VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)

VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)資料僅供參考文件編號(hào)：2022年4月VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)版本號(hào)：A修改號(hào)：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)摘要：隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)已普及到了全社會(huì)的各方面，人們與網(wǎng)絡(luò)的關(guān)系也日益密切，而隨著高校網(wǎng)絡(luò)的建設(shè)發(fā)展，網(wǎng)絡(luò)在全校師生的工作、學(xué)習(xí)和生活中變得越來越重要，人們希望能夠獲得不間斷的高質(zhì)量的安全可靠的網(wǎng)絡(luò)服務(wù)。特別是現(xiàn)今，高校分校區(qū)的建立更是要求我們認(rèn)真規(guī)劃和完善學(xué)校校園網(wǎng)絡(luò)，如何為本部與分校區(qū)之間建立和完善高效可靠、穩(wěn)定安全、面向應(yīng)用和服務(wù)的校園網(wǎng)絡(luò)更是成為學(xué)校信息化建設(shè)的重點(diǎn)。在有限的資金內(nèi)，實(shí)現(xiàn)學(xué)校教學(xué)、科研、管理、運(yùn)營等多個(gè)業(yè)務(wù)系統(tǒng)的“隔離和受控訪問”。虛擬專用網(wǎng)（VPN）是現(xiàn)今Internet中適應(yīng)性、安全性、和價(jià)格優(yōu)勢(shì)比較出色的技術(shù)之一。本文主要分析MPLSVPN技術(shù)特點(diǎn)和技術(shù)優(yōu)勢(shì)，分析校園網(wǎng)絡(luò)建設(shè)的實(shí)際需求。對(duì)校園網(wǎng)的MPLSVPN做了規(guī)劃和設(shè)計(jì)，研究了MPLSVPN環(huán)境下校園網(wǎng)絡(luò)的規(guī)劃和實(shí)施方案。關(guān)鍵字：虛擬專用網(wǎng)；MPLSVPN；校園網(wǎng)；網(wǎng)絡(luò)VPNincampusnetworkplanningandImplementation(1.QingDaoTechnologicalUniversityCommunications&ElectronicsCollege,ShanDongQingDao266033,2.JiaoZhouMunicipalBureauofR&T，ShanDongJiaoZhou266300)Abstract:withtherapiddevelopmentofnetworktechnology,networkhasspreadtothewholesocietyeachrespect,ithasacloserelationshipwiththenetwork,andalongwiththenetworkdevelopment,networkschoolteachersandstudentsinthework,studyandlifebecomemoreandmoreimportant,peoplehopetoobtainuninterruptedhighqualitythesafeandreliablenetworkservices.Nowadays,collegecampusareaestablishmentrequestustocarefullyplanningandimprovethecampusnetwork,howtoandthecampusareabetweentheestablishmentandimprovementofefficientandreliable,stableandsafeforapplicationsandservices,thecampusnetworkistobecometheschool'sfocusonbuildinginformation.Inthelimitedfunds,schoolteaching,scientificresearch,management,implementation,operationandsoonmanybusinesssystems"isolationandcontrolledaccess".Virtualprivatenetwork(VPN)istheInternetadaptability,safety,andpriceadvantagecomparedwiththeexcellenttechnology.ThisarticlemainlyanalyzestheMPLSVPNtechnicalcharacteristicandadvantage,analysisoftheconstructionofthecampusnetworkpracticaldemand.OnthecampusnetworkplanninganddesignMPLSVPN,MPLSVPNenvironmentonthecampusnetworkplanningandimplementationact.Keywords:virtualprivatenetwork;MPLSVPN;campusnetwork;networkplanning一、現(xiàn)有校園網(wǎng)分析概述隨著計(jì)算機(jī)、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡(luò)上的應(yīng)用更加豐富。同時(shí)在多媒體教育和管理等方面的需求，對(duì)校園網(wǎng)絡(luò)也提出了進(jìn)一步的需求。因此需要高速的、安全可靠的、可擴(kuò)展性的校園計(jì)算機(jī)網(wǎng)絡(luò)來適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)的告訴發(fā)展并且滿足學(xué)校各方面的應(yīng)用需求。學(xué)校領(lǐng)導(dǎo)和廣大師生已經(jīng)充分認(rèn)識(shí)到這一點(diǎn)，那就是現(xiàn)今的教育是建立在信息化發(fā)展商的，未來的教育方法和手段必定架構(gòu)在教育信息化之上，因此，開展網(wǎng)絡(luò)化教學(xué)和遠(yuǎn)程教育等都是未來教育信息化的具體內(nèi)容。1、校園網(wǎng)現(xiàn)狀概況舊有的校園網(wǎng)絡(luò)，一般是在一個(gè)內(nèi)部網(wǎng)絡(luò)里面運(yùn)行簡單的路由協(xié)議，使得內(nèi)部網(wǎng)絡(luò)能夠?qū)崿F(xiàn)全網(wǎng)互聯(lián)，內(nèi)部各個(gè)部門之間能夠?qū)崿F(xiàn)縱向和橫向的信息交流；同時(shí)，在一個(gè)出口處做NAT轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)能夠通過該接口訪問外部網(wǎng)絡(luò)。2、校園網(wǎng)不足之處的概況隨著各種各樣的網(wǎng)絡(luò)服務(wù)應(yīng)用正在不斷的更新以及分校區(qū)的建立，舊有的網(wǎng)絡(luò)模型已經(jīng)越來越不能適用于當(dāng)前的教學(xué)環(huán)境，這就要求一個(gè)新的網(wǎng)絡(luò)模型，不僅能夠解決本校內(nèi)部各個(gè)部門的縱向和橫向之間的聯(lián)系，同時(shí)也能讓分校區(qū)跨地域、高速地、安全地訪問本校服務(wù)器。VPN技術(shù)的發(fā)展正好滿足本問題的解決。需求分析1功能需求：隨著現(xiàn)今學(xué)校規(guī)模不斷擴(kuò)大，特別是部分學(xué)校有分校區(qū)的建立，某些老師要在本校與分校之間不斷地進(jìn)行往來，隨之而來的問題就是怎么讓老師在分校的時(shí)候也能夠通過網(wǎng)絡(luò)跨地域安全可靠地訪問本小區(qū)內(nèi)部服務(wù)器，VPN提供了方法。具體功能實(shí)現(xiàn)如下：學(xué)校內(nèi)部采用專線和ADSL接入方式，各個(gè)部門采用動(dòng)態(tài)主機(jī)分配協(xié)議DHCP分配IP。內(nèi)部人員能偶通過專線和內(nèi)部網(wǎng)絡(luò)訪問各個(gè)部門的服務(wù)器。在接入Internet的節(jié)點(diǎn)上做了網(wǎng)絡(luò)冗余備份，防止主交換機(jī)因?yàn)橛布颍麄€(gè)內(nèi)部網(wǎng)絡(luò)down掉。在節(jié)點(diǎn)上運(yùn)行MPLSVPN,使得分校區(qū)與本校之間能夠在公網(wǎng)上建立起私網(wǎng)，防止外部非法訪問和入侵，同時(shí)能夠讓在分校區(qū)的老師和同學(xué)快速訪問本校資源。2、技術(shù)需求：從技術(shù)角度考慮，一個(gè)好的網(wǎng)絡(luò)應(yīng)該從它提供的服務(wù)和網(wǎng)絡(luò)的安全性，在設(shè)計(jì)網(wǎng)絡(luò)時(shí)至少應(yīng)當(dāng)具備以下幾點(diǎn)：資源共享功能；網(wǎng)絡(luò)內(nèi)的各個(gè)用戶可以共享數(shù)據(jù)庫，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的所有功能；通信服務(wù)功能；用戶能夠?qū)崿F(xiàn)WEB服務(wù)和FTP服務(wù)，接入互聯(lián)網(wǎng)，進(jìn)行安全的數(shù)據(jù)訪問；多媒體功能；能夠進(jìn)行電影的在線播放和視頻會(huì)議，支持視頻點(diǎn)播和視頻會(huì)議并具有較好的糧食保證。