基于VPN技術(shù)實現(xiàn)信息資源共享的有效途徑

郭廓 谷秋實

[摘 要] 網(wǎng)絡(luò)信息技術(shù)快速發(fā)展的今天，信息作為重要資源已為人們所熟知，公共職能部門作為輿論導(dǎo)向、信息發(fā)布及培訓(xùn)的重要機構(gòu)，對信息資源數(shù)量、質(zhì)量要求較高，利用VPN技術(shù)構(gòu)建一種低成本、使用靈活的信息資源共享平臺顯得重要和急迫。現(xiàn)如今，信息化建設(shè)進程正在不斷推進，以及“Big Data”大數(shù)據(jù)概念的提出，要求我們應(yīng)突破傳統(tǒng)信息資源建設(shè)的瓶頸，迅速改變以往利用傳統(tǒng)技術(shù)處理信息資源的手段、傳播途徑和使用方法，不斷推進新技術(shù)在公共領(lǐng)域的應(yīng)用，滿足各級組織對網(wǎng)絡(luò)服務(wù)及其應(yīng)用的要求。

[關(guān)鍵詞] 虛擬專網(wǎng)；資源共享；規(guī)劃管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 09. 061

[中圖分類號] TP393 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2014）10- 0085- 04

雖然，利用網(wǎng)絡(luò)技術(shù)，公共部門在提高信息資源利用率方面得到了一定的提高，但是財政的有限投入不能滿足所有應(yīng)用對信息化發(fā)展的需求。目前實際情況是，由于大量事物對信息資源的需求較多，信息化建設(shè)投入較高，因此，信息資源主要集中在全國各地省、市級層面?？h、區(qū)級組織受自身條件影響，信息化發(fā)展嚴重不足，是整個信息鏈上的薄弱環(huán)節(jié)，某種程度上阻礙了各級組織之間的信息交流。通過對上述情況的調(diào)研分析，縣、區(qū)級組織迫切希望建立信息資源共享平臺，以滿足對信息資源的需要。為解決這一問題，一項建立中心數(shù)據(jù)庫，其他各基層單位為網(wǎng)絡(luò)節(jié)點的資源共享的網(wǎng)絡(luò)平臺VPN虛擬專網(wǎng)新技術(shù)應(yīng)運而生。

因此，各級組織數(shù)據(jù)中心聯(lián)合啟動了VPN虛擬專網(wǎng)的建設(shè)工程，省、市、縣、區(qū)各級部門初步建立起以資源數(shù)據(jù)庫為核心數(shù)字化資源互聯(lián)、互通的VPN專網(wǎng)信息資源共享平臺。通過VPN技術(shù)，有效地解決了組織間學(xué)習(xí)、交流阻礙的問題，消除了“信息孤島”，打破了信息資源受網(wǎng)絡(luò)地域的限制，擴大了受眾群體范圍，加快了高效利用網(wǎng)絡(luò)信息資源提高教學(xué)、科研、培訓(xùn)、管理水平新模式的發(fā)展速度。

1 VPN技術(shù)方案的內(nèi)涵與優(yōu)勢

現(xiàn)如今，企事業(yè)單位的網(wǎng)絡(luò)數(shù)據(jù)流量已經(jīng)成幾何級數(shù)增長，它包括各種空間數(shù)據(jù)、報表統(tǒng)計數(shù)據(jù)、文字、聲音、圖像、超文本等各種環(huán)境和文化數(shù)據(jù)信息[1]，處理這些海量數(shù)據(jù)，需要建立專用網(wǎng)絡(luò)才能保障數(shù)據(jù)傳輸?shù)臅惩āＲ话銇碚f，有這樣需求的用戶一是通過架設(shè)專有通信光纖來實現(xiàn)，另外也可以租用電信運營商專用線路來實現(xiàn)。這兩種模式前期鋪設(shè)線路、購買數(shù)據(jù)交換設(shè)備固定投入較大，后期維護、管理費用成本較高，對于很多非營利性單位只能望而卻步。于是基于VPN技術(shù)建立虛擬專網(wǎng)在效率與成本之間找到平衡點不失為最具“性價比”的選擇，選擇VPN方案，具有安全可靠、經(jīng)濟實用、擴展性好、管理方便等優(yōu)勢，同時也滿足了信息資源對專網(wǎng)建設(shè)的總體目標(biāo)和需求。

