于 闖, 楊 姝

(1. 沈陽(yáng)師范大學(xué) 數(shù)學(xué)與系統(tǒng)科學(xué)學(xué)院, 沈陽(yáng) 110034; 2. 沈陽(yáng)師范大學(xué) 教育技術(shù)學(xué)院, 沈陽(yáng) 110034)

0 引 言

校園網(wǎng)是一種局域網(wǎng),是學(xué)校進(jìn)行信息化建設(shè)的基礎(chǔ)設(shè)施。它承載著學(xué)校教學(xué)、科研、人事、學(xué)生、財(cái)務(wù)、一卡通等關(guān)鍵業(yè)務(wù)。因此,對(duì)校園網(wǎng)進(jìn)行有效的管理和維護(hù),是保障其安全穩(wěn)定運(yùn)行的關(guān)鍵[1]。

由于對(duì)校園網(wǎng)管理有較高的安全性要求,所以通常采用內(nèi)網(wǎng)模式進(jìn)行管理與維護(hù)。但隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)已經(jīng)與我們的日常工作、學(xué)習(xí)與生活密不可分,對(duì)于網(wǎng)絡(luò)的穩(wěn)定性提出了更高要求。對(duì)于網(wǎng)絡(luò)管理者而言,需要隨時(shí)隨地、高效地進(jìn)行網(wǎng)絡(luò)管理,如何進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)管理已成為網(wǎng)絡(luò)管理工作中的一個(gè)突出問(wèn)題[2]。隨著VPN和OpenVPN技術(shù)的產(chǎn)生,使得網(wǎng)絡(luò)管理員利用公共網(wǎng)絡(luò)對(duì)校園網(wǎng)進(jìn)行管理與維護(hù)并滿足校園網(wǎng)管理的安全性要求成為可能。本文則利用OpenVPN技術(shù),設(shè)計(jì)出解決方案并實(shí)現(xiàn)了對(duì)校園網(wǎng)的遠(yuǎn)程管理與維護(hù)。

首先,研究了OpenVPN技術(shù);然后對(duì)校園網(wǎng)的實(shí)際管理應(yīng)用需求進(jìn)行分析,在此基礎(chǔ)上,提出基于OpenVPN技術(shù)的校園網(wǎng)遠(yuǎn)程管理與維護(hù)的設(shè)計(jì)方案;最后根據(jù)本文提出的設(shè)計(jì)方案,搭建校園網(wǎng)環(huán)境下的運(yùn)行系統(tǒng),實(shí)現(xiàn)對(duì)校園網(wǎng)遠(yuǎn)程管理和維護(hù)。通過(guò)對(duì)實(shí)際系統(tǒng)的測(cè)試和運(yùn)行,可以得出,按照本文設(shè)計(jì)方案搭建的系統(tǒng),可以實(shí)現(xiàn)對(duì)校園網(wǎng)進(jìn)行遠(yuǎn)程管理和維護(hù),并且系統(tǒng)操作靈活方便、運(yùn)行穩(wěn)定、安全可靠,能夠滿足遠(yuǎn)程管理與維護(hù)的實(shí)際工作需要。

1 OpenVPN技術(shù)

VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))技術(shù)屬于遠(yuǎn)程訪問(wèn)技術(shù),利用該技術(shù)可以實(shí)現(xiàn)公用網(wǎng)絡(luò)對(duì)專用網(wǎng)絡(luò)的訪問(wèn)[3]。OpenVPN是一款實(shí)現(xiàn)VPN的點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)以及網(wǎng)端到網(wǎng)端等多種應(yīng)用模式的開源軟件。OpenVPN的核心技術(shù)包括虛擬網(wǎng)卡技術(shù)、數(shù)據(jù)壓縮技術(shù)和數(shù)據(jù)加密技術(shù)。

1.1 虛擬網(wǎng)卡技術(shù)

