幼兒園資源庫(kù)的遠(yuǎn)程訪問(wèn)方案探討

摘要：基于NAS的幼兒園資源庫(kù)對(duì)遠(yuǎn)程訪問(wèn)方案有較高要求，而常見(jiàn)的遠(yuǎn)程訪問(wèn)方案存在傳輸速率慢或費(fèi)用高等問(wèn)題，難以滿足實(shí)際需求。該文以福建省兒童保育院資源庫(kù)為例，首先闡述了“群暉NAS”在該院的應(yīng)用現(xiàn)狀以及對(duì)遠(yuǎn)程訪問(wèn)NAS方案的具體要求，然后從多方面分析對(duì)比了多種方案，最后提出了適合該院的最佳方案，并詳細(xì)闡述了實(shí)現(xiàn)部署的過(guò)程。該方案具有經(jīng)濟(jì)性好、傳輸速率快、安全性高等優(yōu)點(diǎn)，值得推廣應(yīng)用。

關(guān)鍵詞：NAS；遠(yuǎn)程訪問(wèn)；資源庫(kù)；幼兒園；數(shù)字資源；IPSec；L2TP；VPN

中圖分類號(hào)：TP393.2 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2025）05-0067-04 開(kāi)放科學(xué)（資源服務(wù)） 標(biāo)識(shí)碼（OSID） ：

0 引言

NAS已廣泛應(yīng)用于各行業(yè)及家庭。對(duì)于遠(yuǎn)程訪問(wèn)需求不高的個(gè)人或單位，NAS自帶的遠(yuǎn)程訪問(wèn)功能可能滿足需求。但對(duì)于需要大數(shù)據(jù)量訪問(wèn)或有較高經(jīng)濟(jì)性、安全性等要求的單位，常見(jiàn)的NAS遠(yuǎn)程訪問(wèn)方式難以滿足需求，因此值得深入探討。

1 NAS 應(yīng)用現(xiàn)狀和遠(yuǎn)程訪問(wèn)需求

福建省兒童保育院本部部署了一臺(tái)“群暉NAS”

作為資源庫(kù)，即數(shù)字資源管理系統(tǒng)，供本部和分部使用[1]。分部大約有20臺(tái)使用Microsoft Windows操作系統(tǒng)的遠(yuǎn)程計(jì)算機(jī)需要通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)NAS。福建省兒童保育院對(duì)遠(yuǎn)程訪問(wèn)NAS的方案有以下要求：1） 由于幼兒園經(jīng)費(fèi)有限，要求經(jīng)濟(jì)性好；2） 分部遠(yuǎn)程用戶在資源庫(kù)上存取辦公文檔、圖片的情況較多，但也經(jīng)常需要存取視頻、音頻，因此要求傳輸速率較高；3）NAS上存儲(chǔ)著大量資料，且很多用戶設(shè)置簡(jiǎn)易密碼，因此要求遠(yuǎn)程訪問(wèn)NAS的安全性要強(qiáng)；4） 用戶均為非計(jì)算機(jī)專業(yè)的幼兒園教師，要求涉及的操作不能過(guò)于復(fù)雜、專業(yè)；5） 遠(yuǎn)程用戶需要使用NAS的SMB服務(wù)、home 目錄、Video Station 套件、Moments 套件、Photo Station 套件、Audio Station套件等；6） 用戶希望訪問(wèn)NAS上的目錄和文件就像訪問(wèn)本地計(jì)算機(jī)的目錄和文件一樣，因此NAS的SMB服務(wù)對(duì)遠(yuǎn)程用戶十分重要[1]。

可見(jiàn)，幼兒園對(duì)遠(yuǎn)程訪問(wèn)NAS的方案要求較高，需要分析對(duì)比選出最佳方案，并研究如何部署實(shí)施。

2 方案分析與比較

2.1 QuickConnect

QuickConnect 是群暉公司提供的遠(yuǎn)程訪問(wèn)NAS方案，它允許用戶通過(guò)Synology QuickConnect服務(wù)器訪問(wèn)“群暉NAS”。用戶只須注冊(cè)Synology帳戶，并在NAS 的控制面板上輸入賬戶信息和設(shè)置QuickCon?nect ID，便可生成供遠(yuǎn)程訪問(wèn)的鏈接。

