幼儿园资源库的远程访问方案探讨
作者: 陈正鑫
摘要:基于NAS的幼儿园资源库对远程访问方案有较高要求,而常见的远程访问方案存在传输速率慢或费用高等问题,难以满足实际需求。该文以福建省儿童保育院资源库为例,首先阐述了“群晖NAS”在该院的应用现状以及对远程访问NAS方案的具体要求,然后从多方面分析对比了多种方案,最后提出了适合该院的最佳方案,并详细阐述了实现部署的过程。该方案具有经济性好、传输速率快、安全性高等优点,值得推广应用。
关键词:NAS;远程访问;资源库;幼儿园;数字资源;IPSec;L2TP;VPN
中图分类号:TP393.2 文献标识码:A
文章编号:1009-3044(2025)05-0067-04 开放科学(资源服务) 标识码(OSID) :
0 引言
NAS已广泛应用于各行业及家庭。对于远程访问需求不高的个人或单位,NAS自带的远程访问功能可能满足需求。但对于需要大数据量访问或有较高经济性、安全性等要求的单位,常见的NAS远程访问方式难以满足需求,因此值得深入探讨。
1 NAS 应用现状和远程访问需求
福建省儿童保育院本部部署了一台“群晖NAS”
作为资源库,即数字资源管理系统,供本部和分部使用[1]。分部大约有20台使用Microsoft Windows操作系统的远程计算机需要通过互联网远程访问NAS。福建省儿童保育院对远程访问NAS的方案有以下要求:1) 由于幼儿园经费有限,要求经济性好;2) 分部远程用户在资源库上存取办公文档、图片的情况较多,但也经常需要存取视频、音频,因此要求传输速率较高;3)NAS上存储着大量资料,且很多用户设置简易密码,因此要求远程访问NAS的安全性要强;4) 用户均为非计算机专业的幼儿园教师,要求涉及的操作不能过于复杂、专业;5) 远程用户需要使用NAS的SMB服务、home 目录、Video Station 套件、Moments 套件、Photo Station 套件、Audio Station套件等;6) 用户希望访问NAS上的目录和文件就像访问本地计算机的目录和文件一样,因此NAS的SMB服务对远程用户十分重要[1]。
可见,幼儿园对远程访问NAS的方案要求较高,需要分析对比选出最佳方案,并研究如何部署实施。
2 方案分析与比较
2.1 QuickConnect
QuickConnect 是群晖公司提供的远程访问NAS方案,它允许用户通过Synology QuickConnect服务器访问“群晖NAS”。用户只须注册Synology帐户,并在NAS 的控制面板上输入账户信息和设置QuickCon⁃nect ID,便可生成供远程访问的链接。
实际测试发现,即使NAS和远程计算机在同一个行政街道,都使用电信的千兆政企宽带(上行100 Mbps,下行1 000 Mbps) 接入互联网,传输速率也较低[2],每次下载测试均约为900 KB/s,难以满足福建省儿童保育院需求。
QuickConnect 无法支持NAS 上的所有第三方服务和应用程序,也无法支持需要服务IP地址或域名信息的服务,如SMB、FTP等[3]。此外,虽然群晖公司采取了一系列安全措施,数据在传输过程中有保障,但QuickConnect远程访问链接容易被外部人员获取,加上福建省儿童保育院很多职工设置简易密码,导致安全风险较高[4]。因此,QuickConnect无法满足需求。
2.2 有固定公网IP 的电信互联网专线直接接NAS
