首頁 > 工作總結

VPN在校園網(wǎng)中的應用畢業(yè)論文

更新時間:2024-02-10 14:07:22 閱讀：評論：0

2024年2月10日發(fā)(作者：消費者行為學論文)

1 緒論 .................................................................... 1

1.1 研究的背景與意義 ................................................... 1

1.2 VPN技術在國外發(fā)展情況 ............................................. 1

1.2.1 國情況 ....................................................... 1

1.2.2 國外情況 ..................................................... 1

1.3本課題研究意義 ..................................................... 2

1.4本課題研究的主要容和方法 ........................................... 2

1.4.1 研究的主要容 ................................................. 2

1.4.2 研究的主要問題 ............................................... 2

1.4.3 論文實現(xiàn)的方法 ............................................... 3

1.5 論文的組織結構 ..................................................... 3

2 虛擬專用網(wǎng)概述 .......................................................... 4

2.1 虛擬專用網(wǎng)概念 ..................................................... 4

2.2 虛擬專用網(wǎng)特點 ..................................................... 4

2.3虛擬專用網(wǎng)的分類 ................................................... 4

3 校園網(wǎng)需求分析 .......................................................... 6

3.1 校園網(wǎng)VPN的建設意義 ............................................... 6

3.2 校園網(wǎng)現(xiàn)狀與改進方案 ............................................... 6

3.2.1 校園網(wǎng)現(xiàn)有狀況的分析 ......................................... 6

WORD版本 .

3.2.2 校園網(wǎng)改進方案的介紹 ......................................... 7

3.3校園網(wǎng)中VPN技術介紹 ............................................... 8

3.3.1 IPSec VPN 技術介紹 ........................................... 8

3.3.2 Easy VPN 技術介紹 ............................................ 8

3.4校園網(wǎng)VPN建設目標 ................................................. 8

4 校園網(wǎng)VPN系統(tǒng)設計 ...................................................... 9

4.1校園網(wǎng)VPN實驗拓撲結構 ............................................. 9

4.2 實驗參數(shù)配置 ...................................................... 10

4.2.1 IPc VPN部分實驗參數(shù)配置 ................................... 10

4.2.2 Easy VPN部分實驗參數(shù)配置 .................................... 10

5 VPN在校園網(wǎng)絡中的部署與實現(xiàn) ............................................ 12

5.1 VPN總體設計方案說明 .............................................. 12

5.2 IPc VPN方案的具體實現(xiàn) .......................................... 12

5.2.1 IPc VPN在主校區(qū)的配置以及解析 ............................. 12

5.2.3 IPSec 分校區(qū)的相關配置 ...................................... 13

5.3 Easy VPN方案的具體實現(xiàn) ........................................... 14

5.3.1 Easy VPN在主校區(qū)的配置以及解析 .............................. 14

6 VPN在校園網(wǎng)絡中的系統(tǒng)測試 .............................................. 16

6.1測試目標 .......................................................... 16

6.2測試環(huán)境 .......................................................... 16

6.3測試過程以及分析 .................................................. 16

6.3.1 IPSec VPN部分的測試 ......................................... 16

WORD版本 .

6.3.2遠程訪問端Easy VPN的測試 .................................... 18

7 總結 ................................................................... 20

致謝 ..................................................................... 21

參考文獻 ................................................................. 22

WORD版本

VPN在校園網(wǎng)中的應用

摘要

隨著我國教育事業(yè)的逐步發(fā)展，大學教育成為我國必不可少的一個教育環(huán)節(jié)，從而對于信息化校園的建設顯得格外重要，但是我國一些傳統(tǒng)的高等院校還采用傳統(tǒng)的專用接入網(wǎng)在校園使用，還屬于較為落后的一種接入模式。所以需要通過建立虛擬局域網(wǎng)以及遠程訪問端的相關功能，提高師生資源利用校園的各種有利資源。在本論文對VPN的深入探索，在建設校園網(wǎng)方面具有一定的指導意義。

通過對VPN基礎知識的相關學習，通過本論文的第一章容進行展示，分別從VPN在校園網(wǎng)的意義、發(fā)展、研究這三個方向進行了闡述。

其次，對VPN在校園網(wǎng)的需求做了相應的分析，從而確定了校園網(wǎng)的建設方向。論文接著詳細描述了校園網(wǎng)VPN的具體設計過程，以及給出相對應的校園網(wǎng)實驗拓撲圖，以及給出了相關VPN技術即IPSec VPN以及Easy VPN的設計概念，還描述了設計目標。

最后，本論文通過對相關功能的搭建以及測試晚上，實現(xiàn)了兩校區(qū)通過IPc VPN進行互訪和遠程訪問端的登陸等相關功能，驗證了VPN系統(tǒng)的有效性。通過在實際仿真軟件上的模擬，對于VPN在校園網(wǎng)中的應用，有很大的指導性作用。

關鍵字：虛擬專用網(wǎng);校園網(wǎng);IPSec VPN;解決方案WORD版本 .