實(shí)際測(cè)試發(fā)現(xiàn)，即使NAS和遠(yuǎn)程計(jì)算機(jī)在同一個(gè)行政街道，都使用電信的千兆政企寬帶（上行100 Mbps，下行1 000 Mbps） 接入互聯(lián)網(wǎng)，傳輸速率也較低[2]，每次下載測(cè)試均約為900 KB/s，難以滿足福建省兒童保育院需求。

QuickConnect 無(wú)法支持NAS 上的所有第三方服務(wù)和應(yīng)用程序，也無(wú)法支持需要服務(wù)IP地址或域名信息的服務(wù)，如SMB、FTP等[3]。此外，雖然群暉公司采取了一系列安全措施，數(shù)據(jù)在傳輸過(guò)程中有保障，但QuickConnect遠(yuǎn)程訪問(wèn)鏈接容易被外部人員獲取，加上福建省兒童保育院很多職工設(shè)置簡(jiǎn)易密碼，導(dǎo)致安全風(fēng)險(xiǎn)較高[4]。因此，QuickConnect無(wú)法滿足需求。

2.2 有固定公網(wǎng)IP 的電信互聯(lián)網(wǎng)專線直接接NAS

如果采用該方案，互聯(lián)網(wǎng)上的任何人都可以直接訪問(wèn)NAS，因此安全風(fēng)險(xiǎn)特別高，會(huì)面臨暴力破解密碼、NAS系統(tǒng)漏洞、勒索病毒、用戶密碼過(guò)于簡(jiǎn)單等造成的諸多風(fēng)險(xiǎn)[4]。此外，《非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法》規(guī)定，應(yīng)按照非經(jīng)營(yíng)性網(wǎng)站進(jìn)行備案和管理，但福建省兒童保育院作為事業(yè)單位，在特殊時(shí)期需按照上級(jí)單位要求臨時(shí)關(guān)閉網(wǎng)站，這必然會(huì)影響NAS的遠(yuǎn)程訪問(wèn)。另外，由于使用了帶固定公網(wǎng)IP的互聯(lián)網(wǎng)專線，導(dǎo)致經(jīng)濟(jì)性較差。以中國(guó)電信福州分公司2024年2月的報(bào)價(jià)為例，上下行200 Mbps帶1個(gè)固定公網(wǎng)IP 的互聯(lián)網(wǎng)專線每年費(fèi)用為4 萬(wàn)元，而1 000 Mbps的積木套餐政企寬帶（上行100 Mbps，下行1 000 Mbps） 每月約430元。

2.3 有固定公網(wǎng)IP 的靜態(tài)端口映射

此方案是2.2方案的改進(jìn)方案：路由器的兩個(gè)端口分別接入固定公網(wǎng)IP互聯(lián)網(wǎng)專線和NAS，并在路由器上配置固定公網(wǎng)IP、端口號(hào)與NAS的局域網(wǎng)IP地址、端口號(hào)的映射關(guān)系。雖然此方案僅暴露了映射的端口，但同樣面臨2.2方案中提及的多種問(wèn)題。

2.4 基于DDNS 的靜態(tài)端口映射

此方案是方案2.3的改進(jìn)方案：若采用寬帶，相比帶固定IP的互聯(lián)網(wǎng)專線，可以節(jié)約費(fèi)用。但寬帶分配的是動(dòng)態(tài)IP，因此需要采用DDNS。此方案經(jīng)濟(jì)性較好，但依然面臨方案2.2中提及的多種問(wèn)題。對(duì)于資金、網(wǎng)絡(luò)安全設(shè)備和人才都匱乏的幼兒園，上述一系列方案均不適合。很重要的原因是缺乏安全保障，且無(wú)須像網(wǎng)站一樣開(kāi)放，只需讓分園工作人員、出差員工、居家加班員工能夠訪問(wèn)即可。

2.5 VPN

VPN，即虛擬專用網(wǎng)絡(luò)（Virtual Private Network） ，它是基于Internet建立起具有點(diǎn)對(duì)點(diǎn)鏈路傳輸特性的隧道，以保證數(shù)據(jù)傳輸?shù)陌踩浴Ｔ诮⑺淼乐?，需先完成雙向身份鑒別，因此只能將訪問(wèn)NAS的權(quán)限提供給授權(quán)的遠(yuǎn)程用戶。此外，在傳輸過(guò)程中還可以采用加密算法或報(bào)文摘要算法，以保證傳輸數(shù)據(jù)的保密性和完整性。因此，相對(duì)于上述幾個(gè)方案，幼兒園采用VPN 更能保障遠(yuǎn)程訪問(wèn)NAS 的安全。常見(jiàn)的VPN方案有以下幾種。

