VPN在校园网中的规划与实现

VPN在校园网中的规划与实现摘要：随着网络技术的高速发展,网络已普及到了全社会的各方面，人们与网络的关系也日益密切，而随着高校网络的建设发展，网络在全校师生的工作、学习和生活中变得越来越重要，人们希望能够获得不间断的高质量的安全可靠的网络服务。特别是现今，高校分校区的建立更是要求我们认真规划和完善学校校园网络，如何为本部与分校区之间建立和完善高效可靠、稳定安全、面向应用和服务的校园网络更是成为学校信息化建设的重点。在有限的资金内，实现学校教学、科研、管理、运营等多个业务系统的“隔离和受控访问”。虚拟专用网（VPN）是现今Internet中适应性、安全性、和价格优势比较出色的技术之一。本文主要分析MPLSVPN技术特点和技术优势，分析校园网络建设的实际需求。对校园网的MPLSVPN做了规划和设计，研究了MPLSVPN环境下校园网络的规划和实施方案。关键字：虚拟专用网；MPLSVPN；校园网；网络VPNincampusnetworkplanningandImplementation(1.QingDaoTechnologicalUniversityCommunications&ElectronicsCollege,ShanDongQingDao266033,2.JiaoZhouMunicipalBureauofR&T，ShanDongJiaoZhou266300)Abstract:withtherapiddevelopmentofnetworktechnology,networkhasspreadtothewholesocietyeachrespect,ithasacloserelationshipwiththenetwork,andalongwiththenetworkdevelopment,networkschoolteachersandstudentsinthework,studyandlifebecomemoreandmoreimportant,peoplehopetoobtainuninterruptedhighqualitythesafeandreliablenetworkservices.Nowadays,collegecampusareaestablishmentrequestustocarefullyplanningandimprovethecampusnetwork,howtoandthecampusareabetweentheestablishmentandimprovementofefficientandreliable,stableandsafeforapplicationsandservices,thecampusnetworkistobecometheschool'sfocusonbuildinginformation.Inthelimitedfunds,schoolteaching,scientificresearch,management,implementation,operationandsoonmanybusinesssystemsisolationandcontrolledaccess.Virtualprivatenetwork(VPN)istheInternetadaptability,safety,andpriceadvantagecomparedwiththeexcellenttechnology.ThisarticlemainlyanalyzestheMPLSVPNtechnicalcharacteristicandadvantage,analysisoftheconstructionofthecampusnetworkpracticaldemand.OnthecampusnetworkplanninganddesignMPLSVPN,MPLSVPNenvironmentonthecampusnetworkplanningandimplementationact.Keywords:virtualprivatenetwork;MPLSVPN;campusnetwork;networkplanning一、现有校园网分析概述随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出了进一步的需求。因此需要高速的、安全可靠的、可扩展性的校园计算机网络来适应当前网络技术的告诉发展并且满足学校各方面的应用需求。学校领导和广大师生已经充分认识到这一点，那就是现今的教育是建立在信息化发展商的，未来的教育方法和手段必定架构在教育信息化之上，因此，开展网络化教学和远程教育等都是未来教育信息化的具体内容。1、校园网现状概况旧有的校园网络，一般是在一个内部网络里面运行简单的路由协议，使得内部网络能够实现全网互联，内部各个部门之间能够实现纵向和横向的信息交流；同时，在一个出口处做NAT转换，使得内部网络能够通过该接口访问外部网络。2、校园网不足之处的概况随着各种各样的网络服务应用正在不断的更新以及分校区的建立，旧有的网络模型已经越来越不能适用于当前的教学环境，这就要求一个新的网络模型，不仅能够解决本校内部各个部门的纵向和横向之间的联系，同时也能让分校区跨地域、高速地、安全地访问本校服务器。VPN技术的发展正好满足本问题的解决。二、需求分析1功能需求：随着现今学校规模不断扩大，特别是部分学校有分校区的建立，某些老师要在本校与分校之间不断地进行往来，随之而来的问题就是怎么让老师在分校的时候也能够通过网络跨地域安全可靠地访问本小区内部服务器，VPN提供了方法。具体功能实现如下：1学校内部采用专线和ADSL接入方式，各个部门采用动态主机分配协议DHCP分配IP。2内部人员能偶通过专线和内部网络访问各个部门的服务器。3在接入Internet的节点上做了网络冗余备份，防止主交换机因为硬件原因，整个内部网络down掉。4在节点上运行MPLSVPN,使得分校区与本校之间能够在公网上建立起私网，防止外部非法访问和入侵，同时能够让在分校区的老师和同学快速访问本校资源。