1、 教育学论文混合 VPN 技术的中学校园网建设模式论文目前全国各级各类学校都在以各种方式大力建设校园网,在校园网扩建过程中也面临着众多问题,严重阻碍着校园网作用的进一步发挥。【摘要】本文提出了一种基于混合 VPN 技术的校园网建设模式。该模式借助混合 VPN 技术,一方面通过构建站点与站点式VPN 实现了公网承载下的区间安全互访,满足了中学分校区之间的数据通信需求;另一方面,通过构建远程接入式 VPN 提供了远程单点对本地网络的安全联通,满足了异地师生利用现有公网远程接入校园网的需求。在此基础上,以南京市莲花实验学校建校初期的校园网改造为例,探讨了该模式的使用过程。实践表明,该模式对于资金受限
2、情况下的中学校园网的建设具有重要的借鉴意义。【关键词】混合 VPN,区间互访,远程接入 ,公网承载,资金受限如何在费用受限的情况下扩建中学校园网,成为中学信息化建设者们必须面对的棘手问题。为缓和该问题,本文提出了一种基于混合 VPN(VirtualPrivateNetwork)技术的校园网建设模式。该模式充分利用了 VPN 的价格优势,在现有公网设施基础上借助混合VPN 技术,一方面,通过构建站点与站点式 VPN 实现了公网承载下校区之间的网络安全互访,另一方面,通过构建远程接入式VPN,方便了异地师生通过公网安全地接入校园网。VPN 技术VPN 是 20 世纪 90 年代发展起来的一种互联网
3、增值业务 1。作为一种建立在实际网络(或物理网络)基础上的功能性网络,VPN 充分利用开放的公共网络资源建立起私有传输通道,能够将远程的分支机构、商业伙伴和移动办公人员连接起来,并提供安全的端到端数据通信。依据不同的标准,VPN 存在如下分类:( 1)依据所采用的隧道协议,可分为基于 PPTP、L2TP 和 IPSec 协议的 VPN。其中PPTP 和 L2TP 协议工作在 TCP/IP 体系的第二层,又称为二层隧道协议;IPSec 协议工作在第三层(网络层),是最常见的隧道协议。目前的趋势是融合使用 L2TP 和 IPSec。(2)依据面向的应用场合,可分为远程接入 VPN(AccessVP
4、N)、内联网 VPN(IntranetVPN)和外联网 VPN(ExtranetVPN)。其中远程接入 VPN 旨在实现客户端到网关的连接;内联网 VPN 旨在实现网关到网关的连接,主要用于连接同一个自治域内的不同资源;外联网 VPN 旨在连接不同自治域间的相关资源。(3)按所采用的设备类型,可分为路由器式VPN、交换机式 VPN 和防火墙式 VPN。其中路由器式 VPN 部署比较容易,只需为路由器添加 VPN 服务即可;交换机式 VPN 主要用于用户较少的 VPN 网络;防火墙式 VPN 是最常见的一种 VPN 实现方式,许多厂商都提供这种配置类型。(4)按照实现原理划分,VPN 可以分为重
5、叠 VPN 和对等 VPN。其中重叠 VPN 主要是指用户自建的端节点之间 VPN 链路,通常涉及 GRE、L2TP 和 IPSec 等众多技术;对等 VPN 主要指由网络运营商在主干网上建立的 VPN 通道,通常涉及 MPLS、 IPSec 和 SSL 等技术。VPN 优势VPN 技术不需要用户拥有实际的长途数据线路,而是直接使用 ISP(Internet 服务提供商)和 NSP(网络服务提供商)所提供的Internet 公众数据网络来建立专用的数据通信链路。VPN 数据通信链路的这种构建方式,使得在 VPN 中任意两个节点之间的连接并没有传统专网所需的端到端物理链路,而是利用某种公众网的资
6、源动态组合而成。VPN 不是专用网络(最符合应用需求的特定网络),却能提供专用网络的功能,这使得 VPN 一经推出即掀起了网络市场的繁荣,早在 2001 年,全球 VPN 市场就已高达 120 亿美元。对用户来说,VPN 另一个吸引力体现在价格方面。统计数据表明,如果用户放弃租用专线而采用 VPN,其整个网络的成本可节约 21%45%,至于那些以电话拨号方式联网存取数据的用户,采用 VPN 则可以节约通讯成本 50%80% 。这使得在网络建设中使用VPN 技术无疑会大大缩减开销。中学校园网建设模式1.建设需求(1)校区互联随着国家对基础教育优质资源共享、重组和整合的日益重视,近十年来陆续出现了
7、合并和集团化办学模式。实践证明,借助该类办学模式的集中式统一管理,确保了原有各学校的优质资源得到更为充分的平衡调配与高效利用2。合并(或集团化)办学牵涉一系列问题,其中校园网的互联与扩建是新学校信息化建设无法回避的问题。合并前的各个学校在地域上通常较为分散,对于高校来说,可以通过专项资金架设专线将各个子校区高速互联起来,但这种方案对于经费缺乏的中学来说显然行不通。为此,必须寻求实现校园网互联的最小代价方法。(2)异地访问近年来随着信息技术在科教兴国战略中的应用,以教室为根据地的传统教学活动开始向信息空间延伸。借助网络信息技术,教学活动的实施不再拘泥于定时定点的常规模式,而是演变成随时随地的快捷
8、模式。校园网是信息化教学的前沿阵地,快捷教学模式的实施要求师生能够随时随地接入校园网,这要求当师生的信息终端处在校园网物理范围之外时,也可以在异地远程接入校园网。如何让师生利用已有的互联网基础设施零代价地接入校园网,必须寻求相应的解决方法。2.建设方案满足中学校园网建设需求的经济方案是构建混合式 VPN。(1)使用站点对站点式 VPN 来实现校区互联由于在学校合并(或集团化)之前,原有学校通常都建有自己的校园网。这些校园网有可能处于同一个互联网自治域,也有可能处于不同的互联网自治域。针对这两种不同的情况,分别采用不同的站点对站点式 VPN。处于同一个自治域的校园网,由于它们运行着相同的内部网关