2.5.1 購(gòu)買VPN 設(shè)備

市面上專業(yè)VPN設(shè)備眾多，且功能強(qiáng)大，但大都價(jià)格昂貴，不適合幼兒園。部分廠商推出了易配置、易使用、易維護(hù)的小型VPN設(shè)備，如貝銳蒲公英P5旁路組網(wǎng)盒子。P5盒子體積小巧，價(jià)格適中，無(wú)須固定公網(wǎng)IP支持。但其最高傳輸速率與所購(gòu)買套餐的費(fèi)用成正比，在遠(yuǎn)程傳輸速率要求較高的情況下，每年需支付的費(fèi)用較高，因此應(yīng)探索更經(jīng)濟(jì)的方案。

2.5.2 購(gòu)買ISP 的VPN 服務(wù)

ISP通常提供VPN租賃服務(wù)，幼兒園只須負(fù)責(zé)繳費(fèi)使用，ISP負(fù)責(zé)部署和維護(hù)，常見(jiàn)的是MPLS VPN。ISP提供的VPN安全可靠、穩(wěn)定性高，但價(jià)格也不菲。因此，應(yīng)探索更經(jīng)濟(jì)的方案。

2.5.3 利用路由器上的VPN 功能

幼兒園資金和網(wǎng)絡(luò)規(guī)模都有限，應(yīng)盡可能避免再購(gòu)買設(shè)備，應(yīng)優(yōu)先考慮利用路由器上自帶的VPN功能。雖然VPN的分類很多，但市面上中低端路由器自帶的VPN種類并不多。以福建省兒童保育院本部的華為AR2240路由器為例，該路由器對(duì)幼兒園來(lái)說(shuō)已頗為昂貴，但它自帶的VPN 只有SSL VPN、IPSecVPN、L2TP VPN三種。如果采用SSL VPN，訪問(wèn)控制較為精細(xì)，但SSL VPN基于B/S架構(gòu)，用戶須通過(guò)瀏覽器訪問(wèn)資源庫(kù)，無(wú)法像訪問(wèn)本地計(jì)算機(jī)目錄和文件一樣，因此無(wú)法滿足用戶需求。另外，以福建省兒童保育院分部為例，幼兒園分園的局域網(wǎng)規(guī)模通常較小，為了節(jié)約費(fèi)用，路由器一般較為低端，無(wú)法支持IPSec 協(xié)議，因此通常無(wú)法采用“網(wǎng)關(guān)到網(wǎng)關(guān)”的IPSec VPN。

L2TP VPN能夠在LAC（L2TP訪問(wèn)集中器） 和LNS（L2TP網(wǎng)絡(luò)服務(wù)器） 之間建立第二層隧道，用于傳輸鏈路層幀。即如果將福建省兒童保育院本部的路由器部署為L(zhǎng)NS，在遠(yuǎn)程計(jì)算機(jī)上安裝VPN 軟件并部署為L(zhǎng)AC，就相當(dāng)于在它們之間接了一條網(wǎng)線，使遠(yuǎn)程計(jì)算機(jī)能夠像本院本部的計(jì)算機(jī)一樣訪問(wèn)NAS。分部工作人員、出差或居家加班的員工都可以采用這種方式。以福建省兒童保育院本部路由器為例，不但支持利用寬帶部署基于DDNS的L2TP VPN，還支持同時(shí)創(chuàng)建1024個(gè)隧道。而且，安裝使用華為的VPN軟件無(wú)須再支付任何費(fèi)用。更重要的是，L2TP VPN還支持啟用IP?Sec協(xié)議構(gòu)成L2TP Over IPSec VPN。IPSec協(xié)議采用一系列認(rèn)證算法和加密算法，可以對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證、數(shù)據(jù)源驗(yàn)證和數(shù)據(jù)加密[5]。因此，L2TP Over IPSecVPN同時(shí)具備L2TP VPN和IPSec VPN的優(yōu)點(diǎn)，可以使遠(yuǎn)程訪問(wèn)NAS更加靈活、安全，還能滿足福建省兒童保育院對(duì)遠(yuǎn)程訪問(wèn)方案的所有需求，是最適合的方案。

