VPN技术在多校区成人教育平台中的应用

罗智勇，秦兆伟，孙广路，孙永倩

（1.哈尔滨理工大学 计算机科学与技术学院，黑龙江 哈尔滨 150080；2.哈尔滨理工大学 成人教育学院，黑龙江 哈尔滨 150080）

当前，教育部门已经将成人教育计算机信息系统作为一种新的教育形式，成为21世纪构建成人教育体系、终身学习体系的一个重要手段，并作为解决我国教育资源短缺的重要战略措施加以强化［1］。然而，我国多校区成人教育信息平台在组建过程中，还存在着软、硬件设施投入不足等问题，造成其网络无法安全连接，从而导致多校区成人教育资源无法安全共享。VPN（virtual private networks，虚拟专用网）是一种虚拟技术，它通过隧道技术可以在开放的公众网络中建立安全的数据传输通道，从而极大地拓展了校园专用网［2］。把VPN技术应用于多校区成人教育信息平台的构建中，既保证了数据的安全传输，又节省了远程学员的访问费用。本文结合实际，探讨了多校区成人教育VPN网络平台的实现过程。

1 多校区成人教育建立VPN网络的技术分析

1.1 VPN技术及原理

VPN是一种使用认证、加密和隧道等技术实现在公用网络Internet安全通信的专用网［3］。VPN网络的核心是“隧道”技术，通过建立专用的隧道实现网络的专用化，达到数据的安全传输和企业内网的扩充［4］。当前，实现 VPN 网络的技术主要有两种［5］：IPSec VPN和SSL VPN。

（1）IPSec VPN。IPSec VPN 是在IP层建立面到面的网络通信，其原理与包过滤防火墙相类似，它通过加密、认证和完整性检查等技术实现对数据包的安全处理，从而保证数据的通信安全［6］。

（2）SSL VPN。SSL VPN使用SSL协议来实现点到面的网络通信。这种技术依据安全控制策略为移动客户提供从外网访问内网资源的安全访问通道［7］。

1.2 组建多校区成人教育VPN网络需解决的关键问题

结合笔者所在学校多校区的特点，发现建立多校区成人教育VPN网络需解决以下几个关键问题［8］：

（1）用户访问校内各类服务器的问题。由于学校内部各种服务器繁多，因此如何控制校区内外用户访问服务器的电子资源的权限分配是一个值得考虑的问题。

（2）移动客户端接入问题。由于教师或者工作人员出差外地，如何安全、快速地接入校园网是非常值得注意的问题。

（3）远程接入易用性问题。过于复杂的配置、程序安装、设备操作会使管理人员的维护量和成本倍增，而且校园网外的教师、学生的计算机水平不尽相同，如果比较复杂甚至需要花工夫去学习整个接入过程，会增加教师和学生的负担，降低方案的可用性。

（4）各个校区之间通信问题。由于各校区之间相距较远，因此采用何种方式使各个校区安全、快速和简约地相互通信是一个关键问题。

2 基于VPN的多校区成人教育网组建模型

2.1 多校区成人教育VPN网络的拓扑结构

结合多校区成人教育学院的特点，并以笔者所在学校为例，设计了网络的拓扑结构如图1所示。

图1 多校区成人教育VPN网络拓扑

在图1中，A校区VPN网关和B、C校区网关上都建立两条VPN隧道，这两条隧道采用IPSec VPN技术实现，而对于移动客户采用SSL VPN隧道技术来实现对主校区网关的访问。

2.2 VPN网络设备的IP分配

根据网络拓扑结构，将A校区对外网（Internet）的IP地址设置为202.168.102.1／24 和202.168.102.2／24，A校区内部分成4个网段，即学生网段192.168.10.0／24、员工网段192.168.20.0／24、教师网段192.168.30.0／24及其他网段192.168.40.0／24，其中，学生网段中的IP地址由DHCP服务器分发；B校区对外的IP地址设置为138.192.101.1／24；C校区对外的IP地址设置为145.163.100.1／24；移动用户的IP地址根据实际情况而定，只要能访问Internet即可。

3 VPN多校区成人教育网模型仿真

3.1 多校区成人教育VPN网络拓扑仿真

笔者根据设计要求在Win7系统的PC机上，选用DynamipsGUI模拟器来仿真整个网络的通信过程。在DynamipsGUI中，图1中的网络拓扑仿真结果如图2所示。

