首页 文学文摘 时政新闻 科技科普 经济法律 健康生活 管理财经 教育教学 文化艺术 社科历史
电子技术与软件工程

首页>科技科普>电子技术与软件工程> 2014年第3期

利用VPN技术延伸学校网络资源服务

作者:黄永龙 来源:电子技术与软件工程


  摘要随着Internet的普及,在公用网络上建立专用网络的技术,即虚拟专用网络(VPN)已成为必然趋势。本文介绍了VPN技术、功能、优点及实现方式,并通过某中职学校校园网改造实例阐述了VPN的具体解决方案,具有一定的借鉴性。
  【关键词】虚拟专用网络 校园网 资源服务延伸
  近期,本人参与了某中职学校校园网络平台的改造工作。该校校园网络平台已经具有完善的校园网架构和网络中心机房,网络平台上架设有较先进和安全的.NET版XX校园网应用系统、国际贸易模拟实训平台、电子商务模拟实训平台、市场营销模拟实训平台、电子图书服务平台以及机房常用软件FTP服务平台。基于宽带网络的普及,本次的改造主要是利用VPN技术延伸以上网络资源服务,让学校校园网系统发挥更大作用。
  1 VPN简述
  1.1 什么是VPN
  VPN(Virtual Private Network )即是虚拟专用网络,指的是在公用网络上建立专用网络的技术。之所以称为虚拟网络,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
  1.2 VPN功能与优点
  (1)传输数据安全可靠——VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证传输数据的安全和保密性,保证连接用户的可靠性。
  (2)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方只能通过协商如何建立租用线路或帧中继线路,而采用虚拟专用网之后,只需双方配置安全连接信息即可。同时,VPN支持通过Internet和Extranet的任何类型的数据流,体现其可扩充性和灵活性。
  (3)完全控制——VPN使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。
  (4)节省通信费用,降低安装和维护WAN(广域网)设备和远程访问设备成本。
  1.3 实现方式
  VPN的实现有很多种方法,常用的有以下4种:
  (1)VPN服务器,在大型局域网中,可以在网络中心通过搭建VPN服务器的方法来实现。
  (2)软件VPN,可以通过专用的软件来实现VPN。
  (3)硬件VPN,可以通过专用的硬件来实现VPN。
  (4)集成VPN,很多的硬件设备,如路由器,防火墙等等,都含有VPN功能。
  2 设计方案
  2.1 设计思路及实现功能
  根据对其它多个单位(如:有多个校区的学校、医院等)使用外网接入案例进行分析,外网接入主要要解决好数据的安全性和敏感数据的有限开放(或不开放)问题,依据学校现有条件,拟采用硬件VPN方式实现我校网络资源服务延伸,硬件VPN设备能对内网服务器和外网访问客户机之间的通讯数据都进行十分有效的加密处理,数据加密就可以认为数据是在一条专用的数据链路上进行安全传输,如同专门架设一个专用网络一样,十分安全。现行证券网上交易系统、网上银行系统等均采用硬件VPN设备。
  在实现内、外网连接后,对网络资源共享采取“有限开放、分步实施”,在保证数据安全的前提下,通过不断放开平台资源共享,以最终实现共享最大化,为学校教学、管理、实训提供更便利和先进的服务。目前主要要实现的是让被授权的教职员工无论在家或是出差在外,只要在能接入Internet的地方,均能连接上学校校园网系统,实现对XX校园网系统的使用,如,成绩查询、录入、学藉管理等工作,同时,实现对学校FTP服务器上提供的资源进行下载,如,下载已收集、积累多年、适合学校教学、实训的软件等资源。具体如下:
