基于VPN技术实现信息资源共享的有效途径
2014-04-29郭廓谷秋实
郭廓 谷秋实
[摘 要] 网络信息技术快速发展的今天,信息作为重要资源已为人们所熟知,公共职能部门作为舆论导向、信息发布及培训的重要机构,对信息资源数量、质量要求较高,利用VPN技术构建一种低成本、使用灵活的信息资源共享平台显得重要和急迫。现如今,信息化建设进程正在不断推进,以及“Big Data”大数据概念的提出,要求我们应突破传统信息资源建设的瓶颈,迅速改变以往利用传统技术处理信息资源的手段、传播途径和使用方法,不断推进新技术在公共领域的应用,满足各级组织对网络服务及其应用的要求。
[关键词] 虚拟专网;资源共享;规划管理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 09. 061
[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2014)10- 0085- 04
虽然,利用网络技术,公共部门在提高信息资源利用率方面得到了一定的提高,但是财政的有限投入不能满足所有应用对信息化发展的需求。目前实际情况是,由于大量事物对信息资源的需求较多,信息化建设投入较高,因此,信息资源主要集中在全国各地省、市级层面。县、区级组织受自身条件影响,信息化发展严重不足,是整个信息链上的薄弱环节,某种程度上阻碍了各级组织之间的信息交流。通过对上述情况的调研分析,县、区级组织迫切希望建立信息资源共享平台,以满足对信息资源的需要。为解决这一问题,一项建立中心数据库,其他各基层单位为网络节点的资源共享的网络平台VPN虚拟专网新技术应运而生。
因此,各级组织数据中心联合启动了VPN虚拟专网的建设工程,省、市、县、区各级部门初步建立起以资源数据库为核心数字化资源互联、互通的VPN专网信息资源共享平台。通过VPN技术,有效地解决了组织间学习、交流阻碍的问题,消除了“信息孤岛”,打破了信息资源受网络地域的限制,扩大了受众群体范围,加快了高效利用网络信息资源提高教学、科研、培训、管理水平新模式的发展速度。
1 VPN技术方案的内涵与优势
现如今,企事业单位的网络数据流量已经成几何级数增长,它包括各种空间数据、报表统计数据、文字、声音、图像、超文本等各种环境和文化数据信息[1],处理这些海量数据,需要建立专用网络才能保障数据传输的畅通。一般来说,有这样需求的用户一是通过架设专有通信光纤来实现,另外也可以租用电信运营商专用线路来实现。这两种模式前期铺设线路、购买数据交换设备固定投入较大,后期维护、管理费用成本较高,对于很多非营利性单位只能望而却步。于是基于VPN技术建立虚拟专网在效率与成本之间找到平衡点不失为最具“性价比”的选择,选择VPN方案,具有安全可靠、经济实用、扩展性好、管理方便等优势,同时也满足了信息资源对专网建设的总体目标和需求。
1.1 VPN定义与核心技术组成
1.1.1 VPN基本定义
虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台。
根据定义,VPN属于利用公共网络架设私有网络的远程访问技术,以学校为例,比如本校教师身处外地,需要查询本校内网信息,这种异地通信就属于远程访问。要想达到上述目的,用VPN的解决方案是在原单位内网中配置VPN服务器,服务器配有双网卡,一块连接内网,一块连接外网(公网)。在外教师在当地接入到互联网后,通过VPN服务器加密功能,将往来信息在一条专用的数据链路上进行传输,实现访问学校内网需求,既安全又便捷,这就如同铺设专用网络一样。实际上,是利用VPN专用隧道协议① 在公网上虚拟出数据通信链路,借助公网,加密封装数据完成数据链路、传输、会话、表示直到最后应用。所谓虚拟,是指用户不再需要拥有实际的专用数据链路,而是使用公共网络仿真一条点到点的数据链路。所谓专用网络,是指这个数据链路的通道可以提供和专网同样的功能[2],如图1。
1.1.2 VPN包含的主要协议与功能特点
VPN技术的发展速度很快,在相关产品、服务市场上竞争尤为激烈,目前主要产品与服务有两项,一是基于IPSec协议;二是基于SSL协议以及从这两项衍生、改进协议为基础来实现主要功能的辅助产品。
