上海財(cái)經(jīng)大學(xué)：IPSec VPN實(shí)現(xiàn)異地校區(qū)資源共享

文/李文才

兩所異地學(xué)校之間存在資源共享的需求，但彼此之間可能因?yàn)楦甙旱馁M(fèi)用不能使用獨(dú)立光纖進(jìn)行直接互聯(lián),那么如何既實(shí)現(xiàn)資源共享又保證數(shù)據(jù)安全？

很多高校存在著獨(dú)立學(xué)院或者二級學(xué)院，校區(qū)之間有的相距較遠(yuǎn)甚至不在同一座城市，但是彼此之間存在著資源共享的需求。

上海財(cái)大異地訪問資源需求

因經(jīng)常有上海財(cái)經(jīng)大學(xué)的老師前往地處浙江省金華市的上海財(cái)經(jīng)大學(xué)浙江學(xué)院進(jìn)行授課，以至于老師們需要在金華使用上海財(cái)經(jīng)大學(xué)的OA系統(tǒng)等只有內(nèi)網(wǎng)才可以訪問的管理信息系統(tǒng)。上海財(cái)經(jīng)大學(xué)和上海財(cái)經(jīng)大學(xué)浙江學(xué)院之間就存在著資源共享的需求。使用獨(dú)立光纖能夠有效滿足上述需求，但是高昂的成本迫使網(wǎng)管人員去尋找新的途徑。VPN利用某種技術(shù)在共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施上安全地傳輸私有數(shù)據(jù)，從而形成不受地域限制，僅受統(tǒng)一策略管理和控制的專用網(wǎng)絡(luò)。VPN作為一種靈活的遠(yuǎn)程接入解決方案，既解決了數(shù)據(jù)傳輸?shù)陌踩珕栴}，又降低了跨廣域網(wǎng)的專網(wǎng)聯(lián)網(wǎng)成本，因而具有較好的應(yīng)用前景。

上海財(cái)經(jīng)大學(xué)和上海財(cái)經(jīng)大學(xué)浙江學(xué)院之間搭建了一條IPSec VPN隧道，搭建完成后彼此之間形成了一個(gè)類似內(nèi)網(wǎng)的環(huán)境。浙江學(xué)院用戶可以自由地訪問上海財(cái)經(jīng)大學(xué)的圖書館數(shù)據(jù)庫資源，老師可以自由地訪問上海財(cái)經(jīng)大學(xué)管理信息系統(tǒng)。因?yàn)閮烧叨继幵诮炭凭W(wǎng)環(huán)境下，彼此之間的網(wǎng)絡(luò)帶寬能夠保證這條IPSec VPN鏈路的穩(wěn)定性和可用性。

圖1 IPSec VPN網(wǎng)絡(luò)拓?fù)?/p>

現(xiàn)狀分析及遇到的問題

現(xiàn)狀分析

目前，上海財(cái)經(jīng)大學(xué)地處上海市楊浦區(qū)，其中主機(jī)房位于國定路校區(qū)，連接至校外的光纜都連接到該校區(qū)的機(jī)房。一根IPv4千兆教科網(wǎng)光纖鏈路連接至上海交通大學(xué)。教師及學(xué)生使用的IP地址是教科網(wǎng)IP地址及10.1.0.0/16和10.2.0.0/16的私有IP地址。上海財(cái)經(jīng)大學(xué)金華學(xué)院地處浙江省金華市，距離上海約400公里，一根教科網(wǎng)光纖鏈路連接至浙江師范大學(xué)。核心網(wǎng)絡(luò)交換機(jī)同樣采用的是Catalyst 6509E，教師及學(xué)生使用的IP地址是10.10.0.0/16、10.11.0.0/16和10.12.0.0/16的私有IP地址。在IPSec VPN部署之前，教師用戶在金華只能使用賬號密碼對學(xué)校原有的SSL VPN進(jìn)行撥號連接，訪問上海財(cái)經(jīng)大學(xué)的圖書館數(shù)據(jù)庫資源和管理信息系統(tǒng)。因?yàn)镾SL VPN設(shè)備本身的限制，網(wǎng)絡(luò)速度和穩(wěn)定性沒有辦法保證。學(xué)生用戶因?yàn)闆]有VPN賬號則不能訪問上海財(cái)經(jīng)大學(xué)的數(shù)據(jù)庫資源，對學(xué)生寫論文等造成一定影響。

