基于SSL VPN的高校教師遠程辦公系統設計與實現

曹園青 王惠惠

摘? 要：在新冠疫情防控情勢下，為了滿足高校教師“零接觸”遠程辦公和線上教學需求，設計并實現一種基于SSL VPN技術的高校教師遠程辦公系統。首先介紹幾種主流的遠程辦公技術，考慮到新冠疫情時期高校業務的特殊性，以本地高校信息化工程實踐項目為背景，在對本校教師進行遠程辦公需求抽樣調研的基礎上，以需求導向為出發點，對校園網絡安全架構的SSL VPN進行部署配置和測試優化。研究結果表明，該文設計的遠程辦公系統具有易操作性和安全性等特點。

關鍵詞：新冠疫情；遠程辦公；SSL VPN；網絡安全

中圖分類號：TP311? ? 文獻標識碼：A? 文章編號：2096-4706（2023）10-0010-04

Abstract： Under the situation of COVID-19 prevention and control， in order to meet the needs of college teachers for “zero contact” remote office and online teaching， a remote office system for college teachers based on SSL VPN technology is designed and implemented. First， several mainstream remote office technologies are introduced. Considering the particularity of college business during the COVID-19， the deployment， configuration， testing and optimization of SSL VPN of campus network security architecture are carried out based on the sample survey of remote office needs of teachers in our school and the demand oriented starting point with the background of the local college informatization engineering practice project. The research results show that， the remote office system designed in this paper is easy to operate and safe.

Keywords： COVID-19; remote office; SSL VPN; network security

0? 引? 言

突如其來的新冠疫情對各行各業都產生了影響，高校也受到了直接沖擊。高校校園網是一個大型復雜局域網絡，由大量的網絡設備（交換機、路由器、HUB）、服務器和客戶端構成，是校園網運行的基礎支撐，智慧化校園平臺、態勢感知中心、學生管理系統、教務管理系統、財務管理系統、國有資產管理系統和教師辦公電腦都可以通過校園網提供校園網信息化服務。然而，新冠疫情期間，教師、學生和系統管理員的學習、辦公地點往往在家，要連接內網業務系統，訪問內網的教學科研資源較為困難，需要依賴于計算機遠程辦公技術來實現[1]。

新形勢下對高校培養人才、發展科學、服務社會三大職能的支撐工作迅速適應線上教學和遠程辦公的疫情防控需要提出了新要求。在日常的學工、教務、財務和科研工作中，往往需要頻繁的面對面接觸，這就為疫情防控背景下高校如何利用新技術、新方案完成服務持續保障提出了新的挑戰。因此，在新冠疫情防控背景下研究高校當前和未來遠程辦公方案及實現方式具有一定的理論及現實意義。

1? 遠程辦公技術

要實現遠程辦公，首先要通過互聯網控制終端計算機，或者訪問終端計算機的特定服務端口。隨著遠程連接技術的不斷發展，現在主流有以下幾種連接技術[2-5]。

1.1? RPC/SSH連接技術

這種技術較為方便，不同的用戶可以訪問及使用計算機的不同資源和應用程序，但不適用于高校遠程辦公，因為需要為每位教師的辦公電腦做公網地址映射，把所有辦公電腦暴露在公共網絡，安全性極差，此外，辦公電腦的持續開機也會造成極大的資源浪費和安全隱患[6]。

1.2? 應用軟件技術

現在有很多專業軟件或者內嵌遠程協助功能的軟件，通過在需要開啟遠程的計算機和本地計算機上安裝相同的軟件來實現遠程連接，如向日葵、Teamviewer、RemoteCall、VNC、QQ等，安裝好客戶端和服務端后，可以輸入訪問地址和密碼進行訪問控制[7]。但這種方式容易使黑客通過系統漏洞給辦公電腦安裝木馬程序，等木馬被激活后就會自動在后臺運行，進而破壞或是竊取信息。

1.3? 辦公應用平臺技術

這種技術需要在高校內網環境中搭建辦公應用平臺，如建立服務器集群，利用服務器操作系統提供的Web、ftp等其他應用服務進行安裝，教師們就可以通過輸入平臺Web地址實現遠程辦公。這種方法的缺點就是經費投入特別大，必須購買平臺軟硬件，而且由于近幾年高校信息系統的多樣化和復雜化，選擇一款兼容所有系統的平臺并非易事。

