很多高校存在着独立学院或者二级学院，校区之间有的相距较远甚至不在同一座城市，但是彼此之间存在着资源共享的需求。

　　上海财大异地访问资源需求

　　因经常有上海财经大学的老师前往地处浙江省金华市的上海财经大学浙江学院进行授课，以至于老师们需要在金华使用上海财经大学的 OA 系统等只有内网才可以访问的管理信息系统。上海财经大学和上海财经大学浙江学院之间就存在着资源共享的需求。使用独立光纤能够有效满足上述需求，但是高昂的成本迫使网管人员去寻找新的途径。VPN 利用某种技术在共享网络基础设施上安全地传输私有数据，从而形成不受地域限制，仅受统一策略管理和控制的专用网络。VPN 作为一种灵活的远程接入解决方案，既解决了数据传输的安全问题，又降低了跨广域网的专网联网成本，因而具有较好的应用前景。

　　上海财经大学和上海财经大学浙江学院之间搭建了一条 IPSec VPN 隧道，搭建完成后彼此之间形成了一个类似内网的环境。浙江学院用户可以自由地访问上海财经大学的图书馆数据库资源，老师可以自由地访问上海财经大学管理信息系统。因为两者都处在教科网环境下，彼此之间的网络带宽能够保证这条 IPSec VPN 链路的稳定性和可用性。

　　现状分析及遇到的问题

　　现状分析

　　目前，上海财经大学地处上海市杨浦区，其中主机房位于国定路校区，连接至校外的光缆都连接到该校区的机房。一根 IPv4 千兆教科网光纤链路连接至上海交通大学。教师及学生使用的 IP 地址是教科网 IP 地址及10.1.0.0/16 和10.2.0.0/16 的私有 IP 地址。上海财经大学金华学院地处浙江省金华市，距离上海约400 公里，一根教科网光纤链路连接至浙江师范大学。核心网络交换机同样采用的是 Catalyst 6509E，教师及学生使用的 IP 地址是10.10.0.0/16、10.11.0.0/16 和10.12.0.0/16 的私有 IP 地址。在 IPSec VPN 部署之前，教师用户在金华只能使用账号密码对学校原有的 SSL VPN 进行拨号连接，访问上海财经大学的图书馆数据库资源和管理信息系统。因为 SSL VPN 设备本身的限制，网络速度和稳定性没有办法保证。学生用户因为没有 VPN 账号则不能访问上海财经大学的数据库资源，对学生写论文等造成一定影响。

　　在两所学校之间建立 IPSec VPN 后， 用户在访问某些特定资源如图书馆数据库资源、OA 系统等时，路由指向 IPSec VPN ，通过 IPSec VPN 隧道访问上述资源。教师用户不用拨号就可以访问上述资源，易用性、稳定性和网络速度也大大提高。学生用户也能够使用图书馆数据库资源，对于学生完成论文及进行科研工作有很大帮助。

　　升级面临的问题

　　1. 在不改变原有网络拓扑结构的基础上，进行 IPSec VPN 的快速部署。

　　2. 在升级改造完成后，用户不需要进行大的改动，就可以使用 IPSec VPN 链路访问内网资源。

　　3. 用户只有在访问内网资源时才使用 VPN 链路，访问其余资源走原有的运营商链路。

　　IPSec VPN 部署方案

　　上海财经大学 IPSec VPN 部署方案不改变原有网络拓扑结构，选用两台安全网关设备建立端到端的 IPSec VPN 隧道。两台设备分别配置一个教科网 IP 地址用于 IPSec VPN 的建立，分别配置与核心交换机进行互联的 IP 地址。在浙江学院的核心交换机上添加上海财经大学内网资源的地址段路由指向浙江学院的 IPSec VPN 设备。浙江学院的 IPSec VPN 设备默认路由指向 IPSec VPN 隧道的对端IP 地址，并添加浙江学院地址段的回程路由。上海的 IPSec VPN 设备添加默认路由指向 VPN 设备和上海核心交换机互联的 IP 地址，并添加浙江学院地址段的回程路由。上海的核心交换机只需要增加浙江学院地址段的回程路由。

　　在整个部署过程中，只需要修改核心交换机的路由配置以及安全网关设备自身的 IPSec VPN 的配置，拓扑结构清晰，配置过程较为简单、易于实施。实施完成后，用户不需要做任何改动，就具有访问内网资源的权利。