虛擬網(wǎng)卡技術(shù)是OpenVPN的核心技術(shù)之一,它利用網(wǎng)絡(luò)底層編輯技術(shù),在客戶端與服務(wù)器端各虛擬出一塊網(wǎng)卡,形成2塊虛擬網(wǎng)卡之間的邏輯通道[4]。通過(guò)虛擬網(wǎng)卡進(jìn)行數(shù)據(jù)發(fā)送與接收,實(shí)現(xiàn)VPN業(yè)務(wù)。虛擬網(wǎng)卡驅(qū)動(dòng)包括網(wǎng)卡驅(qū)動(dòng)和字符驅(qū)動(dòng),其中網(wǎng)卡驅(qū)動(dòng)負(fù)責(zé)傳輸數(shù)據(jù),字符驅(qū)動(dòng)負(fù)責(zé)與應(yīng)用層數(shù)據(jù)進(jìn)行通訊?？蛻舳伺c服務(wù)器端數(shù)據(jù)傳輸與各層次邏輯關(guān)系示意圖如圖1所示。從圖中可以看出:OpenVPN提供了TUN和TAP 2種虛擬網(wǎng)卡類型,其中TUN用于虛擬三層網(wǎng)絡(luò),TAP用于虛擬二層網(wǎng)絡(luò)[5];虛擬網(wǎng)卡間的邏輯通道將客戶端與服務(wù)器聯(lián)接起來(lái),并在網(wǎng)絡(luò)傳輸層建立SSL/TLS聯(lián)接。

圖1 OpenVPN的數(shù)據(jù)傳輸與各層次邏輯關(guān)系Fig.1 OpenVPN data transmission and logical relationship at various levels

1.2 數(shù)據(jù)壓縮技術(shù)

LZO是OpenVPN在數(shù)據(jù)傳輸過(guò)程中使用的數(shù)據(jù)壓縮算法。該算法能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)進(jìn)行無(wú)損壓縮、重復(fù)壓縮和原地解壓。LZO算法在保證壓縮率相對(duì)不錯(cuò)的前提下,具有壓縮速度快的突出特點(diǎn)[6]。它要求壓縮與解壓所用塊的大小保持一致,利用塊壓縮方式,也就是說(shuō)是對(duì)成塊的數(shù)據(jù)進(jìn)行壓縮解壓處理,數(shù)據(jù)塊被壓縮成匹配數(shù)據(jù)和非匹配文字序列。對(duì)于長(zhǎng)度較大的非匹配數(shù)據(jù)序列和匹配數(shù)據(jù)序列都有專門的處理方式,對(duì)于不同類型的數(shù)據(jù)能夠取得不錯(cuò)的效果。LZO的突出特點(diǎn)使其甚至可以應(yīng)用于嵌入式系統(tǒng),并取得滿意效果[7]。OpenVPN采用LZO算法對(duì)通訊數(shù)據(jù)先進(jìn)行壓縮處理,然后再進(jìn)行數(shù)據(jù)網(wǎng)絡(luò)傳輸,以此來(lái)提高數(shù)據(jù)傳輸效率。

1.3 數(shù)據(jù)加密技術(shù)

SSL(Secure Sockets Layer,安全套接層)及其TLS(Transport Layer Security,傳輸層安全)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。OpenVPN使用SSL/TLS協(xié)議在傳輸層對(duì)通訊數(shù)據(jù)進(jìn)行加密傳輸[8]。

SSL協(xié)議用于因特網(wǎng)中數(shù)據(jù)的加密傳輸。SSL協(xié)議從3.1版本開始,由因特網(wǎng)任務(wù)小組接管,并更名為TLS。使用SSL/TLS數(shù)據(jù)加密技術(shù),可以防止通訊數(shù)據(jù)在傳輸過(guò)程中被截取并竊聽。但是,因受到美國(guó)對(duì)加密軟件產(chǎn)品出口的限制,SSL/TLS在實(shí)用過(guò)程中存在密碼算法弱強(qiáng)度的問(wèn)題,不能滿足政府、軍用、金融等高安全領(lǐng)域的安全性要求,需要通過(guò)調(diào)用高安全級(jí)別的加密算法來(lái)增強(qiáng)其安全性[9]。在常規(guī)應(yīng)用場(chǎng)合中,SSL/TLS一般都可以直接滿足設(shè)計(jì)需要。