Design and Implementation of Campus Network of VPN

Abstract

With the gradual development of China's education, university education

become the esntial a part of education, and for the construction of the campus

information is particularly important, but our traditional colleges and

universities also us traditional dedicated access network in campus, also

belong to the relatively backward the access mode. So they need by establishing

virtual local area network and remote access terminal related functions, improve

resource utilization campus of various beneficial resources of teachers and

students. In this paper we explore the VPN, which has a certain guiding

significance in the construction of campus network.

Through the knowledge of VPN bad on learning, through the first chapter

of this paper display, respectively from the VPN in campus network, development

and rearch in the three direction is discusd in this paper.

Secondly, the demand for VPN in the campus network has made the corresponding

analysis, to determine the direction of the construction of campus network. Then

this paper described in detail the specific design process of campus network VPN,

and gives corresponding to the campus network the topology graph, and gives the

related technology of VPN that IPSec VPN and easy VPN design concept. It also

describes the design goals.

Finally, the paper by pair correlation function is built and tested in the

evening, the two campus through IPSec VPN for visits and remote access terminal

landing and other related functions, to verify the validity of the VPN system.

Through the simulation in practical simulation software, for the application of

VPN in campus network, has great guiding role.

Keywords: VPN；Campus Network；IPSec VPN；The solution

WORD版本 .

1 緒論

1.1 研究的背景與意義

通過相關的研究以及探討，本畢業(yè)論文將通過VPN技術，使校園網(wǎng)更加便捷優(yōu)化，打破傳統(tǒng)的校園網(wǎng)設計，從而實現(xiàn)校園部、不同校區(qū)以及在外的師生使用校園資源，使資源便捷利用。

在高等院校校園建設VPN，將VPN技術應用到校園中，可以讓師生更好的利用到校園的相關資源，解決之前的資源上使用的不便捷、訪問受地理因素、以及專線昂貴等相關不利因素的限制。且需要保證網(wǎng)絡的安全以及暢通。現(xiàn)如今，VPN技術不僅在校園網(wǎng)中應用的如火如荼，而且在企業(yè)，公共產所也運用的十分密集，目前主要的VPN技術有三種，分別是IPSec VPN、PPTP VPN、L2TP VPN這三種形式的VPN。其中，IPSec VPN技術是在校園網(wǎng)中運用最頻繁的技術，它具有強大的安全性，能夠保證在數(shù)據(jù)傳輸過程中，保護數(shù)據(jù)的安全，使外部病毒不能侵入，防止被攻擊。通過對該技術的特點分析，故此技術將會成為校園網(wǎng)搭建中必不可少的一種建設性技術。

1.2 VPN技術在國外發(fā)展情況

1.2.1 國情況

通過相關調查情況來看，我國在虛擬專用網(wǎng)上的應用，還處于應用初期。相應的通信技術服務商，移動、聯(lián)通也將VPN技術應用到相關業(yè)務中去，以應對用戶對系統(tǒng)的需求服務。對于各高校在VPN的使用來說，我國各大高校從2003年開始，就想把校園網(wǎng)進行優(yōu)化，通過相關的VPN技術方案來進行解決，IPc VPN以及SSL VPN是應用最為普及的VPN形式。在這兩個技術上，資金花費較少和建設方面較為容易，這都是校園網(wǎng)初步建設的一個有利條件，但在初期，這兩種技術應用并不是很多。在相關應用型高校的建設上來說，此類型高校正在研究適合于該高校的相關VPN技術方案。通過何種方式能更高效、合理的讓校園的資源讓廣大師生更便捷的使用，這是在校園網(wǎng)的搭建過程中，必須注意的一個問題。

1.2.2 國外情況

VPN技術在國外來說，有很多網(wǎng)絡的供應商對VPN的相關服務有提供技術支持，在價格上也存在低成本的優(yōu)勢、在性能上也很安全，很受全球的使用者的歡迎。國際上的VPNWORD版本 .

技術，由于科技的進步，發(fā)展的異常迅速，讓VPN成為網(wǎng)絡界的一個新的閃光點。研究該技術的相關特點，利用數(shù)據(jù)保護的途徑，讓用戶在Internet網(wǎng)絡上便捷的傳輸私有數(shù)據(jù)，而不需要專網(wǎng)的設備。VPN給生活帶來的特點不僅體現(xiàn)在費用方面，而是有更好的服務水平。在外國，很多高等院校也是采用VPN技術來建設校園網(wǎng)的。

1.3本課題研究意義

由于專線價格昂貴，故建立VPN網(wǎng)絡是優(yōu)先的選擇目標，這是不可避免的事實，但是針對在校園網(wǎng)中部署VPN的方案卻很少，所以將通過VPN技術實現(xiàn)校園網(wǎng)的互通，本論文設計的是利用IPSec VPN、Easy VPN這兩個技術，通過該技術合理的運用到校園網(wǎng)絡中，并且通過實驗平臺進行模擬與測試，詳細編寫配置命令，致力使之成為一套合理實用的VPN技術在校園網(wǎng)絡中的部署方案。

