曹园青 王惠惠

摘  要：在新冠疫情防控情势下，为了满足高校教师“零接触”远程办公和线上教学需求，设计并实现一种基于SSL VPN技术的高校教师远程办公系统。首先介绍几种主流的远程办公技术，考虑到新冠疫情时期高校业务的特殊性，以本地高校信息化工程实践项目为背景，在对本校教师进行远程办公需求抽样调研的基础上，以需求导向为出发点，对校园网络安全架构的SSL VPN进行部署配置和测试优化。研究结果表明，该文设计的远程办公系统具有易操作性和安全性等特点。

关键词：新冠疫情；远程办公；SSL VPN；网络安全

中图分类号：TP311    文献标识码：A  文章编号：2096-4706（2023）10-0010-04

Abstract： Under the situation of COVID-19 prevention and control， in order to meet the needs of college teachers for “zero contact” remote office and online teaching， a remote office system for college teachers based on SSL VPN technology is designed and implemented. First， several mainstream remote office technologies are introduced. Considering the particularity of college business during the COVID-19， the deployment， configuration， testing and optimization of SSL VPN of campus network security architecture are carried out based on the sample survey of remote office needs of teachers in our school and the demand oriented starting point with the background of the local college informatization engineering practice project. The research results show that， the remote office system designed in this paper is easy to operate and safe.

Keywords： COVID-19; remote office; SSL VPN; network security

0  引  言

突如其来的新冠疫情对各行各业都产生了影响，高校也受到了直接冲击。高校校园网是一个大型复杂局域网络，由大量的网络设备（交换机、路由器、HUB）、服务器和客户端构成，是校园网运行的基础支撑，智慧化校园平台、态势感知中心、学生管理系统、教务管理系统、财务管理系统、国有资产管理系统和教师办公电脑都可以通过校园网提供校园网信息化服务。然而，新冠疫情期间，教师、学生和系统管理员的学习、办公地点往往在家，要连接内网业务系统，访问内网的教学科研资源较为困难，需要依赖于计算机远程办公技术来实现[1]。

新形势下对高校培养人才、发展科学、服务社会三大职能的支撑工作迅速适应线上教学和远程办公的疫情防控需要提出了新要求。在日常的学工、教务、财务和科研工作中，往往需要频繁的面对面接触，这就为疫情防控背景下高校如何利用新技术、新方案完成服务持续保障提出了新的挑战。因此，在新冠疫情防控背景下研究高校当前和未来远程办公方案及实现方式具有一定的理論及现实意义。

1  远程办公技术

要实现远程办公，首先要通过互联网控制终端计算机，或者访问终端计算机的特定服务端口。随着远程连接技术的不断发展，现在主流有以下几种连接技术[2-5]。

1.1  RPC/SSH连接技术

这种技术较为方便，不同的用户可以访问及使用计算机的不同资源和应用程序，但不适用于高校远程办公，因为需要为每位教师的办公电脑做公网地址映射，把所有办公电脑暴露在公共网络，安全性极差，此外，办公电脑的持续开机也会造成极大的资源浪费和安全隐患[6]。

1.2  应用软件技术

现在有很多专业软件或者内嵌远程协助功能的软件，通过在需要开启远程的计算机和本地计算机上安装相同的软件来实现远程连接，如向日葵、Teamviewer、RemoteCall、VNC、QQ等，安装好客户端和服务端后，可以输入访问地址和密码进行访问控制[7]。但这种方式容易使黑客通过系统漏洞给办公电脑安装木马程序，等木马被激活后就会自动在后台运行，进而破坏或是窃取信息。

1.3  办公应用平台技术

这种技术需要在高校内网环境中搭建办公应用平台，如建立服务器集群，利用服务器操作系统提供的Web、ftp等其他应用服务进行安装，教师们就可以通过输入平台Web地址实现远程办公。这种方法的缺点就是经费投入特别大，必须购买平台软硬件，而且由于近几年高校信息系统的多样化和复杂化，选择一款兼容所有系统的平台并非易事。

但上述已有的远程办公技术解决方案，并不能完全满足新冠疫情期间高校的远程办公需求，因为存在两方面的特殊性：

1）时期的特殊性。不同于寒暑假或日常的远程办公模式，疫情期间的远程办公，更具有公共突发性群体事件的不可预测性、突发性等特点，所以需要选择一条高可靠性、强安全性的技术路线才行。

2）行业的特殊性。不同于其他企事业单位，高校具有三大职能，随着信息化建设越来越受重视，高校建设了各类信息化项目，但这些校园网内的管理应用系统只能向校园网内的用户开放，属于典型的内部资源只供内部人员访问。疫情期间，高校教师需要远程办公和居家备课做科研，这就存在因工作地点的变化而导致网内资源无法使用的问题，所以需要选择一条高链路质量保证、强私密性的技术路线才行。

综合以上两方面的特殊性，迫切需要设计出一种满足新冠疫情防控期间高校教师远程办公需求的解决方案，而SSL VPN技术可以很好地满足高校教师的远程办公需求[8]，完成内网资源的私密连接和隧道加密。

