毕业设计—基于eNSP多校区校园网的VPN构建

毕业设计基于eNSP（Enterprise Network Simulation Platform）的多校区校园网的VPN设计与实现过程主要是为了解决优化校区校园的网络问题，改善用换环境提升工作效率。首先，通过对多校区校园网的VPN的业务需求和网络现状进行深入分析，确定了网络建设的目标和要求。在此基础上，设计了一个稳定、可扩展、安全高效的网络架构，包括核心层、汇聚层、接入层和安全策略等关键组成部分。在设备选型与配置阶段，防火墙选择华为USG6000V，核心交换机选择华为S5700，二层交换机选择华为S3700，充分考虑了设备性能、兼容性、成本和安全性等因素，并在eNSP平台上进行了模拟配置和测试。

在完成网络和应用部署后，进行了全面的性能测试、安全测试和故障恢复测试，确保网络的稳定性和安全性。最后，毕业设计总结了整个设计与实现过程，并对未来网络的改进和扩展进行了展望。通过毕业设计的研究和实践，为多校区校园网络构建了一个高效、可靠、安全的网络环境，为校园的业务发展提供了有力支持。

关键词：eNSP；VPN；高校校园；模拟配置；网络架构

Abstract

The design and implementation process of VPN multi campus network based on eNSP (Enterprise Network Simulation Platform) is mainly aimed at solving the optimization of campus network problems, improving the switching environment, and enhancing work efficiency. Firstly, through in-depth analysis of the business requirements and network status of VPN multi campus networks, the goals and requirements of network construction have been determined. On this basis, a stable, scalable, secure and efficient network architecture was designed, including key components such as the core layer, aggregation layer, access layer, and security policy. In the equipment selection and configuration stage, Huawei USG6000V was selected for the firewall, Huawei S5700 was selected for the core switch, and Huawei S3700 was selected for the second layer switch. Factors such as equipment performance, compatibility, cost, and security were fully considered, and simulation configuration and testing were conducted on the eNSP platform.

After completing network and application deployment, comprehensive performance testing, security testing, and fault recovery testing were conducted to ensure the stability and security of the network. Finally, this article summarizes the entire design and implementation process, and looks forward to the improvement and expansion of future networks. Through the research and practice of this article, an efficient, reliable, and secure network environment has been constructed for VPN multi campus networks, providing strong support for the development of campus business.

Keywords: eNSP; College campuses ; simulated configuration; network architecture

1 绪论

1.1 项目背景

当前信息化时代背景下，校园对于高效、稳定、安全的网络环境需求日益迫切。多校区校园网络其业务涉及多个方面，对网络环境的依赖程度较高[1]。然而，随着业务的不断拓展和技术的快速更新，现有网络架构已无法满足校园日益增长的需求。为了实现多校区的校园网相互之间实现资源共享。在资源共享的同时，外网的世界形形色色，许多不法分子为了窃取的信息，用上了不正当的手段，网络上出现了许多校园网被攻击的事件。校园网作为互联网的一份子，校园网隔离了外网(Internet)对内网的访问，保护了学生们信息的安全。当校区之间信息共享和数据传输时，如何保障在信息网络中的安全呢？这让许多高校犯了头疼

1.2 项目现状

在国内，随着信息技术的快速发展和校园网络需求的增长，越来越多的校园开始重视网络基础设施的建设和优化[3]。

综合国内外研究现状来看，基于ENSP的多校区校园网的VPN设计与实现研究具有重要的实践价值和行业意义。通过借鉴国内外先进的经验和技术，结合多校区校园网络的实际需求和业务特点，可以为其构建一个高效、稳定、安全的网络环境，推动校园的数字化转型和业务发展[6-8]。

多个校区校园网能够相互之间连接，以资源共享为目的，从而保障多个校区之间的数据信息能够同步、稳定的、充分的利用是一个关键的问题。为了保障多校区之间资源共享的安全，VPN（Virtual Private Network）派上了用场。随着VPN（Virtual Private Network）的渐渐的新起，完美的解决的这个问题，通过公共网络，把两个私有网络通过虚拟隧道连接在一起达到私网直接穿过公网访问校园网，使校园网安全了许多。