图2 DynamipsGUI中网络拓扑

在图2中，由R1、R2、SW1、SW2、SW3、SW4、C1、C2、R8、R9组成A校区校园网络，B校区由R4、R5构成，C校区由 R6、R7构成，外网Internet使用 R3模拟。

模拟环境中IP地址规划为：R1的f0／0接口IP地址是192.168.1.1／24，f1／0接口IP 地址是202.168.102.2／24，f2／0接口IP地址是202.168.101.1／24，f3／0接口IP地址是192.168.2.1／24；R2的f1／0接口IP 地址是10.0.0.1／24，f0／0接口IP 地址是202.168.101.2／24；R3的f0／0接口IP地址是10.0.0.1／24，f1／0接口IP地址是10.20.0.1／24，f2／0接口IP地址是10.10.0.1／24，f3／0接口IP地址是10.30.0.1／24；R4的f0／0接口IP地址是10.20.0.1／24，f0／1接口IP地址是138.192.101.1／24；R5的f0／0接口IP地址是138.192.101.2／24；R6的f0／0接口IP地址是10.30.0.2／24，f1／0接口IP地址是145.163.100.1／24；R7的f0／0接口IP地址是145.163.100.2／24。而在A校区里内的交换机SW1和SW2则是宣称4个VLAN，分别是VLAN10、20、30、40，VLAN的网段分别为 192.168.10.0／24、192.168.20.0／24、192.168.30.0／24和192.168.40.0／24，而 C1、R8、R9则分别代表A校区内网的VLAN网段。

3.2 多校区成人教育VPN网络仿真

3.2.1 主校区网络配置

A校区是主校区，其主网地址是202.168.101.1和202.168.101.2。这2个IP地址分别在2个路由器R1和R2上配置，其核心伪代码如下：

在A校区内部，SW1、SW2作为主要枢纽与外网的数据通信量比较大，因此它们需要设置的接口类型为trunk。在SW3、SW4的接口配置方面，SW3、SW4与SW1、SW2的相连接口模式设置为trunk，SW3、SW4与主机相连的接口模式设置为access。另外，由于A校区内部设置了4个VLAN，因此它们对应了4个不同的用户组。由于主干枢纽SW1、SW2与这4个VLAN之间存在着交互数据量比较大的特点，因此，在SW1、SW2的f0／3和f／4接口上使用命令channel－group 1mode on建立以太网通道，加宽了数据通道；其次，需要在SW1上建立4个VLAN，而SW2、SW3、SW4则需要加入 VTP域lzy＠com，这样就可以获得与SW1相同的VLAN域，其核心伪代码如下：

3.2.2 其他校区网络配置

由于使用路由器R3来模拟Internet，因此R3的f0／0应指向A校区网络，其网段设置为10.0.0.0／16；f1／0应指向B校区网络，其网段设置为10.20.0.0／16；f2／0应指向外网上的出差人员，其网段设置为10.10.0.0／16；f3／0应指向 C校区网络，其网段设置为10.30.0.0／16。另外，R3还需要设置3条静态路由，分别指向校区A、B、C，其核心伪代码与3.2.1节中R1和R2的核心伪代码相类似。

B校区使用路由器R4充当网关，根据其通信特点，R4的核心伪代码设置如下：

B校区使用路由器R5充当内网客户机，根据其通信特点，R5的核心伪代码与R4路由器的核心伪代码相类似。

由于C校区与B校区的功能相似，其路由器的核心伪代码设置可参照B校区的设置。

3.3 IPSec VPN仿真

在整个VPN网络的仿真中，共有两条IPSec VPN，即R1与R4之间和R1与R6之间。其中，建立R1与R4之间的IPSec VPN需要2个阶段，即：ISAKMP／IKE阶段1和ISAKMP／IKE阶段2。

在ISAKMP／IKE阶段1中，需要完成以下配置：

（1）建立安全策略。该策略的参数主要包括：策略的序列号、加密算法、散列算法、验证方法、DHzu和生存周期等。

（2）配置预共享密钥。该密钥分为2个：等级0和6。等级0表示密钥为明文，等级6表示密钥为密文。

在ISAKMP／IKE阶段2中，需要完成以下配置：

（1）配置crypto ACL。通过crypto ACL 匹配IPSec VPN流量，其中permit语句指定了需要被保护的流量，而deny语句指定了不需要保护的流量。通常情况下，两端对等体设备上的crypto ACL互为镜像，否则阶段2的连接建立会失败。

