基于多VPN技术的高校数字化校园网组建研究
2017-07-31李鑫,张琴
李 鑫,张 琴
(1.山西大同大学网络信息中心,山西大同037009;2.山西大同大学商学院,山西大同037009)
基于多VPN技术的高校数字化校园网组建研究
李 鑫1,张 琴2
(1.山西大同大学网络信息中心,山西大同037009;2.山西大同大学商学院,山西大同037009)
大多数高校设立分校、人员外出交流和教职工住宿区外建等情况,使得如何安全、高效和可靠地访问校园网数字化信息系统成为一个难题。分析和对比了常见的三种VPN技术,并提出了数字化校园网的访问需求。为数字化校园VPN网络的组建,采用ipsec+mpls VPN同时部署SSL VPN的组网方式,经过模拟组网测试,达到了预先可靠性、安全性和入网灵活性的目标,为VPN技术在高校校园网中的推广有一定的示范作用。
VPN;数字化校园网;eNSP模拟器
当前,中国高校的信息化水平正在稳步推进,大多数高校都集中精力建设了数字化校园信息系统,高校教育资源得到了有效整合,提高了教育资源的利用率和应用水平,使教学活动和教学管理决策得到了有力的支持。数字化校园信息系统是建立在数据统一、身份统一、门户统一、信息标准统一、开发平台统一基础上的综合性网络平台,它包含的子信息系统丰富多样,实时产生大量的大数据信息,极大地依赖校园基础网络地有效支撑。然而,高校设立分校、人员外出交流和教职工住宿区外建等情况在大多数高校普遍存在,这使得如何安全、高效和可靠地访问校园网数字化信息系统成为一个难题。如果采取租用光缆的方式,一方面会产生昂贵的费用,另一方面不能满足外网连接方式多样化的应用场景。而采用单一的VPN技术相对费用低廉,但无法兼顾外部连接的可靠性、安全性和高质量。为此,本文提出融合多种VPN技术组建高校数字化校园网。
1 高校数字化校园网VPN技术分析
1.1 高校数字化校园网主要VPN技术
关于VPN技术的探讨研究已经很深入了,2003年,学者蒋东毅等就讨论了VPN的关键技术是隧道技术,并明确指出VPN技术要在加密算法和QOS技术方面要深入发展,IPSEC技术必然成为主流[1]。之后,学者们通过对VPN技术的应用研究[2-3],对比分析了各种VPN技术的优缺点,得出多种VPN技术结合部署是应用的主要方向[4]。其中,对于多种VPN技术结合的应用研究大多数是两种VPN技术在局域网出口的同时部署,如:同时部署SSL VPN和MPLS VPN技术,或者同时部署SSL VPN和MPLS VPN技术,而对于真正将IPSec VPN和MPLS VPN技术融合部署的研究有学者提出了部署框架,缺乏实际应用的案例。本文首先对高校数字化校园网广泛采用的三种VPN技术:IPSec VPN、MPLS VPN和SSL VPN分别做下介绍。然后,根据学者任德玲等提出的基于IPSec VPN的MPLS IP VPN的设计与实现的框架结构[5],结合高校数字化校园网的需求分析,通过华为路由器进行实际应用模拟。
IPSec VPN技术,是一种常用的专用网络隧道技术,同时也是IETF(Internet Engineering Task Force)互联网工程任务组建立的IP协议安全集合。它工作在OSI模型的网络层,定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。为了提高数据的安全性和可靠性,它对传输数据以密钥认证的方式进行筛选,确保对唯一的发送端和接收端的保护。IPSec数据包的安全结构的隧道模式分别在IP数据包中加入了AH(Au⁃thenticationHeader)协议、ESP(EncapsulatedSecuri⁃tyPayload)协议。其中,AH(AuthenticationHeader)协议,具备保证IP通信的数据完整性功能,以密钥的方式进行身份认证。ESP(EncapsulatedSecuri⁃tyPayload)协议对IP层数据包进行加密,加入验证机制保证数据源的保密性,无法被非法监听。
MPLS VPN是指采用MPLS(多协议标记转换)技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起。MPLS通过在二层数据包插入MPLS标签来区别数据流,当建立在MPLS VPN技术之上的专用网络间相互交互信息时,各数据包按照定义好的标签实现二层数据的交换转发,到达专用网络的边缘,则由三层路由协议完成路由选择。因此,MPLS VPN是结合二层交换和三层路由的技术,具有非常强的扩展性和适应性。
SSL VPN是Secure Socket Layer即安全套接层协议和VPN的结合。SSL协议包含两层协议:记录协议和握手协议。记录协议负责把高层协议的数据进行压缩、封装和加密等;握手协议负责将数据以协商好的公钥加密的方式进行传输。利用SSL协议的特点可以基于浏览器方便地构建虚拟专用网络。
1.2 MPLSVPN、IPSecVPN和SSLVPN技术比较
应用MPLS VPN的虚拟专用网通信的分支机构,在出口路由器使用标签封装包含数据信息的高层协议。通过ISP的公共网络时,可以根据标签方便地对数据业务进行分类、QOS、流量控制等操作,有利于视频、语音和数据等多种网络数据的融合。并且,MPLS VPN的配置主要集中在提供服务的ISP,减少了接入分支机构的工作量,管理简单,扩展性强。接入费用比租用专线要低很多。因此,成为了许多有VPN接入需求单位广泛采用的VPN接入技术。但是,MPLS VPN也不是完美的VPN接入技术,由于它基于标签交换转发的机制,是在原有的交换转发上多了一次转发,因此,增加了网络的开销。