1.4本課題研究的主要容和方法

1.4.1 研究的主要容

由于Internet具有開放的這個特性，而校園網(wǎng)也是該網(wǎng)絡的一個組成體，廣大師生必須通過這個渠道進行資源的獲取。還有一個地方就是，校園網(wǎng)也有它獨特的專用性。伴隨著校園網(wǎng)的逐步優(yōu)化，校園的師生教學、管理、活動等各個方面都需要校園的廣大資源。專線網(wǎng)絡具有使用費用較大、撥號上網(wǎng)也有相應的網(wǎng)速慢、信息沒有加密等不足，本論文將利用VPN技術的優(yōu)勢，以及結合實際校園網(wǎng)的設計，研究出一個最適合某地區(qū)校園網(wǎng)的VPN技術。

本論文的任務是圍繞對某高等院校VPN規(guī)劃這個主題而展開的。通過調查分析VPN的應用情況以及建設情況，具體得出將強校園網(wǎng)的資源合理運用是建設校園網(wǎng)必不可少的一個條件，只有通過合理的建設規(guī)劃，才能讓校園網(wǎng)運作的更加便捷化。

1.4.2 研究的主要問題

某高校主校區(qū)位于該市某主要地段，而由于教學以及學校發(fā)展需要，于是在該市某處開設了一個分校，兩個校區(qū)均建立了獨立的校園網(wǎng)絡。

由于學校教學需要，主校區(qū)與分校區(qū)需要共享各種網(wǎng)絡資源。師生需求的資源也是在日常教學以及管理、學習等方面所必須的，故必須在分校區(qū)建立VPN，使之可以訪問主校區(qū)的資源，避免了使用資源的困難性，而且在外的師生，也必須通過遠程訪問的方式獲取相關的資源，故此必須也要利用到VPN的技術。

WORD版本 .

1.4.3 論文實現(xiàn)的方法

本論文是研究如何將VPN技術合理的運用到兩校區(qū)互聯(lián)通信的過程中，以達到校園的訪問資源的高效性、合理性，并替身校園網(wǎng)絡質量。通過相關研究，可得出利用IPSec VPN技術、Easy VPN技術是校園網(wǎng)建設的一個核心技術。可以分為以下幾點解決方法：

通過IPSec 協(xié)議連接主校區(qū)與分校區(qū)，這樣可以對傳輸過程中的安全性進行保障。IPSec VPN 具有相關密鑰的功能、以及通過配置相關參數(shù)、相關信息，使之相關功能可以使用。

Easy VPN 方式連回學校網(wǎng)的使用群體就是在校外的師生。通過Easy VPN 的相關配置方案，以及在相對應的校園網(wǎng)上進行搭建，通過在電腦上的客戶端連接，就可以輕松的訪問相關資源。

通過IPc VPN中的安全協(xié)議，對校園網(wǎng)的安全性得以保障，從而讓廣大師生在通過網(wǎng)絡獲取相關資源的時候，對于安全性可以大可放心，這樣也保障了學校以及師生的相關利益。

1.5 論文的組織結構

本論文通過相關的研究設計，將論文分為以下幾個部分：

第一章是緒論部分，通過相關的課題背景、VPN發(fā)展情況，從而引申出研究方案。

第二章是對虛擬局域網(wǎng)進行了全面的分析，通過概念、特點、技術應用進行解析。

第三章是校園網(wǎng)的需求分析，主要是設計本校園網(wǎng)絡總體設計思路。

第四章是校園網(wǎng)VPN系統(tǒng)設計以及參數(shù)的具體搭建、配置。

第五章是VPN術在校園網(wǎng)中的應用，利用GN3、Cisco Packet Tracer和虛擬機搭建校園網(wǎng)環(huán)境。

第六章是校園網(wǎng)VPN系統(tǒng)的分部測試，以及測試結果的展示。

第七章是總結與展望，總結論文的可發(fā)展性。

WORD版本 .

2 虛擬專用網(wǎng)概述

2.1 虛擬專用網(wǎng)概念

在公用網(wǎng)絡上建立專用網(wǎng)絡的一種技術，是一種穿過公用網(wǎng)絡臨時的、安全的隧道，這就是虛擬專用網(wǎng)VPN（Virtual Private Network）的定義。

虛擬專用網(wǎng)其實并不是獨立的物理網(wǎng)絡，它能夠提供專用網(wǎng)的相關功能，也就是表明虛擬專用網(wǎng)的實際定義是邏輯上的專用網(wǎng)絡。而又有區(qū)別于實際的物理網(wǎng)絡。對于虛擬專用網(wǎng)的需求者來說，在功能上與實際的專用網(wǎng)是類似的。

由于我國信息技術的不斷發(fā)展，用戶對自身使用網(wǎng)絡安全性和其它使用需求逐步提升，VPN的相關技術也應該通過相關技術手段提升，因此IPSec VPN和SSL VPN等相關技術相繼出現(xiàn)，通過此技術手段的問世，從而對虛擬專用網(wǎng)絡的安全性有了更深層次的保障。通過VPN技術的應用，讓信息傳輸具有可靠性、時效性、安全性。

2.2 虛擬專用網(wǎng)特點

（1）高安全性。通過建立一個邏輯、點對點的鏈路在隧道上，并在隧道上并利用相關的加密技術對隧道的安全性進行保障，保證接受者者以及使用者的私密性以及穩(wěn)定安全性。

