第4章 具有多出口的校园VPN网络的组建

       中国的大学与一些科研机构都可以连接到中国教育科研网（简称教育网），教育网上有非常丰富的资源，但教育网与Internet之间的出口（两个网络互联的专线）速度很慢。

       另外，教育网上的资源，通常只允许教育网的用户访问，Internet的用户是不能访问的。虽然也可以使用“代理服务器”访问教育网的资源，但代理服务器存在一些问题：速度慢、不稳定、不安全、不可靠。现在许多大学除了接入教育网外，还通过当地电信公司或网通公司接入Internet。这种情况下学校的网络中心（现在一般称为“现代教育技术中心”）就可以为单位的职工组建VPN服务器，这样在校外的教职工就可以通过学校的VPN服务器访问教育网的资源。

技术要点：

       本章内容实际上是对第三章内容的引申与扩展，只要掌握了第三章的内容，掌握本章是非常容易的。本章与上一章的不同之处在于：上一章创建的访问策略，是允许“VPN客户端”访问“内网”，而本章的策略是允许“VPN客户端”访问“外网”，这里的“外网”，包括了互连网与教育网。

学习目标：

（1）掌握如何为学校、科研单位组建实用的VPN服务器。

（2）能根据用户的需求、灵活设置策略。

4.1 学校VPN网络拓扑

       在大学中，大多数的教师习惯于利用家里的计算机上网、查资料、写论文。如果要去一些“图书馆”网站，或者教育网内查找资料，一般情况下在家里是查找不了的。因为家里的计算机接入的是普通Internet，并不能访问教育网。在每年期末考试后，老师在提交成绩时，都要登录学校内部“教务处”的网站在线提交，这时也只能到学校提交。

       由于这些情况，学校的网络中心有必要在学校组建VPN服务器，供教职工在校外使用。在组建VPN服务器时，使用网通公司或电信公司提供的接口与IP地址，为校外的教职工提供VPN接入服务。因为校外的教职工大多使用这些公司的ADSL宽带。当校外的教职工使用VPN接入学校的VPN服务器后，就可以访问校内与教育网上的资源，这将为教职工提供极大的便利。

     下面以图4-1所示的网络拓扑为例进行介绍如何组建VPN服务器许多大学、教育科研机构的网络拓扑都与此类似。

图4-1 一般学校网络拓扑

        在图4-1所示的网络拓扑中，学校通过核心路由器分别接入教育网与Internet，并将路由器接入核心交换机，或者在核心交换机与路由器之间接一个硬件防火墙，然后通过核心交换机接到各二级学院、学校内各部门。因为教育网有足够的IP地址，所以大学内的办公用计算机，都是直接使用公网地址（通常都是教育网分配的IP地址）。

       在图4-1中，ISA Server 2006（做VPN服务器）只有一块网卡，这块网卡分配一个教育网的IP地址（IP：202.206.197.100/24，网关地址202.206.197.4），在“防火墙”中将一个公网地址（124.239.192.100）映射到这个地址。这台ISA Server 2006通过“防火墙”与“核心路由器”可以访问Internet与教育网，而Internet上的用户，可以使用VPN→Internet网络→核心路由器→防火墙→ISA Server 2006的“路线”拨入到VPN服务器，之后ISA Server 2006为“VPN客户端”通过“防火墙→核心路由器”到教育网的访问，并且ISA Server 2006通过核心交换机提供了到学校内网的访问。

【说明】

（1）学校外的教职工，在拨叫VPN服务器时，是“防火墙”映射的地址，即124.239.192.100。

（2）防火墙的“内网”地址不需要关注，因为每个学校的配置都是不同的，有的“防火墙”直接配置成“透明”模式，所以这时候防火墙是没有设置IP地址的。

（3）在映射202.206.197.100到124.239.192.100时，也需要在“核心路由器”上进行设置，虽然202.206.197.100是公网地址，但对于124.239.192.100（这是石家庄电信的提供的IP地址），并没有到124.239.192.0的路由信息。所以对于124.239.192.100来说，202.206.197.100也是“内网”地址，只是对“教育网”的用户来说，202.206.197.100才是合法的IP地址。

（4）ISA Server需要至少“两块网卡”才能做VPN服务器，但在图4-1中，只有一块网卡，在配置ISA Server之前，需要为计算机安装一块“虚拟网卡”，或者安装一块真正的网卡并做一个“自环路”的RJ45头以激活网卡。

（5）在配置VPN服务器的时候，需要为VPN客户端分配IP地址，在分配IP地址时，可以直接分配“私网”地址，例如172.16.0.0/16。虽然也可以为VPN客户端分配“看似合法”的教育网IP地址，但在此分配教育网地址是没有多大意义的，即使分配了教育网地址，也是当“私网”地址用。所以，为了避免出现问题，直接分配私网的IP地址即可。在本书中，将采用172.16.100.1～172.16.100.254。

（6）在图4-1所示的网络结构中，VPN服务器不一定要直接连接在“核心交换机”上，也可以是“二级学院”的一台服务器，或者某个部门的VPN服务器，只要让网络中心的人员映射一个公网的地址即可。在本章介绍的VPN服务器中，不涉及到“核心交换机”的调试，因为对于“二级学院”或者学校内的某个部门来说，是没有“权限”调试核心交换机的。对于大学来说，有时候网络中心是不会提供VPN接入的，但二级学院或者学校的某个部门可以向网络中心提出申请，让网络中心提供一个公网地址并且映射到自己组建的VPN服务器即可。如果该二级学院（或部门）的VPN服务器，同时做学院内部某个实验的代理服务器时，是不存在第（4）步中“一个网卡”的问题，因为在该ISA Server后面，又接了交换机并且代理一些计算机共享上网，这时候，图4-1的拓扑结构变成图4-2所示。

图4-2 某二级学院VPN服务器

在图4-2的情况下，只需要让网络中心将公网的IP映射到该二级学院ISA Server 2006外网地址即可，然后所有的工作在ISA Server上进行配置，不需要改动核心交换机的配置。