什么VPN,我们先来了解一下，VPN的主要作用就是让不同的私有网络穿过公网而实现互相访问的一种技术。在其两个分校之间建立其一条虚拟的隧道，使其这两个分校之间能互相访问。虚拟专用网并不是真的专用网络，但却能够实现专用网络的功能。在虚拟专用网中，任何两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公用网的资源动态组成。VPN（虚拟专用网）的出现是能够实现各地区不同的私有网络，通过公网建立的隧道连接在一起，从而达到了专线的效果，有效的降低了成本。用户端只需通过建立好的虚拟专线登录创建好的VPN服务器上，验证身份。就能实现两端之间远程访问。

1.3 项目目的

毕业设计以高校校区校园网络建设的实际情况为出发点，紧密结合实际需求，针对校园网络现存的问题与挑战，进行了组网和配置方面的深入研究与优化。文章深入剖析了当前校园网络普遍面临的难题，如网速缓慢、网络拥堵等，并在此基础上提出了具体可行的优化方案。通过重新规划与实施，有效提升了校园网络的性能，为校园日常运营和管理带来了显著改善[9]。

本课题首先对多校区校园网的VPN构建的业务流程、信息系统架构以及网络使用情况进行深入调研，明确校园当前的网络需求和未来发展趋势。这包括数据传输量、安全性、稳定性、可扩展性等方面的需求[10]。基于需求分析的结果，结合ENSP的功能和特性，设计一套适合多校区校园网络的VPN构建的网络架构。其中网络设备选型在很大程度上需要考虑效率、成本、安全等伊苏，网络拓扑结构设计则是为能够更好的做好网络规划需要进行的整体设计，IP地址规划和路由协议配置则是需要避免出现IP复用造成用网混乱。

把基本的校园网基本架构搭建好，我们来研究总校区与分校区之间采用哪种VPN相连，常见的VPN分类，有以下几种，分别是GRE-VPN，L2TP-VPN,IPSEC-VPN,MPLS-VPN,结合学校校园网的网络状况，实现能从分校去访问总校区得到数据。实现外网通过VPN访问总校内资源的方法。对以上VPN比较，在价格方面MPLS-VPN是比较昂贵的专线，适用于金融和科技企业。本校园网主采用低费用，并且不需要另外架设新的专用线路。首选GRE-VPN,IPSEC-VPN，这两种种在现有的网络基础上搭建一个虚拟的信道，来实现远程的访问。不要额外的费用，只需要硬件设备的支持。这两种VPN都是利用隧道技术，采用两层IP报头封装数据报文结构，外层IP报文是公网地址，内层IP报文是私网地址。由于GRE-VPN在传输数据时采用的明文，不安全，如果传输的资源是重要的需要进行加密处理，就必须采用IPSEC-VPN.

综上所述，IPSEC VPN可以用于多校区校园网络中确保数据传输的安全性，本次项目将对IPSEC VPN的技术参数和配置进行深入分析，在ENSP模拟环境中进行实验，以验证理论和设计的有效性，使用Wireshark等工具实时分析流量。

在设计完成后，根据网络拓扑结构和需求，选择合适的网络设备，如交换机、路由器、防火墙等，并进行设备的配置和参数设置，以确保网络正常运行和安全性。设计完毕后，需要建立网络管理系统，包括网络监控、故障排除、设备配置管理等，以保证网络的正常运行和及时维护[11]。

1.4 项目结构安排

第一章，主要介绍本课题的研究背景，通过对研究背景的分析和介绍来引出本课题的研究意义，进而再对目前本课题的发展现状就国内外进行分析介绍。

第二章，主要介绍采用的主要技术。在技术可行性分析阶段主要对本设计需要用到的相关技术进行介绍。而后从可靠性、安全性、先进性三个方面介绍网络设计原则。

第三章，主要介绍项目分析。主要是从网络使用情况、数据传输需求、应用系统需求、用户需求、安全需求、可扩展性和灵活性等方面进行介绍。

第四章，本章节主要是对多校区校园网的VPN构建进行总体设计，设计总体的拓扑结构，主要是分为接入层、汇聚层和核心层，另外还设置了防火墙、服务器以及相关的无线区域，划分好各个区域的VLAN和IP分配。