三、技術(shù)簡介1、VNP1>簡介與功能虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是Internet）建立一個(gè)臨時(shí)的、安全的鏈接，是一條通過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以版主遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公式的內(nèi)部建立可信的安全鏈接，并保證數(shù)據(jù)安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全鏈接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用網(wǎng)，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2>VPN可提供的功能：防火墻功能、認(rèn)證、加密、隧道化VPN可以通過特殊加密的通訊協(xié)議鏈接到Internet上，在位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路。VPN技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。就像下圖跨地域連接一樣：圖.跨地域連接3>VPN網(wǎng)路協(xié)議

對(duì)于構(gòu)建VPN來說,網(wǎng)絡(luò)隧道技術(shù)是關(guān)鍵技術(shù),它利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議,主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)該功能。目前,IP網(wǎng)上較為常見的隧道協(xié)議大致有兩類:第2層隧道協(xié)議(包括PPTP、L2P、L2TP等)和第3層協(xié)議(包括IPSec、MPLS等)。兩者的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議在棧的第幾層被封裝。

第2層隧道協(xié)議中PPTP只能面對(duì)終端客戶在兩端建立單一隧道,而L2TP支持在兩端點(diǎn)間使用多隧道,針對(duì)不同的服務(wù)對(duì)象質(zhì)量創(chuàng)建不同的隧道,它們都支持Client-LAN和LAN-LAN的VPN網(wǎng)絡(luò)類型。L2TP與PPTP的最大不同在于L2TP運(yùn)行在UDP協(xié)議上,而不是TCP協(xié)議上。UDP省去了TCP中同步、檢錯(cuò)、重傳等機(jī)制,因此,L2TP速度很快。

第3層隧道與第2層隧道相比優(yōu)點(diǎn)在于其安全性、可擴(kuò)展性及可靠性?，F(xiàn)流行的第3層隧道協(xié)議主要有IPSec和MPLS,它們各有所長,IPSec在會(huì)話認(rèn)證和數(shù)據(jù)加密方面強(qiáng)于MPLS,而MPLS則在QOS和可擴(kuò)展性方面更勝一于L2TP將控制包和數(shù)據(jù)包合二籌。2、MPLSVPN技術(shù)傳統(tǒng)的VPN一般是通過GRE、L2TP、PPTP、IPSec協(xié)議等隧道協(xié)議來實(shí)現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。MPLS支持LSP隧道技術(shù)，而LSP本身就是公網(wǎng)上的隧道，所以用MPLS來實(shí)現(xiàn)VPN有天然的優(yōu)勢(shì)。MPLSVPN采用標(biāo)簽交換，一個(gè)標(biāo)簽對(duì)應(yīng)一個(gè)用戶數(shù)據(jù)，非常易于用戶間數(shù)據(jù)的隔離，利用區(qū)分服務(wù)體系可以輕易的解決困擾傳統(tǒng)IP網(wǎng)絡(luò)的QOS/COS問題，MPLS自身提供流量工程的能力，可以最大限度的優(yōu)化配置網(wǎng)絡(luò)資源，自動(dòng)快速修復(fù)網(wǎng)絡(luò)故障，提供可用性和高可靠性。MPLS提供了電信、計(jì)算機(jī)、有線電視網(wǎng)絡(luò)三網(wǎng)融合的基礎(chǔ)，除了ATM，是目前唯一可以提供高質(zhì)量的數(shù)據(jù)、語音和視頻相融合的多業(yè)務(wù)傳送、包交換的網(wǎng)絡(luò)平臺(tái)。