应用IPSec VPN的虚拟专用网通信,主要优势体现在安全性方面。根据IPSec VPN隧道封装结构图,通过IPSec协议封装形成的通信隧道,可以保证IP通信的数据完整性、保密性和安全性。但是,IPSec VPN存在配置复杂,要求用户使用客户端,难于维护的缺点。
应用SSL VPN的虚拟专用网通信,主要优势是用户接入简单方便,只要通过系统内置的浏览器访问即可接入。当通过浏览器接口访问机构的内部网络资源时,需要根据提示安装相应的安全插件,通过用户和密码验证即可访问许可的应用服务,并且SSL协议可以对通信的数据进行加密,保证了通信的安全。但是,由于SSL VPN是基于应用接口方式部署的虚拟专用网,要求的链路质量比较高,然而,外出用户的网络与机构网络之间的链路质量很难保证,因此,SSL VPN的可靠性一般。另外,提供SSL VPN功能的设备往往根据同时在线人数授权收费,其价格不菲。到目前为止,SSL VPN还不能与常用的手机操作系统兼容,手机上网用户不可以使用SSL VPN。
1.3 建立高校数字化校园VPN网络的需求分析
高校校园的数字化建设,主要体现在数字化校园平台的部署和运行。在这个平台上集成了关于日常教学和管理的多种应用系统,与教学活动密切相关,特别是大数据的广泛应用和挖掘,要求高校校园网的基础网络架构体现超强的承载性;同时,考虑到教育经费的宝贵,还要在设计基础网络时考虑费用的节约。因此,建设高校数字化校园VPN网络要注意以下几个方面的需求:
(1)建设高校数字化校园VPN网络要求具备高带宽、高稳定性。
数字化校园的建成打破了时空的限制,将实地授课模式改为网络视频授课,分属两个校区或者身处校外的教师可以通过VPN网络进行网络视频教学。也可以将上课的内容和课后的提问视频通过VPN网络上传到教学平台服务器,这些实时或分时的视频数据需要占用大量的网络带宽,并依赖于网络的稳定。
(2)建设高校数字化校园VPN网络要求方便用户接入、入网方式灵活。
数字化校园的建成意味着广大师生需要使用几十种以上的应用,对于各种应用的审计认证显然必不可少。统一认证,消除了广大师生记忆几十个网络应用验证信息带来的负担,只需通过校园唯一的认证接口即可。VPN技术和个性化定制功能的应用,则使得广大师生可以随时随地接入校园网和灵活配置专属于自己的校园网首页,实现了入网方式的方便、灵活。
(3)建设高校数字化校园VPN网络要求高安全性、可管理性。
高校数字化校园VPN网络打破了校园网原来相对封闭、独立的网络结构,通过建立在Internet上的专用隧道传输私有数据信息,虽然对于拓展联网规模具有经济性和便捷性,但对于数字化校园网的安全形成了挑战。因此,高校数字化校园VPN技术一定采用适应校园网络整体的统一的网络安全策略,统一部署,统一管理。只用这样才能适应瞬息万变的网络安全环境。
2 高校数字化校园网VPN网络模拟组建
2.1 高校数字化校园网VPN网络拓扑设计
高校数字化校园网络由主校区和分校区组成,两个校区分属于城市的不同区域相距几十公里,租用专线实现两个校区的互联费用昂贵,因此,采用租用VPN虚拟专用线路的方式实现两校区互联。根据上述三种VPN技术的特性和实际场景需求,采用IPsec+mpls的方式实现两校区互联。而对于外部网络的教工用户,则通过数字化校园网部署的SSL VPN服务器快捷、方便地连接校园网。总之,通过三种VPN技术的有机结合,既考虑到了数字化校园网的安全、可靠和高质量的服务,又为学校节约了宝贵的教育经费。
2.2 高校数字化校园网VPN网络组建
根据高校数字化校园网VPN网络拓扑设计,网络规划如下:数字化网络资源集中部署于主校区,IP划分为:10.1.1.0/24;主校区的出口路由器IP为172.26.1.1/24;而SSL VPN服务器旁路部署与出口路由器直连,其IP为10.1.0.2/24。分校区的内部网络IP划分为:192.168.10.0/24;其出口路由器IP为:172.26.6.2/24。根据VPN网络组建的需求,要求ISP提供商配置IPsec+mpls专用链路实现两校区互联。而SSL VPN服务器则通过NAT端口映射为外网用户提供服务连接接口,共享数字化校园网络资源。两个校区的内网用户通过ISP提供商配置的出口路由器NAT后访问Internet,具体配置细节在本文不重点关注。
3 高校数字化校园VPN网络仿真
3.1 高校数字化校园VPN网络拓扑仿真
根据上述网络规划,笔者使用华为网络系统模拟软件eNSP模拟仿真上述VPN组网过程,该模拟器使用的pc环境是Windows 7旗舰版。在eNSP的仿真拓扑如图1所示:
图1 eNSP中仿真拓扑
图1中PC3模拟主校区的内网资源服务器,SSL VPN旁路式接入主校区出口路由器;
图1中间部分PE1、P1、P2和PE2路由器模拟租用ISP运营商的MPLS专线;图1右面是分校区的出口路由器和代表分校区内网的PC4。
3.2 高校数字化校园VPN网络仿真配置
3.2.1 网络基础搭建
网络基础搭建负责模拟两校区的出口互联。主要任务是模拟分配主校区、分校区和ISP运营商的IP地址,通过OSPF协议实现两校区的出口路由和ISP运营商之间联通。配置情况举例:
主校区路由器基础配置
