随着网络的普及和高校信息化建设的不断发展,数字化图书馆已经成为高校教师教学,科研不可或缺的资源,学校为了给教师提供更全面的信息资源,对于中外期刊数据库校园网都提供了免费查询服务,为教师带来的极大的方便。但是,由于许多高校教师在学校都没有固定的工作地点和网络接入,同时在家里就无法访问数字化图书馆,从而给部分教师的信息查询工作带来了困难。
为了使用学校的信息资源得到充分应用,学校引进思科的PIX设备构建校网VPN系统,主要解决学校教职工在校外访问校内资源和国外期刊数据库的问题,PIX是由思科公司开发的具有VPN功能的防火墙设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。我们采用PIX防火墙上安装和配置保障AAA(认证、授权和统计)服务的CSACS(思科安全访问控制服务器),从而确保思科设备和客户机之间的远程访问VPN网络的专用性和保密性。
在没有引进VPN系统时,网络的访问拓扑图如图1所示,用户在校外只能访问INTERNET上的公共资源,由于ip无法国外数据库的授权范围由,无法查询国外数据库资源,同时也无法访问到学校内部资源,比如学校办公系统(OA)。
图1:无VPN系统的校园网访问拓扑
我们引进PIX设备之后需要为PIX配置公网IP与校网IP实现物理联通,另外配置ACL列表、地址池和策略路由。ACL控制列表是用来控制答应通过PIX进行转发的目的地址,从而实现了IP地址是否转发的控制。地址池是用来临时分配给VPN客户端的内网地址,一旦客户端通过ACS认证,服务器为客户机分配一个地址池里的IP地址,此时客户机就相当于一台内网主机,可以方便的访问校内资源。策略路由用来控制网络的数据包转包,治理员根据用户需要设置访问路由,尽可能地保障网络性能。
具体的命令设备这里不再赘述,接入VPN系统之后,客户机的网络访问拓扑如图2所示,用户访问普通INTERNET资源,只需要通过1直接访问;假如访问校内资源,通过PIX认证后,就可以过2,使之成为虚拟的内网机器,获得访问校内资源的权限;访问国外数据库,客户机不再直接访问,而是经过1、2、3线路,先虚拟成校园网IP,然后经过NAT转换,以学校被国外数据库授权的公网IP名义访问数据库,从而实现了对国外数据库的访问。
图2:通过VPN认证的网络访问拓扑
从上面我们可以看出,通过PIX设备实现数字图书馆的VPN系统后,系统对于用户访问公网的普通资源没有什么本质的影响,只是在原来的基础上增加了访问校园网和国外数据库的功能,同时系统通过C/S的认证方式,用户采用学校内部公用密钥和个人密码双重认证,大大提高了系统的安全性和保密性,从而得到了广大教师的欢迎和认可。