利用VPN服務快捷訪問校內外資源

文/鄒仁明 勞鳳丹

利用VPN服務快捷訪問校內外資源

文/鄒仁明 勞鳳丹

VPN虛擬專用網絡技術利用數據加密技術將網絡與網絡或遠程個人計算機與網絡連接起來，實現在公共網絡上的安全數據傳輸。中國農業大學實施的VPN服務有兩種類型：一類是為校內用戶快速訪問校外資源而設立的校內VPN服務，使用戶通過教育網、公網雙出口線路快速訪問校外資源；另一類是為校外用戶安全訪問校內資源而提供的校外VPN服務，使用戶安全快捷地訪問指定的校內資源，如：財務管理系統、教務系統、圖書館文獻查詢服務等。本文主要介紹本校在VPN方面的一些應用經驗。

校內VPN服務

為解決校內用戶訪問公網資源網速慢、訪問國際網資源費用高等的一系列問題，多數高校的做法是增加公網線路，在校園網出口路由器上實施教育網和公網雙出口或多出口機制，利用策略路由或動態鏈路負載均衡設備自動分配出口路由，讓用戶快捷地訪問校外資源。但在我校，網絡用戶有3萬多人，上網的計算機近2萬臺，我們實行的上網控制策略是用戶包月訪問國內資源，按國際流量計費控制國際資源訪問。教育網的出口帶寬為千兆，而公網出口帶寬僅為100兆，二者出口帶寬不對稱。如果實行雙出口機制，上網控制策略暫時不能改變，對用戶上網行為也就不能有效控制，那么公網出口將會出現嚴重堵塞，不能為用戶提供快捷的上網服務。

建立校內VPN服務，宗旨是保留校園網原出口結構及控制策略不變，將校內VPN服務單獨連接到校園網和公網出口線路，使之能快速訪問教育網和公網資源，通過對VPN服務局部增加接入控制策略，讓用戶自愿選擇這種VPN快速上網服務。目前此服務的控制策略為：對校外網絡資源不分國內、國外，限制每個用戶的下行帶寬為1Mbps，為校園網用戶每月免費提供10小時，增加充值延時或包月不限時的附加服務，以滿足不同用戶的使用需求。

校內VPN的設計構架如圖1所示，VPN設備采用PC服務器＋RouterOS路由器軟件構建，配雙網卡，分別連接校園網、公網，路由設計為：訪問教育網資源及校外文獻查詢資源指向校園網接口，其它路由指向公網接口。接入認證采用外部Radius認證方式，外部認證服務采用FreeRadius＋MySQL共享軟件搭建。用戶的認證賬戶使用現有的計費賬戶，在網上自助申請開通校內VPN服務、按需選擇不同的VPN使用時長，使用費用從校園網計費系統中扣除。申請成功后，用戶即可按VPN撥號方式接入VPN服務、快速訪問校外資源。RouterOS路由器提供外部日志功能，能記錄用戶的訪問網址，便于安全審計。

校內VPN服務存在的問題主要有：用戶需要使用VPN撥號連接訪問外部資源，增加了用戶上網難度；由于VPN服務并發處理能力有限，每臺設備設計的最大在線用戶數為2000，因此，只能為部分用戶提供校內VPN服務。目前本校有兩臺VPN設備在線提供服務。不過，通過增加VPN設備、同域名多IP地址域名輪循解析方式可滿足使用用戶數增長的需求。

圖1 校內VPN服務構架

校外VPN服務

校外VPN服務是為校外移動用戶安全便捷地訪問校內資源和圖書文獻檢索數據庫而提供的服務。我們曾采用RouterOS和OpenVPN軟件分別構建校外VPN服務，但是用戶需要安裝VPN客戶端軟件，我們僅能采用路由方式控制用戶可訪問網段、存在安全隱患，可選的用戶接入認證方式也比較有限、難以提供多種安全認證需求。我們選擇SSL VPN商用安全接入設備來提供校外VPN服務，用戶無需安裝客戶軟件，只需使用瀏覽器訪問VPN服務，即可安全接入校園網，方便訪問校內指定資源。

SSL VPN設備連網方式如圖2所示：VPN設備雙網卡連接校園網和公網，分別配置教育網IP地址和公網IP地址，利用DNS按用戶上網IP不同進行域名分源解析，使教育網用戶訪問VPN教育網網址、其他用戶訪問VPN公網網址，讓用戶能快速接入VPN服務器。VPN服務的接入認證手段多樣，可使用內部用戶、外部Radius、外部LDAP、數字證書等認證控制方式。對于一般用戶采用校內LDAP目錄服務賬戶來做用戶身份認證，按用戶組來定義可訪問的校內資源和校外圖書文獻檢索資源，實現不同類型的用戶分配不同的資源訪問權限。認證通過后，以網頁形式列出可訪問資源表（如圖3所示），方便用戶點擊訪問，有些下級鏈接網址被設置成網頁不可見狀態，減輕網頁的復雜性；用戶退出登錄或關閉資源列表頁面，VPN服務自動停止。利用VPN服務的SSO單點登錄功能，還可與校內統一身份認證系統對接，用戶通過身份認證后，即可對校內多個管理系統進行免登錄訪問。

校外VPN服務還提供服務監控、日志記錄、系統維護等功能，方便管理員運行管理和安全審計。

圖2 校外VPN服務連接

圖3 用戶可訪問的校內資源列表

（作者單位為中國農業大學網絡中心）