流量。
IPSec VPN在网对网( Site_Site) 的VPN 连接中具备易于部署、安全性较好等优势。利用IPSec架构安全VPN 可以在不影响原有应用的前提下, 提供可互操作的、高质量的、基于加密的安全服务。本着够用、易用、实用的原则,针对学校的实际情况和有限的资金投入,利用IPsec VPN技术解决了异地资源安全访问的问题,有效解决了上海财经大学(浙江学院)访问上海财经大学图书馆数据库资源和管理信息系统的需求,明显改善了浙江学院的教学和科研环境。