基于IPSec(IP Security)协议VPN,主要是通过在OSI模型中网络层建立连接内网与外网(公网)安全、可控的数据链路通道,实现点对点之间的通信。想要实现远程接入时,服务器端与客户终端都需用软件支持,客户端需要手动输入安全秘钥和配置参数,当远程接入量增大时,由于受外网(公网)带宽影响,QOS质量明显下降,需增加设备,提高投入,后期维护工作量大。
基于SSL (Security Socket Layer)协议的VPN是一种新型VPN技术,它是一种在互联网上基于Web应用安全协议的技术,它工作在OSI模型中最顶端——应用层,采用B/S结构(浏览器/服务器模式),内嵌于浏览器中,为TCP/IP协议连接提供数据加密、服务器认证和信息发布。SSL VPN优势明显,具有部署简单、无客户端、维护成本低、网络适应强等特点。
1.1.3 IPSec与SSl两种协议的比较分析
在VPN技术领域,SSl有了长足的发展,作为后起之秀,依靠自身优势与IPSec并驾齐驱。在公共教育、管理、培训这样的非营利性部门半数以上的员工和学员依赖于移动办公,预计未来还会不断增长,使用率将会突破70%,这主要得益于SSL这种IPSec以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。尽管SSl大出风头,许多IPSecVPN厂商也陆续推出基于SSL技术产品和服务,但在短时间内还无法取代IPSec,最主要的原因就是SSl在实际应用中还存在短板,在点到点解决方案模式下,IPSec的远程接入、隧道链路、数据加密相比SSL还略胜一筹。
以上对比两者的特点,无论选择那种技术的VPN,作为独立的VPN产品都不能很好地满足不同接入方式的需要,较为理想的解决方案是“混搭”——融合IPSec VPN和SSL VPN于一体。最大化发挥两者优势,避免两个分立平台而导致的低效和成本增加。不难看出,基于这两种协议的产品不管在市场还是技术领域即是竞争又是互补的关系。作为用户希望看到的是他们的互补性,目前,IPSec VPN与SSL VPN各自厂商也在积极地将对方的优势技术添加到自己的产品线上去。这种互补性定位对VPN未来的发展至关重要。
1.2 资源共享模式下VPN专网选择方案
1.2.1 VPN内部地址的统一规划与管理
首先做好准备工作,按照要求,地址的统一规划和管理非常重要,为避免IP地址发生冲突,应根据各级组织网络应用的实际情况统一划分Vlan,统一分配地址,保证VPN专网传输速度和信息平台的顺畅与安全使用。经过反复测试,根据某高校信息网络管理中心给出的测试结果以及网络通信有效载荷数据,选择了融合IPSec和SSL双隧道协议的VPN网关设备来部署VPN专网,主校为核心网络,下属各分校为接入子网,统一构建信息资源共享平台。综合考量,该方案即发挥IPSec安全性高、访问速度快等优势,又兼顾到SSL部署简单、维护费用低的技术特点。实现远程访问、统一授课、异地管理、共享信息资源的目标。
1.2.2 各层级VPN子网接入的总体要求
作为VPN资源共享平台的接入子网,是整个VPN专网承上启下的重要环节,它是承担起连接内网各个终端与外网和VPN虚拟专网的桥梁。良好的内部网络环境是保障整个系统稳定工作的前提条件,因此,要遵从从制度层面到技术层面的各种规范,发挥VPN专网系统的最大效能。
依据实际合理设计内网的拓扑结构。整个VPN专用网交换的是海量数据,为保障数据顺畅传输,网络核心应采用快速以太网或千兆以太网技术,中心机房核心交换设备应架设数据处理能力强,安全可靠的品牌交换设备。除此之外,还应配套网络行为管理、网络负载均衡以及UTM安全网关等设备,安全防范外部的网络攻击行为,减少网络供应商由于异构网络造成的带宽瓶颈效应,保障网络的正常运行。
1.2.3 VPN运行效能与服务优势
VPN专网是一种开放式、可扩展、兼容性强的系统,可根据实际需要做更深层次的开发,逐步完善其功能。经过一个阶段的稳定运行后,我们对整个网络、资源平台的使用效率、效能有以下几点评估。
(1)兼容性强。不需要更改原有网络拓扑结构,在异构网络环境下,只需一台VPN网关设备就能实现远程高效、安全访问的功能。架设简单、操作简便、维护量小。通过互联网,使用浏览器认证就能进入资源共享平台,操作界面友好,提供SaaS软件即时服务,全程都使用后台调度,可实现异地(集中)管理,无需安排专人管理。