SSL/TLS被廣泛地用于客戶端與服務(wù)器端的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL/TLS協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。SSL/TLS協(xié)議可分為SSL/TLS記錄協(xié)議和SSL/TLS握手協(xié)議2層。SSL/TLS記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝、加密等支持。SSL/TLS握手協(xié)議用于通訊數(shù)據(jù)傳輸開始之前,通訊雙方完成身份認(rèn)證、協(xié)商算法、交換密鑰等操作。

2 基于OpenVPN技術(shù)的校園網(wǎng)遠(yuǎn)程管理與維護(hù)的設(shè)計(jì)方案

為了實(shí)現(xiàn)管理員在外網(wǎng)對(duì)校園網(wǎng)進(jìn)行安全穩(wěn)定的遠(yuǎn)程管理和維護(hù),需要對(duì)原有校園網(wǎng)系統(tǒng)拓?fù)浣Y(jié)構(gòu)進(jìn)行適當(dāng)改進(jìn)。圖2為原校園網(wǎng)管結(jié)構(gòu),圖3為實(shí)現(xiàn)外網(wǎng)遠(yuǎn)程管理與維護(hù)設(shè)計(jì)方案的系統(tǒng)結(jié)構(gòu)?？梢钥闯?在校園網(wǎng)中增設(shè)了一臺(tái)OpenVPN服務(wù)器并進(jìn)行相應(yīng)的權(quán)限配置。在校園網(wǎng)絡(luò)核心與匯聚層交換機(jī)中配置OpenVPN服務(wù)器的訪問(wèn)權(quán)限,對(duì)其訪問(wèn)網(wǎng)管服務(wù)器進(jìn)行授權(quán),從而實(shí)現(xiàn)網(wǎng)絡(luò)管理功能。同時(shí)更新路由表,使得從網(wǎng)管服務(wù)器發(fā)往目標(biāo)地址為OpenVPN客戶端的數(shù)據(jù)包轉(zhuǎn)發(fā)至OpenVPN服務(wù)器處理,數(shù)據(jù)包再由OpenVPN服務(wù)器轉(zhuǎn)發(fā)給OpenVPN客戶端[10]。另外,在校園網(wǎng)絡(luò)核心與匯聚層交換機(jī)中需設(shè)置訪問(wèn)控制列表,對(duì)OpenVPN客戶端的權(quán)限進(jìn)行授權(quán)與隔離處理,以保證安全性要求。

圖2 原校園網(wǎng)管結(jié)構(gòu)圖Fig.2 Original campus network management structure

圖3 實(shí)現(xiàn)外網(wǎng)遠(yuǎn)程管理與維護(hù)設(shè)計(jì)方案的系統(tǒng)結(jié)構(gòu)圖Fig.3 System structure design for realizing remote network management and maintenance

相對(duì)于原網(wǎng)管結(jié)構(gòu),本設(shè)計(jì)方案實(shí)現(xiàn)了如下功能:1)管理員可以通過(guò)外網(wǎng)聯(lián)接到OpenVPN服務(wù)器,遠(yuǎn)程獲取校園網(wǎng)確定的IP地址段;2)為保證網(wǎng)絡(luò)的安全,在網(wǎng)絡(luò)聯(lián)接與數(shù)據(jù)傳輸時(shí),進(jìn)行了數(shù)據(jù)加密處理;3)通過(guò)分配專用于遠(yuǎn)程管理的校園IP地址段并與校內(nèi)原管理IP地址段相隔離,保證安全。

