基于VPN技術實現信息資源共享的有效途徑

郭廓 谷秋實

[摘 要] 網絡信息技術快速發展的今天，信息作為重要資源已為人們所熟知，公共職能部門作為輿論導向、信息發布及培訓的重要機構，對信息資源數量、質量要求較高，利用VPN技術構建一種低成本、使用靈活的信息資源共享平臺顯得重要和急迫。現如今，信息化建設進程正在不斷推進，以及“Big Data”大數據概念的提出，要求我們應突破傳統信息資源建設的瓶頸，迅速改變以往利用傳統技術處理信息資源的手段、傳播途徑和使用方法，不斷推進新技術在公共領域的應用，滿足各級組織對網絡服務及其應用的要求。

[關鍵詞] 虛擬專網；資源共享；規劃管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 09. 061

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）10- 0085- 04

雖然，利用網絡技術，公共部門在提高信息資源利用率方面得到了一定的提高，但是財政的有限投入不能滿足所有應用對信息化發展的需求。目前實際情況是，由于大量事物對信息資源的需求較多，信息化建設投入較高，因此，信息資源主要集中在全國各地省、市級層面。縣、區級組織受自身條件影響，信息化發展嚴重不足，是整個信息鏈上的薄弱環節，某種程度上阻礙了各級組織之間的信息交流。通過對上述情況的調研分析，縣、區級組織迫切希望建立信息資源共享平臺，以滿足對信息資源的需要。為解決這一問題，一項建立中心數據庫，其他各基層單位為網絡節點的資源共享的網絡平臺VPN虛擬專網新技術應運而生。

因此，各級組織數據中心聯合啟動了VPN虛擬專網的建設工程，省、市、縣、區各級部門初步建立起以資源數據庫為核心數字化資源互聯、互通的VPN專網信息資源共享平臺。通過VPN技術，有效地解決了組織間學習、交流阻礙的問題，消除了“信息孤島”，打破了信息資源受網絡地域的限制，擴大了受眾群體范圍，加快了高效利用網絡信息資源提高教學、科研、培訓、管理水平新模式的發展速度。

1 VPN技術方案的內涵與優勢

現如今，企事業單位的網絡數據流量已經成幾何級數增長，它包括各種空間數據、報表統計數據、文字、聲音、圖像、超文本等各種環境和文化數據信息[1]，處理這些海量數據，需要建立專用網絡才能保障數據傳輸的暢通。一般來說，有這樣需求的用戶一是通過架設專有通信光纖來實現，另外也可以租用電信運營商專用線路來實現。這兩種模式前期鋪設線路、購買數據交換設備固定投入較大，后期維護、管理費用成本較高，對于很多非營利性單位只能望而卻步。于是基于VPN技術建立虛擬專網在效率與成本之間找到平衡點不失為最具“性價比”的選擇，選擇VPN方案，具有安全可靠、經濟實用、擴展性好、管理方便等優勢，同時也滿足了信息資源對專網建設的總體目標和需求。

1.1 VPN定義與核心技術組成

1.1.1 VPN基本定義

虛擬專用網絡（Virtual Private Network，簡稱VPN）指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺。

根據定義，VPN屬于利用公共網絡架設私有網絡的遠程訪問技術，以學校為例，比如本校教師身處外地，需要查詢本校內網信息，這種異地通信就屬于遠程訪問。要想達到上述目的，用VPN的解決方案是在原單位內網中配置VPN服務器，服務器配有雙網卡，一塊連接內網，一塊連接外網（公網）。在外教師在當地接入到互聯網后，通過VPN服務器加密功能，將往來信息在一條專用的數據鏈路上進行傳輸，實現訪問學校內網需求，既安全又便捷，這就如同鋪設專用網絡一樣。實際上，是利用VPN專用隧道協議① 在公網上虛擬出數據通信鏈路，借助公網，加密封裝數據完成數據鏈路、傳輸、會話、表示直到最后應用。所謂虛擬，是指用戶不再需要擁有實際的專用數據鏈路，而是使用公共網絡仿真一條點到點的數據鏈路。所謂專用網絡，是指這個數據鏈路的通道可以提供和專網同樣的功能[2]，如圖1。

1.1.2 VPN包含的主要協議與功能特點

VPN技術的發展速度很快，在相關產品、服務市場上競爭尤為激烈，目前主要產品與服務有兩項，一是基于IPSec協議；二是基于SSL協議以及從這兩項衍生、改進協議為基礎來實現主要功能的輔助產品。

基于IPSec（IP Security）協議VPN，主要是通過在OSI模型中網絡層建立連接內網與外網（公網）安全、可控的數據鏈路通道，實現點對點之間的通信。想要實現遠程接入時，服務器端與客戶終端都需用軟件支持，客戶端需要手動輸入安全秘鑰和配置參數，當遠程接入量增大時，由于受外網（公網）帶寬影響，QOS質量明顯下降，需增加設備，提高投入，后期維護工作量大。

