4 ××× 技术在教育城域网中的应用
近几年,各级教育部门为落实教育部有关加快教育信息化建设的精神, 许多学校先后建成了规模不一的校园网或网络教室。教育信息化建设硬件环境已初具规模,为了充分利用这些校园网或网络教室, 避免“信息孤岛”的现象,现在教育信息化建设开始转向教育城域网建设。目前,许多发达地区的教育城域网已建成并投入使用,为促进我国教育教育信息化建设和摸索教育信息化之路做出了许多贡献。从近几年教育城域网的建设热潮中,可以看到虚拟专用网(×××)已逐步成为教育城域网中主要组网技术。
4.1 教育城域网中×××协议的选择
可以实现×××的协议和方案有许多,各企业在规划×××时会按自己的需要和IS P所能提供的×××服务来选择不同的方案。由于ISP普遍都提供基于L2TP和IPSec 协议的服务,而且支持L2TP和IPSec 协议的网络设备比较多。在规划教育城域网中,可考虑将第二层隧道协议L2TP和IPSec 协议结合起来, L2TP作为隧道协议,
IPSec 协议作为数据加密来实现×××。
a)第二层隧道协议L2TP
L2TP是国际标准隧道协议,是L2F(Layer2 Forwarding) 协议和PPTP协议的结合,它允许对IP、IPX 、或NetB EUI 数据流进行加密, 然后通过支持点对点数据传递的任意网络发送, 如IP、X. 25 、帧中继或ATM。×××创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。隧道一旦建立, 数据就可以通过隧道发送。隧道两端使用隧道数据传输协议准备传输数据,如当隧道A端向B端发送数据时, A端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过公网发送,并由公网将数据路由到隧道的B端。隧道B端收到数据包之后,去除隧道数据传输协议包头,就得到A端所发送的数据。
b)IPSec协议
IPSec协议(即IP Security协议)又称Internet 协议安全,它基本上是为基于IP的×××提供安全特性的一组协议。IPsec提供了确保IP包机密性和真实性的一种手段。该协议兼容一系列标准加密方案和加密协商过程,并且兼容不同的安全系统,包括数字签名、数字证书、公钥基础设施和认证授权。IPSec协议工作原理类似于包过滤防火墙, 当接收到一个IP包时, IPSec通过查询SPD(security Policy
Database 安全策略数据库)决定对接收到的IP数据包的处理。IPsec 的工作方式就是将原始的IP数据包封装成新的IP包, IP包添加了验证和安全报头。报头含有远程端所需的信息,远程端会参与安全协商过程,对包内所含数据进行验证和解密。IPSec由IPSec框架, AH和ESP、IKE、ISAKMP、Oak1 ey 及其他加密算法等几部分组成。IPSec使用AH( Authentication Header)和ESP(Encapsulating Security Payload) 两个协议来提供数据流量的安全性。AH提供数据完整性、数据源认证以及可选的反重放服务;ESP可提供数据的保密性,它同时也可提供
类似AH的服务(如数据完整性、数据源认证等)。AH和ESP可单独使用,也可以共同使用。
c)L2TP与IPSec协议在×××中结合应用
由于L2TP协议不包括加密认证特性,所以在×××应用中经常将L2TP与IPSec 协议结合应用。虽然L2TP支持任何路由协议如IP、IPX 、X.25以及ATM等,但IPSec 协议仅支持IP数据流。所以L2TP与IPSec协议结合应用仅限于基于IP的公网如Internet。在×××应用中,IPSec协议用于在隧道创建前加密认证,通过认证后由
