關(guān)于校園網(wǎng)遠(yuǎn)程接入方式三趨勢簡介

　　到現(xiàn)在，SSL VPN在教育行業(yè)的應(yīng)用，可以歸結(jié)出三個(gè)綜合需求，因此形成了三個(gè)發(fā)展趨勢。

　　SSL VPN技術(shù)在教育信息化的發(fā)展下，已得到眾多高校的廣泛認(rèn)可。SSL本身就是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)、它使用了對(duì)稱加密技術(shù)，常用于在Web瀏覽器與Web服務(wù)器之間建立安全通信通道。如網(wǎng)上銀行就是基于SSL的應(yīng)用建立起來的。針對(duì)SSL VPN在教育行業(yè)的應(yīng)用，可以歸結(jié)出如下三個(gè)綜合性需求趨勢：即大規(guī)模應(yīng)用下的VPN接入需求、移動(dòng)訪問數(shù)字圖書館、校園內(nèi)外網(wǎng)的多線路智能分流。

大規(guī)模應(yīng)用下VPN接入

　　要引入VPN接入，就必須考慮到大規(guī)模應(yīng)用的支持問題，必須保證外網(wǎng)接入校園網(wǎng)的需求，以及在大規(guī)模訪問的應(yīng)用下，來自客戶端的安全性，來自于服務(wù)器端的穩(wěn)定性，來自于線路傳輸?shù)募胺��?wù)器數(shù)據(jù)處理的高效性，還有來自于用戶應(yīng)用的簡便性。四者缺一不可。

　　綜合歸類，體現(xiàn)最為突出的問題有以下三點(diǎn)：大規(guī)模應(yīng)用，致使服務(wù)器的超負(fù)荷運(yùn)作；單點(diǎn)故障，致使業(yè)務(wù)風(fēng)險(xiǎn)增加；以及設(shè)備高端化，使得采購成本的增加。

　　通過對(duì)以上問題的分析，對(duì)于多用戶群的接入，以隧道式ICEFLOW SSL VPN安全設(shè)備為例,作為校園網(wǎng)絡(luò)中心網(wǎng)關(guān)，讓用戶群通過SSL方式建立專用安全隧道，再以Web瀏覽器進(jìn)行遠(yuǎn)程登陸。如此可以解決用戶急需的安全接入，以及緩解專線占用的高額費(fèi)用問題。

　　在大規(guī)模應(yīng)用下的VPN接入解決方案里，集成技術(shù)可以充分地發(fā)揮了它的作用。通過系統(tǒng)硬件集成，將防火墻、負(fù)載均衡等規(guī)�；瘧�(yīng)用功能，以及其他在應(yīng)用上所涉及到的技術(shù)通通整合在VPN設(shè)備之中，讓一機(jī)多能的設(shè)想充分實(shí)現(xiàn)，不僅提升設(shè)備性能的應(yīng)用最大化，還在真正意義上為用戶節(jié)約了設(shè)備多樣化的經(jīng)費(fèi)投入。

　　分析對(duì)比采用SSL VPN設(shè)備的情況，首先在設(shè)備成本上就節(jié)省了負(fù)載均衡設(shè)備的開支。其集成的負(fù)載均衡模塊可以在出現(xiàn)大流量數(shù)據(jù)的狀況時(shí)，根據(jù)調(diào)度算法和動(dòng)態(tài)權(quán)重分配計(jì)算，將數(shù)據(jù)分流到備用服務(wù)器，以減免主服務(wù)器的超負(fù)荷運(yùn)行，同時(shí)提高了資源的利用率消除冗余。

　　其次，在集成了負(fù)載均衡工作策略的VPN設(shè)備中加入的應(yīng)用檢測與負(fù)載檢測功能，還可以保障單點(diǎn)故障出現(xiàn)時(shí)，其它設(shè)備能夠及時(shí)反應(yīng)并接入故障設(shè)備的工作數(shù)據(jù)流。

移動(dòng)訪問數(shù)字圖書館

　　由于校園數(shù)字圖書館的面對(duì)用戶群首先是本校師生，再就是校外的移動(dòng)授權(quán)用戶，所以在籌建方面，過高的成本消耗并不可取。以目前校園數(shù)字圖書館的建設(shè)方案來說，復(fù)旦大學(xué)給我們提供了較好的參考案例，如圖所示。