2.1 獲取IP的方法

利用公網(wǎng)對(duì)校園網(wǎng)進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)管理與維護(hù),首先要解決IP地址的獲取問(wèn)題。若確需使用公網(wǎng)IP地址,則在出口防火墻、入侵檢測(cè)、WEB應(yīng)用防護(hù)等系統(tǒng)中,均設(shè)置了較高級(jí)別的安全策略,防止來(lái)自公網(wǎng)的黑客攻擊。同時(shí),在校園網(wǎng)核心層、匯聚層及接入層交換機(jī)設(shè)置網(wǎng)絡(luò)訪問(wèn)控制列表,避免來(lái)自內(nèi)網(wǎng)的惡意攻擊。所以網(wǎng)絡(luò)管理人員只能通過(guò)指定的具有管理權(quán)限的IP地址段或IP地址,才能對(duì)校園網(wǎng)進(jìn)行正常的網(wǎng)絡(luò)維護(hù)與管理操作,而其他的不論是校園網(wǎng)還是公網(wǎng)的IP地址段都不具備網(wǎng)絡(luò)管理權(quán)限。然而,網(wǎng)絡(luò)管理人員處于學(xué)校外部的公網(wǎng)環(huán)境中時(shí),所獲取的IP地址大都是使用DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)所分配到的隨機(jī)IP地址,尤其,當(dāng)網(wǎng)絡(luò)管理員在校外處在不同的城市和地區(qū)時(shí),所能分配到的IP地址具有更大的不確定性[11]。

采用OpenVPN技術(shù)可以很好地解決遠(yuǎn)程網(wǎng)絡(luò)管理過(guò)程中出現(xiàn)的獲取IP地址難題[12]。利用虛擬專用網(wǎng)絡(luò)可以使得處于公網(wǎng)的主機(jī)授權(quán)獲得校園內(nèi)網(wǎng)的IP地址,這樣就好像從外網(wǎng)打通了一條虛擬的通往學(xué)校內(nèi)部的邏輯通路,使得網(wǎng)絡(luò)管理人員能夠在公網(wǎng)環(huán)境下授權(quán)獲得內(nèi)網(wǎng)IP地址,邏輯上處于內(nèi)網(wǎng)之下。OpenVPN服務(wù)器分配給客戶端的IP地址是預(yù)先設(shè)計(jì)好的隸屬于指定的IP地址段,因而可實(shí)現(xiàn)管理IP地址或IP地址段的確定性,從而可實(shí)現(xiàn)明確的權(quán)限分配并實(shí)現(xiàn)安全的網(wǎng)絡(luò)維護(hù)與管理。

2.2 OpenVPN身份驗(yàn)證方法

OpenVPN的身份驗(yàn)證方法有證書驗(yàn)證和用戶名密碼驗(yàn)證等方法[13]。因網(wǎng)絡(luò)管理人員涉及人數(shù)較少且相對(duì)固定,因此可采用證書驗(yàn)證方式。本系統(tǒng)設(shè)計(jì)時(shí),給每一個(gè)網(wǎng)絡(luò)管理人員都生成一份驗(yàn)證證書,用于在外網(wǎng)進(jìn)行VPN聯(lián)接,且采用證書驗(yàn)證方式時(shí),網(wǎng)絡(luò)黑客等攻擊者難以獲取到證書文件,因而采用這種身份驗(yàn)證方法,使得整個(gè)遠(yuǎn)程網(wǎng)絡(luò)管理系統(tǒng)更加安全。

2.3 存在的安全隱患與解決策略

網(wǎng)絡(luò)管理人員日常的工作環(huán)境一般都是經(jīng)過(guò)專門分配的、進(jìn)行過(guò)安全授權(quán)的、具有較高網(wǎng)絡(luò)管理權(quán)限的特定環(huán)境,一般采用指定IP地址或地址段并結(jié)合管理員登錄身份驗(yàn)證的方式。系統(tǒng)設(shè)計(jì)時(shí)要考慮到這一方面,一旦被非法用戶獲取到密鑰與訪問(wèn)權(quán)限,其所能取得的網(wǎng)絡(luò)管理權(quán)限需要具有一定的隱秘性和局限性。