但上述已有的遠程辦公技術解決方案，并不能完全滿足新冠疫情期間高校的遠程辦公需求，因為存在兩方面的特殊性：

1）時期的特殊性。不同于寒暑假或日常的遠程辦公模式，疫情期間的遠程辦公，更具有公共突發性群體事件的不可預測性、突發性等特點，所以需要選擇一條高可靠性、強安全性的技術路線才行。

2）行業的特殊性。不同于其他企事業單位，高校具有三大職能，隨著信息化建設越來越受重視，高校建設了各類信息化項目，但這些校園網內的管理應用系統只能向校園網內的用戶開放，屬于典型的內部資源只供內部人員訪問。疫情期間，高校教師需要遠程辦公和居家備課做科研，這就存在因工作地點的變化而導致網內資源無法使用的問題，所以需要選擇一條高鏈路質量保證、強私密性的技術路線才行。

綜合以上兩方面的特殊性，迫切需要設計出一種滿足新冠疫情防控期間高校教師遠程辦公需求的解決方案，而SSL VPN技術可以很好地滿足高校教師的遠程辦公需求[8]，完成內網資源的私密連接和隧道加密。

2? 基于SSL VPN技術的高校教師遠程辦公系統設計

2.1? 需求調研

針對疫情期間遠程辦公需求，通過問卷調查的形式對高校業務部門的行政人員和教學部門的專任教師進行調研，共31個部門，其中，教學部門12個，行政部門19個，考慮到最終結果的客觀性，每個部門抽科級以下一線業務教職工7人。遠程辦公系統的業務系統需求調研統計結果如圖1所示，遠程辦公系統性能需求調研統計結果如圖2所示。

由圖1可以看出，由于行政人員涉及工資核算和財務報賬，所以對于財務系統的遠程需求要大于專任教師；此外，專任教師通過教務系統發布教學任務、師德師風與同行互評、錄入課程信息與學生成績，因此對教務系統的需求遠大于行政人員，但不乏個別行政人員也承擔代課任務；學校的教科研課題和論文的輸出主要集中在教學部門，行政部門的科研需求往往在科技處和教務處；學工系統的遠程辦公由行政部門的學生管理中心和教學部門的學工科來完成，而后者的人數要大于前者。

由圖2可知，專任教師的遠程辦公持續時間和頻次要多于行政人員，這是由疫情期間遠程教學的持續規律性決定的，而行政人員的遠程辦公具有間歇性和不規律性的特點。由于涉及用戶體驗，無論是專任教師還是行政人員，對方訪問延遲的要求都較高；在使用系統方面，行政人員比專任教師更具多樣性。

通過需求調研結果不難看出，對于行政人員來說，更傾向選擇訪問頻次不高、可遠程業務系統數較多、訪問延遲低、遠程時間短的遠程辦公方案，而專任教師更愿意選擇訪問時間規律性較強、支持系統數較少、訪問持續時間較長、訪問延遲較低的遠程辦公方案。

2.2? 設計思路

構建SSL VPN網絡，若僅需基礎功能，在校園網部署一臺防火墻即能滿足需求。但由于疫情期間對遠程辦公的特殊性要求，以及專任教師與行政人員的差異化需求，除了防火墻外，還需要部署引入SSL VPN技術的硬件設備，經過設備選型，選用型號為RG-WALL 1600-VE，除了具有SSL VPN功能外，還需要向運營商申請數個公共網絡IP地址，這樣在互聯網的任意一個網絡位置均能通過公網地址訪問內網資源，帶寬最少1 Gbit/s，上行帶寬與下行帶寬相互對稱。

在軟件配置中，需要利用NAPT技術在公網地址池中抽取一個IP，出于網絡安全方面的考慮，這個地址必須通過學校行政管理部門的審批，防止地址分配過程中出現IP沖突。此外，在前期規劃準備階段，還需要依據業務系統和部門把內網物理網段進行劃分，VPN的虛擬地址池也要分配出多個地址段與物理網段一一映射。

