基于多出口的校园网VPN网络构建

◆李 晓 刘清云

（济南大学泉城学院 山东 265600）

基于多出口的校园网VPN网络构建

◆李 晓 刘清云

（济南大学泉城学院 山东 265600）

本文结合校园网的具体网络结构和使用情况提出了一个基于多出口的校园网VPN网络构建方案，根据这个方案不仅可以实现虚拟的跨区域的专线联通，还可以通过接入移动和联通两大网络运营商，将校园专用网内资源被访问的区域范围扩展到任何连接Internet的地方，还可以优化专用网内部的资源管理。

校园网；多出口；VPN；网络技术

0 前言

21世纪是信息化的社会，随着科技的不断进步和网络的迅猛发展，当今社会已经进入了高速发展的信息化时代。高校作为文化知识的传播和培养高素质人才的中心，更应该紧跟信息发展的步伐，发展成数字化、信息化的校园。因此，多出口校园的网络构建成为进入信息化社会的不可避免的问题。

最近几年来，随着高校信息化网络构建工作的不断开展，校园网用户对校园网的要求也越来越高，单一的传统网络接入已经不能满足日益复杂的应用需求。高校的教师都习惯用自己的笔记本上网浏览学校资源或者是在就可以登入学校的教务处系统管理学生的成绩随时随地的没有限制的访问网络。但是我们都知道，一般情况下，我们是无法用自己的电脑访问学校图书馆资源并下载、查阅内部资料的，因为我们大多数的学校图书馆、教育处等等都是做了访问限制的，通过教育网我们是无法访问的。我们都知道在学校放假后我们只能查看学校官网却不能访问学校的图书馆系统查看图书馆内的资源，这时候我们很多工作就无法继续进行。

因此，我们需要扩展网络的规模，升级网络的结构，在发展的基础上不断的扩大网络结构。基于多出口的校园VPN网络构建就是在学校网络的基础上增加多条ISP出口，使学校教职工能够在使用学校资源的时候能够不受限制，更方便快捷地找到自己需要的资源。这就要在设置的时候在总部增加访问限制，达到预想设计的目标。比如，我们小区只需要向ISP申请一条专门的线路，这条线路分配了一个IP地址，配置实现全学院的主机都能实现访问指定的网络。

1 系统分析

1.1 需求分析

按照我校的需求和实际的需要，需求的总目标：

（1）先进性：由于科技的不断发展，网络技术日新月异，更多的运营商和更先进的技术层出不穷,本校的网络结构要求在以后的几年内达到应用的需求先进性,等够达到比较先进的水平。

（2）可靠性：本校的网络要具有较高的可靠性，不间断、无故障的全天24小时运行，网络的局部问题不会影响到整个网络的可靠运行。

（3）可扩展性：整个的网络的节点要有很好的向上扩展性，能够满足未来几年的网络扩展的需求，并且具备可承受更高的宽带和网速的需求。

（4）可管理性：本校的网络采用集中式的管理，能够掌握整个网络的运行，并且能够容易的找出网络故障的节点所在，应对复杂用户的需求。

（5）安全性：本校的网络系统要足够的安全，因为本院校所有的管理事务都是在校园网上进行，不同部门的数据要绝对的安全，可访问的和不能访问的要严格的控制区分开来。

1.2系统设计分析

要实现上述总目标，方案会采用星型拓扑结构，方案特点：

（1）高性能双向交换，多模光纤、百兆位交换到桌面（双绞线）。

（2）虚拟局域网（WLAN）策略，提高局域网内部的安全。

（3）管理简单，基于浏览器和网络管理的图形化界面配置。

（4）系统安全，集成路由器防火墙，提高接入互联网的安全保证。

（5）多媒体教学、办公、广播等的需求，实现多媒体教学的需求。

（6）高速缓存，实现广域网的快速访问，减少不必要的网络流量的浪费。

（7）经济适应,使用性价比高的产品配置，支持系统的升级。

（8）在预算的范围内，最大的实现网络系统。

2 校园网主要开发工具

2.1 校园网模拟主要应用技术

图1 链路聚合

虚拟专用网（Virtual Private Network VPN），是指穿过混乱网络的虚拟的专用的网络通道，是穿过因特网的一个临时的安全连接。它有使用VPN降低成本，传输数据安全可靠，连接方便灵活，完全控制等特点。通过这条隧道可以安全的传输信息，用于保密性的通讯中。