1.1 VPN定義與核心技術(shù)組成

1.1.1 VPN基本定義

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺。

根據(jù)定義，VPN屬于利用公共網(wǎng)絡(luò)架設(shè)私有網(wǎng)絡(luò)的遠程訪問技術(shù)，以學(xué)校為例，比如本校教師身處外地，需要查詢本校內(nèi)網(wǎng)信息，這種異地通信就屬于遠程訪問。要想達到上述目的，用VPN的解決方案是在原單位內(nèi)網(wǎng)中配置VPN服務(wù)器，服務(wù)器配有雙網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接外網(wǎng)（公網(wǎng)）。在外教師在當(dāng)?shù)亟尤氲交ヂ?lián)網(wǎng)后，通過VPN服務(wù)器加密功能，將往來信息在一條專用的數(shù)據(jù)鏈路上進行傳輸，實現(xiàn)訪問學(xué)校內(nèi)網(wǎng)需求，既安全又便捷，這就如同鋪設(shè)專用網(wǎng)絡(luò)一樣。實際上，是利用VPN專用隧道協(xié)議① 在公網(wǎng)上虛擬出數(shù)據(jù)通信鏈路，借助公網(wǎng)，加密封裝數(shù)據(jù)完成數(shù)據(jù)鏈路、傳輸、會話、表示直到最后應(yīng)用。所謂虛擬，是指用戶不再需要擁有實際的專用數(shù)據(jù)鏈路，而是使用公共網(wǎng)絡(luò)仿真一條點到點的數(shù)據(jù)鏈路。所謂專用網(wǎng)絡(luò)，是指這個數(shù)據(jù)鏈路的通道可以提供和專網(wǎng)同樣的功能[2]，如圖1。

1.1.2 VPN包含的主要協(xié)議與功能特點

VPN技術(shù)的發(fā)展速度很快，在相關(guān)產(chǎn)品、服務(wù)市場上競爭尤為激烈，目前主要產(chǎn)品與服務(wù)有兩項，一是基于IPSec協(xié)議；二是基于SSL協(xié)議以及從這兩項衍生、改進協(xié)議為基礎(chǔ)來實現(xiàn)主要功能的輔助產(chǎn)品。

基于IPSec（IP Security）協(xié)議VPN，主要是通過在OSI模型中網(wǎng)絡(luò)層建立連接內(nèi)網(wǎng)與外網(wǎng)（公網(wǎng)）安全、可控的數(shù)據(jù)鏈路通道，實現(xiàn)點對點之間的通信。想要實現(xiàn)遠程接入時，服務(wù)器端與客戶終端都需用軟件支持，客戶端需要手動輸入安全秘鑰和配置參數(shù)，當(dāng)遠程接入量增大時，由于受外網(wǎng)（公網(wǎng)）帶寬影響，QOS質(zhì)量明顯下降，需增加設(shè)備，提高投入，后期維護工作量大。

基于SSL （Security Socket Layer）協(xié)議的VPN是一種新型VPN技術(shù)，它是一種在互聯(lián)網(wǎng)上基于Web應(yīng)用安全協(xié)議的技術(shù)，它工作在OSI模型中最頂端——應(yīng)用層，采用B/S結(jié)構(gòu)（瀏覽器/服務(wù)器模式），內(nèi)嵌于瀏覽器中，為TCP/IP協(xié)議連接提供數(shù)據(jù)加密、服務(wù)器認證和信息發(fā)布。SSL VPN優(yōu)勢明顯，具有部署簡單、無客戶端、維護成本低、網(wǎng)絡(luò)適應(yīng)強等特點。

1.1.3 IPSec與SSl兩種協(xié)議的比較分析

在VPN技術(shù)領(lǐng)域，SSl有了長足的發(fā)展，作為后起之秀，依靠自身優(yōu)勢與IPSec并駕齊驅(qū)。在公共教育、管理、培訓(xùn)這樣的非營利性部門半數(shù)以上的員工和學(xué)員依賴于移動辦公，預(yù)計未來還會不斷增長，使用率將會突破70%，這主要得益于SSL這種IPSec以外的替代方案避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求。盡管SSl大出風(fēng)頭，許多IPSecVPN廠商也陸續(xù)推出基于SSL技術(shù)產(chǎn)品和服務(wù)，但在短時間內(nèi)還無法取代IPSec，最主要的原因就是SSl在實際應(yīng)用中還存在短板，在點到點解決方案模式下，IPSec的遠程接入、隧道鏈路、數(shù)據(jù)加密相比SSL還略勝一籌。

