校区网络互联模式研究

2022-09-10

在分析基于V P N组网技术优缺点的基础上, 针对多校区校园网络的安全需求, 充分发挥V P N技术的组网优势, 构建一个多校区校园网络安全系统包括各个组件及其功能, 构建安全、高效的多校区校园网络。在分析多校区网络安全需求的基础上, 结合最新的网络安全技术, G a t e w a y-t oGateway模式虚拟专用网, 系统地提出多校区实施网络安全的策略。

随着目前各个学校规模的扩展, 很多学校有多个校区, 如何实现多个校区之间的网络互联, 确保学校信息化的建设, 成了网络技术人员的一个重要课题, 在这里本文通过几种不同的情况, 来实现网络互联。在分析基于V P N组网技术优缺点的基础上, 针对多校区校园网络的安全需求, 充分发挥V P N技术的组网优势, 构建一个多校区校园网络安全系统包括各个组件及其功能, 构建安全、高效的多校区校园网络。在分析多校区网络安全需求的基础上, 结合最新的网络安全技术, Gateway-to-Gatew a y模式虚拟专用网, 系统地提出多校区实施网络安全的策略。

Gateway-to-Gateway模式VPN提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式, 分析了V P N技术的原理, 论述了V P N技术涉及到的网络协议及实现方法, 将V P N技术应用于基于公用网络构架的校园网中, 采用I p S e c及I K E协议, 在网络层上封装数据, 实现了端到端的、确保基于I P通信数据安全性的机制, 从而实现了多校区之间的网络互联。

1 校园网互联网络拓扑如图1所示

两校区内网分别部署核心三层交换机作为内网V L A N间数据的三层快速转发, 利用V L A N技术充分考虑校园网数据业务隔离, 内网数据安全和控制得到良好保证。连接, 允许两校区通过使用Internet等公共互联网络以安全的方式与内部局域网建立连接, 目前很多学校都可能拥有多个校区, 可通过Gateway-to-Gateway模式VPN在不同校区间建立安全的可信通道, 也可用于管理员对校园网的远程管理, 有效保证信息传递的安全性。

校区I n t e r n e t出口部署防火墙以考虑内外网的安全隔离。基于防火墙Gatewayto-Gateway模式VPN功能模块, 两校区通过网关到网关的V P N互联技术同样得到保证。Gateway-to-Gateway模式VPN可以实现不同网络的组件和资源之间的相互

2 Gateway-to-Gateway模式VPN部署

Gateway-to-Gateway模式VPN防火墙, 提供资源的网络级保护和信息流状态过滤功能, 为远程用户提供独特的安全性能和连接能力可靠性保证。

在防火墙F W_1和F W_2之间建立IPSec VPN, 通过建立的VPN隧道在两防火墙内网之间互相开放相应的服务。

使用于共享密钥方式协商 (两端v p n设备的预共享密钥要设置相同, 本例中使用的预共享密钥为t e s t) , 第一阶段和第二阶段的加密协商组合均为3 D E S+M D 5 (两端设备该算法组合必须相同) 。

校区一通过F W_1防火墙的地址转换功能上网, 外网接口地址6 1.1 2 2.1 5.6。

校区二通过F W_2防火墙的地址转换功能上网, 外网接口地址5 9.3 9.1 4 6.1 3 0。

Gateway-to-Gateway模式VPN实现步骤: (1) 定义隧道接口以及安全域绑定:本例定义将untrust接口绑定tunnel域。 (2) 定义IPSec选项启用UDP封装。设置一个预共享密钥及各阶段协商算法 (I K E算法组件是第一阶段协商算法, I P S e c算法组件是第二阶段协商算法) 。 (3) 建立V P N通道:本地内网:指本地防火墙内网受保护网段。本地网关:一般指本地防火墙启用I P S E C VPN的网络接口——外网口if0口IP地址。

远端内网:对端防火墙内网受保护网段。

远端网关:远端防火墙外网口I P地址。

映射地址:如果防火墙外网口是合法地址, 则填0.0.0.0;如果本地防火墙外网口不是合法地址时, 映射地址必须填防火墙nat后的合法地址。

密钥:选择定义好的预共享密钥。

经过I K E以及I P S e c两阶段算法成功后, V P N隧道就可以创建成功。