图2 链路冗余

（1）IpSec VPN，它的目的就是为了使IP地址具有更高的安全性，VPN是为了实现这种安全特性的方式下产生的一种方便的解决办法。IPSec是一个框架性的结构，具体由AH协议和ESP协议两部分组成。提供了传输Transport和隧道Tunnel两种封装模式。端到端的IPSec中，需要被保护的流量经过路由器时，路由器将会启动相应的秘钥交换IKE（Internet Key Exchange）协商过程。

（2）Easy VPN是思科独有的远程接入VPN技术，从Easy VPN的名字上就知道这个应该是个简单的VPN应用技术，只要配置好Server一端，只要客户机能够连接上网，使用思科的一个VPN拨号软件就可以通过VPN实现远程访问公司的网络。

（3）链路聚合。

（4）链路冗余。

2.2 生成树协议STP

生成树协议（Spanning Tree Protocol STP）它是一个简单的二层链路管理协，不仅能够提供链路冗余还能在逻辑上断开链路，更能防止产生广播风暴的。当线路出现故障的时候，断开的接口就会自动的被激活，恢复通信后，起备用线路的作用。

生成树协议形成一个无环拓扑的步骤：

（1）选择一个合适的根网桥（Root Bridge）；

（2）选择一个合适的根端口（Root Port）；

（3）选择特定的端口（Designated Ports）；

（4）BPDU。

2.3 Rip协议

RIP（路由信息）协议适合应用于局域网等小型内部网络，由于学校校园网的规模并不是很大，所以RIP协议非常适合作为校园网网络协议来使用。在一个自治系统中（Autonomous System AS），路由信息协议是最经常用到的在路由器之间交换路由信息表的协议。RIP通过数据包经过的路由器的个数也就是条数来计算距离，选择条数最少的来作为最佳路径。因此，RIP最典型的就是距离向量协议。本次设计通过多路由器上RIP协议的配置以及核心，使交换机RIP协议的配置来实现校园网网络的畅通。

2.4 OSPF 协议（开放式最短路径优先路由协议）

OSPF配置的核心代码：

图3 OSPF协议

3 基于多出口校园VPN网络构建

网络拓扑图如图4所示：

图4 校园网络拓扑图

以本校为实例模型，主要针对网络环境中的设备和策略、网络分布进行的研究。高校校园网的组建和搭配，学校与各分院区域间通过VPN联系的实现，汇聚层通过三层交换机和硬件防火墙的模式实现了与总校区的网络中心的信息交互和共享。各部门的办公室之间利用三层交换机进行VLAN的划分。又因为我们本校区下设多个分学院，学校对信息安全和教学资源等等的保密性要求都比较高，因此基本上都采用了防火墙加软件管理的方式，通过NAT技术来实现内外网络的访问，在保证学校资源安全的同时，又可以允许其他校园可以共享我们本校区的信息和教学资源。网络中心的核心交换机实行双核心的冗余交换，通过配置冗余交换机防止设备发生意外的情况导致校区网络的瘫痪等问题，同时也考虑到了高峰期网络阻塞问题，不用带给核心交换机太多的压力，在核心交换机上还配置了链路聚合增加网络的承载能力等等。各个设备之间通过路由交换技术实现网络的安全和畅通。

分部获取地址如下图所示：

图5 VPN的配置

图6 客户端已经连接上VPN

图7 客户端获取到的

客户端能够ping通网址1.1.1.2，如下图所示：

图8 远端客户机连通状态

4 结束语

本文以我校校园网为例，对校园网网络拓扑图进行设计，并通过Cisco packet tracer软件的网络模拟，已经基本完成了网络拓扑结构的设计、规划、分部、关键技术的配置，有关服务的模拟，测试的结果等等。

[1]王达.一个虚拟专用网络（VPN）解决方案[M].北京：清华大学出版社，2004.

[2]备受金.Remoteaccess公共图书馆的电子资源基于SSL VPN[J].图书馆杂志，2009.

[3]亏宁.安全访问控制技术及其应用[M].北京：电子工业出版社，2005.

[4]曹茸.DHCP网络环境的构建与实现[J].电子科技，2011.

[5]陈立德，蒋冬英.高校校园网的规划与设计[J].中国水运（下半月刊），2010.

[6]古忻艳，孟庆伟.中小型园区网的设计与实现[J].现代电子技术，2010.

[7]王朝阳.校园网IP地址分配方式的使用分析[J].山西科技，2009.

[8]梁桂才，李奇国，张顺，蔡伟.校园网IP地址规划[J].桂林电子科技大学学报，2008.

[9]杨帆.RIP路由协议分析及配置简述[J].硅谷，2012.

[10]桑世庆，卢晓慧.交换机/路由器配置与管理[M].人民邮电出版社，2010.