基于SSL （Security Socket Layer）協議的VPN是一種新型VPN技術，它是一種在互聯網上基于Web應用安全協議的技術，它工作在OSI模型中最頂端——應用層，采用B/S結構（瀏覽器/服務器模式），內嵌于瀏覽器中，為TCP/IP協議連接提供數據加密、服務器認證和信息發布。SSL VPN優勢明顯，具有部署簡單、無客戶端、維護成本低、網絡適應強等特點。

1.1.3 IPSec與SSl兩種協議的比較分析

在VPN技術領域，SSl有了長足的發展，作為后起之秀，依靠自身優勢與IPSec并駕齊驅。在公共教育、管理、培訓這樣的非營利性部門半數以上的員工和學員依賴于移動辦公，預計未來還會不斷增長，使用率將會突破70%，這主要得益于SSL這種IPSec以外的替代方案避開了部署及管理必要客戶軟件的復雜性和人力需求。盡管SSl大出風頭，許多IPSecVPN廠商也陸續推出基于SSL技術產品和服務，但在短時間內還無法取代IPSec，最主要的原因就是SSl在實際應用中還存在短板，在點到點解決方案模式下，IPSec的遠程接入、隧道鏈路、數據加密相比SSL還略勝一籌。

以上對比兩者的特點，無論選擇那種技術的VPN，作為獨立的VPN產品都不能很好地滿足不同接入方式的需要，較為理想的解決方案是“混搭”——融合IPSec VPN和SSL VPN于一體。最大化發揮兩者優勢，避免兩個分立平臺而導致的低效和成本增加。不難看出，基于這兩種協議的產品不管在市場還是技術領域即是競爭又是互補的關系。作為用戶希望看到的是他們的互補性，目前，IPSec VPN與SSL VPN各自廠商也在積極地將對方的優勢技術添加到自己的產品線上去。這種互補性定位對VPN未來的發展至關重要。

1.2 資源共享模式下VPN專網選擇方案

1.2.1 VPN內部地址的統一規劃與管理

首先做好準備工作，按照要求，地址的統一規劃和管理非常重要，為避免IP地址發生沖突，應根據各級組織網絡應用的實際情況統一劃分Vlan，統一分配地址，保證VPN專網傳輸速度和信息平臺的順暢與安全使用。經過反復測試，根據某高校信息網絡管理中心給出的測試結果以及網絡通信有效載荷數據，選擇了融合IPSec和SSL雙隧道協議的VPN網關設備來部署VPN專網，主校為核心網絡，下屬各分校為接入子網，統一構建信息資源共享平臺。綜合考量，該方案即發揮IPSec安全性高、訪問速度快等優勢，又兼顧到SSL部署簡單、維護費用低的技術特點。實現遠程訪問、統一授課、異地管理、共享信息資源的目標。

1.2.2 各層級VPN子網接入的總體要求

作為VPN資源共享平臺的接入子網，是整個VPN專網承上啟下的重要環節，它是承擔起連接內網各個終端與外網和VPN虛擬專網的橋梁。良好的內部網絡環境是保障整個系統穩定工作的前提條件，因此，要遵從從制度層面到技術層面的各種規范，發揮VPN專網系統的最大效能。

依據實際合理設計內網的拓撲結構。整個VPN專用網交換的是海量數據，為保障數據順暢傳輸，網絡核心應采用快速以太網或千兆以太網技術，中心機房核心交換設備應架設數據處理能力強，安全可靠的品牌交換設備。除此之外，還應配套網絡行為管理、網絡負載均衡以及UTM安全網關等設備，安全防范外部的網絡攻擊行為，減少網絡供應商由于異構網絡造成的帶寬瓶頸效應，保障網絡的正常運行。

1.2.3 VPN運行效能與服務優勢

VPN專網是一種開放式、可擴展、兼容性強的系統，可根據實際需要做更深層次的開發，逐步完善其功能。經過一個階段的穩定運行后，我們對整個網絡、資源平臺的使用效率、效能有以下幾點評估。

（1）兼容性強。不需要更改原有網絡拓撲結構，在異構網絡環境下，只需一臺VPN網關設備就能實現遠程高效、安全訪問的功能。架設簡單、操作簡便、維護量小。通過互聯網，使用瀏覽器認證就能進入資源共享平臺，操作界面友好，提供SaaS軟件即時服務，全程都使用后臺調度，可實現異地（集中）管理，無需安排專人管理。

（2）安全可靠。系統安全無外乎是3方面內容：客戶端接入安全，數據傳輸安全和內部資源訪問安全。主流VPN設備都集成了高性能企業級防火墻，配合UTM安全網關利用高級別安全策略檢查，全程嚴密監控數據加密、解密封裝過程，實施入侵檢測、入侵防御等手段，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

