文/鄒仁明 勞鳳丹
利用VPN服務(wù)快捷訪問(wèn)校內(nèi)外資源
文/鄒仁明 勞鳳丹
VPN虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)利用數(shù)據(jù)加密技術(shù)將網(wǎng)絡(luò)與網(wǎng)絡(luò)或遠(yuǎn)程個(gè)人計(jì)算機(jī)與網(wǎng)絡(luò)連接起來(lái),實(shí)現(xiàn)在公共網(wǎng)絡(luò)上的安全數(shù)據(jù)傳輸。中國(guó)農(nóng)業(yè)大學(xué)實(shí)施的VPN服務(wù)有兩種類(lèi)型:一類(lèi)是為校內(nèi)用戶快速訪問(wèn)校外資源而設(shè)立的校內(nèi)VPN服務(wù),使用戶通過(guò)教育網(wǎng)、公網(wǎng)雙出口線路快速訪問(wèn)校外資源;另一類(lèi)是為校外用戶安全訪問(wèn)校內(nèi)資源而提供的校外VPN服務(wù),使用戶安全快捷地訪問(wèn)指定的校內(nèi)資源,如:財(cái)務(wù)管理系統(tǒng)、教務(wù)系統(tǒng)、圖書(shū)館文獻(xiàn)查詢服務(wù)等。本文主要介紹本校在VPN方面的一些應(yīng)用經(jīng)驗(yàn)。
為解決校內(nèi)用戶訪問(wèn)公網(wǎng)資源網(wǎng)速慢、訪問(wèn)國(guó)際網(wǎng)資源費(fèi)用高等的一系列問(wèn)題,多數(shù)高校的做法是增加公網(wǎng)線路,在校園網(wǎng)出口路由器上實(shí)施教育網(wǎng)和公網(wǎng)雙出口或多出口機(jī)制,利用策略路由或動(dòng)態(tài)鏈路負(fù)載均衡設(shè)備自動(dòng)分配出口路由,讓用戶快捷地訪問(wèn)校外資源。但在我校,網(wǎng)絡(luò)用戶有3萬(wàn)多人,上網(wǎng)的計(jì)算機(jī)近2萬(wàn)臺(tái),我們實(shí)行的上網(wǎng)控制策略是用戶包月訪問(wèn)國(guó)內(nèi)資源,按國(guó)際流量計(jì)費(fèi)控制國(guó)際資源訪問(wèn)。教育網(wǎng)的出口帶寬為千兆,而公網(wǎng)出口帶寬僅為100兆,二者出口帶寬不對(duì)稱(chēng)。如果實(shí)行雙出口機(jī)制,上網(wǎng)控制策略暫時(shí)不能改變,對(duì)用戶上網(wǎng)行為也就不能有效控制,那么公網(wǎng)出口將會(huì)出現(xiàn)嚴(yán)重堵塞,不能為用戶提供快捷的上網(wǎng)服務(wù)。
建立校內(nèi)VPN服務(wù),宗旨是保留校園網(wǎng)原出口結(jié)構(gòu)及控制策略不變,將校內(nèi)VPN服務(wù)單獨(dú)連接到校園網(wǎng)和公網(wǎng)出口線路,使之能快速訪問(wèn)教育網(wǎng)和公網(wǎng)資源,通過(guò)對(duì)VPN服務(wù)局部增加接入控制策略,讓用戶自愿選擇這種VPN快速上網(wǎng)服務(wù)。目前此服務(wù)的控制策略為:對(duì)校外網(wǎng)絡(luò)資源不分國(guó)內(nèi)、國(guó)外,限制每個(gè)用戶的下行帶寬為1Mbps,為校園網(wǎng)用戶每月免費(fèi)提供10小時(shí),增加充值延時(shí)或包月不限時(shí)的附加服務(wù),以滿足不同用戶的使用需求。
校內(nèi)VPN的設(shè)計(jì)構(gòu)架如圖1所示,VPN設(shè)備采用PC服務(wù)器+RouterOS路由器軟件構(gòu)建,配雙網(wǎng)卡,分別連接校園網(wǎng)、公網(wǎng),路由設(shè)計(jì)為:訪問(wèn)教育網(wǎng)資源及校外文獻(xiàn)查詢資源指向校園網(wǎng)接口,其它路由指向公網(wǎng)接口。接入認(rèn)證采用外部Radius認(rèn)證方式,外部認(rèn)證服務(wù)采用FreeRadius+MySQL共享軟件搭建。用戶的認(rèn)證賬戶使用現(xiàn)有的計(jì)費(fèi)賬戶,在網(wǎng)上自助申請(qǐng)開(kāi)通校內(nèi)VPN服務(wù)、按需選擇不同的VPN使用時(shí)長(zhǎng),使用費(fèi)用從校園網(wǎng)計(jì)費(fèi)系統(tǒng)中扣除。申請(qǐng)成功后,用戶即可按VPN撥號(hào)方式接入VPN服務(wù)、快速訪問(wèn)校外資源。RouterOS路由器提供外部日志功能,能記錄用戶的訪問(wèn)網(wǎng)址,便于安全審計(jì)。
