文/邹仁明 劳凤丹
利用VPN服务快捷访问校内外资源
文/邹仁明 劳凤丹
VPN虚拟专用网络技术利用数据加密技术将网络与网络或远程个人计算机与网络连接起来,实现在公共网络上的安全数据传输。中国农业大学实施的VPN服务有两种类型:一类是为校内用户快速访问校外资源而设立的校内VPN服务,使用户通过教育网、公网双出口线路快速访问校外资源;另一类是为校外用户安全访问校内资源而提供的校外VPN服务,使用户安全快捷地访问指定的校内资源,如:财务管理系统、教务系统、图书馆文献查询服务等。本文主要介绍本校在VPN方面的一些应用经验。
为解决校内用户访问公网资源网速慢、访问国际网资源费用高等的一系列问题,多数高校的做法是增加公网线路,在校园网出口路由器上实施教育网和公网双出口或多出口机制,利用策略路由或动态链路负载均衡设备自动分配出口路由,让用户快捷地访问校外资源。但在我校,网络用户有3万多人,上网的计算机近2万台,我们实行的上网控制策略是用户包月访问国内资源,按国际流量计费控制国际资源访问。教育网的出口带宽为千兆,而公网出口带宽仅为100兆,二者出口带宽不对称。如果实行双出口机制,上网控制策略暂时不能改变,对用户上网行为也就不能有效控制,那么公网出口将会出现严重堵塞,不能为用户提供快捷的上网服务。
建立校内VPN服务,宗旨是保留校园网原出口结构及控制策略不变,将校内VPN服务单独连接到校园网和公网出口线路,使之能快速访问教育网和公网资源,通过对VPN服务局部增加接入控制策略,让用户自愿选择这种VPN快速上网服务。目前此服务的控制策略为:对校外网络资源不分国内、国外,限制每个用户的下行带宽为1Mbps,为校园网用户每月免费提供10小时,增加充值延时或包月不限时的附加服务,以满足不同用户的使用需求。
校内VPN的设计构架如图1所示,VPN设备采用PC服务器+RouterOS路由器软件构建,配双网卡,分别连接校园网、公网,路由设计为:访问教育网资源及校外文献查询资源指向校园网接口,其它路由指向公网接口。接入认证采用外部Radius认证方式,外部认证服务采用FreeRadius+MySQL共享软件搭建。用户的认证账户使用现有的计费账户,在网上自助申请开通校内VPN服务、按需选择不同的VPN使用时长,使用费用从校园网计费系统中扣除。申请成功后,用户即可按VPN拨号方式接入VPN服务、快速访问校外资源。RouterOS路由器提供外部日志功能,能记录用户的访问网址,便于安全审计。
校内VPN服务存在的问题主要有:用户需要使用VPN拨号连接访问外部资源,增加了用户上网难度;由于VPN服务并发处理能力有限,每台设备设计的最大在线用户数为2000,因此,只能为部分用户提供校内VPN服务。目前本校有两台VPN设备在线提供服务。不过,通过增加VPN设备、同域名多IP地址域名轮循解析方式可满足使用用户数增长的需求。
图1 校内VPN服务构架
校外VPN服务是为校外移动用户安全便捷地访问校内资源和图书文献检索数据库而提供的服务。我们曾采用RouterOS和OpenVPN软件分别构建校外VPN服务,但是用户需要安装VPN客户端软件,我们仅能采用路由方式控制用户可访问网段、存在安全隐患,可选的用户接入认证方式也比较有限、难以提供多种安全认证需求。我们选择SSL VPN商用安全接入设备来提供校外VPN服务,用户无需安装客户软件,只需使用浏览器访问VPN服务,即可安全接入校园网,方便访问校内指定资源。
SSL VPN设备连网方式如图2所示:VPN设备双网卡连接校园网和公网,分别配置教育网IP地址和公网IP地址,利用DNS按用户上网IP不同进行域名分源解析,使教育网用户访问VPN教育网网址、其他用户访问VPN公网网址,让用户能快速接入VPN服务器。VPN服务的接入认证手段多样,可使用内部用户、外部Radius、外部LDAP、数字证书等认证控制方式。对于一般用户采用校内LDAP目录服务账户来做用户身份认证,按用户组来定义可访问的校内资源和校外图书文献检索资源,实现不同类型的用户分配不同的资源访问权限。认证通过后,以网页形式列出可访问资源表(如图3所示),方便用户点击访问,有些下级链接网址被设置成网页不可见状态,减轻网页的复杂性;用户退出登录或关闭资源列表页面,VPN服务自动停止。利用VPN服务的SSO单点登录功能,还可与校内统一身份认证系统对接,用户通过身份认证后,即可对校内多个管理系统进行免登录访问。
校外VPN服务还提供服务监控、日志记录、系统维护等功能,方便管理员运行管理和安全审计。
图2 校外VPN服务连接
图3 用户可访问的校内资源列表
(作者单位为中国农业大学网络中心)