利用VPN服務(wù)快捷訪問(wèn)校內(nèi)外資源

文/鄒仁明 勞鳳丹

利用VPN服務(wù)快捷訪問(wèn)校內(nèi)外資源

文/鄒仁明 勞鳳丹

VPN虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)利用數(shù)據(jù)加密技術(shù)將網(wǎng)絡(luò)與網(wǎng)絡(luò)或遠(yuǎn)程個(gè)人計(jì)算機(jī)與網(wǎng)絡(luò)連接起來(lái)，實(shí)現(xiàn)在公共網(wǎng)絡(luò)上的安全數(shù)據(jù)傳輸。中國(guó)農(nóng)業(yè)大學(xué)實(shí)施的VPN服務(wù)有兩種類(lèi)型：一類(lèi)是為校內(nèi)用戶快速訪問(wèn)校外資源而設(shè)立的校內(nèi)VPN服務(wù)，使用戶通過(guò)教育網(wǎng)、公網(wǎng)雙出口線路快速訪問(wèn)校外資源；另一類(lèi)是為校外用戶安全訪問(wèn)校內(nèi)資源而提供的校外VPN服務(wù)，使用戶安全快捷地訪問(wèn)指定的校內(nèi)資源，如：財(cái)務(wù)管理系統(tǒng)、教務(wù)系統(tǒng)、圖書(shū)館文獻(xiàn)查詢服務(wù)等。本文主要介紹本校在VPN方面的一些應(yīng)用經(jīng)驗(yàn)。

校內(nèi)VPN服務(wù)

為解決校內(nèi)用戶訪問(wèn)公網(wǎng)資源網(wǎng)速慢、訪問(wèn)國(guó)際網(wǎng)資源費(fèi)用高等的一系列問(wèn)題，多數(shù)高校的做法是增加公網(wǎng)線路，在校園網(wǎng)出口路由器上實(shí)施教育網(wǎng)和公網(wǎng)雙出口或多出口機(jī)制，利用策略路由或動(dòng)態(tài)鏈路負(fù)載均衡設(shè)備自動(dòng)分配出口路由，讓用戶快捷地訪問(wèn)校外資源。但在我校，網(wǎng)絡(luò)用戶有3萬(wàn)多人，上網(wǎng)的計(jì)算機(jī)近2萬(wàn)臺(tái)，我們實(shí)行的上網(wǎng)控制策略是用戶包月訪問(wèn)國(guó)內(nèi)資源，按國(guó)際流量計(jì)費(fèi)控制國(guó)際資源訪問(wèn)。教育網(wǎng)的出口帶寬為千兆，而公網(wǎng)出口帶寬僅為100兆，二者出口帶寬不對(duì)稱(chēng)。如果實(shí)行雙出口機(jī)制，上網(wǎng)控制策略暫時(shí)不能改變，對(duì)用戶上網(wǎng)行為也就不能有效控制，那么公網(wǎng)出口將會(huì)出現(xiàn)嚴(yán)重堵塞，不能為用戶提供快捷的上網(wǎng)服務(wù)。

建立校內(nèi)VPN服務(wù)，宗旨是保留校園網(wǎng)原出口結(jié)構(gòu)及控制策略不變，將校內(nèi)VPN服務(wù)單獨(dú)連接到校園網(wǎng)和公網(wǎng)出口線路，使之能快速訪問(wèn)教育網(wǎng)和公網(wǎng)資源，通過(guò)對(duì)VPN服務(wù)局部增加接入控制策略，讓用戶自愿選擇這種VPN快速上網(wǎng)服務(wù)。目前此服務(wù)的控制策略為：對(duì)校外網(wǎng)絡(luò)資源不分國(guó)內(nèi)、國(guó)外，限制每個(gè)用戶的下行帶寬為1Mbps，為校園網(wǎng)用戶每月免費(fèi)提供10小時(shí)，增加充值延時(shí)或包月不限時(shí)的附加服務(wù)，以滿足不同用戶的使用需求。

校內(nèi)VPN的設(shè)計(jì)構(gòu)架如圖1所示，VPN設(shè)備采用PC服務(wù)器＋RouterOS路由器軟件構(gòu)建，配雙網(wǎng)卡，分別連接校園網(wǎng)、公網(wǎng)，路由設(shè)計(jì)為：訪問(wèn)教育網(wǎng)資源及校外文獻(xiàn)查詢資源指向校園網(wǎng)接口，其它路由指向公網(wǎng)接口。接入認(rèn)證采用外部Radius認(rèn)證方式，外部認(rèn)證服務(wù)采用FreeRadius＋MySQL共享軟件搭建。用戶的認(rèn)證賬戶使用現(xiàn)有的計(jì)費(fèi)賬戶，在網(wǎng)上自助申請(qǐng)開(kāi)通校內(nèi)VPN服務(wù)、按需選擇不同的VPN使用時(shí)長(zhǎng)，使用費(fèi)用從校園網(wǎng)計(jì)費(fèi)系統(tǒng)中扣除。申請(qǐng)成功后，用戶即可按VPN撥號(hào)方式接入VPN服務(wù)、快速訪問(wèn)校外資源。RouterOS路由器提供外部日志功能，能記錄用戶的訪問(wèn)網(wǎng)址，便于安全審計(jì)。