2  基于SSL VPN技术的高校教师远程办公系统设计

2.1  需求调研

针对疫情期间远程办公需求，通过问卷调查的形式对高校业务部门的行政人员和教学部门的专任教师进行调研，共31个部门，其中，教学部门12个，行政部门19个，考虑到最终结果的客观性，每个部门抽科级以下一线业务教职工7人。远程办公系统的业务系统需求调研统计结果如图1所示，远程办公系统性能需求调研统计结果如图2所示。

由图1可以看出，由于行政人员涉及工资核算和财务报账，所以对于财务系统的远程需求要大于专任教师；此外，专任教师通过教务系统发布教学任务、师德师风与同行互评、录入课程信息与学生成绩，因此对教务系统的需求远大于行政人员，但不乏个别行政人员也承担代课任务；学校的教科研课题和论文的输出主要集中在教学部门，行政部门的科研需求往往在科技处和教务处；学工系统的远程办公由行政部门的学生管理中心和教学部门的学工科来完成，而后者的人数要大于前者。

由图2可知，专任教师的远程办公持续时间和频次要多于行政人员，这是由疫情期间远程教学的持续规律性決定的，而行政人员的远程办公具有间歇性和不规律性的特点。由于涉及用户体验，无论是专任教师还是行政人员，对方访问延迟的要求都较高；在使用系统方面，行政人员比专任教师更具多样性。

通过需求调研结果不难看出，对于行政人员来说，更倾向选择访问频次不高、可远程业务系统数较多、访问延迟低、远程时间短的远程办公方案，而专任教师更愿意选择访问时间规律性较强、支持系统数较少、访问持续时间较长、访问延迟较低的远程办公方案。

2.2  设计思路

构建SSL VPN网络，若仅需基础功能，在校园网部署一台防火墙即能满足需求。但由于疫情期间对远程办公的特殊性要求，以及专任教师与行政人员的差异化需求，除了防火墙外，还需要部署引入SSL VPN技术的硬件设备，经过设备选型，选用型号为RG-WALL 1600-VE，除了具有SSL VPN功能外，还需要向运营商申请数个公共网络IP地址，这样在互联网的任意一个网络位置均能通过公网地址访问内网资源，带宽最少1 Gbit/s，上行带宽与下行带宽相互对称。

在软件配置中，需要利用NAPT技术在公网地址池中抽取一个IP，出于网络安全方面的考虑，这个地址必须通过学校行政管理部门的审批，防止地址分配过程中出现IP冲突。此外，在前期规划准备阶段，还需要依据业务系统和部门把内网物理网段进行划分，VPN的虚拟地址池也要分配出多个地址段与物理网段一一映射。

2.3  网络架构

网络架构是远程办公系统的基础支撑，决定着系统运行的稳定性和可靠性。依据校园网络架构的整体需求，将内部网络划分为四个网段，网段信息如表1所示。

从表1中可以看出，分配给教师外网用户的虚拟网络地址段为192.168.30.0/24，在配置SSL VPN时分配的虚拟子网不能与任何eth0口上的主网段相同，否则会有冲突，此外，必须为SSL VPN的eth0口分配一个独立的网段，用于传输管理报文。

远程办公系统架构如图3所示，图中虚线代表外网用户访问内网服务器的来回数据走向，由网络架构图不难看出，为了隔离交换网广播，将教职工（普通用户）、服务器、SSL VPN办公系统、核心设备均划分为不同网段，其中，核心网络层由出口路由器、网络安全网关及核心交换机组成，且管理地址位于同一网段。当内网用户访问业务服务器资源时，只需三层设备进行网络层的路由转发。当位于公网的远程办公教师访问学校内网资源时，远程办公系统通过虚拟专用网络技术将数据进行隧道加密，并转发至出口路由的上联端口，出口路由通过查询距离向量路由表，将报文进行协议转换并转发至内网上联端口，直至服务器端传输过程结束。

2.4  SSL VPN配置

远程办公系统的核心是SSL VPN设备，配置过程分为以下几个步骤：

步骤1：在旁挂拓扑的基础上，将VPN设备的Eth0端口连接至核心交换机的以太网端口，将MGN端口连接至核心机房汇聚交换机的业务端口，用于远程运维管理。

步骤2：配置出口路由器。出口路由器在远程办公系统中扮演网络协议转换器和上下行数据流导向器的双重角色，通常需要配置动态地址转换协议和路由协议：

1）基本的上网配置，如内外网出口IP地址池配置、端口速率和双工模式配置等。

2）NAPT端口映射配置，其中，与SSL VPN相关的端口包括TCP：443、TCP/UDP：888、VPN的管理端口UDP 49、TCP 666。

3）配置去往内网网段的静态路由，目的网段192.168.0.0，掩码255.255.0.0，下一跳192.168.1.2。

步骤3：配置核心交换机。由于内网教师客户端PC数量比较庞大，为了隔离广播风暴，避免多重帧复制和MAC地址表不稳定等网络安全隐患，需要在核心交换机上配置虚拟局域网（VLAN）技术和缺省路由：