校內(nèi)VPN服務(wù)存在的問(wèn)題主要有:用戶需要使用VPN撥號(hào)連接訪問(wèn)外部資源,增加了用戶上網(wǎng)難度;由于VPN服務(wù)并發(fā)處理能力有限,每臺(tái)設(shè)備設(shè)計(jì)的最大在線用戶數(shù)為2000,因此,只能為部分用戶提供校內(nèi)VPN服務(wù)。目前本校有兩臺(tái)VPN設(shè)備在線提供服務(wù)。不過(guò),通過(guò)增加VPN設(shè)備、同域名多IP地址域名輪循解析方式可滿足使用用戶數(shù)增長(zhǎng)的需求。
圖1 校內(nèi)VPN服務(wù)構(gòu)架
校外VPN服務(wù)是為校外移動(dòng)用戶安全便捷地訪問(wèn)校內(nèi)資源和圖書(shū)文獻(xiàn)檢索數(shù)據(jù)庫(kù)而提供的服務(wù)。我們?cè)捎肦outerOS和OpenVPN軟件分別構(gòu)建校外VPN服務(wù),但是用戶需要安裝VPN客戶端軟件,我們僅能采用路由方式控制用戶可訪問(wèn)網(wǎng)段、存在安全隱患,可選的用戶接入認(rèn)證方式也比較有限、難以提供多種安全認(rèn)證需求。我們選擇SSL VPN商用安全接入設(shè)備來(lái)提供校外VPN服務(wù),用戶無(wú)需安裝客戶軟件,只需使用瀏覽器訪問(wèn)VPN服務(wù),即可安全接入校園網(wǎng),方便訪問(wèn)校內(nèi)指定資源。
SSL VPN設(shè)備連網(wǎng)方式如圖2所示:VPN設(shè)備雙網(wǎng)卡連接校園網(wǎng)和公網(wǎng),分別配置教育網(wǎng)IP地址和公網(wǎng)IP地址,利用DNS按用戶上網(wǎng)IP不同進(jìn)行域名分源解析,使教育網(wǎng)用戶訪問(wèn)VPN教育網(wǎng)網(wǎng)址、其他用戶訪問(wèn)VPN公網(wǎng)網(wǎng)址,讓用戶能快速接入VPN服務(wù)器。VPN服務(wù)的接入認(rèn)證手段多樣,可使用內(nèi)部用戶、外部Radius、外部LDAP、數(shù)字證書(shū)等認(rèn)證控制方式。對(duì)于一般用戶采用校內(nèi)LDAP目錄服務(wù)賬戶來(lái)做用戶身份認(rèn)證,按用戶組來(lái)定義可訪問(wèn)的校內(nèi)資源和校外圖書(shū)文獻(xiàn)檢索資源,實(shí)現(xiàn)不同類(lèi)型的用戶分配不同的資源訪問(wèn)權(quán)限。認(rèn)證通過(guò)后,以網(wǎng)頁(yè)形式列出可訪問(wèn)資源表(如圖3所示),方便用戶點(diǎn)擊訪問(wèn),有些下級(jí)鏈接網(wǎng)址被設(shè)置成網(wǎng)頁(yè)不可見(jiàn)狀態(tài),減輕網(wǎng)頁(yè)的復(fù)雜性;用戶退出登錄或關(guān)閉資源列表頁(yè)面,VPN服務(wù)自動(dòng)停止。利用VPN服務(wù)的SSO單點(diǎn)登錄功能,還可與校內(nèi)統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接,用戶通過(guò)身份認(rèn)證后,即可對(duì)校內(nèi)多個(gè)管理系統(tǒng)進(jìn)行免登錄訪問(wèn)。
校外VPN服務(wù)還提供服務(wù)監(jiān)控、日志記錄、系統(tǒng)維護(hù)等功能,方便管理員運(yùn)行管理和安全審計(jì)。
圖2 校外VPN服務(wù)連接
圖3 用戶可訪問(wèn)的校內(nèi)資源列表
(作者單位為中國(guó)農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)中心)