西南大学，是2005年7月经教育部批准，由原西南师范大学、原西南农业大学合并组建的教育部直属重点综合性大学，是国家“211”工程建设学校。学校已有百年办学历史，占地面积约9000亩，校舍面积近150万平方米。学校现有2个国家级重点学科、9个博士学位一级学科授权点、66个博士点、9个博士后科研流动站、22个硕士学位一级学科授权点、159个硕士学位授权点、5个专业硕士学位，97个本科专业，学科涵盖11个学科门类，共42个一级学科。有35个省部(市)级重点学科、27个省部(市)级重点实验室、1个教育部重点文科研究基地、6个重庆市重点文科研究基地。学校是重庆片“国家大学生文化素质教育基地”牵头单位。

　　学校拥有专任教师2650余人，专职科研人员300余人，全日制本科生及研究生50000余人。主持承担“973”、“863”、国家自然科学基金、国家社科基金等各级各类科研项目1400多项。

　　背景分析

　　据原西南师范大学的需求反馈分析表明：近年来，该校教职工在校外居住比例的逐渐提高，外出进行学术研究、工作的人次的增多，身处校外而又有网上办公和校内资源访问的需求，和校园网资源由于安全的原因只能在校内认证访问的矛盾逐渐突出。为此，校方网络中心拟采用虚拟专用网来解决这一问题，为地处校外的教职工的工作和学习带来方便。

　　技术实现要求

　　为了保证校内资源的安全和访问者个人信息的安全，访问的快捷，VPN设备必需满足如下要求：

　　1、身份验证。由于该校已经有了自己的统一身份认证系统，故在VPN方案中，对用户的身份认证必须使用已经存在的用户信息数据，或是直接与该校统一身份认证系统对接进行认证。

　　2、加密保护。要求能对VPN隧道建立和用户通信都能进行加密，支持预共享密钥、数字证书的身份认证，提供动态密钥交换功能，支持IPSec ESP AH的隧道模式封装和传输模式封装，支持多种加密认证算法。加密速度快，能达到千兆通信，VPN转发能达到200Mbps以上。

　　3、方便安全的管理。要求在管理上能有多种方式。提供本地网络管理、telnet管理，远程管理等多种管理方式，在以上方式中能对VPN安全策略、访问控制策略等进行调整。

　　4、DHCP支持。要求能给每一个接入VPN的用户动态分配一个校内IP地址，地址池能在2000个IP以上。并且可以该得到的地址与校内资源进行通讯。

　　5、多种用户环境支持。支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、普通电话拨号接入、GPRS接入、CDMA接入等多种因特网接入方式。

　　6、VPN星型互联。由于我校有多个校区，且各校区可能有自己的VPN，(或者本校区建不止一个VPN)，本次VPN建设中希望能将各VPN互联，用户可拨入一VPN而共享可控制访问其它校区资源。

　　7、本地网络和VPN网络智能判断。能根据客户端的访问请求，自动选择使用客户本地连接还是使用VPN连接。同时，该校有部份资源实际放在校外，但必须以是该校IP地址才能访问，本次VPN建设也要满足这种需求。

　　8、联通性要求。VPN接入用户之间、VPN接入用户和远程网络中的用户间都可以通过虚拟得到的IP地址互相通信。

　　9、应用范围广。可在VPN用户与远程局域网之间应用多种业务。如：语音、图像和数据库、游戏等应用，也可通过共享等方式访问其它计算机资源。

　　10、由于学校拥有数万名师生员工，因此对VPN设备的并发客户端性能要求达到1万个以上。

　　11、符全国家相关法律、标准和安全要求。各VPN设备必须符合我国的各项技术标准和安全标准。

　　12、系统可升级性。可以通过对VPN系统升级来适应新的网络应用或是VPN上相关协议或标准的升级。

　　系统组网

　　针对以上提出的反馈需求，冰峰以其稳健的市场优势和丰富的业内经验为西南师大提供全面应对的解决方案。

　　如上图所示

　　冰峰S系列安全设备以其优越的兼容性能，在该网络组图中发挥了其与现有网络构架无缝融合的特能。在不更改现有网络的基础上，良好地发挥了VPN设备的全部应用。

　　首先跟据目前互联网络“南电北网”的互联现状，在保证广大移动用户群的前提下，将原有接入校园网的电信光纤与网通光纤线路分别接入VPN设备的两个WAN口上，再将校园网附属的教育网线路的另一WAN，使得三条线路互为并存，最后将原有校园网对外接入线路连上VPN设备的LAN口。这等于是将原有接入交换机的三条线路移到VPN设备上，实际上并没有改变网络的构架，但其功能上的实现却不可同日而语。