9、协议,对它们实施互联较为经济的方法是采用内联网 VPN。处于不同自治域的校园网,由于它们运行着不同类型的内部网关协议,对它们实施互联较为经济的方法是采用外联网VPN。(2)使用远程接入式 VPN 来实现异地访问一方面,与分校区校园网之间关系(网关与网关)对等不同,异地师生的单点信息设备与校园网之间的关系不对等(客户端与网关)。另一方面,与站点对站点 VPN 中互联后校园网的安全性可以由各分校校园网协同控制不同,单点信息设备由于受制于本地计算能力,通常无能力对等地参与到全网的安全控制。综合上述两方面原因,异地师生接入校园网的较为经济的方案是使用远程接入式VPN。借助隧道技术在端系统与远程网关之间
10、建立起安全的即时信息传输通道。模式应用在名校引领、资源共享、优势互补 思路引领下,南京市建邺区加大优质学校与新建学校、薄弱学校及边远学校整合和重组力度。南京市莲花实验学校是由南京市双闸中学和南京市沙洲中学合并而成的特色试点学校,主要面向城镇务工人员子弟的基础教育。针对学校经费紧张的现状,在并校之初采用混合 VPN技术对校园网实施了临时性改造。1.核心拓扑初步改造后的校园网拓扑如图 1 所示(出于安全考虑,隐藏了部分网络拓扑和关键 IP 地址)。由于两所学校原先采用的内部网关协议不同,在改造过程中添加使用了 3 台路由器,其中 R4 作为校外用户的接入路由器;AAA 是认证服务器。图 1 网络拓
11、扑2.关键配置(1)AAA 服务配置创建需要认证的客户端,同时创建外出用户 VPN 账号,配置界面如图 2。图 2 认证服务配置界面(2)路由器 R1 部分配置R1 (config)#iplocalpoolvclient172.16.0.1172.16.0.254R1 (config)#access-list100permitip192.168.1.00.0.0.255192.168.2.00.0.0.255R1 (config)#aaaauthenticationloginvpnagroupradiusR1 (config)#aaaauthorizationnetworkvpnngroupr
12、adiusR1 (config)#radius-serverhost192.168.1.1auth-port1645keykkfloatR1 (config)#cryptoisakmpclientconfigurationgroupvpn-groupR1 (config)#cryptoipsectransform-setkkfloatsetesp-3desesp-md5-hmacR1 (config)#cryptomapcompanyclientauthenticationlistvpnaR1 (config)#cryptomapcompanyisakmpauthorizationlistvp
13、nnR1 (config)#cryptomapcompanyclientconfigurationaddressrespondR1 (config)#cryptomapcompany10ipsec-isakmpdynamicvpnmap(3)路由器 R3 部分配置R3 (config)#access-list100permitip192.168.2.00.0.0.255192.168.1.00.0.0.255R3 (config-isakmp)#authenticationpre-shareR3 (config)#cryptoisakmpkeykkfloataddress1.1.1.1R3 (
14、config)#cryptoipsectransform-setkkfloatsetesp-3desesp-md5-hmacR3 (config)#cryptomapvpnmap10ipsec-isakmpR3 (config-crypto-map)#settransform-setkkfloatsetR3 (config-crypto-map)#matchaddress100R3 (config-if)#cryptomapvpnmap(4)路由器 R4 部分配置R4 (config)#access-list1permit192.168.3.00.0.0.255R4 (config)#ipna
15、tinsidesourcelist1ints0/1/0overload3.连通性测试整个测试从区间联通性和远程可访问性两个角度展开。(1)区间联通性使用原双闸中学校园网内任意主机 PC0 与原沙洲中学校园网内任意主机 PC1 进行互 ping,结果发现能够 ping 通,这表明本文提出的校园网改造模式能够提供区间互联功能。(2)远程可访问性笔者在家中对校园网进行了远程接入测试。图 3 左显示 VPN连接前的客户端配置,图 3 右显示家中主机可以远程连接笔者校内办公主机。这表明本文提出的校园网改造模式能够提供远程访问功能。图 3 远程接入测试本文针对中学校园网建设经费紧张的情况,充分利用 VPN
16、 技术的便利性和价格优势,提出了一种基于混合 VPN 技术的中学校园网建设模式,并将该模式示范应用到了南京市莲花实验学校建校初期的校园网改造。下一步工作集中在两个方面:一是就模式自身而言,进一步优化该模式,使其更具通用性;二是就模式应用而言,对该模式进行推广,使其更好地服务于中学校园网建设。基金项目:国家自然科学基金(71271117,70971067)、江苏省高校自然科学基金(12KJB520005,12KJD410001)、江苏省网络与信息安全重点实验室(BM2003201 )、江苏省高校科研成果产业化推进工程(JHB2012-20 )和南京审计学院实验课程建设一般项目(SYKC201316)的研究成果。(作者单位:江苏南京市莲花实验学校江苏南京审计学院信息科学学院江苏南京审计学院信息科学学院江苏南京审计学院)
