升级原则

　　1. 保证现有用户正常使用网络。在升级过程中，网络设备配置的改动不能影响到现有用户网络的正常使用。

　　2. 升级不能破坏原有的网络结构、网络安全性和网络性能。

　　3. 简化用户操作。在网络升级完成后，用户不需要太复杂的设置，就能实现内网资源的正常访问。

　　网络拓扑图

　　在进行 IPSec VPN 部署的过程中，未改变原有的网络拓扑结构，只是在原有的核心交换机上分别连接两根网线至 IPSecVPN 设备，一根用来设备间互联，一根用于 IPSec VPN 的建立，拓扑结构简单，路由走向清楚。如图1 所示。

图1 IPSec VPN 网络拓扑

　　IPSec VPN 建立过程

　　IPSec VPN 的建立分为两个阶段。第一阶段，协商创建一个通信信道（ISAKMPSA），并对该信道进行认证，为双方进一步通信提供机密性、数据完整性以及数据源认证服务。创建过程包括：协商一系列算法和参数（这些算法和参数用于保护隧道建立过程中的数据）；计算出两边使用的加密 KEY 值；对等体的验证，如何才能知道对端就是要与之通信的对端，这里验证有三种方法（预共享密钥、数字签名、加密临时值）。

　　第二阶段，使用第一阶段已建立的通信通道建立 IPSec SA（安全联盟），该 SA 是为数据传输而建立的安全联盟。这一阶段协商建立 IPSec SA，为数据交换提供 IPSec 服务。第二阶段协商消息受第一阶段 SA 保护，任何没有第一阶段 SA 保护的消息将被拒收。

　　关键配置

　　在 IPSec VPN 的部署过程中，关键配置如下：

　　浙江学院核心交换机：增加上海财经大学图书馆数据库资源和管理信息系统 IP 地址段的静态路由指向浙江学院 IPSecVPN 设备的互联 IP 地址10.1.2.2。

　　浙江学院 IPSec VPN 设备：新建一个 IPSec VPN 实例 ToShanghai。IPSec VPN 第一阶段配置：配置 IPSec VPN 的 peer IP 地址202.121.142.1，配置提议1 为P1 协议，并设置预共享密钥。IPSec VPN 第二阶段配置：设置模式为隧道模式，并配置P2 提议为P2 协议。设备默认路由指向 IPSec VPN 隧道，并配置浙江学院用户 IP 地址段回程路由指向浙江学院核心交换机互联地址：10.1.2.1。

　　上海财经大学 IPSec VPN 设备：IPSec VPN 的协议配置和浙江学院 VPN 设备配置相同，不同的是，IPSec VPN 名称和 peer IP 地址为121.192.46.1。设备默认路由指向上海财经大学核心交换机互联 IP 地址192.168.202.1，配置浙江学院用户IP地址段回程路由指向 IPSec VPN 隧道。

　　上海财经大学核心交换机：增加浙江学院用户IP 地址段静态路由指向 IPSec VPN 设备互联地址192.168.202.2。

　　部署完成后的使用情况

　　部署完成后，浙江学院的用户无需做任何改动，就拥有了访问上海财经大学图书馆数据库资源和管理信息系统的权限，有效解决了用户在异地访问内网资源的需求。该应用推广工作较为顺利，用户反响很好。因为 IPSec VPN 设备都是用教科网 IP 地址进行 IPSec VPN 的建立，网络的速度和稳定性都很好。图2 给出了部署完成后用户使用的 TOP10 IP 地址流量、TOP10 应用流量以及网络接口流量。

图2 IPSec VPN 流量概览

　　IPSec VPN 在网对网( Site_Site) 的 VPN 连接中具备易于部署、安全性较好等优势。利用 IPSec 架构安全 VPN 可以在不影响原有应用的前提下, 提供可互操作的、高质量的、基于加密的安全服务。本着够用、易用、实用的原则，针对学校的实际情况和有限的资金投入，利用IPsec VPN 技术解决了异地资源安全访问的问题，有效解决了上海财经大学（浙江学院）访问上海财经大学图书馆数据库资源和管理信息系统的需求，明显改善了浙江学院的教学和科研环境。

　　（作者单位为上海财经大学教育技术中心）