3 配置L2TP Over IPSec VPN

3.1 確保分配到的是公網(wǎng)IP

由于帶固定IP互聯(lián)網(wǎng)專線費(fèi)用高，只能采用政企寬帶，但目前福州的電信、移動(dòng)等ISP的政企寬帶都不支持分配IPv6，而且分配IPv4的IP不僅是動(dòng)態(tài)的，還有可能只是城域網(wǎng)IP。因此，可以使用ip138.com等相關(guān)網(wǎng)站判斷是否屬于公網(wǎng)IP，否則要聯(lián)系運(yùn)營(yíng)商解決。以福州電信為例，可以用手機(jī)撥打10000轉(zhuǎn)人工客服，并請(qǐng)求幫助“因遠(yuǎn)程看單位監(jiān)控需要，請(qǐng)給寬帶分配公網(wǎng)IP，不要城域網(wǎng)IP”，在客服人員的提示下輸入寬帶賬號(hào)和密碼，客服人員便能幫助解決，無(wú)須到營(yíng)業(yè)廳。

3.2 確定DDNS 更新方式

部分動(dòng)態(tài)域名提供商提供免費(fèi)DDNS服務(wù)器持續(xù)在更新域名與IP地址的映射關(guān)系，但它容易發(fā)生“故障”，導(dǎo)致域名與IP地址映射錯(cuò)誤，要很長(zhǎng)的時(shí)間才能“修復(fù)”，這時(shí)客服會(huì)“及時(shí)”聯(lián)系并推薦購(gòu)買DDNS服務(wù)器套餐。由于付費(fèi)的DDNS服務(wù)器確實(shí)具有更新速度快、可靠性高等優(yōu)點(diǎn)，所以采用付費(fèi)的DDNS服務(wù)器更新的方式，不用RFC2136定義的方式。

3.3 購(gòu)買DDNS 域名和服務(wù)器套餐

申請(qǐng)動(dòng)態(tài)域名可以在“貝銳”“公云”等網(wǎng)站申請(qǐng)。如果購(gòu)買的動(dòng)態(tài)域名套餐十分便宜，甚至三四年才五十多元，通常只包含動(dòng)態(tài)域名本身，應(yīng)加買動(dòng)態(tài)域名服務(wù)套餐。以“貝銳”公司客服人員推薦的598元“精英版”為例，十分穩(wěn)定可靠。

3.4 選定VPN 軟件

VPN軟件很多，甚至Microsoft Windows OS本身也具有L2TP VPN撥號(hào)功能，但不一定能支持L2TP OverIPSec VPN。另外，為了通信兩端具有盡量多共同支持的認(rèn)證、加密算法以供選擇，也為了盡量避免兼容問(wèn)題，應(yīng)從路由器廠商指定的VPN軟件進(jìn)行選擇。華為公司指定的VPN 軟件有UniVPN、SecoClient、HUAWEI VPN Client，經(jīng)過(guò)安裝測(cè)試，發(fā)現(xiàn)華為的三款VPN軟件均暫未支持DPD，唯獨(dú)HUAWEI VPN Client 支持KeepAlive報(bào)文。為了保證一端掉線，另外一端及時(shí)清除SA，以便下次正常登錄，福建省兒童保育院選用支持KeepAlive報(bào)文的HUAWEI VPN Client。

3.5 擬定路由器配置及分階段測(cè)試方案

先配置DDNS策略、L2TP VPN，并嘗試ping動(dòng)態(tài)域名及其所映射的IP，要確保都有響應(yīng)，然后在終端安裝配置VPN軟件，要確保L2TP VPN能撥號(hào)成功。

最后，在路由器配置Ike和IPSec的參數(shù)，必須選擇VPN軟件和路由器兩端都支持的認(rèn)證、加密算法，如果有多種算法兩端都支持，就要根據(jù)路由器性能、遠(yuǎn)程終端數(shù)量等去權(quán)衡安全性、運(yùn)算速度、資源消耗后再選用。

