我所经历的校园信息化（四）

朱瑞明

教育信息化的SSL VPN新应用特点
——教育信息化安全大会冰峰网络主题演讲内容SSL VPN技术在伴随着教育信息化的发展下，已得到众多高校的广泛认可。
从它本身的概念来讲，是指通过SSL（即安全套接层Secure Sockets Layer）加密技术进行数据封装，实现VPN高强度加密的数据通信技术。SSL本身就是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术，常用于在Web浏览器与Web服务器之间建立安全通信通道。如现有的网上银行就是基于SSL的应用建立起来的。
针对SSL VPN在教育行业的应用，可以归结出如下三个综合性需求：即大规模应用下的VPN接入需求、移动访问数字图书馆、校园内外网的多线路智能分流。
大规模应用下的VPN接入
VPN技术的实现，特别是SSL VPN在B/S、C/S构架的网络上全面适应，以及高强度加密保障传输安全等性能，已逐步形成一种主流的替代模式。要引入VPN接入，就必须考虑到大规模应用的支持问题，必须保证外网接入校园网的需求，以及在大规模访问的应用下，来自客户端的安全性，来自于服务器端的稳定性，来自于线路传输的及服务器数据处理的高效性，还有来自于用户应用的简便性。四者缺一不可。
综合归类，体现最为突出的问题有以下三点：大规模应用，致使服务器的超负荷运作；单点故障，致使业务风险增加；以及设备高端化，使得采购成本的增加。
通过对以上问题的分析，对于多用户群的接入，这里推荐以ICEFLOW SSL VPN安全产品作为校园网络中心网关，让用户群通过SSL方式建立专用安全隧道，再以Web浏览器进行远程登陆。如此可以解决用户急需的安全接入，以及缓解专线占用的高额费用问题。
其次以集群技术（接入、线路、应用）拓展规模应用，并以负载均衡技术平衡多服务器之间的占用与冗余问题。
在大规模应用下的VPN接入解决方案里，集成技术可以充分地发挥了它的作用。通过系统硬件集成，将防火墙、负载均衡等规模化应用功能，以及其他在应用上所涉及到的技术通通整合在VPN设备之中，让一机多能的设想充分实现，不仅提升设备性能的应用最大化，还在真正意义上为用户节约了设备多样化的经费投入。
作为最突出于解决方案里负载均衡，它的意义起到决定大规模应用的可行与否。
外网数据流进入校园网访问会自由分布在多个服务器中。但最大数据流量往往是流向默认的服务器。在不采用负载均衡模块时，在大规模集群应用便会出现默认服务器超负荷运行，而备用服务器还处在空闲状态。
分析对比采用SSL VPN设备的情况，首先在设备成本上就节省了负载均衡设备的开支。其集成的负载均衡模块可以在出现大流量数据的状况时，根据调度算法和动态权重分配计算，将数据分流到备用服务器，以减免主服务器的超负荷运行，同时提高了资源的利用率消除冗余。
其次在集成了负载均衡工作策略的VPN设备中加入的应用检测与负载检测功能，还可以保障单点故障出现时，其它设备能够及时反应并接入故障设备的工作数据流。
移动访问数字图书馆
由于校园数字图书馆的面对用户群首先是本校师生，再就是校外的移动授权用户，所以在筹建方面，过高的成本消耗并不可取。以目前校园数字图书馆的建设方案来说，复旦大学给我们提供了较好的参考案例。
构建方式首先是校园自身馆藏的数字化；然后是与国外高校合作交换图书馆数据；以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权。只是这里涉及到与国外的图书馆合作，应用上也会产生相应的约束性。比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址。
如此看来，数字图书馆的应用必须拓展接入范围。而与国外图书馆的合作却是限制了外网接入，只能保证校内IP地址的应用，这是显而易见的矛盾。因此，要解决网络化应用，拓展数字图书馆的接入范围，就必须将图书馆的应用局限打破，在真正意义上达到随需访问。

从图中可以看到VPN安全设备起着关键性的作用。任何经过授权的外网用户，通过SSL VPN接入技术，远程登陆VPN设备，接入校园网内，完成VPN隧道建立；接着再经由VPN设备进行源IP地址转换，引入IP地址替换技术将外网移动用户自动授权，并引导对方接入数字图书馆目录。在此，外网移动用户便可随需选择国外合作馆藏进行自由查阅，无需再次手动输入验证。
校园内外网的多线路智能分流
我们处于一个多线路接入应用的时代，互联网的多领域覆盖，舍去任何一方的资源都违背了资源共享的理念。从外网接入需求看，保障线路并行、最优线路选择、实时路由选择是当前应用下的首要需求。相对于从内网访问需求看，优化传输、数据分流也是不可或缺的要素。

如图所示：内网用户在访问外网资源时，VPN设备将根据用户的目标地址，引导对方接入相应的资源线路。这是多线路智能分流技术的体现；当外网用户接入内网时，VPN设备将根据用户的源接入地址，引导对方接入相应的线路端口，访问目的资源，这里体现的是自适应智能选路。
网络线路的多样化，造成了数据传输的复杂，如果不采用多线路智能分流技术，很可能在访问公网资源时，却是经由教育网线路出去的。线路的过长和带宽的差异便会产生之前提到的种种问题。而实质上，采用了智能分流应用后，校园网访问外网资源，可以由相应的接入端口线路出去，到达访问地址，从而优化传输，实现数据分流。
多线路应用下的网络现状，体现最为突出的要属不同线路运营商之间的互联上。正常情况下，不同线路运营商之间互访，都需要经由特定网关中转，延时约在420毫秒以上，但是换做集成多线路智能技术的VPN设备进行中转，则可以将延时缩小到60毫秒以下，这基本上是正常线路的传输时长，这是保证多线路并存的核心。
实质上，这里所提到的两种方式，在技术上是可以实现并存的。这也是VPN设备高扩展性能的体现，以随时随地面对信息化的未来发展。
未来，不论教育信息化如何发展，在应用产品中预留了对应的发展空间决定了企业和高校发展的可持续性，将技术模块化实现后再集成到设备之中已不再是软件供应商的专利，如冰峰VPN厂商支持模块化的这一举措，另一方面也为客户缩减了设备高端化、多样化所带来的投资成本。

pcc118

受教了，要是有一些关于办校的一些系统的建议就好了