L2TP建立隧道并进行数据传递。目前, Windows 2000Server 新增加了带IPSec 的L2TP协议, L2TP负责为任何类型的网络通讯提供封装和隧道管理,IPSec提供L2TP隧道数据包的安全。无论是路由器到路由器的×××隧道还是远程拨号访问××× , L2TP和IPSec结合都是最方便、最灵活、互通性最好且较为安全的×××技术方案。
4.2 ××× 在教育城域网中具体应用
在教育城域网建设时,最主要的就是教育城域网中心规划建设。只要教育城域网中心的网络设备支持×××的相关协议,就能通过ISP建立起与各学校校园网或网络教室的×××连接。在此以某市教育城域网的建设为例,描述×××在教育城域网的应用情况。
4.2.1 教育城域网网络中心
教育城域网中心由服务器集群、磁盘阵列存储系统、核心交换机和支持L2TP和IPSec协议的千兆防火墙、路由器组成。服务器集群承担中心为各学校用户提供的服务如应用平台、发布平台。路由器提供与ISP连接,路由器选择支持L2TP、IPSec协议和认证的中高档路由器。
4.2.2学校与市教育城域网连接方式
学校与市教育城域网的接连分两类形式。一是城区学校和有条件的学校和区县教育局(以下简称A类学校)通过1000M光纤与市教育城域网相连。这些学校的校园网通过支持L2TP的静态路由器,规划好其IP地址和市教育城域网中心的IP地址以便能相互访问。目前,中国电信和中国网通等ISP都提供MPLS ××× 服务,MPLS ××× 是一种基于MPLS技术的IP-××× ,它支持L2TP和IPSec协议。×××服务激活只需要一次性地在用户边(CE)和ISP边(PE)设备进行配置准备就可以让用户成为某个MPLS ×××组的成员;×××成员资格由ISP决定;对×××组未经过认证的访问被设备配置所拒绝。二是乡镇中小学(以下简称B 类学校)通过ADSL宽带拨号认证与教育城域网连接。可获取教育城域网资源,同时通过市教育城域网连接Internet和CERNet 。另外,区县教育局与市教育城域网的连接与A 类学校一样。
图4.1 教育城域网网络拓扑
4.2.3 市教育城域网××× 创建过程
区县教育局和A类学校与市教育城域网的×××创建过程:在区县教育局和A类学校的静态路由器的路由表中,设定转发目标IP为市教育城域网中心的IP。当区县教育局和A类学校的内部网络中的计算机访问外部资源时,路由器将对数据包用L2TP协议进行封装,然后通过ISP的交换设备,经过ISP认证后转发至教育域网中心。B类学校与市教育城域网的×××创建过程:这类远程拨号创建×××不仅需要使用隧道协议(如L2TP) ,通常也需要进行身份认证。目前使用最为广泛的认证协议是远程认证拨号用户服务( RADIUS)。远程拨号×××是基于2次RADIUS认证, B 类学校用户先用ISP给的账号拨号到ISP ,经过ISP认证后,将数据包转发到市教育城域网中心,经过中心第2次认证, 如果是教育城域网用户, 则给学校用户分配动态IP地址, 并创建××× 隧道,否则,将拒绝该包的访问。学校与所属区县教育局的通信:由于基于×××的教育城域网实质就是利用公网组建成的局域网,学校与所属区县教育局的连接就类似于局域网内部的访问,只要学校和区县教育局与市教育城域网中心都建立×××连接,则他们就能很方便的通信。
5 本课题设计实例——河北科技大学校园网
相对于传统的×××,MPLS ×××有着明显的优势,它是未来构建×××网络的技术发展方向,本课题研究的就是河北科技大学校园网中MPLS—×××的设计。
5.1用户网络环境
河北科技大学校园网由新、中校区两个相对独立的校园网构成,上千个数据信息点,新、中校区网络都是三层网络结构,采用三层交换技术,两校区间通过万兆核心交换机RG一$6810实现互联.
在网络应用方面,除了有WEB和EMAIL等传统网络应用外,网络课程、远程教学、视频点播等新型的网络教学应用也不断增加。这使得网络承载了大量的视频、语音等信息,传统的网络环境已不能满足发展的需要,必须对现有网络进行×××改造,才能满足网络应用发展的需求。本课题就是为河北科技大学校园网设计的MPLS-×××网络.