網(wǎng)絡(luò)管理人員通過(guò)OpenVPN聯(lián)接后,所獲取到的擁有校園網(wǎng)管理權(quán)限的IP地址段有2種規(guī)劃方式:

1) 獲得與校內(nèi)網(wǎng)絡(luò)管理人員相同地址段的IP地址

采用這種方式的優(yōu)點(diǎn)是:無(wú)需網(wǎng)絡(luò)作后續(xù)配置與調(diào)整,無(wú)須進(jìn)行管理權(quán)限分配;缺點(diǎn)是校內(nèi)、校外管理IP地址段相同,難以進(jìn)行區(qū)分,一旦被非法用戶獲取到OpenVPN的聯(lián)接權(quán)限,將會(huì)造成較大的安全隱患。

2) 獲得指定的與校內(nèi)網(wǎng)絡(luò)管理人員不同的另外一段IP地址

采用這種方式可以克服校內(nèi)、校外管理IP地址段相同,難以進(jìn)行區(qū)分,一旦被非法用戶獲取到OpenVPN聯(lián)接權(quán)限,產(chǎn)生較大安全隱患的缺點(diǎn)。因?qū)πＭ饩W(wǎng)絡(luò)管理員所分配的網(wǎng)段是單獨(dú)的網(wǎng)段,所以權(quán)限可靈活分配,同時(shí)因與原網(wǎng)段相隔離也能避免產(chǎn)生直接的安全威脅。但采用這種方式所需要進(jìn)行的設(shè)置與管理工作相對(duì)較多,如:需網(wǎng)絡(luò)管理權(quán)限作后續(xù)配置與調(diào)整、需再次進(jìn)行管理權(quán)限分配、需進(jìn)行校園網(wǎng)路由配置等。

因而,為避免可能造成的直接性安全威脅,實(shí)現(xiàn)靈活的權(quán)限分配,整個(gè)系統(tǒng)設(shè)計(jì)采用第2種方式。

同時(shí),在系統(tǒng)管理上采用密鑰文件定期更新的方式,來(lái)降低可能出現(xiàn)的密鑰泄露而帶來(lái)的安全風(fēng)險(xiǎn)。

圖4 4層防護(hù)Fig.4 Four-layer protection

另外,系統(tǒng)設(shè)計(jì)采用多級(jí)別安全措施來(lái)加強(qiáng)系統(tǒng)的安全性。整個(gè)系統(tǒng)共擁有4層網(wǎng)絡(luò)安全防護(hù),具體包括:端口授權(quán)檢查、密鑰檢查、IP地址授權(quán)檢查和網(wǎng)管身份驗(yàn)證,充分保障了系統(tǒng)安全。4層防護(hù)及驗(yàn)證過(guò)程流程圖如圖4所示。在校園網(wǎng)出口處對(duì)OpenVPN的服務(wù)端口進(jìn)行授權(quán)訪問(wèn),對(duì)其他具有潛在風(fēng)險(xiǎn)的服務(wù)端口進(jìn)行屏蔽保護(hù),具體功能由校園網(wǎng)絡(luò)防火墻設(shè)置實(shí)現(xiàn)。檢查密鑰是否合法通過(guò)OpenVPN自身的服務(wù)進(jìn)程來(lái)完成。然后,通過(guò)校園網(wǎng)核心層交換機(jī)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)管服務(wù)器區(qū)域開放IP地址授權(quán)。最后,由網(wǎng)管服務(wù)器管理軟件自身?yè)碛械纳矸蒡?yàn)證組件實(shí)現(xiàn)了特定網(wǎng)絡(luò)管理權(quán)限的合法性驗(yàn)證。

