席红旗， 程世辉

(河南财政金融学院(龙子湖校区) 信息技术系，河南 郑州 450046)

一个基于VPN的创客空间共享网络设计

席红旗， 程世辉

(河南财政金融学院(龙子湖校区) 信息技术系，河南 郑州 450046)

针对郑州市郑东新区中小学的创客教育,提出了建设VPN网络,实现资源共享.分析了郑东新区各学校校园网的拓扑结构,在不改变校园网设备的基础上,利用GRE VPN实现VPN网络.

创客空间；资源共享；校园网；VPN；郑州

1 郑州市郑东新区创客空间及空间信息共享的发展情况

创客空间也称为众创空间,是一个供创客分享科学技术、数字、电子艺术等方面兴趣知识,并创意交流以及协同创造的地方.可以看出,它包含两个方面的含义：其一是创造,这是创客们的原动力及目的;其二是协同创造,进一步可以理解为在信息共享下协同创作.郝蕾也认为创客空间有3个层面,包括环境、精神和功能,每个层面上都突出着一个共同点,就是分享、协作、知识创新[1-2].

郑州市的创客教育在全国创客教育大环境下也迅速发展起来,从2016年起,郑州市郑东新区教育文化体育局把创客空间作为数字校园、智慧校园建设工程的主要内容,加大资金投入和建设力度,为学校引入和建设“创客空间”配备开源硬件、3D打印机等数字开发和制造工具,鼓励学校结合现有条件,根据课程需要自行建设创客空间.要求要做到“三有”，即固定的实战场所、固定的老师和系列课程.到2017年,郑东新区各学校筹建的创客空间已有18个,最大面积达到2 000 m2,这些空间可以和其他创客空间联动,为创客空间的共享创造了良好的空间环境.但各学校的创客空间处于非网络共享的情况,未能实现信息共享,不太符合创客空间3个层面的共享信息的要求.

2 VPN的优势与中小学创客空间网络共享需求分析

网络连接是实现众创空间信息共享的基本条件,根据实际条件,基于利用当前发达的网络技术,使用VPN(Virtual Private Network,虚拟专用网)技术,实现各中小学网络资源共享.VPN技术是利用公共网络来构建的私有专用网,可用的公共网络包括Internet、帧中继、ATM等, VPN的优势有：

1)可以方便快捷地构建专用网络；

2)与专用网络一样具有安全性、可靠性和可管理性；

3)简化用户侧的配置与维护工作；

4)提高基础资源利用率；

5)节约使用开销；

6)有效利用基础设施,提供多种业务.

这些优势,正符合当前中小学对创客空间资源共享的网络要求,我们可以根据实际情况,构建郑东新区中小学的共享创客空间.

3 VPN网络的分类

VPN按照业务用途可以划分为：Access VPN、Internet VPN和Extranet VPN,不同类型的VPN的功能也有所不同.

1)Access VPN.组织可以通过共享的、具有对外接口的设施为其远程小型分支站点、远程用户和移动用户提供对企业内部网络访问,Access VPN客户通常使用PSTN/ISDN拨号、xDSL、Cable、移动IP等方式接入服务网络,并利用PPTP、L2TP等的VPN技术跨越服务网络,连接到组织内部网络.相对于传统的拨号服务器方案,可以节约购买拨号服务器的端口模块费用、拨号线路的租用及大量的长途拨号费用.该方式适合对移动用户接入VPN网络的用户.

2)Internet VPN.组织可以跨越公共网络,甚至可以跨越Internet,实现全球范围的Internet,链接其各个分支.而与此同时,组织仅需支付较少的费用,企业可以自由规划网络的逻辑连接结构,随时可以重新部署新的逻辑拓扑,缩短了新连接的部署周期.通过额外的逻辑和物理连接,Internet VPN可以强化Internet的可靠性.

3)Extranet VPN.Extranet VPN通常可以通过使用防火墙,为外部提供随时扩充、修改或重新部署Extranet.随着企业之间协同关系的加强,企业之间的信息交换日渐频繁,越来越多的企业需要与其他企业连接到一起,直接交换数据信息,共享资源.出于对费用、灵活性、时间性等的考虑,Extranet VPN是非常适合要求的.

4 中小学常用的校园网拓扑结构和需求

一般情况下,中小学校园网主要功能是用于教学和管理,在教学方面是增强教学资源共享,提高教学质量.方便快捷地为学生提供更加专业和丰富的学习内容,开阔视野,增进交流；通过网络，可以跨越时间、空间、实验环境等方面的约束和限制,提高教学水平.学校大多采用了如图1所示的千兆、百兆高速校园网的拓扑结构.

