VPN技術(shù)在多校區(qū)成人教育平臺(tái)中的應(yīng)用

羅智勇，秦兆偉，孫廣路，孫永倩

（1.哈爾濱理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，黑龍江 哈爾濱 150080；2.哈爾濱理工大學(xué) 成人教育學(xué)院，黑龍江 哈爾濱 150080）

當(dāng)前，教育部門已經(jīng)將成人教育計(jì)算機(jī)信息系統(tǒng)作為一種新的教育形式，成為21世紀(jì)構(gòu)建成人教育體系、終身學(xué)習(xí)體系的一個(gè)重要手段，并作為解決我國(guó)教育資源短缺的重要戰(zhàn)略措施加以強(qiáng)化［1］。然而，我國(guó)多校區(qū)成人教育信息平臺(tái)在組建過(guò)程中，還存在著軟、硬件設(shè)施投入不足等問(wèn)題，造成其網(wǎng)絡(luò)無(wú)法安全連接，從而導(dǎo)致多校區(qū)成人教育資源無(wú)法安全共享。VPN（virtual private networks，虛擬專用網(wǎng)）是一種虛擬技術(shù)，它通過(guò)隧道技術(shù)可以在開放的公眾網(wǎng)絡(luò)中建立安全的數(shù)據(jù)傳輸通道，從而極大地拓展了校園專用網(wǎng)［2］。把VPN技術(shù)應(yīng)用于多校區(qū)成人教育信息平臺(tái)的構(gòu)建中，既保證了數(shù)據(jù)的安全傳輸，又節(jié)省了遠(yuǎn)程學(xué)員的訪問(wèn)費(fèi)用。本文結(jié)合實(shí)際，探討了多校區(qū)成人教育VPN網(wǎng)絡(luò)平臺(tái)的實(shí)現(xiàn)過(guò)程。

1 多校區(qū)成人教育建立VPN網(wǎng)絡(luò)的技術(shù)分析

1.1 VPN技術(shù)及原理

VPN是一種使用認(rèn)證、加密和隧道等技術(shù)實(shí)現(xiàn)在公用網(wǎng)絡(luò)Internet安全通信的專用網(wǎng)［3］。VPN網(wǎng)絡(luò)的核心是“隧道”技術(shù)，通過(guò)建立專用的隧道實(shí)現(xiàn)網(wǎng)絡(luò)的專用化，達(dá)到數(shù)據(jù)的安全傳輸和企業(yè)內(nèi)網(wǎng)的擴(kuò)充［4］。當(dāng)前，實(shí)現(xiàn) VPN 網(wǎng)絡(luò)的技術(shù)主要有兩種［5］：IPSec VPN和SSL VPN。

（1）IPSec VPN。IPSec VPN 是在IP層建立面到面的網(wǎng)絡(luò)通信，其原理與包過(guò)濾防火墻相類似，它通過(guò)加密、認(rèn)證和完整性檢查等技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的安全處理，從而保證數(shù)據(jù)的通信安全［6］。

（2）SSL VPN。SSL VPN使用SSL協(xié)議來(lái)實(shí)現(xiàn)點(diǎn)到面的網(wǎng)絡(luò)通信。這種技術(shù)依據(jù)安全控制策略為移動(dòng)客戶提供從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)資源的安全訪問(wèn)通道［7］。

1.2 組建多校區(qū)成人教育VPN網(wǎng)絡(luò)需解決的關(guān)鍵問(wèn)題

結(jié)合筆者所在學(xué)校多校區(qū)的特點(diǎn)，發(fā)現(xiàn)建立多校區(qū)成人教育VPN網(wǎng)絡(luò)需解決以下幾個(gè)關(guān)鍵問(wèn)題［8］：

（1）用戶訪問(wèn)校內(nèi)各類服務(wù)器的問(wèn)題。由于學(xué)校內(nèi)部各種服務(wù)器繁多，因此如何控制校區(qū)內(nèi)外用戶訪問(wèn)服務(wù)器的電子資源的權(quán)限分配是一個(gè)值得考慮的問(wèn)題。