（2）配置传输集。在IPSec对等体之间，必须保证两端至少有一对匹配的传输集，这样ISAKMP／IKE阶段2的数据SA连接才能协商成功。

（3）配置Crypto Map。其功能是将所有信息组织在一起，构建IPSec会话。通常路由器的接口只对应1个Crypto Map，但由于1台路由器可以在多个接口实现流量保护，这时可能就需要多个Crypto Map。

R1与R4之间的IPSec VPN的核心伪代码如下：

R1与R6之间的IPSec VPN建立与R1与R4之间的相类似。

3.4 SSL VPN仿真

SSL VPN主要用来完成出差用户访问内网资源的功能。根据多校区成人教育VPN网络的特点，笔者选用Cisco基于IOS路由器的Web VPN来实现这一功能，其实现步骤如下：

（1）在内网，设置IP为202.168.102.2的服务器，然后分别建立了DNS服务器和Web服务器。

（2）配置先决条件是AAA、DNS和证书。AAA是来验证Web VPN用户的，DNS是解析URL的名字信息和为路由器获取一个SSL证书，证书是用来保护用户的桌面和路由器之间的数据。

（3）配置 Web VPN。使用 webvpn enable命令来启动路由器的 Web VPN服务，在 Web VPN的子命令模式中，配置与客户交互的参数和 Web VPN主页的参数。

（4）为主页建立URL和端口转发条目。

（5）维护、监控和故障诊断与排除 Web VPN的连接。

设置Web VPN核心伪代码如下：

4 模型测试

在完成多校区成人教育VPN网之后，课题组对该网络进行了如下测试：

（1）吞吐量测试：笔者在Win7系统的主机上，采用10Mbit／s的网卡，对成人教育VPN网在IPSec VPN和SSL VPN模式下测试了系统的吞吐量，测试所采用的数据为110 088 018B，测试效果如图3所示。

图3 模型的吞吐量

从图3可以计算出：SSL VPN的平均吞吐量为397.36KB／s，IPSec VPN平均吞吐率为615.03KB／s，已经可以达到多校区成人教育网通信的需求。

（2）连接数测试：笔者采用Loadrunner软件测试工具在1s内，对多校区成人教育VPN网络服务器进行了最大连接数的测试，测试效果如图4所示。

图4 连接数测试

从图4可以计算出：该VPN网络的最大连接数平均约为600个，基本可满足各校区的应用需求。

（3）机密性测试：笔者采用网络抓包软件Sniffer，分别对IPSec VPN和SSL VPN模型下网络通信的数据包进行了抓包分析。分析结果表明：加解密前后数据包内容及其HMAC值和ID号确实不同，从而得出该组网方式确实能满足数据在安全方面的需求。

5 结束语

本文结合实际给出了一种组建多校区成人教育VPN网络的模型，利用这种组网技术能更好地解决多校区成人教育网络软硬件投入不足等问题，使广大师生在教学、科研等方面能得到更好的网络服务。这种组网络形式使用IPSec VPN来确保各分校成人教育学院之间教学数据的通信安全，使用SSL VPN来确保外出职工或学员使用成人教育学院教学资源的通信安全，这些都解决了组建多校区成人教育网的需求。此外，这种组网模型还存在着简单、实用等特点，在推广到我国多校区成人教育信息化建设过程中具有很好的应用前景和学术价值。

（

）

［1］闫晓弟，耶健.基于VPN的电子资源远程访问系统的研究与实现［J］.情报杂志，2009，28（8）：159－166.

［2］罗智勇，多智华，乔佩利.VPN网络中IPSec安全策略的形式化描述［J］.华中科技大学学报：自然科学版，2011（4）：65－68.

［3］梁海英，罗琳，于晓鹏.基于BGP／MPLS VPN技术的跨域校园网仿真分析［J］.吉林大学学报：信息科学版，2013，31（2）：177－182.

［4］特日格乐，张善勇，包东明.基于SSL协议的VPN技术探讨［J］.内蒙古民族大学学报：自然科学版，2013，28（2）：169－170.

［5］胡维娜.在IPv6环境中VPN测试的关键技术［J］.信息安全与技术，2013（4）：56－59.

［6］刘子林，任卫东.基于VPN技术的通信电源监控系统的研究与开发［J］.电源技术，2013，37（1）：141－143.

［7］罗辉琼，聂瑞华，林怀恭.基于IVE的校园网SSL VPN安全接入研究［J］.计算机安全，2013（2）：41－46.

［8］许可，赵鼎新，王昭然.基于VPN的校园网远程接入系统的研究与实现［J］.中国教育信息化，2010（11）：72－75.