3.6 在路由器上配置

以福建省兒童保育院的華為AR2240 路由器為例，配置L2TP Over IPSec VPN的關(guān)鍵腳本如下。

#使能L2TP功能

l2tp enable

#配置L2TP的用戶名fjsetbyy、密碼mima、用戶級(jí)別0（參觀級(jí)，最低級(jí)權(quán)限） 及用戶類型ppp。所有VPN 軟件，可以共用一個(gè)賬號(hào)、密碼，為了分開(kāi)管理，也可以多分配幾個(gè)。

aaa

local-user fjsetbyy password cipher mima

local-user fjsetbyy privilege level 0

local-user fjsetbyy service-type ppp

#定義地址池，為遠(yuǎn)程計(jì)算機(jī)分配IP地址

ip pool lns

gateway-list 192.168.99.1

network 192.168.99.0 mask 255.255.255.0

#創(chuàng)建并配置虛擬接口模板（設(shè)置身份驗(yàn)證模式、指定為遠(yuǎn)程終端分配IP的地址池及本虛擬接口的IP）

interface Virtual-Template 1

ppp authentication-mode chap

remote address pool lns

ip address 192.168.99.1 255.255.255.0

#配置DNS解析，并指定DNS服務(wù)器和備用DNS 服務(wù)器的地址。用來(lái)解析DDNS策略中的域名。

dns resolve

dns server 218.85.152.99

dns server 218.85.157.99

#配置DDNS策略：更新方式為vendor-specific、更新間隔為60秒及更新URL（基于TCP與www.oray.cn通信，賬號(hào)fjsetbyy密碼mima） 。在配置DDNS策略過(guò)程中，曾遇到過(guò)一直提示賬號(hào)密碼沖突的情況，通過(guò)排查和咨詢客服才知道要對(duì)域名更新設(shè)置獨(dú)立密碼。并且該功能在該網(wǎng)站的管理平臺(tái)、菜單等都沒(méi)有呈現(xiàn)，只有咨詢客服才能獲得鏈接。

ddns policy ddnspolicy

method vendor-specific

interval 60

url oray：//lt;usernamegt; ： lt;passwordgt; @phddnsdev.oray.net username fjsetbyy password mima

#創(chuàng)建L2TP組編號(hào)為1，不啟用隧道驗(yàn)證功能、設(shè)置本端隧道名稱為lns

l2tp-group 1

undo tunnel authentication

tunnel name lns

allow l2tp virtual-template 1

#設(shè)置發(fā)送KeepAlive報(bào)文的時(shí)間間隔為20秒、接收KeepAlive報(bào)文的超時(shí)時(shí)間為60秒。

ike local-name byy

ike heartbeat-timer interval 20

ike heartbeat-timer timeout 60

#創(chuàng)建編號(hào)為10的ike安全提議，認(rèn)證方式為預(yù)共享密鑰，驗(yàn)證算法為MD5，加密算法為des，DH組標(biāo)志為Group1

ike proposal 10

authentication-method pre-share

authentication-algorithm md5

encryption-algorithm des

dh group1

#創(chuàng)建名為ikepeer的ike v1對(duì)等體：由于通信兩端的公網(wǎng)IP不固定，而且存在NAT設(shè)備，所以協(xié)商模式采用野蠻模式；預(yù)共享密鑰為yugongxiangK、引用編號(hào)為10 的ike 安全提議、ID 類型為名字、對(duì)端（運(yùn)行VPN軟件的終端） 名字為byyfb、為保證報(bào)文能正常通過(guò)NAT網(wǎng)關(guān)，隧道兩端都要啟用NAT穿越。

ike peer ikepeer v1

exchange-mode aggressive

pre-shared-key cipher yugongxiangK

ike-proposal 10

local-id-type name

remote-name byyfb

nat traversal

#創(chuàng)建名為ipsecproposal的安全提議，定義了IP?Sec協(xié)商SA的各種參數(shù)：安全協(xié)議為ESP、封裝模式為隧道模式、ESP協(xié)議驗(yàn)證算法為MD5、ESP協(xié)議加密算法為DES。IPSec采用傳輸模式或者隧道模式為IP及上層協(xié)議TCP或UDP提供安全服務(wù)，其中傳輸模式適用于主機(jī)之間，而隧道模式適用于外部網(wǎng)絡(luò)和安全網(wǎng)關(guān)之間，因此采用隧道模式。