5.2 河北科技大学校园网MPLS ×××系统设计
校区内联虚拟网主要是实现校区内部网络各局域网的安全互联,
其结构如图5.1所示:
图5.1 新校区、中校区与各楼宇之间的连接
把校园网络划分成三个×××客户,分别为新校区网络中心、中校区网络中心、新校区各功能楼宇;为实现MPLS—VNP,需配备P路由器与PE路由器,在本方案中选用Cisco 7200路由器作为P路由器;选用Cisco 2691路由器作为PE路由器;原有网络中承担路由功能的路由器或路由模块,都可以作为C和CE路由器实现与PE路由器交换路由信息,从而实现MPLS—×××的接入。
为了实现MPLS—×××,进行相应的配置,网络配置规则如下:
a)在每个PE VRF中的设置相同的Target属性,实现新校区网络中心与中校区网络中心与各R-T间的互访;
b)三个×××客户配置不同的VRF,并将MPLS骨干网络中每个PE路由器分别与这三个接受×××路由的站点相连,保证PE路由器包含对应的×××客户的VRF;
c)按表1定义路由区分符(RD):
表1 RD定义表
|
×××客户
|
服务提供商
|
唯一性的值
|
路由区分符
|
|
新校区网络中心
|
200
|
21
|
200:21
|
|
中校区网络中心
|
200
|
22
|
200:22
|
|
功能楼宇
|
200
|
23
|
200:23
|
d)利用BGP扩展共同体路由目标(RT),配置导出导入策略,从而实现互访控制;图5.1中新校区网络中心和各站点都使用了相同的路由目标导出,导入其路由,三个×××站点都包含了另外两个站点的路由,从而实现总部与各站点之间的互访;
e)配置路由。部署MPLS—×××所需的基本配置主要是在PE路由器上完成。本课题采用校园网采用CISCO路由器,路由配置的步骤:
1)列出服务提供商配置的×××,如表2所示:
表2 用户×××实现(网络接入点)
|
站点
|
教师用户
|
学生用户
|
|
新校区网络中心
|
×××A
|
×××B
|
|
中校区网络中心
|
×××A
|
×××B
|
|
功能楼宇
|
×××A
|
×××B
|
2)首先进行IP地址分配,表3列出了网络内部地址的分配使用
表3 ××× IP地址分配
|
|
PE路由器
|
CE广域网的子网
|
CE局域网的子网
|
|
新校区网络中心
|
10.10.1.1/32
|
192.168.254.0/30
|
192.168.10.0/24
|
|
中校区网路中心
|
10.10.2.1/32
|
192.168.253.0/30
|
192.169.10.0/24
|
|
功能楼宇
|
10.10.3.1/32
|
192.168.252.0/30
|
192.107.10.0/24
|
3)为PE到CE的连接配置路由选择协议,在PE路由器间启用BGP路由协议
6)PE配置举例。PE路由器配置过程分启用IPCEF和配置MPBGP两个部分来完成。在启用IPCEF中,首先要为每个相连的×××创建一个VRF,并且完成IP地址的配置,最后就是配置PE—CE间使用的路由协议。配置MPBGP采用直连邻居的方式,首先需要邻居发现,接下来为本台PE的每个×××配置VRF,最后在address—family***vd模式下配置activate邻居并且指定使用扩展后的community。以下新校区网络中心PE的配置:
Currentconfiguration:
……
ip cef
ip vrf ***-A
rd 200:21
route—target export 100:1000
route—target import 100:1000
ip vrf ***-B
rd 200:22
route——target exoprt 100:2000
route——target imoprt 100:2000
interface Loopbaek0
ip address 10.10.1.1255.255.255.255
ip router isis
interface LoopbaeklO1
ip vrf forwarding ***-A
ip address 10.10.1.1.255.255.255.0
no ip directed——broadcast
interface Loopbaekl02
ip vrf fowrarding ***-B
ip address 10.10.1.1 .255.255.255.0
no ip directed——broadcast
intefrace Serial2/O.1point—to—point
description link to Lg
bandwidth 512
ip address 10.10.2.1.255.255.255.252
no ip directed—-boradcsat
ip router isis
tag——switching ip
frame—-relay intefrace—-dlci 401
router isis
net 49.00O1.0000.0000.O004.00
is—-type level—1
router bgp 100
bgp log—neighbor——changes
