|
教育信息化的SSL VPN新應(yīng)用特點(diǎn) |
隨著教育信息化的發(fā)展,SSL VPN技術(shù)已在各高校得到了廣泛的應(yīng)用。這里所要探討的是目前存在于很多高校在SSL VPN運(yùn)用上所遇到的實(shí)際問題,以及針對(duì)此類問題所提及的解決方式——即負(fù)載均衡、隨需訪問、智能分流、智能選路等。希望能對(duì)廣大讀者在今后的應(yīng)用上能夠有所借鑒。 提到SSL VPN,首先要了解SSL的存在,SSL即安全套接層(Secure Sockets Layer)是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)、它使用了對(duì)稱加密技術(shù),常用于在Web瀏覽器與Web服務(wù)器之間建立安全通信通道。而SSL VPN則是指通過SSL加密技術(shù)進(jìn)行數(shù)據(jù)封裝,實(shí)現(xiàn)VPN高強(qiáng)度加密的數(shù)據(jù)通信技術(shù)。 就其目前現(xiàn)狀來說,SSL VPN的主要實(shí)現(xiàn)方式有以下四種:
就SSL VPN特性來說主要有:使用SSL保證通信安全、適用于所用網(wǎng)絡(luò)環(huán)境、無客戶端或客戶端配置簡(jiǎn)便、只供遠(yuǎn)程訪問使用、細(xì)粒度的訪問控制、多種增強(qiáng)認(rèn)證方式、與現(xiàn)有系統(tǒng)兼容。 針對(duì)以上的SSL VPN的特性,以及在教育行業(yè)的應(yīng)用,可以歸結(jié)出如下三個(gè)新需求。 新需求之一的大規(guī)模應(yīng)用下的VPN接入需求。運(yùn)用專線網(wǎng)絡(luò)、普通撥號(hào)接入作為校區(qū)互聯(lián)應(yīng)用的基礎(chǔ),已經(jīng)不是滿足遠(yuǎn)程接入的必要手段。VPN技術(shù)的實(shí)現(xiàn),特別是SSL VPN在B/S、C/S構(gòu)架的網(wǎng)絡(luò)上全面適應(yīng),以及高強(qiáng)度加密保障傳輸安全等性能,已逐步形成一種主流的替代模式。 新需求之二的移動(dòng)訪問數(shù)字圖書館。校園數(shù)字圖書館的應(yīng)用越具規(guī)模,從工作人員將自身館藏書籍?dāng)?shù)字化開始,到與商業(yè)化合作購(gòu)買閱覽版權(quán),再將數(shù)據(jù)與校園網(wǎng)共享,讓校內(nèi)外師生都能方便查詢電子文獻(xiàn)資料。這是以教育信息化直接面向師生應(yīng)用較為廣泛的需求之一。 新需求之三的校園內(nèi)外網(wǎng)的多線路智能分流。網(wǎng)絡(luò)世界無所謂縱橫分布,每一個(gè)交點(diǎn)上都可能匯集著多條不同的線路,就說國(guó)內(nèi)現(xiàn)狀,電信、網(wǎng)通、鐵通、聯(lián)通爭(zhēng)相角逐,又有教育網(wǎng)、科技網(wǎng)的應(yīng)用覆蓋,這就很難保證同一所高校的所有節(jié)點(diǎn)應(yīng)用在同一個(gè)網(wǎng)內(nèi)。多線路的接入會(huì)產(chǎn)生數(shù)據(jù)在線路之間轉(zhuǎn)移時(shí)的延時(shí)現(xiàn)象。而對(duì)于大流量的數(shù)據(jù)在傳輸過程中,又會(huì)導(dǎo)致帶寬瓶頸等問題。多線路智能分流技術(shù)便應(yīng)運(yùn)而生了。 如何保證大規(guī)模應(yīng)用下的VPN接入?如何保證應(yīng)用服務(wù)器負(fù)載能力?如何保證隨需訪問數(shù)字圖書館?如何保證多條線路充分利用?這是亟待解決的問題。 要引入VPN接入,就必須考慮到大規(guī)模應(yīng)用的支持問題,必須保證外網(wǎng)接入校園網(wǎng)的需求,以及在大規(guī)模訪問的應(yīng)用下,來自客戶端的安全性,來自于服務(wù)器端的穩(wěn)定性,來自于線路傳輸?shù)募胺⻊?wù)器數(shù)據(jù)處理的高效性,還有來自于用戶應(yīng)用的簡(jiǎn)便性。四者缺一不可。 