图1 中小学常见网络拓扑结构Fig1 Common network topology of primary and middle schools

由于学校需求不同，所以拓扑结构不尽相同, 但和公网是通过一个路由设备进行连接的，是学校采用的接入公网的主要方法，所使用的公网就是我们熟知的Internet.根据该情况,我们设计的VPN属于Internet VPN,使用Internet作为连接网络，既满足支付较少的网络费用,又满足学校可以自由规划网络的拓扑结构,随时可以重新部署新的逻辑拓扑,缩短了新连接的部署周期.

5 中小学校园网VPN的实现

5.1 GRE VPN技术分析

主要的VPN技术有二层VPN技术和三层VPN技术,笔者采用三层VPN技术中的GRE VPN技术.GRE VPN(Generic Routing Encapsulation，通用路由封装)可以用当前使用最普遍的IP网络作为承载网络[3],这也是选择Internet VPN的原因,可以最大范围地扩展所需网络.而GRE封装可以支持多种协议,可以跨越公网加入一些特殊需求的网络,这也是我们选择GRE技术的又一个原因.

图2是通过两个校园局域网的路由器RTA和RTB进行VPN网络建设的示例.

图2 GRE VPN网络连接示意图Fig.2 Network connection schematic

5.2 网络配置

按照图2的设置,配置命令如下：

[RTA-Serial1/0] ip address 192.13.2.1 255.255.255.0

[RTA-Etherneto0/0] ip address 10.1.1.1 255.255.255.0

[RTA] interface tunnel0 mode gre

[RTA-tunnel0] ip address 10.1.2.1 255.255.255.0

[RTA-tunnel0] source 192.13.2.1

[RTA-tunnel0]destination 132.108.5.2

[RTA] ip route-static 10.1.3.0 255.255.255.0 tunnel0

[RTB-Serial 1/0] ip address 132.108.5.2 255.255.255.0

[RTB-Etherneto 0/0] ip address 10.1.3.1 255.255.255.0

[RTB] interface tunnel0 mode gre

[RTB-tunnel0] ip address 10.1.2.2 255.255.255.0

[RTB-tunnel0] source 132.108.5.2

[RTB-tunnel0]destination 192.13.2.1

[RTB] ip route-static 10.1.1.0 255.255.255.0 tunnel0

这样，在两个校园网之间通过路由器就完成一个VPN的初步配置,如果加入其他的校园网,可以选择路由器其他端口进行设计.由于在设计GRE VPN时,选择的拓扑结构不同,对端口的设置也有所不同.

5.3 GRE VPN的不足分析

GRE VPN 实现简单,容易扩展,但也有不足之处,如手动配置两端的端口,只是用点对点的场合,而且不提供数据加密、身份验证等高级安全性,可以添加IPSec等安全协议,而且不能隔离公网和私网,如果要求很高,比如使用BGP/MPLS VPN,就要增加网络成本,和节约成本的要求不太符合[4-5].

以上方案的分析及设计,能够在原有校园网设备基础上实现多个校园网的VPN.

[1] 杨晓哲,任友群.数字化时代STEM教育与创客教育[J].开放教育研究,2015,21(5):95-99.

[2] 张萍,石雪萍,任林源.基于GRE+VPN校园网接入方法及实现[J].现代电子技术,2009(6):90-93.

[3] 孙文乾. 基于GRE VPN的校园网接入应用研究[J].信息通信,2015 (2):252.

[4] 许可，赵鼎新，王昭然. 基于VPN的校园网远程接入系统的研究与实现[J].中国教育信息化,2010:72-75.

[5] 徐迎新. VPN技术在校园网安全体系架构中的应用研究[D].南昌：南昌大学, 2009.

ADesignofMakerSpaceSharingNetworkBasedonVPN

XI Hongqi, CHENG Shihui

(DepartmentofInformationTechnology,HenanInstituteofFinanceandBanking(LongzihuCampus),Zhengzhou450046,China)

A VPN network was proposed for maker education of primary and middle schools in Zhendong New Developed Area of Zhengzhou City. It is trying to realize the sharing of maker space resources. Analyzes the topological structure of the campus network of schools in Zhendong New Developed Area. Implements the VPN network by GRE VPN on the basis of not changing the campus network Network equipment.

maker space; resource sharing; campus network; VPN; Zhengzhou

2017-06-18

河南省重点科技攻关项目(162102210291)；河南省教育厅教师教育课程改革研究项目(2017-JSJYLX-012)

席红旗 (1975—)，男，河南叶县人，河南财政金融学院(龙子湖校区)信息技术系副教授，主要研究方向：计算机网络.

10.3969/j.issn.1007-0834.2017.03.008

TP393.2

A

1007-0834(2017)03-0036-03