2.3? 網絡架構

網絡架構是遠程辦公系統的基礎支撐，決定著系統運行的穩定性和可靠性。依據校園網絡架構的整體需求，將內部網絡劃分為四個網段，網段信息如表1所示。

從表1中可以看出，分配給教師外網用戶的虛擬網絡地址段為192.168.30.0/24，在配置SSL VPN時分配的虛擬子網不能與任何eth0口上的主網段相同，否則會有沖突，此外，必須為SSL VPN的eth0口分配一個獨立的網段，用于傳輸管理報文。

遠程辦公系統架構如圖3所示，圖中虛線代表外網用戶訪問內網服務器的來回數據走向，由網絡架構圖不難看出，為了隔離交換網廣播，將教職工（普通用戶）、服務器、SSL VPN辦公系統、核心設備均劃分為不同網段，其中，核心網絡層由出口路由器、網絡安全網關及核心交換機組成，且管理地址位于同一網段。當內網用戶訪問業務服務器資源時，只需三層設備進行網絡層的路由轉發。當位于公網的遠程辦公教師訪問學校內網資源時，遠程辦公系統通過虛擬專用網絡技術將數據進行隧道加密，并轉發至出口路由的上聯端口，出口路由通過查詢距離向量路由表，將報文進行協議轉換并轉發至內網上聯端口，直至服務器端傳輸過程結束。

2.4? SSL VPN配置

遠程辦公系統的核心是SSL VPN設備，配置過程分為以下幾個步驟：

步驟1：在旁掛拓撲的基礎上，將VPN設備的Eth0端口連接至核心交換機的以太網端口，將MGN端口連接至核心機房匯聚交換機的業務端口，用于遠程運維管理。

步驟2：配置出口路由器。出口路由器在遠程辦公系統中扮演網絡協議轉換器和上下行數據流導向器的雙重角色，通常需要配置動態地址轉換協議和路由協議：

1）基本的上網配置，如內外網出口IP地址池配置、端口速率和雙工模式配置等。

2）NAPT端口映射配置，其中，與SSL VPN相關的端口包括TCP：443、TCP/UDP：888、VPN的管理端口UDP 49、TCP 666。

3）配置去往內網網段的靜態路由，目的網段192.168.0.0，掩碼255.255.0.0，下一跳192.168.1.2。

步驟3：配置核心交換機。由于內網教師客戶端PC數量比較龐大，為了隔離廣播風暴，避免多重幀復制和MAC地址表不穩定等網絡安全隱患，需要在核心交換機上配置虛擬局域網（VLAN）技術和缺省路由：

1）劃分VLAN 10、20、30，配置VLAN對應的網關地址、上連口地址，配置默認路由，下一跳指向出口路由器的內網接口。

2）把Gi0/3接口劃分到VLAN 30，與RG-WALL 1600-VE互連。

3）配置去往外網的默認路由。

步驟4：配置RG-WALL 1600-VE。

遠程辦公系統的核心設備是RG-WALL 1600-VE，為了實現遠程管理、虛擬辦公組劃分和物理虛擬網段映射等功能，需要做如下配置：

1）配置eth1接口IP：192.168.30.2/24，外網網關：192.168.30.1/24。

2）定義內網用戶的網段和外網VPN用戶的網段，提供給接下來的訪問規則調用。

3）配置訪問規則，外網用戶訪問內網資源的數據，源地址轉換為eth1接口的IP。

配置截圖如圖4所示。

需要強調的是，外網用戶訪問內網的數據，經路由器轉發給1600-VE，然后1600-VE對數據進行NAT轉換，把外網用戶訪問內網資源數據的源地址轉換為eth0接口的IP，目標地址不變，再轉發給核心交換機，核心交換機轉發給內網服務器。服務器接收到訪問數據并進行回應的時候，目標地址是1600-VE的接口IP，轉發給核心交換機，核心交換機再轉發給1600-VE。