3 基于OpenVPN技術(shù)的設(shè)計(jì)方案的實(shí)現(xiàn)與測(cè)試

結(jié)合上述設(shè)計(jì)方案,基于OpenVPN技術(shù)搭建出了校園網(wǎng)環(huán)境下的實(shí)際運(yùn)行系統(tǒng)。同時(shí),為保證系統(tǒng)的安全性、穩(wěn)定性和功能性,在系統(tǒng)搭建完成后,使用端口掃描、網(wǎng)絡(luò)聯(lián)通性測(cè)試、功能性測(cè)試等方式對(duì)系統(tǒng)進(jìn)行測(cè)試,測(cè)試結(jié)果良好,系統(tǒng)功能正常。

3.1 OpenVPN服務(wù)器的安裝與運(yùn)行環(huán)境

首先,在OpenVPN服務(wù)器中安裝具有速度快、穩(wěn)定性高和支持多種硬件平臺(tái)的操作系統(tǒng)FreeBSD,版本為11.1[14];然后,在已安裝好的FreeBSD操作系統(tǒng)中安裝版本為2.4.5的OpenVPN服務(wù)器端軟件、版本為2-2.10的數(shù)據(jù)壓縮算法LZO軟件、版本為3.0.1的證書生成軟件easy-rsa以及版本為4.2.1的gmake編譯工具。

3.2 OpenVPN客戶端安裝配置

1) 下載并安裝OpenVPN客戶端軟件openvpn-install-2.3.14-I001-i686.exe。

2) 配置客戶端配置文件,編輯C:Program Files (x86)OpenVPNconfig目錄下的client.ovpn客戶端配置文件,設(shè)定服務(wù)器IP地址與端口號(hào)、協(xié)議、證書文件名稱等相關(guān)參數(shù)。

3) 將OpenVPN服務(wù)器中使用工具生成的CA證書、客戶端證書等4個(gè)文件:ca.crt;client.crt;client.key;ta.key拷貝到配置文件所在目錄C:Program Files(x86)OpenVPNconfig中。

3.3 系統(tǒng)主要性能指標(biāo)的測(cè)試

系統(tǒng)的主要性能指標(biāo)包括鏈路質(zhì)量、安全性及功能性等3個(gè)方面?？梢苑謩e利用網(wǎng)絡(luò)聯(lián)通性測(cè)試指令、端口掃描工具和實(shí)際網(wǎng)絡(luò)管理操作等方式完成系統(tǒng)的測(cè)試。

3.3.1 鏈路質(zhì)量測(cè)試

1) 運(yùn)行OpenVPN客戶端軟件,并與服務(wù)器建立聯(lián)接。

2) 測(cè)試丟包率與響應(yīng)延遲。

表1 丟包率與延遲測(cè)試Tab.1 Packet loss rate and delay test

通過(guò)ICMP協(xié)議的PING命令可以對(duì)丟包率及響應(yīng)延遲進(jìn)行直觀測(cè)試[15]。命令執(zhí)行時(shí)使用參數(shù)-t,每次測(cè)試時(shí)間為連續(xù)5分鐘,隨機(jī)測(cè)試3次,每次PING命令反復(fù)執(zhí)行次數(shù)約為300次。統(tǒng)計(jì)測(cè)試結(jié)果如表1所示?？梢钥吹?丟包率與延遲2項(xiàng)指標(biāo)均良好,可以滿足實(shí)際應(yīng)用需要。