復(fù)旦大學(xué)數(shù)字圖書館架構(gòu)圖

　　構(gòu)建方式首先是校園自身館藏的數(shù)字化，然后是與國外高校合作交換圖書館數(shù)據(jù)，以及向國外商業(yè)圖書館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)。只是這里涉及到與國外的圖書館合作，應(yīng)用上也會(huì)產(chǎn)生相應(yīng)的約束性。比如說為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址。

　　如此看來，數(shù)字圖書館的應(yīng)用必須拓展接入范圍。而與國外圖書館的合作卻是限制了外網(wǎng)接入，只能保證校內(nèi)IP地址的應(yīng)用，這是顯而易見的矛盾。因此，要解決網(wǎng)絡(luò)化應(yīng)用，拓展數(shù)字圖書館的接入范圍，就必須將圖書館的應(yīng)用局限打破，在真正意義上達(dá)到隨需訪問。

　　從圖中可以看到，VPN安全設(shè)備起著關(guān)鍵性的作用。任何經(jīng)過授權(quán)的外網(wǎng)用戶，通過SSL VPN接入技術(shù)，遠(yuǎn)程登錄VPN設(shè)備，接入校園網(wǎng)內(nèi)，完成VPN隧道建立；接著再經(jīng)由VPN設(shè)備進(jìn)行源IP地址轉(zhuǎn)換，引入IP地址替換技術(shù)將外網(wǎng)移動(dòng)用戶自動(dòng)授權(quán)，并引導(dǎo)對(duì)方接入數(shù)字圖書館目錄。在此，外網(wǎng)移動(dòng)用戶便可隨需選擇國外合作館藏進(jìn)行自由查閱，無需再次手動(dòng)輸入驗(yàn)證。

多線路智能分流

　　從外網(wǎng)接入需求看，保障線路并行、最優(yōu)線路選擇、實(shí)時(shí)路由選擇是當(dāng)前應(yīng)用下的首要需求。相對(duì)于從內(nèi)網(wǎng)訪問需求看，優(yōu)化傳輸、數(shù)據(jù)分流也是不可或缺的要素。

　　內(nèi)網(wǎng)用戶在訪問外網(wǎng)資源時(shí)，VPN設(shè)備將根據(jù)用戶的目標(biāo)地址，引導(dǎo)對(duì)方接入相應(yīng)的資源線路。這是多線路智能分流技術(shù)的體現(xiàn)；當(dāng)外網(wǎng)用戶接入內(nèi)網(wǎng)時(shí)，VPN設(shè)備將根據(jù)用戶的源接入地址，引導(dǎo)對(duì)方接入相應(yīng)的線路端口，訪問目的資源，這里體現(xiàn)的是自適應(yīng)智能選路。

　　網(wǎng)絡(luò)線路的多樣化，造成了數(shù)據(jù)傳輸?shù)膹?fù)雜，如果不采用多線路智能分流技術(shù)，很可能在訪問公網(wǎng)資源時(shí)，卻是經(jīng)由教育網(wǎng)線路出去的。線路的過長和帶寬的差異便會(huì)產(chǎn)生之前提到的種種問題。而實(shí)質(zhì)上，采用了智能分流應(yīng)用后，校園網(wǎng)訪問外網(wǎng)資源，可以由相應(yīng)的接入端口線路出去，到達(dá)訪問地址，從而優(yōu)化傳輸，實(shí)現(xiàn)數(shù)據(jù)分流。

　　多線路應(yīng)用下的網(wǎng)絡(luò)現(xiàn)狀，體現(xiàn)最為突出的要屬不同線路運(yùn)營商之間的互聯(lián)上。正常情況下，不同線路運(yùn)營商之間互訪，都需要經(jīng)由特定網(wǎng)關(guān)中轉(zhuǎn)，延時(shí)約在420毫秒以上，但換做集成多線路智能技術(shù)的VPN設(shè)備進(jìn)行中轉(zhuǎn)，則可以將延時(shí)縮小到60毫秒以下，這基本上是正常線路的傳輸時(shí)長，這是保證多線路并存的核心。

　　未來，在應(yīng)用產(chǎn)品中預(yù)留了對(duì)應(yīng)的發(fā)展空間決定了高校發(fā)展的可持續(xù)性，將技術(shù)模塊化實(shí)現(xiàn)后再集成到設(shè)備之中已不再是軟件供應(yīng)商的專利，如華為3Com、冰峰網(wǎng)絡(luò)等VPN廠商支持模塊化，另一方面也為客戶縮減了設(shè)備高端化、多樣化所帶來的投資成本。