neihgbor10.10.2.1 remote—as 100
neighbor10.10.2.1 update—source Loopback0
address—family ***v4
neihgbor10.10.2.1 activate
neihgobr10.10.2.1 send—community both
exit—address—family
address—family ipv4 vrf ***-B
redistribute connected
no auto—summary
no synchronization
exit—address——famly
address—family ipv4 vfr ***-A
redistribute connected
no auto—summary
no synchronization
eixt—address—family
ip classless
end
5.3 系统安全性分析
河北科技大学校园网MPLS ×××系统无论是从技术本身,还是从常规的网络应用来说,都可以达到与ATM、帧中继同样的安全程度。
5.3.1 MPLS技术安全性
为了实现MPLS网的高度安全性,该MPLS ×××系统做到了以下几点:
a)地址空间和路由独立
在河北科技大学校园网MPLS ×××中,不同的×××之间,地址空间是完全独立的。这意味着:
1)任一×××必须使用与其他×××同样的地址空间;
2)任一×××必须使用与MPLS核心同样的地址空间;
3)任意两个×××之间的路由必须相互独立;
4)任意×××和核心网络之间的路由必须相互独立。
这就实现某一×××中的数据包不至于到达其他×××或MPLS核心网中具有同样地址的主机。
b)该系统可以隐藏MPLS核心网
MPLS不会暴露任何不必要的信息给外界,包括其×××用户,这样将使网络***变得十分艰难。图5.2表示出了×××可能暴露于外界的地址空间:×××1看不到P路由器或其他×××,CE和PE路由器之间的连接属于×××的地址空间,而PE路由器上的其他地址则属于核心网。
c)防范外界的***
由于该系统地址空间和路由的独立性,直接实施对某一×××的***几乎不可能,只能通过MPLS核心网实现。而MPLS核心的***有两种基本途径:直接***PE路由器、***MPLS信令机制(多数为路由)。
×××和MPLS核心网之间有两种路由配置方式:一是静态路由,二是动态路由。静态路由虽然网络安全上更有优势,但不利于网络的进一步配置。本设计方案中采用动态路由配置。
动态路由配置下CE路由器至少需要知道PE路由器的标识符(RID,IP地址),这将导致安全隐患的出现。***者可以向PE路由器发送大规模的路由或路由变更数据包,实施DoS***。为了降低这种被***的风险,河北科技大学校园网在PE路由器上通过一下途径尽可能地安全配置路由协议:
1)只允许来自CE的路由协议进入PE,而禁止来自任何其他地方的路由;或在CE路由器的接口上绑定ACL,只允许到达PE路由器的访问进入。
2)为路由协议配置MD5鉴权,BGP、OSPF、RIPv2都可以做到这一点。需要注意的是,这需要SP和用户就所有CE和PE路由器之间的共享加密达成一致意见。
3)配置某些路由协议参数。本设计方案中,在BGP协议中,配置“BGP dampen”及相关参数,有效抑制路由震荡和相互制约。此外,对每个VRF配置了可以接受的最大路由数。
由上可知,从一个服务商的其他×××客户***河北科技大学的×××客户或MPLS核心网几乎不可能,但从理论上讲,CE路由器依然可能通过路由协议对PE路由器实施DoS***,因此,在以后的网络维护中必须对PE路由器加以很好的保护,尤其是与CE路由器相连接的PE接口。
d)拒绝标记哄骗
在MPLS网络中,数据包转发是依据PE路由器所附加的标记来完成的,而非目标IP地址。与IP地址哄骗(***者调换源IP地址和目的IP地址)***相类似,***者也可能对MPLS数据包实施标记哄骗。
但PE路由器不可以接受来自CE路由器带有标记的数据包,任何此类数据包都将会被丢弃,因此,在该MPLS网络中,通过标记哄骗来实施***是不可能的。但发送到MPLS核心网的数据包,其IP地址仍然有可能被哄骗,然而由于该系统中PE路由器有严格的地址独立性,每个×××客户都有自己的VRF,因此,这种***只能影响产生地址哄骗的×××,而对MPLS核心网并没有增加任何风险。
5.3.2 该MPLS ×××系统的安全加强措施
仅靠MPLS的自身技术安全性还不足以让人放心。该设计方案中采取附加措施保护MPLS核心网。为了更好的加强保护措施应该首先要考虑以下因素:可信任设备:PE及P路由器、远程访问服务器、AAA服务器等,都必须被看作可信任的系统,这需要非常强大的安全管理,包括物理安全系统及访问控制列表、安全配置管理等等。而CE路由器不属于SP的管理范围,被视作不可信任系统;CE/PE接口:PE和CE路由器之间的接口对于MPLS网络的安全来说至关重要,PE路由器的配置应尽可能严密。从安全角度讲,最好将CE路由器配置为非指定IP地址,并使用静态路由。
a) MPLS核心网络的保护