以上對比兩者的特點，無論選擇那種技術(shù)的VPN，作為獨立的VPN產(chǎn)品都不能很好地滿足不同接入方式的需要，較為理想的解決方案是“混搭”——融合IPSec VPN和SSL VPN于一體。最大化發(fā)揮兩者優(yōu)勢，避免兩個分立平臺而導(dǎo)致的低效和成本增加。不難看出，基于這兩種協(xié)議的產(chǎn)品不管在市場還是技術(shù)領(lǐng)域即是競爭又是互補的關(guān)系。作為用戶希望看到的是他們的互補性，目前，IPSec VPN與SSL VPN各自廠商也在積極地將對方的優(yōu)勢技術(shù)添加到自己的產(chǎn)品線上去。這種互補性定位對VPN未來的發(fā)展至關(guān)重要。

1.2 資源共享模式下VPN專網(wǎng)選擇方案

1.2.1 VPN內(nèi)部地址的統(tǒng)一規(guī)劃與管理

首先做好準(zhǔn)備工作，按照要求，地址的統(tǒng)一規(guī)劃和管理非常重要，為避免IP地址發(fā)生沖突，應(yīng)根據(jù)各級組織網(wǎng)絡(luò)應(yīng)用的實際情況統(tǒng)一劃分Vlan，統(tǒng)一分配地址，保證VPN專網(wǎng)傳輸速度和信息平臺的順暢與安全使用。經(jīng)過反復(fù)測試，根據(jù)某高校信息網(wǎng)絡(luò)管理中心給出的測試結(jié)果以及網(wǎng)絡(luò)通信有效載荷數(shù)據(jù)，選擇了融合IPSec和SSL雙隧道協(xié)議的VPN網(wǎng)關(guān)設(shè)備來部署VPN專網(wǎng)，主校為核心網(wǎng)絡(luò)，下屬各分校為接入子網(wǎng)，統(tǒng)一構(gòu)建信息資源共享平臺。綜合考量，該方案即發(fā)揮IPSec安全性高、訪問速度快等優(yōu)勢，又兼顧到SSL部署簡單、維護費用低的技術(shù)特點。實現(xiàn)遠程訪問、統(tǒng)一授課、異地管理、共享信息資源的目標(biāo)。

1.2.2 各層級VPN子網(wǎng)接入的總體要求

作為VPN資源共享平臺的接入子網(wǎng)，是整個VPN專網(wǎng)承上啟下的重要環(huán)節(jié)，它是承擔(dān)起連接內(nèi)網(wǎng)各個終端與外網(wǎng)和VPN虛擬專網(wǎng)的橋梁。良好的內(nèi)部網(wǎng)絡(luò)環(huán)境是保障整個系統(tǒng)穩(wěn)定工作的前提條件，因此，要遵從從制度層面到技術(shù)層面的各種規(guī)范，發(fā)揮VPN專網(wǎng)系統(tǒng)的最大效能。

依據(jù)實際合理設(shè)計內(nèi)網(wǎng)的拓撲結(jié)構(gòu)。整個VPN專用網(wǎng)交換的是海量數(shù)據(jù)，為保障數(shù)據(jù)順暢傳輸，網(wǎng)絡(luò)核心應(yīng)采用快速以太網(wǎng)或千兆以太網(wǎng)技術(shù)，中心機房核心交換設(shè)備應(yīng)架設(shè)數(shù)據(jù)處理能力強，安全可靠的品牌交換設(shè)備。除此之外，還應(yīng)配套網(wǎng)絡(luò)行為管理、網(wǎng)絡(luò)負載均衡以及UTM安全網(wǎng)關(guān)等設(shè)備，安全防范外部的網(wǎng)絡(luò)攻擊行為，減少網(wǎng)絡(luò)供應(yīng)商由于異構(gòu)網(wǎng)絡(luò)造成的帶寬瓶頸效應(yīng)，保障網(wǎng)絡(luò)的正常運行。