2、技术需求：从技术角度考虑，一个好的网络应该从它提供的服务和网络的安全性，在设计网络时至少应当具备以下几点：1资源共享功能；2网络内的各个用户可以共享数据库，实现办公自动化系统中的所有功能；3通信服务功能；4用户能够实现WEB服务和FTP服务，接入互联网，进行安全的数据访问；5多媒体功能；6能够进行电影的在线播放和视频会议，支持视频点播和视频会议并具有较好的粮食保证。三、技术简介1、VNP1简介与功能虚拟专用网（VPN）被定义为通过一个公用网络（通常是Internet）建立一个临时的、安全的链接，是一条通过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以版主远程用户、公司分支机构、商业伙伴及供应商同公式的内部建立可信的安全链接，并保证数据安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全链接；可用于实现企业网站之间安全通信的虚拟专用网，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2VPN可提供的功能：防火墙功能、认证、加密、隧道化VPN可以通过特殊加密的通讯协议链接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或windows2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。就像下图跨地域连接一样：图.跨地域连接3VPN网路协议对于构建VPN来说,网络隧道技术是关键技术,它利用一种网络协议来传输另一种网络协议,主要利用网络隧道协议来实现该功能。目前,IP网上较为常见的隧道协议大致有两类:第2层隧道协议(包括PPTP、L2P、L2TP等)和第3层协议(包括IPSec、MPLS等)。两者的区别主要在于用户数据在网络协议在栈的第几层被封装。第2层隧道协议中PPTP只能面对终端客户在两端建立单一隧道,而L2TP支持在两端点间使用多隧道,针对不同的服务对象质量创建不同的隧道,它们都支持Client-LAN和LAN-LAN的VPN网络类型。L2TP与PPTP的最大不同在于L2TP运行在UDP协议上,而不是TCP协议上。UDP省去了TCP中同步、检错、重传等机制,因此,L2TP速度很快。第3层隧道与第2层隧道相比优点在于其安全性、可扩展性及可靠性。现流行的第3层隧道协议主要有IPSec和MPLS,它们各有所长,IPSec在会话认证和数据加密方面强于MPLS,而MPLS则在QOS和可扩展性方面更胜一于L2TP将控制包和数据包合二筹。2、MPLSVPN技术传统的VPN一般是通过GRE、L2TP、PPTP、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。MPLS支持LSP隧道技术，而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。MPLSVPN采用标签交换，一个标签对应一个用户数据，非常易于用户间数据的隔离，利用区分服务体系可以轻易的解决困扰传统IP网络的QOS/COS问题，MPLS自身提供流量工程的能力，可以最大限度的优化配置网络资源，自动快速修复网络故障，提供可用性和高可靠性。MPLS提供了电信、计算机、有线电视网络三网融合的基础，除了ATM，是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此，基于MPLS技术的MPLSVPN，在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN.基于MPLS的VPN就是通过LSP将私有网络的不同分支连接起来，形成一个统一的网络，如图所示。基于MPLS的VPN还支持对不同VPN间的互通控制。MPLS工作流程3、MPLSVPN的实现方式MPLSVPN的实现方式，根据Internet边界PE是否参与客户的路由，I奈特人体在建立基于IP/MPLS的VPN有两种选择：1第三层的解决方案，通常称作是MPLSL2VPN2第二层的解决方案，通常称作是MPLSL2VPN四、校园网VPN的规划1、校园网的整体网络规划大部分校园采用开放式的体系结构，易于扩充和调整：通信协议和设备都符合国际标准，整体设计结构采用Cisco三层标准模型：核心层、汇聚层、接入层。如下学校校园网的网络拓扑：学校网络拓扑图该图为简单网络拓扑图，在该校的校园网VPN规划中，分为内部规划与外部规划，内部规划是学校内部网络设计，而外部网络设计主要是有服务提供商来提供，而内部网络是分为本校与分校两部分，实际上，两部分配置大概相当。2、校园网的内部规划：在进行内部规划时候，最好进行相应的IP地址规划，这里暂不介绍下图为内部规划图：内部规划图如图所示，接入层就是各个部门的服务器，例如图书馆、生活部、高层公寓等，在该路由器上，我们要激活相应的DHCP配置和相关配置。在汇聚层上，我们为了防止关键路由器出现错误而导致网络的中断，在汇聚层上做了路由器的冗余配置，虚拟了一个网关。核心层上，即网络节点CE端，我们在该路由器与PE间运行响应的MPLSVPN路由协议，同时要做好NAT转换到公网地址。3、校园网的外部规划：外部规划本来是网络服务供应商的职责，不需要用户自己处理。但其中涉及到MPLSVPN，做简单介绍：如图所示，在外部规划中，首先，是在整个AS网络运行BGP协议，而且内部网络要建立IBGP关系，使得在AS100内的路由既能从BGP协议中查到路由，也能从IGP协议查找到路由，这是由于BGP路由协议的同步规则，否则将在骨干网络上出现路由黑洞。同时，在PE端的VRF上，建立与CE的链接，将从CE端的路由重分不到BGP中，并且把BGPVPV4路由导出全局。最后，在对端PE的VRF上，导入VPNV4路由到本地路由，同时将BGP路由重分进PE与CE的路由协议内。4、校园网MPLSVP