2.5? 遠程辦公系統訪問

在完成出口網關、核心交換機和VPN設備的配置后，即可進行遠程辦公系統的訪問，用戶訪問流程如下：

1）在客戶端PC的瀏覽器地址欄中輸入SSL VPN的公網IP地址加業務端口號，如http：//202.78.96.32：6586，此時，瀏覽器會彈出下載VPN客戶端的提示。

2）按提示內容下載并安裝VPN客戶端，而后在Windows操作系統桌面出現VPN的快捷方式，雙擊該快捷方式，彈出登錄界面如圖5所示，選擇其中一種登錄方式，如用戶名口令，輸入提前申請的遠程辦公賬號和密碼，點擊“登錄”即可，此時，在桌面右下角會出現一個藍色的圖標，表示登錄正常，若圖標顏色為紅色，則表示VPN工作異常，需聯系IT部門進行故障報修。

3）遠程辦公系統用戶登錄成功后，即可像在學校一樣無感地訪問各種業務系統和門戶，無須進行其他配置。出于網絡安全方面的考慮，在VPN設備上開啟用戶名與MAC地址綁定功能，當用戶首次在一臺電腦上登錄后，在其他電腦上即無法使用。

3? 遠程辦公系統應用

遠程辦公系統經過部署、配置、試運行和優化完善這四個階段，于2020年元旦正式上線，在新冠疫情期間（2019—2020學年第2學期）為全校教職員工的隔離辦公做出了重要的貢獻：

1）教務處的工作人員能夠在家通過遠程辦公系統訪問教務系統，發布與統籌教學任務，安排課程計劃、教學教室，錄入學生成績，打印成績單；批復與審核教學部門的人才培養方案，核對實習實訓計劃，并針對實習成果做核查、總結與評估；管理與維護學籍系統，做好學生入學、選課、考試、補考和重修等工作。

2）計財處的工作人員可通過遠程辦公系統登錄財務系統，保障了疫情期間教師工資的正常發放。

3）專任教師可通過遠程辦公系統登錄學校教學平臺，上傳課件，錄制微課，發布作業，考核課程，很好地完成了疫情期間的遠程教學任務。

4）IT部門系統管理員可通過VPN遠程管理學校的各大信息系統、網絡安全系統和網絡基礎設備，進行網絡流量監控、網絡負載均衡配置、網絡安全策略實施和網絡故障排查，在疫情期間為教職工提供了網絡服務支持與保障。

4? 結? 論

通過部署RG-WALL 1600-VE的SSL VPN解決方案，很好地解決了疫情期間高校教師的遠程辦公問題，便于線上教學或居家辦公的教師訪問內網業務系統中的優質教研資源。與此同時，也保證了數據安全和系統安全，在有效降低高校遠程辦公成本的前提下，為教師提供了端到端的安全信息傳輸，推動了高校遠程辦公技術的發展與進步，具有一定的借鑒意義。

參考文獻：

[1] 姚楨，胡智.新冠病毒肺炎疫情對中國計量科學研究院遠程辦公的啟示 [J].中國計量，2021（7）：36-38.

[2] 林凱.高校遠程辦公應用整體架構初探 [J].福建電腦，2012，28（9）：120-121+142.

[3] 安榮革.移動OA辦公自動化系統在高校管理中的應用 [J].中國管理信息化，2017，20（6）：236.

[4] 許得生.搭建SSL VPN輕松實現遠程辦公 [J].網絡安全和信息化，2021（8）：78-80.

[5] 陳偉，陳欣，張競文.遠程辦公時代網絡安全風險及防護探究 [J].信息與電腦：理論版，2021，33（15）：211-213.

[6] 周冰，呂昕鵬，陳興奧，等.遠程協同辦公系統的應用研究 [J].電腦知識與技術，2021，17（18）：253-255.

[7] 劉邦桂.虛擬專用網技術在校園網應用中的研究與實現 [J].軟件工程，2020，23（11）：13-16.

[8] 汪志勇.對SSL VPN安全關鍵技術的運用 [J].無線互聯科技，2019，16（9）：21-22.

作者簡介：曹園青（1985—），男，漢族，內蒙古巴彥淖爾人，講師，碩士研究生，研究方向：計算機網絡、信息安全、云計算。