（2）可擴充性和靈活性。VPN在網(wǎng)絡中應用的數(shù)據(jù)流確定得經(jīng)過Intranet和Extranet的這種類型，通過此數(shù)據(jù)流，添加新的網(wǎng)絡節(jié)點，在傳輸介質方面，也是可以支持文字、圖形圖形、聲音類型的文件。靈活性高，可以合理使用。

（3）服務質量保證（Qos）。為了防止堵塞的出現(xiàn)，就必須有服務質量的保障，利用流量監(jiān)測還有流量控制等技術手段，利用帶寬資源的恰當運用，以及對帶寬管理的嚴格把控，讓數(shù)據(jù)可以理想化的進行傳輸。

（4）可管理性。可管理性主要提現(xiàn)在用戶、運營放兩個方面，通過這兩個方面的監(jiān)控，可以從設備、安全、配置等角度進行分別管理。

2.3虛擬專用網(wǎng)的分類

虛擬專用網(wǎng)分類方式比較混亂。網(wǎng)絡設備供應商也是根據(jù)一個業(yè)務的需求進行分門別類的。相關的運營商，通過對VPN技術的相關把控，對VPN技術的劃分也是五花八門。對于VPN的劃分有如下幾點：

WORD版本 .

1、按VPN的協(xié)議分類：

常用的虛擬專用網(wǎng)協(xié)議有：L2F、L2TP、PPTP、IPc、SSL VPN、Cisco VPN、OpenVPN、Freegate。

2、按VPN的應用分類：

（1）Access VPN：此方式是用在少量的訪問者通過遠程訪問相關部門的一種技術；

（2）Intranet VPN：此方式主要是用在兩個區(qū)域通過公共網(wǎng)絡建立的虛擬網(wǎng)，即網(wǎng)絡對網(wǎng)絡的對等連接方式；

（3）Extranet VPN：外聯(lián)網(wǎng)的VPN是通過公用網(wǎng)絡，讓不一樣的區(qū)域形成的一個虛擬網(wǎng)絡。

3、按設備的類別模式分類：

網(wǎng)絡設備提供商通過客戶的需求以及調節(jié)，研究出不同類型的設備，最常見的就是交換機以及路由器、防火墻：

（1）路由器式VPN：路由器式VPN在實際運作過程中較為輕松，通過在路由器端配置VPN的相關服務就可以使VPN正常使用；

（2）交換機式VPN：使用在用戶數(shù)量較為不多的VPN網(wǎng)絡中；

（3）防火墻式VPN：防火墻式VPN是最具有安全性的一種VPN技術。

4．按照接入方式劃分：

（1）撥號VPN：又稱VPDN，主要是應用于移動客戶想獲取機構的資源上，主要有PPTP、L2TP協(xié)議。

（2）專線VPN：專線VPN是用語解決ISP邊界路由器而誕生的一個服務，通過此項服務，使用者不需要再通過撥號上網(wǎng)的方式建立相關連接。

WORD版本 .

3 校園網(wǎng)需求分析

3.1 校園網(wǎng)VPN的建設意義

作為具有高等教育資質的院校，各種信息資源的便捷獲取是十分重要的。在信息化校園與時俱進的今天，越來越多的高校開始重視這方面的問題，大力發(fā)展校園網(wǎng)的建設。通過合理需求規(guī)劃，讓資源共享、文件瀏覽等操作在校園中得以實現(xiàn)。在這種龐大的信息系統(tǒng)的帶動下，總校區(qū)需要及時掌握分校區(qū)的情況，分校區(qū)也要及時了解總校區(qū)的最新的信息資源等，同時在校的老師同學們也是需要校園資源。原有的撥號方式已經(jīng)無法滿足主學校與分校區(qū)間的傳輸需要了，而且不希望要為此負上高昂的專線費用，所以需要在校園網(wǎng)涉及VPN專用網(wǎng)絡，以滿足學校的建設需要。

3.2 校園網(wǎng)現(xiàn)狀與改進方案

3.2.1 校園網(wǎng)現(xiàn)有狀況的分析

現(xiàn)代高校對于信息化的要求是越來越大，尤其是具備兩個校區(qū)的大型高等院校。以某市為例，某高校主校區(qū)位于該市某主要地段，而由于教學以及學校發(fā)展需要，于是在該市某處開設了一個分校，兩個校區(qū)均建立了獨立的校園網(wǎng)絡。原校園網(wǎng)拓撲圖如圖3-1所示。

某高等院校主校區(qū)FTP服務器Web服務器其他服務器某高等院校分校區(qū)FTP服務器邊界路由器邊界路由器PC互聯(lián)網(wǎng)PadLaptopPCPadLaptop

圖3-1 原校園網(wǎng)拓撲圖

由于學校教學需要，主校區(qū)與分校區(qū)的師生，需要共享各種網(wǎng)絡資源。同時在外的老師、同學也需要使用校資源，故需要通過VPN等相關技術將兩校區(qū)獨立的校園網(wǎng)互連起WORD版本 .