（2）移動(dòng)客戶端接入問(wèn)題。由于教師或者工作人員出差外地，如何安全、快速地接入校園網(wǎng)是非常值得注意的問(wèn)題。

（3）遠(yuǎn)程接入易用性問(wèn)題。過(guò)于復(fù)雜的配置、程序安裝、設(shè)備操作會(huì)使管理人員的維護(hù)量和成本倍增，而且校園網(wǎng)外的教師、學(xué)生的計(jì)算機(jī)水平不盡相同，如果比較復(fù)雜甚至需要花工夫去學(xué)習(xí)整個(gè)接入過(guò)程，會(huì)增加教師和學(xué)生的負(fù)擔(dān)，降低方案的可用性。

（4）各個(gè)校區(qū)之間通信問(wèn)題。由于各校區(qū)之間相距較遠(yuǎn)，因此采用何種方式使各個(gè)校區(qū)安全、快速和簡(jiǎn)約地相互通信是一個(gè)關(guān)鍵問(wèn)題。

2 基于VPN的多校區(qū)成人教育網(wǎng)組建模型

2.1 多校區(qū)成人教育VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

結(jié)合多校區(qū)成人教育學(xué)院的特點(diǎn)，并以筆者所在學(xué)校為例，設(shè)計(jì)了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 多校區(qū)成人教育VPN網(wǎng)絡(luò)拓?fù)?/p>

在圖1中，A校區(qū)VPN網(wǎng)關(guān)和B、C校區(qū)網(wǎng)關(guān)上都建立兩條VPN隧道，這兩條隧道采用IPSec VPN技術(shù)實(shí)現(xiàn)，而對(duì)于移動(dòng)客戶采用SSL VPN隧道技術(shù)來(lái)實(shí)現(xiàn)對(duì)主校區(qū)網(wǎng)關(guān)的訪問(wèn)。

2.2 VPN網(wǎng)絡(luò)設(shè)備的IP分配

根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將A校區(qū)對(duì)外網(wǎng)（Internet）的IP地址設(shè)置為202.168.102.1／24 和202.168.102.2／24，A校區(qū)內(nèi)部分成4個(gè)網(wǎng)段，即學(xué)生網(wǎng)段192.168.10.0／24、員工網(wǎng)段192.168.20.0／24、教師網(wǎng)段192.168.30.0／24及其他網(wǎng)段192.168.40.0／24，其中，學(xué)生網(wǎng)段中的IP地址由DHCP服務(wù)器分發(fā)；B校區(qū)對(duì)外的IP地址設(shè)置為138.192.101.1／24；C校區(qū)對(duì)外的IP地址設(shè)置為145.163.100.1／24；移動(dòng)用戶的IP地址根據(jù)實(shí)際情況而定，只要能訪問(wèn)Internet即可。

3 VPN多校區(qū)成人教育網(wǎng)模型仿真

3.1 多校區(qū)成人教育VPN網(wǎng)絡(luò)拓?fù)浞抡?/h3>

筆者根據(jù)設(shè)計(jì)要求在Win7系統(tǒng)的PC機(jī)上，選用DynamipsGUI模擬器來(lái)仿真整個(gè)網(wǎng)絡(luò)的通信過(guò)程。在DynamipsGUI中，圖1中的網(wǎng)絡(luò)拓?fù)浞抡娼Y(jié)果如圖2所示。

圖2 DynamipsGUI中網(wǎng)絡(luò)拓?fù)?/p>

在圖2中，由R1、R2、SW1、SW2、SW3、SW4、C1、C2、R8、R9組成A校區(qū)校園網(wǎng)絡(luò)，B校區(qū)由R4、R5構(gòu)成，C校區(qū)由 R6、R7構(gòu)成，外網(wǎng)Internet使用 R3模擬。

