到现在,SSL VPN在教育行业的应用,可以归结出三个综合需求,因此形成了三个发展趋势。
SSL VPN技术在教育信息化的发展下,已得到众多高校的广泛认可。SSL本身就是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术,常用于在Web浏览器与Web服务器之间建立安全通信通道。如网上银行就是基于SSL的应用建立起来的。针对SSL VPN在教育行业的应用,可以归结出如下三个综合性需求趋势:即大规模应用下的VPN接入需求、移动访问数字图书馆、校园内外网的多线路智能分流。
大规模应用下VPN接入
要引入VPN接入,就必须考虑到大规模应用的支持问题,必须保证外网接入校园网的需求,以及在大规模访问的应用下,来自客户端的安全性,来自于服务器端的稳定性,来自于线路传输的及服务器数据处理的高效性,还有来自于用户应用的简便性。四者缺一不可。
综合归类,体现最为突出的问题有以下三点:大规模应用,致使服务器的超负荷运作;单点故障,致使业务风险增加;以及设备高端化,使得采购成本的增加。
通过对以上问题的分析,对于多用户群的接入,以隧道式ICEFLOW SSL VPN安全设备为例,作为校园网络中心网关,让用户群通过SSL方式建立专用安全隧道,再以Web浏览器进行远程登陆。如此可以解决用户急需的安全接入,以及缓解专线占用的高额费用问题。
在大规模应用下的VPN接入解决方案里,集成技术可以充分地发挥了它的作用。通过系统硬件集成,将防火墙、负载均衡等规模化应用功能,以及其他在应用上所涉及到的技术通通整合在VPN设备之中,让一机多能的设想充分实现,不仅提升设备性能的应用最大化,还在真正意义上为用户节约了设备多样化的经费投入。
分析对比采用SSL VPN设备的情况,首先在设备成本上就节省了负载均衡设备的开支。其集成的负载均衡模块可以在出现大流量数据的状况时,根据调度算法和动态权重分配计算,将数据分流到备用服务器,以减免主服务器的超负荷运行,同时提高了资源的利用率消除冗余。
其次,在集成了负载均衡工作策略的VPN设备中加入的应用检测与负载检测功能,还可以保障单点故障出现时,其它设备能够及时反应并接入故障设备的工作数据流。
校园网远程接入方式三趋势简介
移动访问数字图书馆
由于校园数字图书馆的面对用户群首先是本校师生,再就是校外的移动授权用户,所以在筹建方面,过高的成本消耗并不可取。以目前校园数字图书馆的建设方案来说,复旦大学给我们提供了较好的参考案例,如图所示。
复旦大学数字图书馆架构图
构建方式首先是校园自身馆藏的数字化,然后是与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权。只是这里涉及到与国外的图书馆合作,应用上也会产生相应的约束性。比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址。
如此看来,数字图书馆的应用必须拓展接入范围。而与国外图书馆的合作却是限制了外网接入,只能保证校内IP地址的应用,这是显而易见的矛盾。因此,要解决网络化应用,拓展数字图书馆的接入范围,就必须将图书馆的应用局限打破,在真正意义上达到随需访问。
从图中可以看到,VPN安全设备起着关键性的作用。任何经过授权的外网用户,通过SSLVPN接入技术,远程登录VPN设备,接入校园网内,完成VPN隧道建立;接着再经由VPN设备进行源IP地址转换,引入IP地址替换技术将外网移动用户自动授权,并引导对方接入数字图书馆目录。在此,外网移动用户便可随需选择国外合作馆藏进行自由查阅,无需再次手动输入验证。
多线路智能分流
从外网接入需求看,保障线路并行、最优线路选择、实时路由选择是当前应用下的首要需求。相对于从内网访问需求看,优化传输、数据分流也是不可或缺的要素。
内网用户在访问外网资源时,VPN设备将根据用户的目标地址,引导对方接入相应的资源线路。这是多线路智能分流技术的体现;当外网用户接入内网时,VPN设备将根据用户的源接入地址,引导对方接入相应的线路端口,访问目的资源,这里体现的是自适应智能选路。
网络线路的多样化,造成了数据传输的复杂,如果不采用多线路智能分流技术,很可能在访问公网资源时,却是经由教育网线路出去的。线路的过长和带宽的差异便会产生之前提到的种种问题。而实质上,采用了智能分流应用后,校园网访问外网资源,可以由相应的接入端口线路出去,到达访问地址,从而优化传输,实现数据分流。
多线路应用下的网络现状,体现最为突出的要属不同线路运营商之间的互联上。正常情况下,不同线路运营商之间互访,都需要经由特定网关中转,延时约在420毫秒以上,但换做集成多线路智能技术的VPN设备进行中转,则可以将延时缩小到60毫秒以下,这基本上是正常线路的传输时长,这是保证多线路并存的核心。
未来,在应用产品中预留了对应的发展空间决定了高校发展的可持续性,将技术模块化实现后再集成到设备之中已不再是软件供应商的专利,如华为3Com、冰峰网络等VPN厂商支持模块化,另一方面也为客户缩减了设备高端化、多样化所带来的投资成本。