（3） 運行高效。網絡架構位于VPN專網的最上端，部署的核心設備具有VPN領域最先進的數據刪減技術，能夠精簡傳輸線路中30%～50%的數據流量，有效削減了傳輸線路中的重復冗余數據，運用主流的LZO流壓縮技術對篩選后數據重新封裝，優化TCP/IP協議組，減少面向鏈接傳送服務時的握手響應，輔以優化網絡帶寬技術，緩解線路帶寬壓力，避免了帶寬頻繁升級所帶來的成本增加。

（4）應用廣泛。VPN專網的全面應用實現了網絡互聯、互通的總體要求，使分散的信息整合為共享的資源，提出“數字校園”建設規劃，推廣虛擬專網使用范圍。目前，利用VPN專網已經建立和整合了圖書館各類文字信息資源，視頻點播資源，服務軟件資源并升級了內部電子郵件服務系統、視頻會議系統、直播教學系統、教學和科研管理系統、辦公自動化系統等。

2 VPN專網管理的技術保障

2.1 目標決策內容

要想VPN發揮出最大的功效，除了采用先進設備和技術外，更需要完善的管理作支持。網絡構成了一個龐大的應用系統，這包括各級組織的信息中心、設備機房、匯聚點以及近萬臺電腦終端，還有許多軟件應用系統和服務器需要合理配置、精心維護，這需要相關管理人員具備較高技術素質和豐富的管理經驗。為提高效率，首先應當建立中央數據的目錄服務，統一、完善個人信息添加、修改和查詢。VPN核心交換設備以及每一臺隧道服務器都應該自動適應中央數據庫，自動存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等，利用虛擬技術，盡最大可能將服務器、交換設備做陣列、堆疊乃至集群化部署，為數據存儲、傳輸、應用提供“無縫式”服務。

2.2 具體部署方案

采用集中式安全管理中心（Secure Center）策略。在繁雜的信息環境中，網絡管理人員應當能夠隨時隨地了解、掌控VPN系統運行情況，包括在線人員數目、網絡負載能力、系統異?；顒?、外部攻擊等一系列信息。為避免負面影響，硬件方面應增設數據備份設備，軟件方面應開啟日志和實時信息監測功能，自上而下，實行24小時全局監測，將所有VPN監測信息按等級統一匯聚到專用數據庫中，只要單人管理就可以同時監控和部署VPN網絡中所有系統。極大地提高了網絡整體的安全等級，并消除因異構網絡策略造成的安全漏洞。

2.2.1 集中管理，集中配置

管理員可以從任何地方使用瀏覽器通過Web界面在線登錄后臺管理程序，通過管理器，可以配置所有納入到VPN網絡的設備和客戶端，根據要求自由改動網絡拓撲結構。通過可視化策略編輯器，自由定義工作環境，遠程調度、維護各網絡節點指定程序和操作系統，節約大量人力成本，實現規?；找?。網絡規模越大，所帶來的管理成本的降低就越明顯。

2.2.2 智能化的集中監控

應在整個VPN專網中部署智能監控設備，以便實時重點監控和維護VPN專網的各個節點和防御狀態，加裝全局域網防御功能，整網智能升級，可以從主防御病毒庫中提取信息，指令開啟防御狀態，在無人看守情況下，可自動循跡、跟蹤被攻擊的可疑目標，最快時間內定位攻擊源，迅速鎖定、隔離故障設備，最大化保障整個網絡安全。如果需要監控的節點量眾多，還能夠將需要監控的節點分區、分級管理。這種管理方法，符合跨區域、分級遠程管理要求，管理權限也可以細化到各級區域。

可以預見，分散部署、遠程訪問、集中管理是未來VPN技術發展的大方向，根據MIS管理信息系統提供的經驗，從戰略、戰術、作業各層面對VPN專網的技術部署方案和管理方案做了全面分析，比較目前的網絡運行狀況，以VPN技術為基礎的信息資源平臺廣泛應用在教學、培訓、管理的各個領域，打破了信息壁壘，提高了信息資源利用率，使工作上升到一個新的層面。

3 VPN技術效用總結

VPN技術在各個領域的廣泛應用，為各級用戶的實際需要提供了安全、可靠、高速、廉價的遠程資源共享解決方案，能夠有效地降低網絡運營成本、提高資源利用率，具有廣闊的發展和應用前景。VPN專網的建設極大地擴展公共信息資源利用途徑，為信息化建設帶來了新機遇，為公共事業發展提供了有效的保障。

主要參考文獻

[1]蔣然.海量數據存儲關鍵技術淺析[J].電腦知識與技術，2010（20）.

[2]趙祥好.VPN技術在黨校信息資源共享中的應用研究[J].大學圖書情報學，2010（4）.