來。因此該學校的老師、學生希望能實現(xiàn)分校區(qū)與主校區(qū)的校園網(wǎng)相互訪問以使用不同校區(qū)的校園網(wǎng)資源，讓學習以及教學更加便捷。

3.2.2 校園網(wǎng)改進方案的介紹

本論文研究的是VPN技術在校園網(wǎng)的具體應用，通過技術的設計，把分校區(qū)與主校區(qū)通過VPN技術手段進行連接。總體來說，本論文將通過圖3-2中的IPSec VPN以及Easy VPN技術來應用于校園網(wǎng)中。可以分為以下幾點解決方法：

(1)在主校區(qū)與分校區(qū)之間通過IPSec協(xié)議進行安全連接，保證兩校區(qū)師生使用相關資源的安全性。IPSec VPN 在兩校區(qū)的搭建，目的是實現(xiàn)在防火墻上進行選擇 IPSec VPN

組網(wǎng)模式、配置 IPSec VPN 基本參數(shù)、配置相關 IP 地址信息、配置密鑰及相關算法，從而實現(xiàn)IPSec VPN的相關功能。

(2)由于師生不是天天都待在學院，故在外的師生則可以使用 Easy VPN 方式連回學校網(wǎng)，獲取師生所需求的資源。Easy VPN 的接入方案，主要是讓在外的師生利用電腦端的VPN客戶端軟件，進行賬號密碼的輸入，從而連接校園網(wǎng)，從而進一步獲取相關校園資源。

(3)通過在主校區(qū)網(wǎng)的實施訪問控制措施，在關鍵的數(shù)據(jù)必經(jīng)的設備上進行訪問策略的應用，通過相關的配置，這樣訪問的客戶端在訪問控制方面就有所嚴格把控。通過防火墻的相關功能，保障校園中數(shù)據(jù)傳輸?shù)男畔踩?

某高等院校主校區(qū)FTP服務器Web服務器其他服務器Internet 上的 VPN客戶端VPN隧道EASY VPNVPN隧道IP c VPNPCLaptopPad互聯(lián)網(wǎng)某高等院校分校區(qū)FTP服務器邊界路由器VPN隧道IP c VPN邊界路由器PCPadPCPadLaptopLaptop

圖3-2 VPN技術應用于校園網(wǎng)的拓撲圖

WORD版本 .

3.3校園網(wǎng)中VPN技術介紹

3.3.1 IPSec VPN 技術介紹

IPSec VPN是通過IPSec協(xié)議來實現(xiàn)VPN的功能，IPSec（Internet Protocol Securit），是IETF確定的一種安全協(xié)議標準定義，主要是讓公用以及專用網(wǎng)絡的安全性得以保障。IPSec是由以下幾個部分組成，分別是PF_KEY（密鑰管理API）、AH(認證報頭)、IKE（密鑰交換協(xié)議）、ESP(封裝安全載荷)。

IPSec的主要功能是對網(wǎng)絡單元進行安全訪問控制，核中完成的功能占大多數(shù)，但由于證書、密鑰等相關策略是IPSec的實現(xiàn)需要的必備工具，這時系統(tǒng)管理員就需要對網(wǎng)絡策略和性能以及安全方面進行配置。由于IPSec服務在網(wǎng)絡層，因此任何上層協(xié)議都可以調用IPSec服務提供的功能。IPSec VPN簡單來說就是采用IPSec協(xié)議來實現(xiàn)遠程登錄的一種VPN技術。

3.3.2 Easy VPN 技術介紹

Easy VPN是cisco獨有的遠程接入VPN技術。遠程訪問VPN技術在外出人員的身上體現(xiàn)出了很有價值性的一面。傳統(tǒng)的線接入網(wǎng)絡，速度慢，費用高，不適合在校使用。EASY VPN很好的實現(xiàn)了遠程訪問的相關功能。

EASY VPN是Cisco的專用VPN技術。它分為Easy VPN SERVER和Easy VPN REMOTE兩種，EASY VPN SERVER 是REMOT--Easy VPN專業(yè)設備。

3.4校園網(wǎng)VPN建設目標

我國校園網(wǎng)也逐步在完善校園的信息傳輸?shù)暮侠硪?guī)化，所以在校園網(wǎng)的建設過程中，主要考慮以下幾個因素：

首先要考慮的是網(wǎng)絡策略。VPN的實現(xiàn)需要本論文的相關規(guī)劃。

其次是考慮安全性。校園網(wǎng)的安全，是師生使用校園資源的重要保障。

接著，需要考慮下校園網(wǎng)在實際應用過程中的兼容性以及拓展性。目的是為了校園WORD版本 .

網(wǎng)的進一步發(fā)展以及完善，對于校園網(wǎng)的建設具有重要的一個方面。

在建設校園網(wǎng)的關鍵步驟上，還要考慮校園網(wǎng)建設的成本、實際環(huán)境等方面的因素。

WORD版本 .

4 校園網(wǎng)VPN系統(tǒng)設計

4.1校園網(wǎng)VPN實驗拓撲結構

圖4-1 校園網(wǎng)VPN拓撲圖（IPc VPN部分）

圖4-2 校園網(wǎng)VPN拓撲圖（Easy VPN部分）

通過對校園網(wǎng)的需求分析，得出相對應的實驗拓撲圖，通過圖4-1、圖4-2表示。其中IPc VPN部分通過Cisco Packet Tracer模擬器搭建，Easy VPN部分通過GNS3模擬器與虛擬機上的Windows XP系統(tǒng)連接搭建。通過相應平臺的搭建，可以模擬實現(xiàn)分校區(qū)通過IPSec VPN訪問主校區(qū)，以及遠程訪問端通過Easy VPN訪問主校區(qū)相關資源的相關功能，以實現(xiàn)資源的合理應用。

WORD版本 .