(2)安全可靠。系统安全无外乎是3方面内容:客户端接入安全,数据传输安全和内部资源访问安全。主流VPN设备都集成了高性能企业级防火墙,配合UTM安全网关利用高级别安全策略检查,全程严密监控数据加密、解密封装过程,实施入侵检测、入侵防御等手段,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(3) 运行高效。网络架构位于VPN专网的最上端,部署的核心设备具有VPN领域最先进的数据删减技术,能够精简传输线路中30%~50%的数据流量,有效削减了传输线路中的重复冗余数据,运用主流的LZO流压缩技术对筛选后数据重新封装,优化TCP/IP协议组,减少面向链接传送服务时的握手响应,辅以优化网络带宽技术,缓解线路带宽压力,避免了带宽频繁升级所带来的成本增加。
(4)应用广泛。VPN专网的全面应用实现了网络互联、互通的总体要求,使分散的信息整合为共享的资源,提出“数字校园”建设规划,推广虚拟专网使用范围。目前,利用VPN专网已经建立和整合了图书馆各类文字信息资源,视频点播资源,服务软件资源并升级了内部电子邮件服务系统、视频会议系统、直播教学系统、教学和科研管理系统、办公自动化系统等。
2 VPN专网管理的技术保障
2.1 目标决策内容
要想VPN发挥出最大的功效,除了采用先进设备和技术外,更需要完善的管理作支持。网络构成了一个庞大的应用系统,这包括各级组织的信息中心、设备机房、汇聚点以及近万台电脑终端,还有许多软件应用系统和服务器需要合理配置、精心维护,这需要相关管理人员具备较高技术素质和丰富的管理经验。为提高效率,首先应当建立中央数据的目录服务,统一、完善个人信息添加、修改和查询。VPN核心交换设备以及每一台隧道服务器都应该自动适应中央数据库,自动存储每一名用户的信息,包括用户名,口令,以及拨号接入的属性等,利用虚拟技术,尽最大可能将服务器、交换设备做阵列、堆叠乃至集群化部署,为数据存储、传输、应用提供“无缝式”服务。
2.2 具体部署方案
采用集中式安全管理中心(Secure Center)策略。在繁杂的信息环境中,网络管理人员应当能够随时随地了解、掌控VPN系统运行情况,包括在线人员数目、网络负载能力、系统异常活动、外部攻击等一系列信息。为避免负面影响,硬件方面应增设数据备份设备,软件方面应开启日志和实时信息监测功能,自上而下,实行24小时全局监测,将所有VPN监测信息按等级统一汇聚到专用数据库中,只要单人管理就可以同时监控和部署VPN网络中所有系统。极大地提高了网络整体的安全等级,并消除因异构网络策略造成的安全漏洞。
2.2.1 集中管理,集中配置
管理员可以从任何地方使用浏览器通过Web界面在线登录后台管理程序,通过管理器,可以配置所有纳入到VPN网络的设备和客户端,根据要求自由改动网络拓扑结构。通过可视化策略编辑器,自由定义工作环境,远程调度、维护各网络节点指定程序和操作系统,节约大量人力成本,实现规模化收益。网络规模越大,所带来的管理成本的降低就越明显。
2.2.2 智能化的集中监控
应在整个VPN专网中部署智能监控设备,以便实时重点监控和维护VPN专网的各个节点和防御状态,加装全局域网防御功能,整网智能升级,可以从主防御病毒库中提取信息,指令开启防御状态,在无人看守情况下,可自动循迹、跟踪被攻击的可疑目标,最快时间内定位攻击源,迅速锁定、隔离故障设备,最大化保障整个网络安全。如果需要监控的节点量众多,还能够将需要监控的节点分区、分级管理。这种管理方法,符合跨区域、分级远程管理要求,管理权限也可以细化到各级区域。
可以预见,分散部署、远程访问、集中管理是未来VPN技术发展的大方向,根据MIS管理信息系统提供的经验,从战略、战术、作业各层面对VPN专网的技术部署方案和管理方案做了全面分析,比较目前的网络运行状况,以VPN技术为基础的信息资源平台广泛应用在教学、培训、管理的各个领域,打破了信息壁垒,提高了信息资源利用率,使工作上升到一个新的层面。
3 VPN技术效用总结
VPN技术在各个领域的广泛应用,为各级用户的实际需要提供了安全、可靠、高速、廉价的远程资源共享解决方案,能够有效地降低网络运营成本、提高资源利用率,具有广阔的发展和应用前景。VPN专网的建设极大地扩展公共信息资源利用途径,为信息化建设带来了新机遇,为公共事业发展提供了有效的保障。
主要参考文献
[1]蒋然.海量数据存储关键技术浅析[J].电脑知识与技术,2010(20).
[2]赵祥好.VPN技术在党校信息资源共享中的应用研究[J].大学图书情报学,2010(4).