第五章，本章节主要介绍的项目的详细设计和实现，主要是测试前的准备工作，把排错风险的工作做到前边，如果发现问题可以及时的进行修改，确保后去的测试进程完整顺利。

第六章，本章对项目整体功能进行测试。

第七章，总结本课题在整体设计和实现的过程中存在一些不足的地方以及接下来想要继续改进的工作。

2 项目采用的主用技术介绍

2.1 技术可行性分析

在基于基于eNSP的多校区校园网的VPN的设计与实现的整个项目中，为了能够设计处适合本校园的网络规划，提升用工的效率，在整个的设计和开发的过程中使用到的关键技术有DHCP、DNS、OSPF、NAT、Eth-TRUNK、VRRP、MSTP、AC+AP，IPSEC VPN等相关技术和协议，下面将对这些需要用到的关键技术和协议进行介绍。

DHCP：DHCP（动态主机配置协议）是一种在局域网中使用的网络协议。它的工作原理简单点来说就是有一个服务器负责管理一个IP地址范围，当电脑或其他设备连接到这个网络时，服务器会自动为它们分配一个IP地址和子网掩码。但是实际情况中发生的是一个校园里有很多员工，不是每个人都能清楚地知道如何设置IP地址和网关，所以为了简化这个过程，大多数校园都会选择使用DHCP来自动分配IP地址给员工。当然，DHCP服务器可以被配置在三层交换机、路由器等网络设备上，或者也可以使用专门的DHCP服务器[12]。

DNS: 域名系统（DNS）就像一个电话本，帮助我们在互联网上找到正确的地址。当我们输入一个网址，比如www.example.com，DNS会把这个网址翻译成电脑能懂的IP地址，这样我们就能顺利访问网站了。这个过程就像我们查电话本找到朋友的电话号码，然后打电话给他们。DNS工作在一个叫做UDP端口53的通道上。域名的长度有一些限制，每一部分最多可以有63个字符，而整个域名的长度不能超过253个字符。

对于校园来说，使用DNS的好处是员工可以直接输入网址来上网，而不用记住复杂的IP地址。这样，无论员工在哪个区域，都可以轻松访问校园需要的外网资源。这大大提高了工作效率，也让上网变得更加简单方便[13]。

OSPF：OSPF是一种让路由器之间互相通信的协议。首先，两个相邻的路由器会通过发送报文的方式成为“邻居”。然后，这些“邻居”会互相发送关于它们之间连接的信息，这样它们就可以更好地了解网络情况。接着，每个路由器都会用一个叫做“最短路径算法”的方法，算出到达其他路由器的最快路径，并把这些路径信息放在OSPF路由表里。最后，OSPF路由会和其他路由信息进行比较，如果OSPF路由更优，就会被加入到全局路由表里。

对于校园来说，使用OSPF协议与运营商的网络结合，可以让路由器将关于网络连接的信息（叫做LSA，也就是链路状态组播数据）发送给所在区域的所有路由器。这样，无论是校园的总部还是分部，都可以更好地了解整个网络的情况，从而顺利完成通信。这种方式可以帮助校园实现更加高效和稳定的网络通信。[14]。

NAT：当校园内部的电脑已经设置了只能在本网络内使用的本地IP地址，但它们也想和互联网上的电脑进行通信时，就可以使用一种叫做NAT（网络地址转换）的方法。想象一下，每个校园都有自己的内部网络，就像一个小社区。社区里的房子（电脑）都有自己的门牌号（本地IP地址），但这些门牌号只在这个社区里有效。如果社区里的居民想和外面的人通信，怎么办呢？

这时，就需要一个“翻译官”（NAT设备），它会把社区里的门牌号翻译成外面世界能懂的大路门牌号（公共IP地址）。这样，即使社区里的电脑使用了本地IP地址，它们也能和互联网上的电脑进行通信了。

而且，使用NAT还能增加校园内部电脑的安全性。因为当社区里的电脑通过NAT设备连接到互联网时，它们使用的是NAT设备的公共IP地址，而不是自己的本地IP地址。这就像给社区里的居民穿上了一层“隐身衣”，让外界在进行网络扫描时难以发现它们的真实身份，从而保护了它们的安全。[15]。