4.2 實驗參數(shù)配置

4.2.1 IPc VPN部分實驗參數(shù)配置

實驗環(huán)境參數(shù)的相關配置即主校區(qū)接口IP如表4-1、分校區(qū)接口IP如表4-2所示。

表4-1 Cisco Packer Tracer實驗參數(shù)配置（1）

DHCP服務器

FTP服務器

主校區(qū)路由器

Z教室

F0/0

2.2.2.1/24

2.2.2.2/24

S0/0/0

S0/0/1

S0/1/0

200.1.1.1/24

192.168.5.1/24 100.1.1.2/24

192.168.1.1/24

Z教師機（無線）

192.168.2.3/24

Z辦公室1

Z辦公室2

Z學生宿舍1

Z學生宿舍2

Z學生宿舍3

Internet

192.168.2.2/24

192.168.2.1/24

192.168.3.1/24

192.168.3.2/24

192.168.3.3/24

100.1.1.1/24 120.1.1.1/24

表4-2 Cisco Packer Tracer實驗參數(shù)配置（2）

DHCP服務器

分校區(qū)路由器

F0/0

5.5.5.5/24

192.168.6.1/24

S0/0/1

120.1.1.2/24

WORD版本 .

F宿舍

F教室

F辦公室

192.168.7.1/24

192.168.4.2/24

192.168.4.1/24

4.2.2 Easy VPN部分實驗參數(shù)配置

實驗環(huán)境使用的網(wǎng)絡設備以及參數(shù)的相關配置如表4-2所示。

表4-3 GNS3實驗參數(shù)配置

路由器型號

對應端口的IP地址

F0/0:192.168.10.254

備注說明

R1 C3600 F0/1:218.100.1.1

F0/0:61.128.1.1

R1為主校區(qū)邊界路由

R2為分校區(qū)邊界路由

R2 C3600 F0/1:192.168.20.254

F0/0:61.128.1.10

ISP

F0/1:218.100.1.10

C3600

E1/0:200.100.1.10

ISP模擬Internet測試

WORD版本 .

F0/0:192.168.10.1

PC1 C3600

PC1為主校區(qū)PC端

PC2為分校區(qū)PC端

F0/1:192.168.20.1

PC2 C3600

連接虛擬機無線VMware

Network Adapter VMnet1網(wǎng)卡

WORD版本 .

5 VPN在校園網(wǎng)絡中的部署與實現(xiàn)

5.1 VPN總體設計方案說明

通過在相應模擬器上搭建網(wǎng)絡拓撲圖，要實現(xiàn)校園網(wǎng)的IPc VPN的相關功能，需要在主校區(qū)以及分校區(qū)的邊界路由器上搭建相應IPc VPN策略，使之具有認證、傳輸、加密、解密等相關功能，從而實現(xiàn)VPN的連接作用。

而要達到在校園網(wǎng)的Easy VPN的相關功能，首先從在給出的校園網(wǎng)拓撲中，遠程VPN端則通過與C2端即與虛擬機無線VMware Network Adapter VMnet1網(wǎng)卡連接，采用預共享密鑰、定義遠程撥號的組等相關技術手段，通過在Windows XP上安裝VPN Client端與校園網(wǎng)連接，使之可以使用校園網(wǎng)資源。

5.2 IPc VPN方案的具體實現(xiàn)

5.2.1 IPc VPN在主校區(qū)的配置以及解析

（1）在主校區(qū)上配置 IKE（ISAKMP）策略:

zhuxiaoqu(config)#crypto isakmp policy 10

zhuxiaoqu (config-isakmp)#encryption 3des

zhuxiaoqu(config-isakmp)# hash md5

zhuxiaoqu (config-isakmp)#authentication pre-shared

zhuxiaoqu (config-isakmp)#group 2

解釋說明：定義了ISAKMP policy 10，加密方式為3des，hash算法為md5，認證方式為Pre-Shared Keys (PSK)，密鑰算法（Diffie-Hellman）為 group 2。

（2）在主校區(qū)上定義認證標識:

zhuxiaoqu(config)# crypto isakmp key cisco address 120.1.1.2

解釋說明：通過之前定義的認證方式，定義為 Pre-Shared Keys (PSK)，所以需要定義認證密碼。這里定義的密碼與 peer 120.1.1.2 的認證密碼均為cisco，而且需要雙方密碼必須保持一致，否則無法建立IKE SA。

（3）在主校區(qū)上配置IPSec transform:

zhuxiaoqu (config)# crypto IPSec transform-t l2lvpn esp-3des esp-md5-hmac

解釋說明：配置了transform-t為 l2lvpn，數(shù)據(jù)封裝使用esp加3des進行具體WORD版本 .

