教育信息化的SSL VPN新应用特点

随着教育信息化的发展,SSL VPN技术已在各高校得到了广泛的应用。这里所要探讨的是目前存在于很多高校在SSL VPN运用上所遇到的实际问题,以及针对此类问题所提及的解决方式——即负载均衡、随需访问、智能分流、智能选路等。希望能对广大读者在今后的应用上能够有所借鉴。

提到SSL VPN,首先要了解SSL的存在,SSL即安全套接层(Secure Sockets Layer)是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术,常用于在Web浏览器与Web服务器之间建立安全通信通道。而SSL VPN则是指通过SSL加密技术进行数据封装,实现VPN高强度加密的数据通信技术。

就其目前现状来说,SSL VPN的主要实现方式有以下四种:

  1. 代理Web页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
  2. 应用转换。SSL VPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些服务器就是一些基于Web的应用。
  3. 端口转发。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,将通过SSL连接中的隧道被传送到SSL VPN网关,由SSL VPN网关解开封装的数据包,再转发给目的应用服务器。
  4. 网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。优势在于能够在复杂拓扑结构下简化网络管理。

就SSL VPN特性来说主要有:使用SSL保证通信安全、适用于所用网络环境、无客户端或客户端配置简便、只供远程访问使用、细粒度的访问控制、多种增强认证方式、与现有系统兼容。

针对以上的SSL VPN的特性,以及在教育行业的应用,可以归结出如下三个新需求。

新需求之一的大规模应用下的VPN接入需求。运用专线网络、普通拨号接入作为校区互联应用的基础,已经不是满足远程接入的必要手段。VPN技术的实现,特别是SSL VPN在B/S、C/S构架的网络上全面适应,以及高强度加密保障传输安全等性能,已逐步形成一种主流的替代模式。

新需求之二的移动访问数字图书馆。校园数字图书馆的应用越具规模,从工作人员将自身馆藏书籍数字化开始,到与商业化合作购买阅览版权,再将数据与校园网共享,让校内外师生都能方便查询电子文献资料。这是以教育信息化直接面向师生应用较为广泛的需求之一。

新需求之三的校园内外网的多线路智能分流。网络世界无所谓纵横分布,每一个交点上都可能汇集着多条不同的线路,就说国内现状,电信、网通、铁通、联通争相角逐,又有教育网、科技网的应用覆盖,这就很难保证同一所高校的所有节点应用在同一个网内。多线路的接入会产生数据在线路之间转移时的延时现象。而对于大流量的数据在传输过程中,又会导致带宽瓶颈等问题。多线路智能分流技术便应运而生了。

如何保证大规模应用下的VPN接入?如何保证应用服务器负载能力?如何保证随需访问数字图书馆?如何保证多条线路充分利用?这是亟待解决的问题。

要引入VPN接入,就必须考虑到大规模应用的支持问题,必须保证外网接入校园网的需求,以及在大规模访问的应用下,来自客户端的安全性,来自于服务器端的稳定性,来自于线路传输的及服务器数据处理的高效性,还有来自于用户应用的简便性。四者缺一不可。

对于大规模应用下的VPN接入需求来说,综合归类,体现最为突出的问题有以下三点:
分别是大规模应用,致使服务器的超负荷运作;单点故障,致使业务风险增加;以及设备高端化,使得采购成本的增加。

随着教育信息化的应用越渐规模化,网络硬件设备的高端化,面临的问题也是呈正比攀升。以问题为中心进行化解,从而抑止应用落差的增长势头,完善和弥补以往信息化应用中的不足之处,将应用最优化,将问题归零化,这才是合格的解决方案所该做到的内容。
如图所示:
对于多用户群的接入,以SSL VPN安全产品作为校园网络中心网关,让用户群通过SSL方式建立专用安全隧道,再以Web浏览器进行远程登陆。首先解决了安全接入,及缓解专线占用的高额费用问题。

其次以集群技术(接入、线路、应用)拓展规模应用,并以负载均衡技术平衡多服务器之间的占用与冗余问题。

完善的解决方案应该从产品研发设计之初,就开始在思考怎么才能通过一机多能的形式去为用户节约网络设备的采购成本。

为此,在大规模应用下的VPN接入解决方案里,集成技术充分地发挥了它的作用。通过系统硬件集成,将防火墙、负载均衡等规模化应用功能,以及其他在应用上所涉及到的技术通通整合在VPN设备之中。让一机多能的设想充分实现,并在真正意义上为用户节约了设备多样化的经费投入。

作为最突出于解决方案里负载均衡,它的意义起到决定大规模应用的可行与否。
如图所示:
外网数据流进入校园网访问会自由分布在三个服务器中。但最大数据流量往往是流向默认的服务器A。

在不采用负载均衡模块时,在大规模集群应用便会出现默认服务器超负荷运行,而备用服务器还处在空闲状态。

我们分析对比一下采用SSL VPN设备的情况,首先在使用SSL VPN的方式下,就节省了负载均衡设备的开支。其集成的负载均衡模块可以在出现大流量数据的状况时,根据调度算法和动态权重分配计算,将数据分流到备用服务器,以减免主服务器的超负荷运行,同时提高了资源的利用率消除冗余。