VLAN：虚拟局域网（VLAN）是一个灵活的网络结构，它并不关心设备和用户具体放在哪里，而是按照功能、区域或者应用等因素将它们组织起来。这样一来，即使它们物理上并不在一起，也可以像在同一间办公室一样轻松通信。这就是“虚拟”这个词的含义，因为它们看起来和感觉就像在同一个局域网里。

在校园中，VLAN非常有用。比如，你可以把保卫处的员工放在一个VLAN里，停车场的员工放在另一个VLAN里。这样，校园就能更好地管理和控制不同区域的网络资源。

如果不同VLAN之间需要通信，可以使用交换机之间的trunk连接来实现。这就像是在不同的VLAN之间建起了一座桥梁，让它们可以互相访问和通信。这样，校园就能根据实际需求灵活地调整网络结构，提高工作效率和网络安全。。

VRRP：VRRP，简单来说，就是为了避免网络中出现“单点故障”而设计的一个协议。想象一下，如果在一个局域网里，大家都通过一个路由器上网，那这个路由器要是坏了，那整个网络不就瘫痪了吗？这就是所谓的“单点故障”。

VRRP协议就是为了解决这个问题而诞生的。在这个协议下，一组路由器会一起工作，好像一个团队一样。它们之间会选出一个“队长”（也就是主路由器），其他的都是“替补队员”（备份路由器）。这个“队长”会负责处理所有的网络请求。

但是，如果“队长”突然“受伤”或者“离线”了，那怎么办呢？这时候，某个“替补队员”会立即顶上，接替“队长”的工作，保证网络还能正常运行。这样，就避免了因为单个路由器故障而导致整个网络瘫痪的情况，大大提高了网络的可靠性和稳定性。

所以，VRRP协议就像是给网络加上了一个“保险”，让网络在出现故障时能够迅速恢复，保证通信的连续性和可靠性。

VPN技术是可以在不更改目前网络整体架构的情况下，建立了一个私有的专用连接。为了保证相关用户数据的安全，一般采用防火墙建立ipsec-vpn模式，本次我们采用的是ipsecvpn模式，两端网络均通过固定的网关连接到Internet，端对端的进行固定。且访问是双向的，即分支和总部都有可能向对端发起访问。Ipsec vpn技术就是将数据包进行一个esp头部加密进行传输，相比传统的GRE安全了许多。

下面我们通过实现数据安全的方法有很多，IPSec VPN是其中之一，IP Security（安全）其意思是IP安全，IPsec是一个专门用来保护IP传输安全的一个技术协议，VPN只是它众多功能中的一种。严格来说，IPsec并不是一个纯VPN技术，它是一个安全保护技术，VPN只是它附带的功能，它能去建VPN隧道。因此它目前成为我们校园网中最常用的对接分支机构的隧道技术。IPSec是一种网络层的安全保障机制，它可以实现拒接重播报、数据源验证、完整性校验、机密性、访问控制等安全功能。IPsec还可以使用多种验证算法，如AH和ESP、MD5、SHA-1。也可以使用多种加密算法，如ESP和DES、3DES、AES等等，以及密钥管理系统。

IPSec协议来保护数据会有两大安全协议： AH只能实现防篡改和防伪造，并不能防窃听且不能穿透NAT，协议号51。ESP（封装安全载荷）可提供数据的机密性保障。

IPsec SA（IPSec安全联盟）一个SA就是定义了一套对某些数据流进行保护的方案。其中包含了保护协议、算法、密钥。SA定义了我们在建立隧道时我们应该使用那种算法来加密和签名。IPSec SA的来源有两种方法：手动创建和IKE协商。IKE（网络密钥交换协议），用于保护密钥传输和密钥的自动协商。

IPSec隧道建立的两个阶段，第一阶段协商出一个IKE SA并且协商出保护第二阶段的保护方案，如果IPsec SA由手工创建，第二阶段对称协商出一个IPsec SA且协商出保护数据传输的方案，两个阶段协商出两个站点保护方案。最终数据传输通过靠IPsec SA保护。即保障了安全性也不失效率。

2.2 网络设计原则

2.2.1可靠性

对于中大型校园来说，网络运行的稳定性超级重要。如果网络出了问题，不仅校园的信息系统会瘫痪，还可能让校园的形象受损，给维修和安全人员带来很大的挑战，同时也会增加校园的开销。所以，在设计校园的网络时，我们首先要考虑的就是如何让网络更稳定、更可靠，保证系统可以长时间稳定运行，并且保证只有合法用户才能访问。这样的网络系统还要有容错性，也就是说，即使有一些设备出了问题，网络系统也要有好的备份，避免给校园带来不可挽回的损失。