其他网络设备配置情况类似,都为先指定接口IP,然后启用OSPF动态路由协议,只是注意主要区和分校区的内网路由网段不通过路由协议发布。
3.2.2 Ipsec vpn+mpls vpn配置
这部分配置是本文多VPN技术应用的核心部分,主要是将主校区到分校区的路由器之间通过Ipsec tunnel封装,ISP提供商部分则配置mpls vpn提高整个链路的可靠性和效率。配置情况举例:
主校区路由器Ipsec tunnel封装配置
本部分配置主要是建立Ipsec tunnel隧道,首先定义两校区内网互通的访问控制列表acl 3001和ip⁃sec提议,然后启用ike v2提议确定数据流的加密方式为:共享密钥加密;接着定义ipsec策略将acl 3001、ipsec提议和ike v2提议关联;最后,在主校区路由器的出接口上应用ipsec vpn。
该部分主要是按照mpls vpn链路建立方式,分为两部一部分是全局mpls vpn,另一部分为接口mpls vpn;为了保证链路的稳定,需要建立loopback接口,并在mpls全局定义是采用。
3.2.3 配置验证
(1)ipsec设置验证
下面是主校区路由器的ipsec链路建立情况,通过配置可以看出已经实现ipsec tunnel的封装建立。
(2)Mpls设置验证
下面是ISP运营商pe1路由器的mpls链路建立情况,通过配置可以看出已经实现mpls lsp的链路建立。
(3)连通性验证
通过模拟主校区内网资源的pc3对分校区内网的pc4做连通性测试(ping命令)表明,链路情况良好。
以上对多VPN技术应用的情况做了模拟测试和验证,本文重点是对于ipsec+mpls联合使用的可行性的测试,通过模拟实验完全可以;对于SSL VPN的实现因为笔者完全在图形界面下配置实现,配置环境比较简单独立,这里不再赘述。
4 结束语
在梳理VPN技术应用相关文献的基础上,对常用的VPN技术做了分析和对比,为数字化校园VPN网络的组建实践了ipsec+mpls同时配合部署SSL VPN的组网方式,经过模拟组网测试,达到了预先可靠性、安全性和入网灵活性的目标,为VPN技术在高校校园网中的推广有一定的示范作用。
[1]蒋东毅,吕述望,罗晓广.VPN的关键技术分析[J].计算机工程与应用,2003(15):173-177.
[2]何亚辉.基于SSL协议的VPN技术研究及在校园网中的应用[J].重庆理工大学学报(自然科学版),2011(2):86-90.
[3]朱伟珠.利用VPN技术实现高校图书馆资源共享[J].情报科学,2007(7):1058-1061.
[4]易光华,傅光轩,周锦顺.MPLS VPN IPSec VPN和SSL VPN技术研究与比较[J].贵州科学,2007(2):34-38.
[5]任德玲,卫韦.基于IPSec VPN的MPLS IP VPN的设计与实现[J].计算机应用研究,2006(3):116-118.
Research on the Construction of Digital Campus Network Based on Multi VPN Technology
LI Xin1,ZHANG Qin2
(1.Network information Center,Shanxi Datong University,Datong Shanxi,037009;2.Business School,Shanxi Datong University,Datong Shanxi,037009)
Most colleges and universities set up campuses,exchange staff and build outside staff accommodation and so on,mak⁃ing it a problem safe,efficient and reliable access to campus network digital information system.This paper analyzes and compares the three kinds of common VPN technologies,and puts forward the demand of digital campus network.For the construction of digital cam⁃pus VPN network,we used ipsec+mpls VPN and SSL VPN network deployment,through simulation testing,to achieve the goal of safety and reliability,advance network flexibility,for the application of VPN technology in the campus network in colleges and universities in a certain exemplary role.
VPN;digital campus network;eNSP simulator
TP393
A
1674-0874(2017)03-0010-06
〔责任编辑 高海〕
2017-02-15
山西大同大学校级科研项目[2012K5]
李鑫(1980-),男,山西怀仁人,硕士,实验师,研究方向:网络技术与信息资源管理。