模擬環(huán)境中IP地址規(guī)劃為：R1的f0／0接口IP地址是192.168.1.1／24，f1／0接口IP 地址是202.168.102.2／24，f2／0接口IP地址是202.168.101.1／24，f3／0接口IP地址是192.168.2.1／24；R2的f1／0接口IP 地址是10.0.0.1／24，f0／0接口IP 地址是202.168.101.2／24；R3的f0／0接口IP地址是10.0.0.1／24，f1／0接口IP地址是10.20.0.1／24，f2／0接口IP地址是10.10.0.1／24，f3／0接口IP地址是10.30.0.1／24；R4的f0／0接口IP地址是10.20.0.1／24，f0／1接口IP地址是138.192.101.1／24；R5的f0／0接口IP地址是138.192.101.2／24；R6的f0／0接口IP地址是10.30.0.2／24，f1／0接口IP地址是145.163.100.1／24；R7的f0／0接口IP地址是145.163.100.2／24。而在A校區(qū)里內(nèi)的交換機(jī)SW1和SW2則是宣稱4個(gè)VLAN，分別是VLAN10、20、30、40，VLAN的網(wǎng)段分別為 192.168.10.0／24、192.168.20.0／24、192.168.30.0／24和192.168.40.0／24，而 C1、R8、R9則分別代表A校區(qū)內(nèi)網(wǎng)的VLAN網(wǎng)段。

3.2 多校區(qū)成人教育VPN網(wǎng)絡(luò)仿真

3.2.1 主校區(qū)網(wǎng)絡(luò)配置

A校區(qū)是主校區(qū)，其主網(wǎng)地址是202.168.101.1和202.168.101.2。這2個(gè)IP地址分別在2個(gè)路由器R1和R2上配置，其核心偽代碼如下：

在A校區(qū)內(nèi)部，SW1、SW2作為主要樞紐與外網(wǎng)的數(shù)據(jù)通信量比較大，因此它們需要設(shè)置的接口類型為trunk。在SW3、SW4的接口配置方面，SW3、SW4與SW1、SW2的相連接口模式設(shè)置為trunk，SW3、SW4與主機(jī)相連的接口模式設(shè)置為access。另外，由于A校區(qū)內(nèi)部設(shè)置了4個(gè)VLAN，因此它們對(duì)應(yīng)了4個(gè)不同的用戶組。由于主干樞紐SW1、SW2與這4個(gè)VLAN之間存在著交互數(shù)據(jù)量比較大的特點(diǎn)，因此，在SW1、SW2的f0／3和f／4接口上使用命令channel－group 1mode on建立以太網(wǎng)通道，加寬了數(shù)據(jù)通道；其次，需要在SW1上建立4個(gè)VLAN，而SW2、SW3、SW4則需要加入 VTP域lzy＠com，這樣就可以獲得與SW1相同的VLAN域，其核心偽代碼如下：

3.2.2 其他校區(qū)網(wǎng)絡(luò)配置

由于使用路由器R3來(lái)模擬Internet，因此R3的f0／0應(yīng)指向A校區(qū)網(wǎng)絡(luò)，其網(wǎng)段設(shè)置為10.0.0.0／16；f1／0應(yīng)指向B校區(qū)網(wǎng)絡(luò)，其網(wǎng)段設(shè)置為10.20.0.0／16；f2／0應(yīng)指向外網(wǎng)上的出差人員，其網(wǎng)段設(shè)置為10.10.0.0／16；f3／0應(yīng)指向 C校區(qū)網(wǎng)絡(luò)，其網(wǎng)段設(shè)置為10.30.0.0／16。另外，R3還需要設(shè)置3條靜態(tài)路由，分別指向校區(qū)A、B、C，其核心偽代碼與3.2.1節(jié)中R1和R2的核心偽代碼相類似。

B校區(qū)使用路由器R4充當(dāng)網(wǎng)關(guān)，根據(jù)其通信特點(diǎn)，R4的核心偽代碼設(shè)置如下：

B校區(qū)使用路由器R5充當(dāng)內(nèi)網(wǎng)客戶機(jī)，根據(jù)其通信特點(diǎn)，R5的核心偽代碼與R4路由器的核心偽代碼相類似。