1.2.3 VPN運行效能與服務(wù)優(yōu)勢

VPN專網(wǎng)是一種開放式、可擴展、兼容性強的系統(tǒng)，可根據(jù)實際需要做更深層次的開發(fā)，逐步完善其功能。經(jīng)過一個階段的穩(wěn)定運行后，我們對整個網(wǎng)絡(luò)、資源平臺的使用效率、效能有以下幾點評估。

（1）兼容性強。不需要更改原有網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在異構(gòu)網(wǎng)絡(luò)環(huán)境下，只需一臺VPN網(wǎng)關(guān)設(shè)備就能實現(xiàn)遠程高效、安全訪問的功能。架設(shè)簡單、操作簡便、維護量小。通過互聯(lián)網(wǎng)，使用瀏覽器認證就能進入資源共享平臺，操作界面友好，提供SaaS軟件即時服務(wù)，全程都使用后臺調(diào)度，可實現(xiàn)異地（集中）管理，無需安排專人管理。

（2）安全可靠。系統(tǒng)安全無外乎是3方面內(nèi)容：客戶端接入安全，數(shù)據(jù)傳輸安全和內(nèi)部資源訪問安全。主流VPN設(shè)備都集成了高性能企業(yè)級防火墻，配合UTM安全網(wǎng)關(guān)利用高級別安全策略檢查，全程嚴密監(jiān)控數(shù)據(jù)加密、解密封裝過程，實施入侵檢測、入侵防御等手段，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

（3） 運行高效。網(wǎng)絡(luò)架構(gòu)位于VPN專網(wǎng)的最上端，部署的核心設(shè)備具有VPN領(lǐng)域最先進的數(shù)據(jù)刪減技術(shù)，能夠精簡傳輸線路中30%～50%的數(shù)據(jù)流量，有效削減了傳輸線路中的重復(fù)冗余數(shù)據(jù)，運用主流的LZO流壓縮技術(shù)對篩選后數(shù)據(jù)重新封裝，優(yōu)化TCP/IP協(xié)議組，減少面向鏈接傳送服務(wù)時的握手響應(yīng)，輔以優(yōu)化網(wǎng)絡(luò)帶寬技術(shù)，緩解線路帶寬壓力，避免了帶寬頻繁升級所帶來的成本增加。

（4）應(yīng)用廣泛。VPN專網(wǎng)的全面應(yīng)用實現(xiàn)了網(wǎng)絡(luò)互聯(lián)、互通的總體要求，使分散的信息整合為共享的資源，提出“數(shù)字校園”建設(shè)規(guī)劃，推廣虛擬專網(wǎng)使用范圍。目前，利用VPN專網(wǎng)已經(jīng)建立和整合了圖書館各類文字信息資源，視頻點播資源，服務(wù)軟件資源并升級了內(nèi)部電子郵件服務(wù)系統(tǒng)、視頻會議系統(tǒng)、直播教學(xué)系統(tǒng)、教學(xué)和科研管理系統(tǒng)、辦公自動化系統(tǒng)等。

2 VPN專網(wǎng)管理的技術(shù)保障

2.1 目標(biāo)決策內(nèi)容

要想VPN發(fā)揮出最大的功效，除了采用先進設(shè)備和技術(shù)外，更需要完善的管理作支持。網(wǎng)絡(luò)構(gòu)成了一個龐大的應(yīng)用系統(tǒng)，這包括各級組織的信息中心、設(shè)備機房、匯聚點以及近萬臺電腦終端，還有許多軟件應(yīng)用系統(tǒng)和服務(wù)器需要合理配置、精心維護，這需要相關(guān)管理人員具備較高技術(shù)素質(zhì)和豐富的管理經(jīng)驗。為提高效率，首先應(yīng)當(dāng)建立中央數(shù)據(jù)的目錄服務(wù)，統(tǒng)一、完善個人信息添加、修改和查詢。VPN核心交換設(shè)備以及每一臺隧道服務(wù)器都應(yīng)該自動適應(yīng)中央數(shù)據(jù)庫，自動存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等，利用虛擬技術(shù)，盡最大可能將服務(wù)器、交換設(shè)備做陣列、堆疊乃至集群化部署，為數(shù)據(jù)存儲、傳輸、應(yīng)用提供“無縫式”服務(wù)。