對(duì)于大規(guī)模應(yīng)用下的VPN接入需求來說,綜合歸類,體現(xiàn)最為突出的問題有以下三點(diǎn): 隨著教育信息化的應(yīng)用越漸規(guī)模化,網(wǎng)絡(luò)硬件設(shè)備的高端化,面臨的問題也是呈正比攀升。以問題為中心進(jìn)行化解,從而抑止應(yīng)用落差的增長(zhǎng)勢(shì)頭,完善和彌補(bǔ)以往信息化應(yīng)用中的不足之處,將應(yīng)用最優(yōu)化,將問題歸零化,這才是合格的解決方案所該做到的內(nèi)容。 其次以集群技術(shù)(接入、線路、應(yīng)用)拓展規(guī)模應(yīng)用,并以負(fù)載均衡技術(shù)平衡多服務(wù)器之間的占用與冗余問題。 完善的解決方案應(yīng)該從產(chǎn)品研發(fā)設(shè)計(jì)之初,就開始在思考怎么才能通過一機(jī)多能的形式去為用戶節(jié)約網(wǎng)絡(luò)設(shè)備的采購(gòu)成本。 為此,在大規(guī)模應(yīng)用下的VPN接入解決方案里,集成技術(shù)充分地發(fā)揮了它的作用。通過系統(tǒng)硬件集成,將防火墻、負(fù)載均衡等規(guī)模化應(yīng)用功能,以及其他在應(yīng)用上所涉及到的技術(shù)通通整合在VPN設(shè)備之中。讓一機(jī)多能的設(shè)想充分實(shí)現(xiàn),并在真正意義上為用戶節(jié)約了設(shè)備多樣化的經(jīng)費(fèi)投入。 作為最突出于解決方案里負(fù)載均衡,它的意義起到?jīng)Q定大規(guī)模應(yīng)用的可行與否。 在不采用負(fù)載均衡模塊時(shí),在大規(guī)模集群應(yīng)用便會(huì)出現(xiàn)默認(rèn)服務(wù)器超負(fù)荷運(yùn)行,而備用服務(wù)器還處在空閑狀態(tài)。 我們分析對(duì)比一下采用SSL VPN設(shè)備的情況,首先在使用SSL VPN的方式下,就節(jié)省了負(fù)載均衡設(shè)備的開支。其集成的負(fù)載均衡模塊可以在出現(xiàn)大流量數(shù)據(jù)的狀況時(shí),根據(jù)調(diào)度算法和動(dòng)態(tài)權(quán)重分配計(jì)算,將數(shù)據(jù)分流到備用服務(wù)器,以減免主服務(wù)器的超負(fù)荷運(yùn)行,同時(shí)提高了資源的利用率消除冗余。 普通的VPN設(shè)備即便可以平衡多服務(wù)器的利用率,但一旦線路上的服務(wù)器出現(xiàn)在應(yīng)用故障,假使VPN設(shè)備還繼續(xù)在平衡分配數(shù)據(jù)流的話,將得不償失。是以在集成了負(fù)載均衡工作策略的VPN設(shè)備中還應(yīng)該加入了應(yīng)用檢測(cè)與負(fù)載檢測(cè)功能,以保障單點(diǎn)故障出現(xiàn)時(shí),其它設(shè)備能夠及時(shí)反應(yīng)并接入故障設(shè)備的工作數(shù)據(jù)流。 同理,當(dāng)檢測(cè)出服務(wù)器C的反饋信息為滿負(fù)載狀態(tài)時(shí),也會(huì)將流向服務(wù)器C的數(shù)據(jù)流導(dǎo)向狀態(tài)正常的服務(wù)器B。這就是VPN的應(yīng)用檢測(cè)與負(fù)載檢測(cè)工作策略,是保障系統(tǒng)正常運(yùn)作的基本。 以上提到的是大規(guī)模接入下的VPN需求應(yīng)用,接下來要提到的第二個(gè)需求是移動(dòng)訪問數(shù)字圖書館。在中國(guó),真正稱得上是數(shù)字圖書館的屈指可數(shù),專注于教育的高校想要建成如方正Apabi(阿帕比)、超星數(shù)字圖書館這類足具規(guī)模的應(yīng)用也不是件簡(jiǎn)單的事。 由于校園數(shù)字圖書館的面對(duì)用戶群首先是本校師生,再就是校外的移動(dòng)授權(quán)用戶,所以在籌建方面,就不應(yīng)當(dāng)考慮過高的成本消耗。以目前校園數(shù)字圖書館的建設(shè)方案來說,復(fù)旦大學(xué)給我們提供了較好的參考案例。 構(gòu)建方式首先是校園自身館藏的數(shù)字化;然后是與國(guó)外高校合作交換圖書館數(shù)據(jù);以及向國(guó)外商業(yè)圖書館交納版權(quán)費(fèi),獲得更多珍藏文獻(xiàn)資料的瀏覽權(quán)。