由于C校區(qū)與B校區(qū)的功能相似，其路由器的核心偽代碼設(shè)置可參照B校區(qū)的設(shè)置。

3.3 IPSec VPN仿真

在整個(gè)VPN網(wǎng)絡(luò)的仿真中，共有兩條IPSec VPN，即R1與R4之間和R1與R6之間。其中，建立R1與R4之間的IPSec VPN需要2個(gè)階段，即：ISAKMP／IKE階段1和ISAKMP／IKE階段2。

在ISAKMP／IKE階段1中，需要完成以下配置：

（1）建立安全策略。該策略的參數(shù)主要包括：策略的序列號(hào)、加密算法、散列算法、驗(yàn)證方法、DHzu和生存周期等。

（2）配置預(yù)共享密鑰。該密鑰分為2個(gè)：等級(jí)0和6。等級(jí)0表示密鑰為明文，等級(jí)6表示密鑰為密文。

在ISAKMP／IKE階段2中，需要完成以下配置：

（1）配置crypto ACL。通過(guò)crypto ACL 匹配IPSec VPN流量，其中permit語(yǔ)句指定了需要被保護(hù)的流量，而deny語(yǔ)句指定了不需要保護(hù)的流量。通常情況下，兩端對(duì)等體設(shè)備上的crypto ACL互為鏡像，否則階段2的連接建立會(huì)失敗。

（2）配置傳輸集。在IPSec對(duì)等體之間，必須保證兩端至少有一對(duì)匹配的傳輸集，這樣ISAKMP／IKE階段2的數(shù)據(jù)SA連接才能協(xié)商成功。

（3）配置Crypto Map。其功能是將所有信息組織在一起，構(gòu)建IPSec會(huì)話。通常路由器的接口只對(duì)應(yīng)1個(gè)Crypto Map，但由于1臺(tái)路由器可以在多個(gè)接口實(shí)現(xiàn)流量保護(hù)，這時(shí)可能就需要多個(gè)Crypto Map。

R1與R4之間的IPSec VPN的核心偽代碼如下：

R1與R6之間的IPSec VPN建立與R1與R4之間的相類似。

3.4 SSL VPN仿真

SSL VPN主要用來(lái)完成出差用戶訪問(wèn)內(nèi)網(wǎng)資源的功能。根據(jù)多校區(qū)成人教育VPN網(wǎng)絡(luò)的特點(diǎn)，筆者選用Cisco基于IOS路由器的Web VPN來(lái)實(shí)現(xiàn)這一功能，其實(shí)現(xiàn)步驟如下：

（1）在內(nèi)網(wǎng)，設(shè)置IP為202.168.102.2的服務(wù)器，然后分別建立了DNS服務(wù)器和Web服務(wù)器。

（2）配置先決條件是AAA、DNS和證書。AAA是來(lái)驗(yàn)證Web VPN用戶的，DNS是解析URL的名字信息和為路由器獲取一個(gè)SSL證書，證書是用來(lái)保護(hù)用戶的桌面和路由器之間的數(shù)據(jù)。

（3）配置 Web VPN。使用 webvpn enable命令來(lái)啟動(dòng)路由器的 Web VPN服務(wù)，在 Web VPN的子命令模式中，配置與客戶交互的參數(shù)和 Web VPN主頁(yè)的參數(shù)。

（4）為主頁(yè)建立URL和端口轉(zhuǎn)發(fā)條目。

（5）維護(hù)、監(jiān)控和故障診斷與排除 Web VPN的連接。

設(shè)置Web VPN核心偽代碼如下：

4 模型測(cè)試

在完成多校區(qū)成人教育VPN網(wǎng)之后，課題組對(duì)該網(wǎng)絡(luò)進(jìn)行了如下測(cè)試：

（1）吞吐量測(cè)試：筆者在Win7系統(tǒng)的主機(jī)上，采用10Mbit／s的網(wǎng)卡，對(duì)成人教育VPN網(wǎng)在IPSec VPN和SSL VPN模式下測(cè)試了系統(tǒng)的吞吐量，測(cè)試所采用的數(shù)據(jù)為110 088 018B，測(cè)試效果如圖3所示。