3.3.2 安全性測(cè)試

在外網(wǎng)使用端口掃描工具檢測(cè)OpenVPN服務(wù)器的服務(wù)端口授權(quán)開放情況,僅提供OpenVPN服務(wù)的端口處于激活狀態(tài),實(shí)現(xiàn)了整個(gè)系統(tǒng)的第1層防護(hù)[16]。端口授權(quán),具體功能通過(guò)設(shè)置校園網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn);第2層防護(hù):密鑰檢查由OpenVPN服務(wù)進(jìn)程來(lái)完成,只有使用合法授權(quán)密鑰可以通過(guò)驗(yàn)證并建立聯(lián)接,而非合法授權(quán)密鑰無(wú)法通過(guò)驗(yàn)證并被拒絕聯(lián)接;第3層防護(hù):IP地址授權(quán)通過(guò)校園網(wǎng)核心交換機(jī)來(lái)實(shí)現(xiàn),對(duì)網(wǎng)管服務(wù)器區(qū)域開放訪問(wèn)權(quán)限,其他非授權(quán)區(qū)域不具備訪問(wèn)權(quán)限;第4層防護(hù):身份驗(yàn)證是通過(guò)網(wǎng)管服務(wù)器管理軟件自身來(lái)實(shí)現(xiàn)身份合法性驗(yàn)證的,只有通過(guò)身份驗(yàn)證的用戶才能獲得網(wǎng)絡(luò)管理權(quán)限。

與OpenVPN服務(wù)器成功建立聯(lián)接后,查看本地IP地址等信息情況,具體通過(guò)ipconfig-all命令來(lái)查看。描述為TAP-Windows Adapter V9的本地聯(lián)接為OpenVPN虛擬網(wǎng)卡。查看其從服務(wù)器獲取到的IP地址,其所在的IP地址段為預(yù)先規(guī)劃好的172.16.160開頭的遠(yuǎn)程網(wǎng)管專用IP地址段。在校園核心、匯聚層交換機(jī)中已對(duì)這一段IP地址的權(quán)限進(jìn)行了配置,且與原網(wǎng)管IP地址段相隔離,實(shí)現(xiàn)了預(yù)想的安全性需要。

3.3.3 遠(yuǎn)程網(wǎng)管功能測(cè)試

在外網(wǎng)環(huán)境下,首先,運(yùn)行電腦中已安裝配置好的OpenVPN客戶端軟件。然后,選擇“Connect”一項(xiàng)進(jìn)行聯(lián)接操作。聯(lián)接成功后會(huì)出現(xiàn)“client is now connected”的提示,這時(shí)就可以測(cè)試相應(yīng)的校園網(wǎng)絡(luò)管理功能了。經(jīng)過(guò)實(shí)際測(cè)試,網(wǎng)絡(luò)入侵防御系統(tǒng)、防火墻管理、網(wǎng)絡(luò)用戶管理系統(tǒng)、郵件管理系統(tǒng)、DNS管理、交換機(jī)管理等各項(xiàng)遠(yuǎn)程管理與維護(hù)功能均能正常使用,僅存在由公網(wǎng)聯(lián)接至校內(nèi)網(wǎng)絡(luò)的正常路由轉(zhuǎn)發(fā)延遲,其訪問(wèn)效果有如身在學(xué)校的網(wǎng)絡(luò)管理環(huán)境下。系統(tǒng)搭建成功后連續(xù)正常運(yùn)行幾個(gè)月,運(yùn)行穩(wěn)定可靠,可完全滿足遠(yuǎn)程網(wǎng)管的實(shí)際工作需要。

4 結(jié) 語(yǔ)

通過(guò)對(duì)校園網(wǎng)絡(luò)管理過(guò)程中,因網(wǎng)絡(luò)管理人員處于校外無(wú)法進(jìn)行校園網(wǎng)絡(luò)管理的實(shí)際問(wèn)題進(jìn)行問(wèn)題分析、理論研究、系統(tǒng)方案設(shè)計(jì),基于OpenVPN技術(shù)搭建出解決此問(wèn)題的實(shí)際應(yīng)用系統(tǒng),最后投入校園網(wǎng)絡(luò)管理實(shí)際環(huán)境中運(yùn)行和測(cè)試。系統(tǒng)運(yùn)行穩(wěn)定、應(yīng)用效果良好,證明了系統(tǒng)設(shè)計(jì)的可行性和實(shí)用性,并且本研究成果可以在各種類似的場(chǎng)合下進(jìn)行推廣和使用,具有較高的實(shí)際應(yīng)用價(jià)值。