但是,經(jīng)此一來,由于是涉及到與國(guó)外的圖書館合作,應(yīng)用上的約束性也便隨之產(chǎn)生。比如說為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán),瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址。 從前面的分析來看,數(shù)字圖書館的應(yīng)用必須拓展接入范圍。而與國(guó)外圖書館的合作卻是限制了外網(wǎng)接入,只能保證校內(nèi)IP地址的應(yīng)用,這是顯而易見的矛盾。因此,要解決網(wǎng)絡(luò)化應(yīng)用,拓展數(shù)字圖書館的接入范圍,就必須將圖書館的應(yīng)用局限打破,在真正意義上達(dá)到隨時(shí)、隨地、隨需訪問查詢。 在這個(gè)解決方案中有一個(gè)需要重點(diǎn)闡明的概念,那就是隧道式SSL VPN。 他包括了網(wǎng)絡(luò)層隧道應(yīng)用與SSL封裝過程兩個(gè)概念,也就是說必須兼有兩者的關(guān)系才能算是真正的隧道式SSL VPN。 看似簡(jiǎn)單淺顯的道理,我們卻為何又會(huì)如此看中他的存在?因?yàn)椋谒淼朗絊SL VPN與IPSec軟件客戶端的應(yīng)用對(duì)比上,它所顯露的優(yōu)勢(shì)決定了他在未來應(yīng)用的主導(dǎo)地位,之所以如此看中,正是看到了它在多方應(yīng)用之下的發(fā)展?jié)摿ΑSL VPN的發(fā)展?jié)摿κ菬o限的,作為教育業(yè)信息化應(yīng)用的基礎(chǔ),他的拓展空間也存在著無限的可能。 從之前提到的第三個(gè)需求來看,這是教育行業(yè)中普遍存在的問題。我們處于一個(gè)多線路接入應(yīng)用的時(shí)代。教育網(wǎng)、科技網(wǎng)、電信、網(wǎng)通、鐵通……舍去任何一方的資源都違背了因特網(wǎng)資源共享的理念。從外網(wǎng)接入需求看,保障線路并行、最優(yōu)線路選擇、實(shí)時(shí)路由選擇是當(dāng)前應(yīng)用下的首要需求。相對(duì)于從內(nèi)網(wǎng)訪問需求看,優(yōu)化傳輸、數(shù)據(jù)分流也是不可或缺的要素。 從這個(gè)需求的角度出發(fā),可以分別從內(nèi)網(wǎng)訪問和外網(wǎng)接入的兩個(gè)角度卻理解這一解決方案的應(yīng)用特征。 網(wǎng)絡(luò)線路的多樣化,造成了數(shù)據(jù)傳輸?shù)膹?fù)雜,如果不采用多線路智能分流技術(shù),很可能在訪問電信資源時(shí),卻是經(jīng)由教育網(wǎng)線路出去的。線路的過長(zhǎng)和帶寬的差異便會(huì)產(chǎn)生之前提到的種種問題。這本身也違背了運(yùn)籌學(xué)中所提到的最短線路問題的優(yōu)化原理。 而實(shí)質(zhì)上,采用了智能分流應(yīng)用后,校園網(wǎng)訪問外網(wǎng)資源,可以由相應(yīng)的接入端口線路出去,到達(dá)訪問地址,從而優(yōu)化傳輸,實(shí)現(xiàn)數(shù)據(jù)分流。 在這里,讀者或許會(huì)認(rèn)為多線路智能分流與自適應(yīng)用智能選路有許多類似的地方。其不同之處在于前者是多線路的智能分流,是將接入的用戶導(dǎo)向?qū)?yīng)的目的端口,后者則是將不同的接入用戶通過相應(yīng)的線路端口導(dǎo)入,再通過VPN設(shè)備,引入目標(biāo)地址。 實(shí)質(zhì)上,這里所提到的兩種方式,在技術(shù)上是可以實(shí)現(xiàn)并存的。這也是VPN設(shè)備高擴(kuò)展性能的體現(xiàn),以隨時(shí)隨地面對(duì)信息化的未來發(fā)展。 未來,不論教育信息化如何發(fā)展,在應(yīng)用產(chǎn)品中預(yù)留了對(duì)應(yīng)的發(fā)展空間決定了企業(yè)和高校發(fā)展的可持續(xù)性,將技術(shù)模塊化實(shí)現(xiàn)后再集成到設(shè)備之中已不再是軟件供應(yīng)商的專利,如冰峰VPN廠商支持模塊化的這一舉措,另一方面也為客戶縮減了設(shè)備高端化、多樣化所帶來的投資成本。 |