普通的VPN设备即便可以平衡多服务器的利用率,但一旦线路上的服务器出现在应用故障,假使VPN设备还继续在平衡分配数据流的话,将得不偿失。是以在集成了负载均衡工作策略的VPN设备中还应该加入了应用检测与负载检测功能,以保障单点故障出现时,其它设备能够及时反应并接入故障设备的工作数据流。
如图所示:
当服务器A出现故障时,会自动将服务不可达的指令反馈到VPN设备上,此时VPN设备将截断流向服务器A的数据流,并将后续数据导向其他工作中的服务器上。

同理,当检测出服务器C的反馈信息为满负载状态时,也会将流向服务器C的数据流导向状态正常的服务器B。这就是VPN的应用检测与负载检测工作策略,是保障系统正常运作的基本。

以上提到的是大规模接入下的VPN需求应用,接下来要提到的第二个需求是移动访问数字图书馆。在中国,真正称得上是数字图书馆的屈指可数,专注于教育的高校想要建成如方正Apabi(阿帕比)、超星数字图书馆这类足具规模的应用也不是件简单的事。

由于校园数字图书馆的面对用户群首先是本校师生,再就是校外的移动授权用户,所以在筹建方面,就不应当考虑过高的成本消耗。以目前校园数字图书馆的建设方案来说,复旦大学给我们提供了较好的参考案例。

构建方式首先是校园自身馆藏的数字化;然后是与国外高校合作交换图书馆数据;以及向国外商业图书馆交纳版权费,获得更多珍藏文献资料的浏览权。但是,经此一来,由于是涉及到与国外的图书馆合作,应用上的约束性也便随之产生。比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址。

从前面的分析来看,数字图书馆的应用必须拓展接入范围。而与国外图书馆的合作却是限制了外网接入,只能保证校内IP地址的应用,这是显而易见的矛盾。因此,要解决网络化应用,拓展数字图书馆的接入范围,就必须将图书馆的应用局限打破,在真正意义上达到随时、随地、随需访问查询。

从图中可以看到VPN安全设备起着关键性的作用。任何经过授权的外网用户,通过SSL VPN接入技术,远程登陆VPN设备,接入校园网内,完成VPN隧道建立;接着再经由VPN设备进行源IP地址转换,引入IP地址替换技术将外网移动用户自动授权,并引导对方接入数字图书馆目录。在此,外网移动用户便可随需选择国外合作馆藏进行自由查阅,无需再次手动输入验证。可以说这是VPN产品在新需求下的第二个智能化体现。

在这个解决方案中有一个需要重点阐明的概念,那就是隧道式SSL VPN。

他包括了网络层隧道应用与SSL封装过程两个概念,也就是说必须兼有两者的关系才能算是真正的隧道式SSL VPN。

看似简单浅显的道理,我们却为何又会如此看中他的存在?因为,在隧道式SSL VPN与IPSec软件客户端的应用对比上,它所显露的优势决定了他在未来应用的主导地位,之所以如此看中,正是看到了它在多方应用之下的发展潜力。SSL VPN的发展潜力是无限的,作为教育业信息化应用的基础,他的拓展空间也存在着无限的可能。

从之前提到的第三个需求来看,这是教育行业中普遍存在的问题。我们处于一个多线路接入应用的时代。教育网、科技网、电信、网通、铁通……舍去任何一方的资源都违背了因特网资源共享的理念。从外网接入需求看,保障线路并行、最优线路选择、实时路由选择是当前应用下的首要需求。相对于从内网访问需求看,优化传输、数据分流也是不可或缺的要素。

从这个需求的角度出发,可以分别从内网访问和外网接入的两个角度却理解这一解决方案的应用特征。

内网用户在访问外网资源时,VPN设备将根据用户的目标地址,引导对方接入相应的资源线路。这是多线路智能分流技术的体现,也是VPN设备第三个智能化的体现。

网络线路的多样化,造成了数据传输的复杂,如果不采用多线路智能分流技术,很可能在访问电信资源时,却是经由教育网线路出去的。线路的过长和带宽的差异便会产生之前提到的种种问题。这本身也违背了运筹学中所提到的最短线路问题的优化原理。

而实质上,采用了智能分流应用后,校园网访问外网资源,可以由相应的接入端口线路出去,到达访问地址,从而优化传输,实现数据分流。

另一种方式是外网用户接入内网时,VPN设备将根据用户的源接入地址,引导对方接入相应的线路端口,访问目的资源。这里体现的是第四个智能化技术,即自适应智能选路。

多线路应用下的网络现状,体现最为突出的要属电信网通之间的互联上。正常情况下,网通用户访问电信资源,都需要经由特定网关中转,延时约在420毫秒以上,但是换做集成多线路智能技术的VPN设备进行中转,则可以将延时缩小到60毫秒以下,这基本上是正常线路的传输时长,这是保证多线路并存的核心。

在这里,读者或许会认为多线路智能分流与自适应用智能选路有许多类似的地方。其不同之处在于前者是多线路的智能分流,是将接入的用户导向对应的目的端口,后者则是将不同的接入用户通过相应的线路端口导入,再通过VPN设备,引入目标地址。

实质上,这里所提到的两种方式,在技术上是可以实现并存的。这也是VPN设备高扩展性能的体现,以随时随地面对信息化的未来发展。

未来,不论教育信息化如何发展,在应用产品中预留了对应的发展空间决定了企业和高校发展的可持续性,将技术模块化实现后再集成到设备之中已不再是软件供应商的专利,如冰峰VPN厂商支持模块化的这一举措,另一方面也为客户缩减了设备高端化、多样化所带来的投资成本。