  (1)接入XX校园网系统:实现30-50位用户同时在线(通过ADSL拔入或直接使用授权帐号、密码登陆),通过VPN 登录到学校服务器1上使用“XX校园网系统”所有功能。
  (2)接入FTP服务器:实现30-50位用户同时在线(通过ADSL拔入或直接使用授权帐号、密码登陆),通过VPN 登录到学校服务器2上,实现软件、课件等资源下载,实现资源共享,方便授权用户随时随地使用学校FTP服务器资源。
  2.2 实现方法
  实现本方案只需利用学校现行光纤专线ISP提供的固定IP地址在学校现有校园网系统加装一台VPN设备,并设置授权用户的登录用户名和密码即可。
  (1)VPN设备安装在学校网管中心机房机柜上。接入方式如图1 所示。
  (2)选用VPN设备。
  型号:深信服 VPN2050。
  具体参数:防火墙吞吐量:150Mbps ; 最大并发会话数:350000; SSL-VPN加密速度:100Mbps;并发SSL用户数:300 ;每秒新建用户数:60 ;IPSec-VPN加密速度:75Mbps;IPSec-VPN隧道数:3000;网络接口:4个千兆电口;1U机架式。
  考虑学校目前有可能使用VPN系统的教职员工数量以及授权号购买成本,先行购买30-50个授权用户数,学校可根据使用情况和网络拥堵情况进行用户逐步分批授权,该型号设备最大允许用户数300个,根据需要可再行购买。
  (3)授权用户具体使用方法。
  第一,授权接入用户使用学校XX校园网系统。(a)授权用户(学校教职员工)可以根据指定地址,或登录学校网站,点击主页上面的相关链接,如图:,即可进入提示页面,如图2,进入学校内网系统提示页面。(b)点击VPN用户登录,即可进入如图2的VPN登录界面。授权用户根据学校分配的用户名和密码即可进行VPN登录。(c)用户通过VPN验证后将可在显示页面上选择“XX校园网”而直接链接学校的校园网系统,如图3,学校校园网系统登录界面。用户可使用学校原已分配的用户名和密码进行登录使用系统。
  学校现行学分制.NET版XX校园网应用系统是基于网络的应用系统,采用B/S(浏览器/服务器)架构模式,有一整套完善的权限管理体系,确保系统数据的安全、可靠,每一个用户都只能对授权范围内的功能项进行操作。学校校园网系统原已对各部门和不同教职员工进行权限划分,如:办公室指定管理员可以发布“公告”,教务科指定管理员可以进行教学计划、教师名册等资料上传和修改,各班主任可以查询、导出本班成绩和进行本班学籍管理,普通科任老师只能根据教务科发送成绩表,对指定成绩表进行成绩录入、保存、提交操作,普通教职员工只能查阅学校公告,各权限划分清晰,均不能越权操作。图5是正常登录后显示首页。
  第二,授权用户对学校FTP服务器资源进行访问、下载方法。授权用户接入FTP服务器的方法与进入XX校园网前的操作方法相同,只不过在通过VPN用户验证后在显示的页面中点击“FTP服务”而直接进入服务器进入资源下载,第一阶段尚未考虑开放上传功能。
  3 其它说明
  考虑外网用户接入内网系统数据传输过程的复杂性和安全性,如:网络攻击和黑客入侵,所以本方案采用硬件VPN设备。而考虑授权用户的保密性,在接入XX校园网时采用双重密码验证,即VPN身份验证以及XX网系统的用户名和密码验证,也要求授权用户需保存好这两套用户名和密码,并对初始密码进行修改,如若发现帐户有异常或授权帐户已经不需再使用内网系统,管理员可随时对其进行停用、销户处理。
  通过本次参与校园网络平台的改造工作,使本人认识到VPN技术可以使Internet这种大众化的网络发挥重要的作用,但在使用中千万要注意保安性的问题,这样,VPN才能实现所期望的快捷,安全的通信。在不远的将来,VPN技术将成为广域网建设的最佳解决方案。
  
  作者单位
  中通信息服务有限公司第一分公司广东省汕头市515041
  

热门推荐
电子杂志 更多 +