圖3 模型的吞吐量

從圖3可以計(jì)算出：SSL VPN的平均吞吐量為397.36KB／s，IPSec VPN平均吞吐率為615.03KB／s，已經(jīng)可以達(dá)到多校區(qū)成人教育網(wǎng)通信的需求。

（2）連接數(shù)測(cè)試：筆者采用Loadrunner軟件測(cè)試工具在1s內(nèi)，對(duì)多校區(qū)成人教育VPN網(wǎng)絡(luò)服務(wù)器進(jìn)行了最大連接數(shù)的測(cè)試，測(cè)試效果如圖4所示。

圖4 連接數(shù)測(cè)試

從圖4可以計(jì)算出：該VPN網(wǎng)絡(luò)的最大連接數(shù)平均約為600個(gè)，基本可滿足各校區(qū)的應(yīng)用需求。

（3）機(jī)密性測(cè)試：筆者采用網(wǎng)絡(luò)抓包軟件Sniffer，分別對(duì)IPSec VPN和SSL VPN模型下網(wǎng)絡(luò)通信的數(shù)據(jù)包進(jìn)行了抓包分析。分析結(jié)果表明：加解密前后數(shù)據(jù)包內(nèi)容及其HMAC值和ID號(hào)確實(shí)不同，從而得出該組網(wǎng)方式確實(shí)能滿足數(shù)據(jù)在安全方面的需求。

5 結(jié)束語(yǔ)

本文結(jié)合實(shí)際給出了一種組建多校區(qū)成人教育VPN網(wǎng)絡(luò)的模型，利用這種組網(wǎng)技術(shù)能更好地解決多校區(qū)成人教育網(wǎng)絡(luò)軟硬件投入不足等問(wèn)題，使廣大師生在教學(xué)、科研等方面能得到更好的網(wǎng)絡(luò)服務(wù)。這種組網(wǎng)絡(luò)形式使用IPSec VPN來(lái)確保各分校成人教育學(xué)院之間教學(xué)數(shù)據(jù)的通信安全，使用SSL VPN來(lái)確保外出職工或?qū)W員使用成人教育學(xué)院教學(xué)資源的通信安全，這些都解決了組建多校區(qū)成人教育網(wǎng)的需求。此外，這種組網(wǎng)模型還存在著簡(jiǎn)單、實(shí)用等特點(diǎn)，在推廣到我國(guó)多校區(qū)成人教育信息化建設(shè)過(guò)程中具有很好的應(yīng)用前景和學(xué)術(shù)價(jià)值。

（

）

［1］閆曉弟，耶健.基于VPN的電子資源遠(yuǎn)程訪問(wèn)系統(tǒng)的研究與實(shí)現(xiàn)［J］.情報(bào)雜志，2009，28（8）：159－166.

［2］羅智勇，多智華，喬佩利.VPN網(wǎng)絡(luò)中IPSec安全策略的形式化描述［J］.華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2011（4）：65－68.

［3］梁海英，羅琳，于曉鵬.基于BGP／MPLS VPN技術(shù)的跨域校園網(wǎng)仿真分析［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2013，31（2）：177－182.

［4］特日格樂，張善勇，包東明.基于SSL協(xié)議的VPN技術(shù)探討［J］.內(nèi)蒙古民族大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，28（2）：169－170.

［5］胡維娜.在IPv6環(huán)境中VPN測(cè)試的關(guān)鍵技術(shù)［J］.信息安全與技術(shù)，2013（4）：56－59.

［6］劉子林，任衛(wèi)東.基于VPN技術(shù)的通信電源監(jiān)控系統(tǒng)的研究與開發(fā)［J］.電源技術(shù)，2013，37（1）：141－143.

［7］羅輝瓊，聶瑞華，林懷恭.基于IVE的校園網(wǎng)SSL VPN安全接入研究［J］.計(jì)算機(jī)安全，2013（2）：41－46.

［8］許可，趙鼎新，王昭然.基于VPN的校園網(wǎng)遠(yuǎn)程接入系統(tǒng)的研究與實(shí)現(xiàn)［J］.中國(guó)教育信息化，2010（11）：72－75.