如果采用该方案,互联网上的任何人都可以直接访问NAS,因此安全风险特别高,会面临暴力破解密码、NAS系统漏洞、勒索病毒、用户密码过于简单等造成的诸多风险[4]。此外,《非经营性互联网信息服务备案管理办法》规定,应按照非经营性网站进行备案和管理,但福建省儿童保育院作为事业单位,在特殊时期需按照上级单位要求临时关闭网站,这必然会影响NAS的远程访问。另外,由于使用了带固定公网IP的互联网专线,导致经济性较差。以中国电信福州分公司2024年2月的报价为例,上下行200 Mbps带1个固定公网IP 的互联网专线每年费用为4 万元,而1 000 Mbps的积木套餐政企宽带(上行100 Mbps,下行1 000 Mbps) 每月约430元。
2.3 有固定公网IP 的静态端口映射
此方案是2.2方案的改进方案:路由器的两个端口分别接入固定公网IP互联网专线和NAS,并在路由器上配置固定公网IP、端口号与NAS的局域网IP地址、端口号的映射关系。虽然此方案仅暴露了映射的端口,但同样面临2.2方案中提及的多种问题。
2.4 基于DDNS 的静态端口映射
此方案是方案2.3的改进方案:若采用宽带,相比带固定IP的互联网专线,可以节约费用。但宽带分配的是动态IP,因此需要采用DDNS。此方案经济性较好,但依然面临方案2.2中提及的多种问题。对于资金、网络安全设备和人才都匮乏的幼儿园,上述一系列方案均不适合。很重要的原因是缺乏安全保障,且无须像网站一样开放,只需让分园工作人员、出差员工、居家加班员工能够访问即可。
2.5 VPN
VPN,即虚拟专用网络(Virtual Private Network) ,它是基于Internet建立起具有点对点链路传输特性的隧道,以保证数据传输的安全性。在建立隧道之前,需先完成双向身份鉴别,因此只能将访问NAS的权限提供给授权的远程用户。此外,在传输过程中还可以采用加密算法或报文摘要算法,以保证传输数据的保密性和完整性。因此,相对于上述几个方案,幼儿园采用VPN 更能保障远程访问NAS 的安全。常见的VPN方案有以下几种。
2.5.1 购买VPN 设备
市面上专业VPN设备众多,且功能强大,但大都价格昂贵,不适合幼儿园。部分厂商推出了易配置、易使用、易维护的小型VPN设备,如贝锐蒲公英P5旁路组网盒子。P5盒子体积小巧,价格适中,无须固定公网IP支持。但其最高传输速率与所购买套餐的费用成正比,在远程传输速率要求较高的情况下,每年需支付的费用较高,因此应探索更经济的方案。
2.5.2 购买ISP 的VPN 服务
ISP通常提供VPN租赁服务,幼儿园只须负责缴费使用,ISP负责部署和维护,常见的是MPLS VPN。ISP提供的VPN安全可靠、稳定性高,但价格也不菲。因此,应探索更经济的方案。
2.5.3 利用路由器上的VPN 功能
幼儿园资金和网络规模都有限,应尽可能避免再购买设备,应优先考虑利用路由器上自带的VPN功能。虽然VPN的分类很多,但市面上中低端路由器自带的VPN种类并不多。以福建省儿童保育院本部的华为AR2240路由器为例,该路由器对幼儿园来说已颇为昂贵,但它自带的VPN 只有SSL VPN、IPSecVPN、L2TP VPN三种。如果采用SSL VPN,访问控制较为精细,但SSL VPN基于B/S架构,用户须通过浏览器访问资源库,无法像访问本地计算机目录和文件一样,因此无法满足用户需求。另外,以福建省儿童保育院分部为例,幼儿园分园的局域网规模通常较小,为了节约费用,路由器一般较为低端,无法支持IPSec 协议,因此通常无法采用“网关到网关”的IPSec VPN。