ipsec proposal ipsecproposal

transform esp

encapsulation-mode tunnel

esp authentication-algorithm md5

esp encryption-algorithm des

#創(chuàng)建順序號(hào)為1的IPSec策略模板。目的是減少配置工作量，也為了讓IP地址不固定的分部終端向本端發(fā)起主動(dòng)協(xié)商。順序號(hào)的值越小優(yōu)先級(jí)越高。

ipsec policy-template ipsecpolicytemp 1

ike-peer ikepeer

proposal ipsecproposal

#引用策略模板ipsecpolicytemp創(chuàng)建IPSec策略。

ipsec policy ipsecpolicy 1 isakmp template ip?secpolicytemp

#應(yīng)用DDNS策略、IPsec策略

interface Dialer1

ddns apply policy ddnspolicy fqdn fjsetbyy.vicp.fun

ipsec policy ipsecpolicy

3.7 配置HUAWEI VPN Client

首先按照路由器配置的認(rèn)證、加密算法及預(yù)共享密鑰等參數(shù)對(duì)VPN軟件進(jìn)行設(shè)置。并在“基本設(shè)置”選項(xiàng)卡中選中“連接成功后允許訪問(wèn)Internet”。還要在“路由器設(shè)置”選項(xiàng)卡的選項(xiàng)“訪問(wèn)下列地址時(shí)使用VPN連接”填入NAS的IP地址和子網(wǎng)掩碼，以便遠(yuǎn)程終端使用VPN 訪問(wèn)NAS的同時(shí)也能正常訪問(wèn)Inter?net。最后，在菜單欄中選中“開(kāi)機(jī)自動(dòng)啟動(dòng)”“啟動(dòng)后自動(dòng)連接”， 便可實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)啟動(dòng)VPN軟件、自動(dòng)撥號(hào)。為了簡(jiǎn)化部署工作，可以在菜單欄中點(diǎn)擊“導(dǎo)出配置信息”生成文件，該文件可復(fù)制到其他計(jì)算機(jī)上供“導(dǎo)入配置信息”。

如果無(wú)法撥號(hào)成功，須分階段排查：首先ping動(dòng)態(tài)域名，查看動(dòng)態(tài)域名映射的IP是否正確。第二步，利用遠(yuǎn)程終端ping域名映射的IP地址，如果不通，應(yīng)核實(shí)IP地址是否是公網(wǎng)IP。第三步，排查VPN軟件與本部路由器相關(guān)參數(shù)是否一致，比如預(yù)共享密鑰、相關(guān)算法等。第四步，使用display ddns policy、dis?play l2tp tunnel、display ike sa、display ipsec sa 等命令繼續(xù)排查。

3.8 測(cè)試

測(cè)試環(huán)境：NAS采用群暉SHR磁盤陣列[6]，安裝了2塊4T和一塊10T希捷“酷狼”NAS專用硬盤；遠(yuǎn)程終端采用一臺(tái)裝有千兆網(wǎng)卡、SATA 接口固態(tài)硬盤的Windows平臺(tái)臺(tái)式計(jì)算機(jī)。通信兩端的局域網(wǎng)均采用電信公司的政企寬帶（上行100 Mbps、下行1 000 Mbps） 接入互聯(lián)網(wǎng)。提前把HUAWEI VPN Client（版本號(hào)V100R001C02SPC701） 及配置文件拷貝于計(jì)算機(jī)C 盤。經(jīng)測(cè)試：安裝VPN軟件，采用配置信息文件導(dǎo)入配置信息，設(shè)置自動(dòng)啟動(dòng)、自動(dòng)撥號(hào)，整個(gè)過(guò)程大約需要80 s；撥號(hào)成功后，遠(yuǎn)程終端能夠使用SMB服務(wù)，像訪問(wèn)本地計(jì)算機(jī)的目錄、文件一樣訪問(wèn)NAS；也能夠采用瀏覽器登錄NAS的管理后臺(tái)進(jìn)行安裝套件、使用Video station等套件、改變目錄權(quán)限、備份等操作。經(jīng)過(guò)多次上傳下載MP4格式視頻文件測(cè)得平均值：上傳13.4 MB/s，下載13.8 MB/s。