在兩所學(xué)校之間建立IPSec VPN后，用戶在訪問某些特定資源如圖書館數(shù)據(jù)庫資源、OA系統(tǒng)等時(shí)，路由指向IPSec VPN，通過IPSec VPN隧道訪問上述資源。教師用戶不用撥號就可以訪問上述資源，易用性、穩(wěn)定性和網(wǎng)絡(luò)速度也大大提高。學(xué)生用戶也能夠使用圖書館數(shù)據(jù)庫資源，對于學(xué)生完成論文及進(jìn)行科研工作有很大幫助。

升級面臨的問題

1. 在不改變原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，進(jìn)行IPSec VPN的快速部署。

2.在升級改造完成后，用戶不需要進(jìn)行大的改動(dòng)，就可以使用IPSec VPN鏈路訪問內(nèi)網(wǎng)資源。

3.用戶只有在訪問內(nèi)網(wǎng)資源時(shí)才使用VPN鏈路，訪問其余資源走原有的運(yùn)營商鏈路。

IPSec VPN部署方案

上海財(cái)經(jīng)大學(xué)IPSec VPN部署方案不改變原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，選用兩臺安全網(wǎng)關(guān)設(shè)備建立端到端的IPSec VPN隧道。兩臺設(shè)備分別配置一個(gè)教科網(wǎng)IP地址用于IPSec VPN的建立，分別配置與核心交換機(jī)進(jìn)行互聯(lián)的IP地址。在浙江學(xué)院的核心交換機(jī)上添加上海財(cái)經(jīng)大學(xué)內(nèi)網(wǎng)資源的地址段路由指向浙江學(xué)院的IPSec VPN設(shè)備。浙江學(xué)院的IPSec VPN設(shè)備默認(rèn)路由指向IPSec VPN隧道的對端IP地址，并添加浙江學(xué)院地址段的回程路由。上海的IPSec VPN設(shè)備添加默認(rèn)路由指向VPN設(shè)備和上海核心交換機(jī)互聯(lián)的IP地址，并添加浙江學(xué)院地址段的回程路由。上海的核心交換機(jī)只需要增加浙江學(xué)院地址段的回程路由。

在整個(gè)部署過程中，只需要修改核心交換機(jī)的路由配置以及安全網(wǎng)關(guān)設(shè)備自身的IPSec VPN的配置，拓?fù)浣Y(jié)構(gòu)清晰，配置過程較為簡單、易于實(shí)施。實(shí)施完成后，用戶不需要做任何改動(dòng)，就具有訪問內(nèi)網(wǎng)資源的權(quán)利。

升級原則

1.保證現(xiàn)有用戶正常使用網(wǎng)絡(luò)。在升級過程中，網(wǎng)絡(luò)設(shè)備配置的改動(dòng)不能影響到現(xiàn)有用戶網(wǎng)絡(luò)的正常使用。

2.升級不能破壞原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)性能。

3.簡化用戶操作。在網(wǎng)絡(luò)升級完成后，用戶不需要太復(fù)雜的設(shè)置，就能實(shí)現(xiàn)內(nèi)網(wǎng)資源的正常訪問。

網(wǎng)絡(luò)拓?fù)鋱D

在進(jìn)行IPSec VPN部署的過程中，未改變原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，只是在原有的核心交換機(jī)上分別連接兩根網(wǎng)線至IPSec VPN設(shè)備，一根用來設(shè)備間互聯(lián)，一根用于IPSec VPN的建立，拓?fù)浣Y(jié)構(gòu)簡單，路由走向清楚。如圖1所示。

圖2 IPSec VPN流量概覽

IPSec VPN建立過程

IPSec VPN的建立分為兩個(gè)階段。第一階段，協(xié)商創(chuàng)建一個(gè)通信信道（ISAKMP SA），并對該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù)。創(chuàng)建過程包括：協(xié)商一系列算法和參數(shù)（這些算法和參數(shù)用于保護(hù)隧道建立過程中的數(shù)據(jù)）；計(jì)算出兩邊使用的加密KEY值；對等體的驗(yàn)證，如何才能知道對端就是要與之通信的對端，這里驗(yàn)證有三種方法（預(yù)共享密鑰、數(shù)字簽名、加密臨時(shí)值）。