校內(nèi)VPN服務(wù)存在的問(wèn)題主要有：用戶需要使用VPN撥號(hào)連接訪問(wèn)外部資源，增加了用戶上網(wǎng)難度；由于VPN服務(wù)并發(fā)處理能力有限，每臺(tái)設(shè)備設(shè)計(jì)的最大在線用戶數(shù)為2000，因此，只能為部分用戶提供校內(nèi)VPN服務(wù)。目前本校有兩臺(tái)VPN設(shè)備在線提供服務(wù)。不過(guò)，通過(guò)增加VPN設(shè)備、同域名多IP地址域名輪循解析方式可滿足使用用戶數(shù)增長(zhǎng)的需求。

圖1 校內(nèi)VPN服務(wù)構(gòu)架

校外VPN服務(wù)

校外VPN服務(wù)是為校外移動(dòng)用戶安全便捷地訪問(wèn)校內(nèi)資源和圖書(shū)文獻(xiàn)檢索數(shù)據(jù)庫(kù)而提供的服務(wù)。我們?cè)捎肦outerOS和OpenVPN軟件分別構(gòu)建校外VPN服務(wù)，但是用戶需要安裝VPN客戶端軟件，我們僅能采用路由方式控制用戶可訪問(wèn)網(wǎng)段、存在安全隱患，可選的用戶接入認(rèn)證方式也比較有限、難以提供多種安全認(rèn)證需求。我們選擇SSL VPN商用安全接入設(shè)備來(lái)提供校外VPN服務(wù)，用戶無(wú)需安裝客戶軟件，只需使用瀏覽器訪問(wèn)VPN服務(wù)，即可安全接入校園網(wǎng)，方便訪問(wèn)校內(nèi)指定資源。

SSL VPN設(shè)備連網(wǎng)方式如圖2所示：VPN設(shè)備雙網(wǎng)卡連接校園網(wǎng)和公網(wǎng)，分別配置教育網(wǎng)IP地址和公網(wǎng)IP地址，利用DNS按用戶上網(wǎng)IP不同進(jìn)行域名分源解析，使教育網(wǎng)用戶訪問(wèn)VPN教育網(wǎng)網(wǎng)址、其他用戶訪問(wèn)VPN公網(wǎng)網(wǎng)址，讓用戶能快速接入VPN服務(wù)器。VPN服務(wù)的接入認(rèn)證手段多樣，可使用內(nèi)部用戶、外部Radius、外部LDAP、數(shù)字證書(shū)等認(rèn)證控制方式。對(duì)于一般用戶采用校內(nèi)LDAP目錄服務(wù)賬戶來(lái)做用戶身份認(rèn)證，按用戶組來(lái)定義可訪問(wèn)的校內(nèi)資源和校外圖書(shū)文獻(xiàn)檢索資源，實(shí)現(xiàn)不同類(lèi)型的用戶分配不同的資源訪問(wèn)權(quán)限。認(rèn)證通過(guò)后，以網(wǎng)頁(yè)形式列出可訪問(wèn)資源表（如圖3所示），方便用戶點(diǎn)擊訪問(wèn)，有些下級(jí)鏈接網(wǎng)址被設(shè)置成網(wǎng)頁(yè)不可見(jiàn)狀態(tài)，減輕網(wǎng)頁(yè)的復(fù)雜性；用戶退出登錄或關(guān)閉資源列表頁(yè)面，VPN服務(wù)自動(dòng)停止。利用VPN服務(wù)的SSO單點(diǎn)登錄功能，還可與校內(nèi)統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接，用戶通過(guò)身份認(rèn)證后，即可對(duì)校內(nèi)多個(gè)管理系統(tǒng)進(jìn)行免登錄訪問(wèn)。

校外VPN服務(wù)還提供服務(wù)監(jiān)控、日志記錄、系統(tǒng)維護(hù)等功能，方便管理員運(yùn)行管理和安全審計(jì)。

圖2 校外VPN服務(wù)連接

圖3 用戶可訪問(wèn)的校內(nèi)資源列表

（作者單位為中國(guó)農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)中心）