加密，并且使用esp結合md5做hash計算，默認的IPSec mode 為tunnel隧道。

（4）定義ACL控制列表與主校區(qū)的校園網(wǎng)：

zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.4.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.4.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0

0.0.0.255

zhuxiaoqu(config)#Easy-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.3.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.4.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0

0.0.0.255

zhuxiaoqu (config)#Easy-list 100 permit ip any any

解釋說明：這個是允許/拒絕指定IP（任何IP）通過控制列表的意思any any，前一個是指IP，后一個指子網(wǎng)掩碼。

（5）在主校區(qū)上創(chuàng)建 crypto map：

zhuxiaoqu (config)#crypto map vpn 10 IPSec-isakmp

zhuxiaoqu (config)#t peer 120.1.1.2

zhuxiaoqu (config)#t transform-t l2lvpn

zhuxiaoqu(config)#match address 110

解釋說明：在R1路由器上指定加密數(shù)據(jù)發(fā)往的對端IP為120.1.1.2的地址上，即和120.1.1.2建立 IPSec 隧道。調用的IPSec transform為l2lvpn，并且指定 ACL 110中的流量為被保護的流量。最后將crypto map應用于分校區(qū)s0/0/0的接口上。

WORD版本 .

5.2.3 IPSec 分校區(qū)的相關配置

在分校區(qū)的路由器上，使分校區(qū)實現(xiàn)IPSec VPN的功能：

fenxiaoqu (config) (config)# crypto isakmp policy 10

fenxiaoqu (config) (config-isakmp)#encryption 3des

fenxiaoqu (config) (config-isakmp)#hash md5

fenxiaoqu (config) (config-isakmp)#authentication pre-share

fenxiaoqu (config) (config-isakmp)#group 2

fenxiaoqu (config) (config-isakmp)#exit

fenxiaoqu (config) (config)# crypto isakmp key cisco address 100.1.1.2

fenxiaoqu(config) (config)# crypto IPSec transform-t l2lvpn esp-3des

esp-md5-hmac

fenxiaoqu(config)(config)#Easy-list 100 permit ip 192.168.1.0 0.0.0.255

10.1.1.0 0.0.0.255

fenxiaoqu (config) (config)# crypto map vpn 10 IPSec-isakmp

fenxiaoqu (config) (config-crypto-map)# t peer 100.1.1.2

fenxiaoqu (config) (config-crypto-map)# t transform-t l2lvpn

fenxiaoqu (config) (config-crypto-map)#match address 110

解釋說明：兩個校區(qū)的IKE和IPSec 相關策略必須相同。

5.3 Easy VPN方案的具體實現(xiàn)

5.3.1 Easy VPN在主校區(qū)的配置以及解析

（1）crypto isakmp policy 20

encr 3des

authentication pre-share

group 2

解釋說明：采用預共享密鑰，加密方式為3des，Group2，hash為sha，這里說明，軟件撥號必須是Group2，它置的策略只有Group2。

（2）ip local pool ippool 1.1.1.1 1.1.1.200

解釋說明：該指令是分配IP地址池即分配給VPN用戶撥入成功后分配的地址，在此使用網(wǎng)沒用過的網(wǎng)段。

WORD版本 .

（3）ip access-list extended ezvpn-traffice

permit ip 192.168.10.0 0.0.0.255 any

permit ip host 192.168.8.8 any

解釋說明：這個ACL定義的是，允許VPN撥入后，訪問哪些流量，其他的按正常流量走，比如這里只能訪問10.0與8.8 這2個網(wǎng)段，其他的訪問internet按正常網(wǎng)關走。

（4）crypto isakmp client configuration group ezvpn

key cisco

pool ippool

acl ezvpn-traffice

解釋說明：定義遠程撥號的組，組的作用可以根據(jù)實際需求劃分，比如按區(qū)域，不同區(qū)域撥入到不同的組，然后定義一個key 與之前定義的地址池與ACL。

（5）aaa new-model

aaa authentication login ezvpn local

aaa authorization network ezvpn local

解釋說明：這個是AAA功能，需要認證跟授權，需要定義一個，這里采用本地認證與授權。

（6）crypto isakmp profile cisco

match identity group ezvpn

client authentication list ezvpn

isakmp authorization list ezvpn

client configuration address respond

解釋說明：定義一個Profile，這個Profile的作用是把之前調用的策略合集起來，當match group ezpvn的時候，采用本地認證與授權（上面定義的），最后一條是說當客戶端撥入后，推送ACL與地址池給客戶端。

（7）crypto ipc transform-t trans esp-des esp-md5-hmac

解釋說明：這個跟IPc部分是一樣，沒定義新的，加密實際數(shù)據(jù)流量采用的策略。

（8）crypto dynamic-map ezvpn 1000

t transform-t trans

rever-route

解釋說明：動態(tài)Map是在撥號vpn使用的，不確定對方公網(wǎng)地址的情況下，調用策WORD版本 .

