图书馆VPN接入解决方案

http://www.edu.cn 　 2005-09-01 作者：

字体选择　　【大】　【中】　【小】

中国科学家担任亚太先进网络... 08-31 中美高级网络技术研讨会在西... 08-25

　　前言

　　随着互联网的普及和信息化程度的提高，使全世界的数字信息高度共享成为可能。中国高校越来越重视数字化校园的开发，依托网络技术开展电化教学、电子教学资源的建设。而电子教学资源的重点之一，——电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义。

　　然而数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护(Digital Rights Management，DRM)的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即：采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户；而只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。我们也可以要求服务商进一步开放更多的IP地址为合法用户，但是这要求访问者的IP地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态IP地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

　　因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。下文就常见的校园网远程访问技术进行分析，并提出华为3Com高校电子图书馆VPN远程访问方案。同时对VPN的安全性提出了解决方案。

　　方案

　　User-Broadband-Campus模式是一种宽带拨号技术，属于Access-vpn类型。用户可以在家中通过ADSL、LAN等方式接入互联网，获得公网合法地址后拨号校园网VPN网关的公网地址，通过L2TP构建一条用户到校园网的二层隧道，SecPath给用户分配一个校园网地址。用户端配置比较简单，使用Windows新建连接创建拨号即可，也可以通过华为3Com的专有SecPoint客户端来支持更多VPN特性。

　　这种模式有着代理服务器技术、WEB代理技术所无法比拟的优势：

　　安全，VPN服务器是最严格的策略保护设备，通常由专用VPN网关设备或路由器来实现，而VPN网关设备具备更好的访问控制功能，具有更强的防火墙功能，性能也优于路由器作VPN服务器方式。VPN隧道的建立是通过双方协商形成的加密通道，可以有效防止第三方的窃听和截取。可以关闭除必要访问端口之外的所有端口，保护内网安全，防止病毒侵袭。

　　性能高，在专业的VPN网关上可以支持1000M访问校园网，而VPN客户端也可以采用各种宽带技术接入。如果用户需要通过VPN进行大数据量的业务访问，比如视频、下载大量资料的情况，这种模式将是首选。

　　在校园网总部部署SecPath1000作为VPN网关，分支机构部署SecPath100与总部网关构建IPSec VPN，远程个人用户通过支持动态VPN功能的SecPoint VPN客户端软件拨号SecPath1000外网口的公网地址，获得CAMS综合访问管理服务器身份鉴权后，构建L2TP隧道。分支机构要按照校园网统一的地址规划自行分配地址，SecPath1000为远程个人用户分配校内地址。不论远程个人用户还是分支机构，这种方式面向数据库提供商时，不在是单一地址，可以是很多地址，那么就有效解决了数据库提供商针对单一IP拒绝访问的问题。在各地用户访问数据库提供商的图书资源时，SecPath1000将这些用户内网地址NAT为数据库提供商的授权地址，即可访问。在用户获得私网地址的情况时，可以实施NAT穿越方案。原理是由SecPoint将用户数据用ESP封装，使用UDP协议穿越不由自己控制的NAT设备。这种方案要求SecPath和SecPoint都是必配的。