L2TP VPN能够在LAC(L2TP访问集中器) 和LNS(L2TP网络服务器) 之间建立第二层隧道,用于传输链路层帧。即如果将福建省儿童保育院本部的路由器部署为LNS,在远程计算机上安装VPN 软件并部署为LAC,就相当于在它们之间接了一条网线,使远程计算机能够像本院本部的计算机一样访问NAS。分部工作人员、出差或居家加班的员工都可以采用这种方式。以福建省儿童保育院本部路由器为例,不但支持利用宽带部署基于DDNS的L2TP VPN,还支持同时创建1024个隧道。而且,安装使用华为的VPN软件无须再支付任何费用。更重要的是,L2TP VPN还支持启用IP⁃Sec协议构成L2TP Over IPSec VPN。IPSec协议采用一系列认证算法和加密算法,可以对数据进行完整性验证、数据源验证和数据加密[5]。因此,L2TP Over IPSecVPN同时具备L2TP VPN和IPSec VPN的优点,可以使远程访问NAS更加灵活、安全,还能满足福建省儿童保育院对远程访问方案的所有需求,是最适合的方案。
3 配置L2TP Over IPSec VPN
3.1 确保分配到的是公网IP
由于带固定IP互联网专线费用高,只能采用政企宽带,但目前福州的电信、移动等ISP的政企宽带都不支持分配IPv6,而且分配IPv4的IP不仅是动态的,还有可能只是城域网IP。因此,可以使用ip138.com等相关网站判断是否属于公网IP,否则要联系运营商解决。以福州电信为例,可以用手机拨打10000转人工客服,并请求帮助“因远程看单位监控需要,请给宽带分配公网IP,不要城域网IP”,在客服人员的提示下输入宽带账号和密码,客服人员便能帮助解决,无须到营业厅。
3.2 确定DDNS 更新方式
部分动态域名提供商提供免费DDNS服务器持续在更新域名与IP地址的映射关系,但它容易发生“故障”,导致域名与IP地址映射错误,要很长的时间才能“修复”,这时客服会“及时”联系并推荐购买DDNS服务器套餐。由于付费的DDNS服务器确实具有更新速度快、可靠性高等优点,所以采用付费的DDNS服务器更新的方式,不用RFC2136定义的方式。
3.3 购买DDNS 域名和服务器套餐
申请动态域名可以在“贝锐”“公云”等网站申请。如果购买的动态域名套餐十分便宜,甚至三四年才五十多元,通常只包含动态域名本身,应加买动态域名服务套餐。以“贝锐”公司客服人员推荐的598元“精英版”为例,十分稳定可靠。
3.4 选定VPN 软件
VPN软件很多,甚至Microsoft Windows OS本身也具有L2TP VPN拨号功能,但不一定能支持L2TP OverIPSec VPN。另外,为了通信两端具有尽量多共同支持的认证、加密算法以供选择,也为了尽量避免兼容问题,应从路由器厂商指定的VPN软件进行选择。华为公司指定的VPN 软件有UniVPN、SecoClient、HUAWEI VPN Client,经过安装测试,发现华为的三款VPN软件均暂未支持DPD,唯独HUAWEI VPN Client 支持KeepAlive报文。为了保证一端掉线,另外一端及时清除SA,以便下次正常登录,福建省儿童保育院选用支持KeepAlive报文的HUAWEI VPN Client。
3.5 拟定路由器配置及分阶段测试方案
先配置DDNS策略、L2TP VPN,并尝试ping动态域名及其所映射的IP,要确保都有响应,然后在终端安装配置VPN软件,要确保L2TP VPN能拨号成功。
最后,在路由器配置Ike和IPSec的参数,必须选择VPN软件和路由器两端都支持的认证、加密算法,如果有多种算法两端都支持,就要根据路由器性能、远程终端数量等去权衡安全性、运算速度、资源消耗后再选用。
3.6 在路由器上配置
以福建省儿童保育院的华为AR2240 路由器为例,配置L2TP Over IPSec VPN的关键脚本如下。
#使能L2TP功能
l2tp enable
#配置L2TP的用户名fjsetbyy、密码mima、用户级别0(参观级,最低级权限) 及用户类型ppp。所有VPN 软件,可以共用一个账号、密码,为了分开管理,也可以多分配几个。