第二階段，使用第一階段已建立的通信通道建立IPSec SA（安全聯(lián)盟），該SA是為數(shù)據(jù)傳輸而建立的安全聯(lián)盟。這一階段協(xié)商建立IPSec SA，為數(shù)據(jù)交換提供IPSec服務(wù)。第二階段協(xié)商消息受第一階段SA保護(hù)，任何沒有第一階段SA保護(hù)的消息將被拒收。

關(guān)鍵配置

在IPSecVPN的部署過程中，關(guān)鍵配置如下：

浙江學(xué)院核心交換機(jī)：增加上海財(cái)經(jīng)大學(xué)圖書館數(shù)據(jù)庫資源和管理信息系統(tǒng)IP地址段的靜態(tài)路由指向浙江學(xué)院IPSec VPN設(shè)備的互聯(lián)IP地址10.1.2.2。

浙江學(xué)院IPSec VPN設(shè)備：新建一個(gè)IPSec VPN實(shí)例ToShanghai。IPSec VPN第一階段配置：配置IPSec VPN的peer IP地址202.121.142.1，配置提議1為P1協(xié)議，并設(shè)置預(yù)共享密鑰。IPSec VPN第二階段配置：設(shè)置模式為隧道模式，并配置P2提議為P2協(xié)議。設(shè)備默認(rèn)路由指向IPSec VPN隧道，并配置浙江學(xué)院用戶IP地址段回程路由指向浙江學(xué)院核心交換機(jī)互聯(lián)地址：10.1.2.1。

上海財(cái)經(jīng)大學(xué)IPSec VPN設(shè)備：IPSec VPN的協(xié)議配置和浙江學(xué)院VPN設(shè)備配置相同，不同的是，IPSec VPN名稱和peer IP地址為121.192.46.1。設(shè)備默認(rèn)路由指向上海財(cái)經(jīng)大學(xué)核心交換機(jī)互聯(lián)IP地址192.168.202.1，配置浙江學(xué)院用戶IP地址段回程路由指向IPSec VPN隧道。

上海財(cái)經(jīng)大學(xué)核心交換機(jī)：增加浙江學(xué)院用戶IP地址段靜態(tài)路由指向IPSec VPN設(shè)備互聯(lián)地址192.168.202.2。

部署完成后的使用情況

部署完成后，浙江學(xué)院的用戶無需做任何改動(dòng)，就擁有了訪問上海財(cái)經(jīng)大學(xué)圖書館數(shù)據(jù)庫資源和管理信息系統(tǒng)的權(quán)限，有效解決了用戶在異地訪問內(nèi)網(wǎng)資源的需求。該應(yīng)用推廣工作較為順利，用戶反響很好。因?yàn)镮PSec VPN設(shè)備都是用教科網(wǎng)IP地址進(jìn)行IPSec VPN的建立，網(wǎng)絡(luò)的速度和穩(wěn)定性都很好。圖2給出了部署完成后用戶使用的TOP10 IP地址流量、TOP10應(yīng)用流量以及網(wǎng)絡(luò)接口流量。

IPSec VPN在網(wǎng)對網(wǎng)( Site_Site) 的VPN 連接中具備易于部署、安全性較好等優(yōu)勢。利用IPSec架構(gòu)安全VPN 可以在不影響原有應(yīng)用的前提下, 提供可互操作的、高質(zhì)量的、基于加密的安全服務(wù)。本著夠用、易用、實(shí)用的原則，針對學(xué)校的實(shí)際情況和有限的資金投入，利用IPsec VPN技術(shù)解決了異地資源安全訪問的問題，有效解決了上海財(cái)經(jīng)大學(xué)（浙江學(xué)院）訪問上海財(cái)經(jīng)大學(xué)圖書館數(shù)據(jù)庫資源和管理信息系統(tǒng)的需求，明顯改善了浙江學(xué)院的教學(xué)和科研環(huán)境。