經(jīng)實(shí)際運(yùn)行使用發(fā)現(xiàn)遠(yuǎn)程終端的VPN軟件在個(gè)別局域網(wǎng)無(wú)法撥號(hào)成功，到“第三階段”就終止，并提示“IKE與對(duì)方建立連接超時(shí)”。經(jīng)排查：NAT穿越是否啟用、通信兩端配置、端口開(kāi)放情況，均未發(fā)現(xiàn)問(wèn)題。而且，VPN軟件去掉“啟用IPSec安全協(xié)議”選項(xiàng)，單獨(dú)使用L2TP VPN撥號(hào)都能成功。排查發(fā)現(xiàn)，系遠(yuǎn)程終端所在局域網(wǎng)的IP網(wǎng)段與院部局域網(wǎng)的一個(gè)網(wǎng)段相同，導(dǎo)致數(shù)據(jù)包轉(zhuǎn)發(fā)問(wèn)題。最后，通過(guò)改變福建省兒童保育院本部的局域網(wǎng)網(wǎng)段，使每一個(gè)網(wǎng)段都不是常見(jiàn)的路由器默認(rèn)網(wǎng)段（比如192.168.1.0/24） ，就再也沒(méi)有發(fā)生類似故障。

4 結(jié)束語(yǔ)

該方案的主要優(yōu)點(diǎn)如下：經(jīng)濟(jì)性好，無(wú)須再購(gòu)買設(shè)備，也無(wú)須更換分園不支持IPSec協(xié)議的路由器，同時(shí)避免了使用經(jīng)濟(jì)性較差的帶固定IP的互聯(lián)網(wǎng)專線，除DDNS服務(wù)器套餐費(fèi)外，無(wú)需其他額外費(fèi)用。該方案的數(shù)據(jù)傳輸速率高，能夠充分利用寬帶的最高上行和下行速率。該方案的安全性強(qiáng)，NAS的訪問(wèn)權(quán)限僅提供給授權(quán)的遠(yuǎn)程用戶，能夠鑒別數(shù)據(jù)來(lái)源，保證數(shù)據(jù)的機(jī)密性、完整性和抗重放功能。該方案簡(jiǎn)單易用，遠(yuǎn)程用戶平時(shí)無(wú)須任何操作即可實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)并完成自動(dòng)撥號(hào)，如掉線則會(huì)自動(dòng)重?fù)?。該方案能讓遠(yuǎn)程用戶正常使用他們所需的NAS套件和服務(wù)，包括SMB 服務(wù)，同時(shí)也支持出差或居家加班員工訪問(wèn)NAS。該方案的部署方式易于被幼兒園接受，計(jì)算機(jī)專業(yè)人員完成首次部署后，后續(xù)如需更換或添加新的計(jì)算機(jī)，幼兒教師只須導(dǎo)入配置文件即可輕松完成VPN軟件的參數(shù)設(shè)置。

參考文獻(xiàn)：

[1] 陳正鑫.幼兒園數(shù)字資源管理系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].電腦知識(shí)與技術(shù)，2020，16（23）：65-67.

[2] 群暉科技股份有限公司. QuickConnect 與 DDNS 之間有何區(qū)別？[EB/OL].（2023-07-14） [2023-10-20].https：//kb.synology.cn/zh-cn/DSM/tutorial/What_are_the_differences_between_Quick?Connect_and_DDNS.

[3] 群暉科技股份有限公司.哪些套件和服務(wù)支持QuickCon?nect？ [EB/OL].（2021-04-08） [2023-10-20].https：//kb.synol?ogy. cn/zh-cn/DSM/tutorial/Which_services_support_QuickCon?nect.

[4] 群暉科技股份有限公司.勒索病毒又雙叒來(lái)了！做好這9點(diǎn)，讓你的NAS安全感爆棚！[EB/OL].（2020-10-13） [2023-10-20].https：//mp.weixin.qq.com/s/q7uMUN3iEwXYfybns8i2Mw.

[5] 趙菁.基于Wireshark的IPSec協(xié)議抓包分析[J].電腦編程技巧與維護(hù)，2023（12）：32-34.

[6] 群暉科技股份有限公司. 什么是 Synology Hybrid RAID（SHR）？[EB/OL]. （2019-01-07） [2023-10-20].https：//www.syn?ology. com/zh-cn/knowledgebase/DSM/tutorial/Storage/What_is_Synology_Hybrid_RAID_SHR.

【通聯(lián)編輯：代影】