2.2 具體部署方案

采用集中式安全管理中心（Secure Center）策略。在繁雜的信息環(huán)境中，網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時隨地了解、掌控VPN系統(tǒng)運行情況，包括在線人員數(shù)目、網(wǎng)絡(luò)負載能力、系統(tǒng)異?；顒印⑼獠抗舻纫幌盗行畔?。為避免負面影響，硬件方面應(yīng)增設(shè)數(shù)據(jù)備份設(shè)備，軟件方面應(yīng)開啟日志和實時信息監(jiān)測功能，自上而下，實行24小時全局監(jiān)測，將所有VPN監(jiān)測信息按等級統(tǒng)一匯聚到專用數(shù)據(jù)庫中，只要單人管理就可以同時監(jiān)控和部署VPN網(wǎng)絡(luò)中所有系統(tǒng)。極大地提高了網(wǎng)絡(luò)整體的安全等級，并消除因異構(gòu)網(wǎng)絡(luò)策略造成的安全漏洞。

2.2.1 集中管理，集中配置

管理員可以從任何地方使用瀏覽器通過Web界面在線登錄后臺管理程序，通過管理器，可以配置所有納入到VPN網(wǎng)絡(luò)的設(shè)備和客戶端，根據(jù)要求自由改動網(wǎng)絡(luò)拓撲結(jié)構(gòu)。通過可視化策略編輯器，自由定義工作環(huán)境，遠程調(diào)度、維護各網(wǎng)絡(luò)節(jié)點指定程序和操作系統(tǒng)，節(jié)約大量人力成本，實現(xiàn)規(guī)模化收益。網(wǎng)絡(luò)規(guī)模越大，所帶來的管理成本的降低就越明顯。

2.2.2 智能化的集中監(jiān)控

應(yīng)在整個VPN專網(wǎng)中部署智能監(jiān)控設(shè)備，以便實時重點監(jiān)控和維護VPN專網(wǎng)的各個節(jié)點和防御狀態(tài)，加裝全局域網(wǎng)防御功能，整網(wǎng)智能升級，可以從主防御病毒庫中提取信息，指令開啟防御狀態(tài)，在無人看守情況下，可自動循跡、跟蹤被攻擊的可疑目標(biāo)，最快時間內(nèi)定位攻擊源，迅速鎖定、隔離故障設(shè)備，最大化保障整個網(wǎng)絡(luò)安全。如果需要監(jiān)控的節(jié)點量眾多，還能夠?qū)⑿枰O(jiān)控的節(jié)點分區(qū)、分級管理。這種管理方法，符合跨區(qū)域、分級遠程管理要求，管理權(quán)限也可以細化到各級區(qū)域。

可以預(yù)見，分散部署、遠程訪問、集中管理是未來VPN技術(shù)發(fā)展的大方向，根據(jù)MIS管理信息系統(tǒng)提供的經(jīng)驗，從戰(zhàn)略、戰(zhàn)術(shù)、作業(yè)各層面對VPN專網(wǎng)的技術(shù)部署方案和管理方案做了全面分析，比較目前的網(wǎng)絡(luò)運行狀況，以VPN技術(shù)為基礎(chǔ)的信息資源平臺廣泛應(yīng)用在教學(xué)、培訓(xùn)、管理的各個領(lǐng)域，打破了信息壁壘，提高了信息資源利用率，使工作上升到一個新的層面。

3 VPN技術(shù)效用總結(jié)

VPN技術(shù)在各個領(lǐng)域的廣泛應(yīng)用，為各級用戶的實際需要提供了安全、可靠、高速、廉價的遠程資源共享解決方案，能夠有效地降低網(wǎng)絡(luò)運營成本、提高資源利用率，具有廣闊的發(fā)展和應(yīng)用前景。VPN專網(wǎng)的建設(shè)極大地擴展公共信息資源利用途徑，為信息化建設(shè)帶來了新機遇，為公共事業(yè)發(fā)展提供了有效的保障。

主要參考文獻

[1]蔣然.海量數(shù)據(jù)存儲關(guān)鍵技術(shù)淺析[J].電腦知識與技術(shù)，2010（20）.

[2]趙祥好.VPN技術(shù)在黨校信息資源共享中的應(yīng)用研究[J].大學(xué)圖書情報學(xué)，2010（4）.