因此，基于MPLS技術(shù)的MPLSVPN，在靈活性、擴(kuò)展性、安全性各個(gè)方面是當(dāng)前技術(shù)最先進(jìn)的VPN.基于MPLS的VPN就是通過LSP將私有網(wǎng)絡(luò)的不同分支連接起來，形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)，如圖所示?；贛PLS的VPN還支持對(duì)不同VPN間的互通控制。MPLS工作流程3、MPLSVPN的實(shí)現(xiàn)方式MPLSVPN的實(shí)現(xiàn)方式，根據(jù)Internet邊界PE是否參與客戶的路由，I奈特人體在建立基于IP/MPLS的VPN有兩種選擇：1>第三層的解決方案，通常稱作是MPLSL2VPN 2>第二層的解決方案，通常稱作是MPLSL2VPN 四、校園網(wǎng)VPN的規(guī)劃1、校園網(wǎng)的整體網(wǎng)絡(luò)規(guī)劃大部分校園采用開放式的體系結(jié)構(gòu)，易于擴(kuò)充和調(diào)整：通信協(xié)議和設(shè)備都符合國際標(biāo)準(zhǔn)，整體設(shè)計(jì)結(jié)構(gòu)采用Cisco三層標(biāo)準(zhǔn)模型：核心層、匯聚層、接入層。如下學(xué)校校園網(wǎng)的網(wǎng)絡(luò)拓?fù)洌簩W(xué)校網(wǎng)絡(luò)拓?fù)鋱D該圖為簡單網(wǎng)絡(luò)拓?fù)鋱D，在該校的校園網(wǎng)VPN規(guī)劃中，分為內(nèi)部規(guī)劃與外部規(guī)劃，內(nèi)部規(guī)劃是學(xué)校內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)，而外部網(wǎng)絡(luò)設(shè)計(jì)主要是有服務(wù)提供商來提供，而內(nèi)部網(wǎng)絡(luò)是分為本校與分校兩部分，實(shí)際上，兩部分配置大概相當(dāng)。2、校園網(wǎng)的內(nèi)部規(guī)劃：在進(jìn)行內(nèi)部規(guī)劃時(shí)候，最好進(jìn)行相應(yīng)的IP地址規(guī)劃，這里暫不介紹下圖為內(nèi)部規(guī)劃圖：內(nèi)部規(guī)劃圖如圖所示，接入層就是各個(gè)部門的服務(wù)器，例如圖書館、生活部、高層公寓等，在該路由器上，我們要激活相應(yīng)的DHCP配置和相關(guān)配置。在匯聚層上，我們?yōu)榱朔乐龟P(guān)鍵路由器出現(xiàn)錯(cuò)誤而導(dǎo)致網(wǎng)絡(luò)的中斷，在匯聚層上做了路由器的冗余配置，虛擬了一個(gè)網(wǎng)關(guān)。核心層上，即網(wǎng)絡(luò)節(jié)點(diǎn)CE端，我們?cè)谠撀酚善髋cPE間運(yùn)行響應(yīng)的MPLSVPN路由協(xié)議，同時(shí)要做好NAT轉(zhuǎn)換到公網(wǎng)地址。3、校園網(wǎng)的外部規(guī)劃：外部規(guī)劃本來是網(wǎng)絡(luò)服務(wù)供應(yīng)商的職責(zé)，不需要用戶自己處理。但其中涉及到MPLSVPN，做簡單介紹：如圖所示，在外部規(guī)劃中，首先，是在整個(gè)AS網(wǎng)絡(luò)運(yùn)行BGP協(xié)議，而且內(nèi)部網(wǎng)絡(luò)要建立IBGP關(guān)系，使得在AS100內(nèi)的路由既能從BGP協(xié)議中查到路由，也能從IGP協(xié)議查找到路由，這是由于BGP路由協(xié)議的同步規(guī)則，否則將在骨干網(wǎng)絡(luò)上出現(xiàn)路由黑洞。同時(shí)，在PE端的VRF上，建立與CE的鏈接，將從CE端的路由重分不到BGP中，并且把BGPVPV4路由導(dǎo)出全局。最后，在對(duì)端PE的VRF上，導(dǎo)入VPNV4路由到本地路由，同時(shí)將BGP路由重分進(jìn)PE與CE的路由協(xié)議內(nèi)。4、校園網(wǎng)MPLSVPN配置1>校園網(wǎng)內(nèi)部配置內(nèi)部規(guī)劃圖從圖中可知道，在接入層中，由于每個(gè)接入層交換機(jī)的基本配置差不多相同，除了DHCP配置中所制定的IP地址有所出入外，其余的都沒有多少改變，因此在實(shí)驗(yàn)時(shí)候，只用一個(gè)交換機(jī)代替，而冗余路由器和外部借口路由器都將標(biāo)記出。2>校園網(wǎng)外部配置，即MPLSVPN配置外部規(guī)劃圖從上圖看到的只是電信網(wǎng)絡(luò)為我們提供服務(wù)的骨干網(wǎng)絡(luò)的一個(gè)小部分，其中電信為我們提