略，rever-route的意思是，當客戶端撥入后，有去往對方的路由，自動生成。

（9）crypto map vpn 1000 ipc-isakmp dynamic ezvpn

解釋說明：靜態(tài)map關聯(lián)動態(tài)map，動態(tài)map不能單獨調用在接口上。

（10）interface FastEthernet0/1

ip address 218.100.1.1 255.255.255.0

crypto map vpn

解釋說明：調用之前的接口。

6 VPN在校園網(wǎng)絡中的系統(tǒng)測試

本校園網(wǎng)的搭建都是通過仿真軟件進行模擬搭建的，在實際運用中還是有一定的建設意義。所以在測試之前，首先需要準備若干測試數(shù)據(jù)，正常的、異常的、臨界的等等，然后通過在Cisco Packet Tracer上執(zhí)行IPc VPN的測試以及通過虛擬機與GNS3連接測試Easy VPN。最終通過測試，改進設計的不足，突出設計的優(yōu)勢，把最佳效果的設計投入到真是的校園環(huán)境中。

6.1測試目標

在模擬器上的測試，是將VPN技術實際應用于校園網(wǎng)的一個重要步驟，通過測試，才能進行診斷并改正錯誤，以保證校園網(wǎng)VPN的模擬的正常使用。

6.2測試環(huán)境

對校園網(wǎng)VPN的測試平臺為：Cisco Packet Tracer、GNS3、虛擬機（windows XP），通過在此平臺的測試，從而保證網(wǎng)絡的暢通性以及功能性的完善。

6.3測試過程以及分析

6.3.1 IPSec VPN部分的測試

（1）主校區(qū)與分校區(qū)IP連通性測試

F辦公室PC PING Z教室PC、Z辦公室PC，F(xiàn)辦公室IP是192.168.4.1、Z教室IP是192.168.1.1、Z辦公室IP是192.168.2.11。相對應Z辦公室也可以PING通F辦公室以及F教室。其測試結果如圖6-1、6-2所示：

WORD版本 .

圖6-1 F辦公室PC與Z教室PC、Z辦公室PC連通性測試

圖6-2 Z辦公室PC與F教室PC、F辦公室PC連通性測試

（2）查看VPN是否建立

WORD版本 .

圖6-3 VPN建立測試

當狀態(tài)顯示為QM-Idle的話說明第一階段建立完成。

（3 ）查看VPN是否在傳輸以及加解密狀態(tài)

圖6-4 VPN傳輸功能測試

當看到有加解密的時候，說明第二階段成功，數(shù)據(jù)包已經(jīng)成功的開始在VPN傳輸了。

6.3.2遠程訪問端Easy VPN的測試

在測試之前，首先要保證改校園網(wǎng)的兩個校區(qū)通過IPc VPN連接成功，相應VPN策略已經(jīng)建立，之后，打開虛擬機進行遠程登錄程序的安裝以及測試。

（1）打開安裝好的VPN client

圖6-5 VPN客戶端界面

WORD版本 .

（2）輸入相關主機名以及登陸賬戶密碼、連接VPN

圖6-6 Easy VPN登陸客戶端

（3）VPN連接成功

圖6-7 Easy VPN連接成功

（4）VPN訪問網(wǎng)段的顯示

圖6-7 Easy VPN連接成功

獲取到了訪問特別流量的網(wǎng)段，其他的正常走路由。

WORD版本 .

7 總結

本文根據(jù)校園網(wǎng)網(wǎng)絡的現(xiàn)狀情況，重點研究如何在校園中應用VPN技術，并且針對校園在部署VPN技術后，如何利用VPN建立連接、如何通過VPN技術讓主校區(qū)與分校區(qū)相互通信、如何通過VPN技術進行遠程訪問控制、如何保障校園網(wǎng)絡安全性以及網(wǎng)絡性能等問題進行分析，通過繪制校園網(wǎng)絡拓撲圖，搭建實驗平臺進行模擬與測試。對網(wǎng)絡設備進行基本配置、端口配置以及路由協(xié)議配置等，實現(xiàn)以下功能：

（1）實現(xiàn)了在校園中實現(xiàn)VPN技術。

（2）實現(xiàn)了通過VPN技術讓兩個校區(qū)的師生進行校園資源共享，同步實現(xiàn)移動遠程訪問校園網(wǎng)資源的功能。

（3）實現(xiàn)了服務器在校園網(wǎng)中的合理應用。

（4）實現(xiàn)了在校網(wǎng)絡中部署無線網(wǎng)絡。

（5）提升了校園網(wǎng)的安全性、合理建設性。

本課題設計的VPN技術在校園網(wǎng)的部署方案中，在校園網(wǎng)絡中只部署了DHCP、FTP兩個基本的服務器，這對于一個高等院校來說，還是遠遠不夠的。在未來的校園網(wǎng)絡中，還需要將VPN技術運用的各個方面，在服務器部分，可以搭建論壇、、數(shù)據(jù)庫審計等服務器。

在容災方面，校園網(wǎng)絡中可以采用備份服務器對重要的數(shù)據(jù)庫進行備份，以防止重要服務器故障而導致數(shù)據(jù)丟失。

在安全方面，本課題設計只采用IPSec實現(xiàn)安全的保障，在校園中還可以部署防火墻，并且配合IDS和IPS，這樣可以大大提高企業(yè)網(wǎng)絡的安全性。

WORD版本 .

致謝

由于書寫論文的時間倉促，難免有一些地方并不是特別正確，希望大家對本論文批評指正，讓更完善的論文在廣大高校中得以借鑒與學習。

WORD版本 .