该设计方案中配置了包过滤器,它只允许来自CE路由器的某些特定路由到达PE路由器对等接口,而其他流量将被拒绝。这可有效防止针对P及PE路由器的***,而PE路由器上的对等接口,由于其特殊地位,该设计方案中采取了需要专门的保护措施:
1)路由鉴权:路由是PE和CE路由设备之间的信令机制,路由协议有可能将虚假的信息引入核心网,这是最显而易见的***点。因此,该系统中所有的路由协议(尤其BGP、OSPF等)都针对不同的CE和Internet连接,配置有相应的安全鉴定选项,所有的对等关系都采用相应的方法加以安全防护: CE/PE(BGP:MD5鉴权)、PE/P(标记分配协议LDP的MD5鉴权)以及P/P等。
2)CE/PE连接独立:如果有多个CE设备共享某二层设备接入同一PE路由器(如VLAN),其中一个×××的CE设备就有可能哄骗其他×××的数据包,这时采用上述的路由协议就不能产生安全效果,可在CE和PE之间尽可能采用独立的物理连接。在PE和多个CE路由器之间采用交换机也并非不可以,但一定要将不同的CE/PE连接划归不同的VLAN,使各自的流量相互独立。
3)LDP鉴权:通过标记分配协议LDP在MPLS网络采用MD5鉴权,可以防止***引入虚假路由器参加标记的分配。
c)设置防火墙
1)在不同×××客户间设置防火墙
当河北科技大学同其他学校或者各企业之间往来密切时,它们之间需要进行×××之间的通信,这时就有了×××连接。但在多数情况下,该校园网仍希望保持与互连×××用户间逻辑上的独立性。为了实现这一目的,该设计方案中为两个×××客户之间配置了防火墙,此时的防火墙在SP处管理,而不在学校或企业内。
要通过防火墙连接两个×××,必须在PE路由器上为每个×××增加一个接口,用于连接防火墙(如图5.3所示)。这样,从××× A路由器到××× B的数据包到达PE路由器后,由于PE到××× B的路由指向与防火墙相连的接口,因此,数据包将穿过防火墙,并通过另一个接口(属于××× B的接口)回到PE路由器。
图5.3 通过防火墙连接两个×××
由于交换机不提供流量的独立性,因此,在防火墙的两个接口要连接交换机,使用两台交换机分别连接防火墙的两个接口;有些情况下只能连接在同一个交换机上,则只需要在防火墙的两边使用不同的VLAN。
2) Internet防火墙
连接到其他SP的PE路由器必须通过防火墙实现与其他SP的互联互通。如果一个防火墙可能用于所有×××(共享防火墙),则PE路由器通过这一道防火墙完成与其他SP的互连,PE路由器在缺省VRF路由表中维护Internet路由,Internet路由被发布到需要Internet接入的××× VRF表中,而各×××的路由则被发布到PE路由器的缺省VRF表中,并进而通过防火墙发布到Internet中。需要接入Internet的×××必须使用经过注册的IP地址。
图5.4为通过防火墙接入Internet的一种情况,Internet路由表被看作另外一个×××,而与其他×××的连接需要通过一个外置的防火墙。
图5.4防火墙接入Internet
如果所有×××必须通过同一个防火墙,其安全策略必须完全相同。如果要为每个×××配置个性化的安全策略,则必须为每个×××配置独立的防火墙,PE路由器也要为每个×××增加一个接口,在防火墙之外,这些连接又可以汇总到一个路由器中,再通过同一台路由器连接其他SP。
3) CE防火墙
对于河北科技大学这样庞大的网络,安全管理较难,此方案中利用防火墙来分割不同的分支机构,以保证内部网络的安全性。
在分割的校园网并在MPLS网络中作为一个×××客户时,该设计方案为每个CE路由器上放置一道防火墙使得整个网络更易于管理。这时,办公室以外的所有设备都被视为不可信任,即使来自河北科技大学本学校其他部门的流量也同样需要进行安全检查。
d)IPSec与MPLS结合
在该MPLS核心网上运行了IPSec,通过数据加密和头部鉴权(AH),提供了额外的系统安全,这样使得来自MPLS网络内部的***也无法破坏×××的安全性。
IPSec还运行在CE路由器或远离核心网的设备上,因为此系统中CE路由器在用户的控制之中,IPSec是非常好的选择,可以大大提高系统的安全性。
5.4系统整体性能分析
本课题为河北科技大学设计的MPLS ×××方案,能将在网络运行过程中达到以下要求:
a)高速接入
本设计方案中,把原来的64k电路提升为l0M电路,能更好的满足了校园网各网络中心、公共楼、图书馆等日常数据的传输及未来远程教学、图像传送等数据业务的开展的需要。
b)网络的扩展性强
本设计方案采用的技术解决了传统专网在实现用户节点全网状连接时的N的平方问题。而且很容易提升接入带宽,带宽可为l0M— 100M 。为未来网络发展预留很大空间。
c)节约校园网重新建设的成本
本次MPLS ×××设计方案中充分利用河北科技大学校园网现有设备,没有增加任何设备,原有网络中承担路由功能的路由器或路由模块,都可以作为C和CE路由器实现与PE路由器交换路由信息,从而实现MPLS—×××的接入,为校园网的建设节约了大量成本。
d)不影响现有的网络结构和设备配置
校园网络现有的网络结构路由协议IP地址分配等都可以保持原状,不会更改现有配置,不会导致相当长时间内网络不可用。