　　应用效果

　　接入VPN设备，首要考虑的是用户身份认证问题。冰峰S系列安全设备可以通过三层交换机与认证服务器互联，并将设备中原有预留的认证接口与认证服务器对接，保证了原有第三方系统身份认证的正常使用。再者在VPN互联的安全性上，通过SSL封装以及网络层传输的隧道式SSL VPN技术保证了数据在传输过程中的高强度加密性。在支持加密算法和认证算法上，冰峰支持的多种高强度加密算法与多种双因子认证方式安全满足西南师大的即定所需。千兆设备中的6500产品支持吞吐率可达890Mbps以上，并发数更可达到100万个。

　　在可控制管理上。不仅能提供本地网络管理、telnet管理满足西南师大的即定需求，还可以通过Web/SSH/console等方式进行远程管理，方便管理员应对多种突发状态。针对以上方式中提出的VPN安全策略、访问控制策略等内容，冰峰VPN可以做到细化用户控制，支持多种分组状态与多种组策略控制并用，还可细化实时监控与日志管理、故障定位等。

　　冰峰S系列产品是以SSL技术为基础，其兼容性不在体现在多接入方式上，同时还能兼容多种用户环境，如多数据库应用，多操作系统，多应用平台等，完全支持教育行业的定向服务。

　　除以上应用效果之外，冰峰S系列安全设备在针对教育行业还有其他特殊体现。如动态地址分配，源IP地址转换，多线路智能应用等。

　　动态地址分配，按照技术实现上来看，地址池的IP个数一般不会做技术上的任何限制，实际情况是根据设备性能和客户的需求来取决的，如S5600产品的最大Web SSL并发数为5000个，客户的实际需求若是也达到这个量，设备则会根据用户的接入情况自动分配，保证每一个接入用户都能动态分配到一个校内IP地址，再籍由这个地址进行校园内网资源访问。若用户的实际需求无法达到产品的最大并发数，冗余的IP地址仍会保留在地址池中，等待下一个用户接入高峰。地址池的动态分配另一方面也可以减轻设备在不间断工作下的负荷，提升设备的使用周期。

　　源IP地址转换，相当于动态地址分配的下一个进阶，主要是通过隧道式SSL VPN的方式建立虚拟专用隧道，让校外的移动用户获得校内IP地址进行相关资源访问。例如移动用户通过电信(网通)线路进入VPN设备上的相应端口，再通过VPN中转访问教育网的其他资源，甚至是在小于60毫秒下的“南电北通”之间的互联访问。目前该应用多体现于校外授权移动用户通过冰峰VPN中转访问国外的数字图书馆，进行电子文献查询服务。

　　多线路智能应用，有鉴于西南师大校园网络的出口路由走的是电信、网通、教育网三条线路，在未加入冰峰VPN设备前，原有的数据中转方式只能通过设于北京的公共网关进行数据中转，在正常监测下的延时损耗约在400毫秒以上，而加入冰峰VPN之后，其多线路智能分流与自适应智能选路模块的结合应用，可以有效地保证数据中转的通信延时减少到60毫秒以下，同时还能够将数据传输中的丢包率降到最低。通过多线路智能应用的模块结合，还可以将西南师大的多校区互连互通建立在多条VPN通道之下，让每一次数据通信都是建立在高强度的传输加密算法之下。

　　时值西南师大与西南农大合并，该方案以其良好的应用性能、安全性能、扩展性能以及后期评估博得新主体西南大学的垂青。目前新的扩建合作方案已提上议程。