2.2.2安全性

网络安全其实包括两个方面：物理安全和虚拟网络安全。物理安全，就是要确保网络设备的安全存放。比如说，服务器的位置得保密，不能让外人知道。而且，设备周围的环境也得人工调整好，防止因为环境不好导致设备受损。虚拟网络安全，就需要我们在网络上做一些加密操作了。比如，给服务器设个密码，或者加上校园的防火墙，防止黑客攻击。只有两方面都做好，才能保证用网的真正安全。

2.2.3先进性

选择校园网络设备时，得考虑时代的发展和技术的更新。网络设备也在不断升级换代，所以在选择时要考虑设备的冗余性和兼容性。这样，就算以后技术更新了，设备也能继续用，不用频繁更换，从而节省校园的开支。所以，选设备时要有长远的眼光，选先进的、有发展潜力的设备，这样校园网络才能更稳定、更安全。

本章主要介绍技术可行性分析及网络设计原则。在技术可行性分析阶段主要对本设计需要用到的相关技术进行介绍。而后从可靠性、安全性、先进性三个方面介绍网络设计原则。在实现本课题的设计的过程中需要严格遵守好网络设计原则，并且需要熟练掌握开发本课题需要掌握的相关技术，为后续的开发设计及打下基础。

3 项目分析

3.1 需求分析

校园网络信息系统的规划与设计需求分析是确保系统能够满足校园师生访问高校业务和管理需求的关键步骤。以下是一些常见的需求分析方面：

业务需求：了解校园的各项业务流程和管理需求，包括学生管理、教务系统等。根据不同岗位的需求，设计系统的功能和模块，确保系统能够支持校园网络的各项业务。

数据需求：分析校园的数据需求，包括师生的基本信息、上课信息等。确定系统需要采集、存储和处理的数据内容和格式，以及数据的权限管理和安全保护策略。

技术需求：根据校园网络的技术基础和资源情况，确定系统的技术需求，包括硬件设备、网络带宽、数据库管理系统等。同时，考虑系统的可扩展性和集成性，以适应校园的发展需求和与其他系统的接口需求。

用户需求：了解师生和管理人员对系统的需求和期望，包括系统的易用性、界面设计、操作流程等。根据师生用户的反馈和建议，优化系统的用户体验，提高师生用户的教学效率和满意度。

安全需求：考虑多校园网络信息系统的安全需求，包括数据的安全传输和存储、校园用户权限管理、系统的防护和监控等。确保系统能够保护用户的隐私和师生的隐私数据，防止数据泄露和非法访问。

通过对校园网络信息系统的规划与设计需求进行综合分析和评估，可以确定系统的功能和模块、数据管理和安全策略、技术支持和培训需求等，为后续的系统开发和实施提供指导和依据。对多校区的校园网络使用情况需求以及合规性需求的全面分析，可以获得一个清晰的网络规划与设计蓝图。这将为后续的网络架构设计、设备选择、网络安全策略制定等提供有力的支持和指导，确保高校校园的网络能够满足当前和未来的业务需求，为校园的业务发展提供坚实的网络基础。

4 项目总体设计

4.1 总体拓扑图

网络拓扑其实就像一张“地图”，用来图形化展示网络的结构。常见的网络拓扑结构有星型、总线型、环形、树形，还有全网状和部分网状。每种结构都有自己的优点和缺点，所以在实际应用中，一般不会只用其中一种，而是会结合多种拓扑结构来规划网络。

在选择网络结构时，通常情况下也会考虑很多因素，在本论文中，将会根据多校区的实际区域分布，来规划出适合多校区的网络拓扑图，让多校区校园网的网络结构更加合理、高效。多校区校园网的VPN构建采用混合型网络结构，其拓扑结构如图4-1所示。

图4-1 多校区校园网的VPN设计结构拓扑图

标签：需求,VPN,校园,网络,毕业设计,校园网,校区
From： https://blog.csdn.net/m0_53035460/article/details/143268262