1）划分VLAN 10、20、30，配置VLAN对应的网关地址、上连口地址，配置默认路由，下一跳指向出口路由器的内网接口。

2）把Gi0/3接口划分到VLAN 30，与RG-WALL 1600-VE互连。

3）配置去往外网的默认路由。

步骤4：配置RG-WALL 1600-VE。

远程办公系统的核心设备是RG-WALL 1600-VE，为了实现远程管理、虚拟办公组划分和物理虚拟网段映射等功能，需要做如下配置：

1）配置eth1接口IP：192.168.30.2/24，外网网关：192.168.30.1/24。

2）定义内网用户的网段和外网VPN用户的网段，提供给接下来的访问规则调用。

3）配置访问规则，外网用户访问内网资源的数据，源地址转换为eth1接口的IP。

配置截图如图4所示。

需要强调的是，外网用户访问内网的数据，经路由器转发给1600-VE，然后1600-VE对数据进行NAT转换，把外网用户访问内网资源数据的源地址转换为eth0接口的IP，目标地址不变，再转发给核心交换机，核心交换机转发给内网服务器。服务器接收到访问数据并进行回应的时候，目标地址是1600-VE的接口IP，转发给核心交换机，核心交换机再转发给1600-VE。

2.5  远程办公系统访问

在完成出口网关、核心交换机和VPN设备的配置后，即可进行远程办公系统的访问，用户访问流程如下：

1）在客户端PC的浏览器地址栏中输入SSL VPN的公网IP地址加业务端口号，如http：//202.78.96.32：6586，此时，浏览器会弹出下载VPN客户端的提示。

2）按提示内容下载并安装VPN客户端，而后在Windows操作系统桌面出现VPN的快捷方式，双击该快捷方式，弹出登录界面如图5所示，选择其中一种登录方式，如用户名口令，输入提前申请的远程办公账号和密码，点击“登录”即可，此时，在桌面右下角会出现一个蓝色的图标，表示登录正常，若图标颜色为红色，则表示VPN工作异常，需联系IT部门进行故障报修。

3）远程办公系统用户登录成功后，即可像在学校一样无感地访问各种业务系统和门户，无须进行其他配置。出于网络安全方面的考虑，在VPN设备上开启用户名与MAC地址绑定功能，当用户首次在一台电脑上登录后，在其他电脑上即无法使用。

3  远程办公系统应用

远程办公系统经过部署、配置、试运行和优化完善这四个阶段，于2020年元旦正式上线，在新冠疫情期间（2019—2020学年第2学期）为全校教职员工的隔离办公做出了重要的贡献：

1）教务处的工作人员能够在家通过远程办公系统访问教务系统，发布与统筹教学任务，安排课程计划、教学教室，录入学生成绩，打印成绩单；批复与审核教学部门的人才培养方案，核对实习实训计划，并针对实习成果做核查、总结与评估；管理与维护学籍系统，做好学生入学、选课、考试、补考和重修等工作。

2）计财处的工作人员可通过远程办公系统登录财务系统，保障了疫情期间教师工资的正常发放。

3）专任教师可通过远程办公系统登录学校教学平台，上传课件，录制微课，发布作业，考核课程，很好地完成了疫情期间的远程教学任务。

4）IT部门系统管理员可通过VPN远程管理学校的各大信息系统、网络安全系统和网络基础设备，进行网络流量监控、网络负载均衡配置、网络安全策略实施和网络故障排查，在疫情期间为教职工提供了网络服务支持与保障。

4  结  论

通过部署RG-WALL 1600-VE的SSL VPN解决方案，很好地解决了疫情期间高校教师的远程办公问题，便于线上教学或居家办公的教师访问内网业务系统中的优质教研资源。与此同时，也保证了数据安全和系统安全，在有效降低高校远程办公成本的前提下，为教师提供了端到端的安全信息传输，推动了高校远程办公技术的发展与进步，具有一定的借鉴意义。

参考文献：

[1] 姚桢，胡智.新冠病毒肺炎疫情对中国计量科学研究院远程办公的启示 [J].中国计量，2021（7）：36-38.

[2] 林凯.高校远程办公应用整体架构初探 [J].福建电脑，2012，28（9）：120-121+142.

[3] 安荣革.移动OA办公自动化系统在高校管理中的应用 [J].中国管理信息化，2017，20（6）：236.

[4] 许得生.搭建SSL VPN轻松实现远程办公 [J].网络安全和信息化，2021（8）：78-80.

[5] 陈伟，陈欣，张竞文.远程办公时代网络安全风险及防护探究 [J].信息与电脑：理论版，2021，33（15）：211-213.

[6] 周冰，吕昕鹏，陈兴奥，等.远程协同办公系统的应用研究 [J].电脑知识与技术，2021，17（18）：253-255.

[7] 刘邦桂.虚拟专用网技术在校园网应用中的研究与实现 [J].软件工程，2020，23（11）：13-16.

[8] 汪志勇.对SSL VPN安全關键技术的运用 [J].无线互联科技，2019，16（9）：21-22.

作者简介：曹园青（1985—），男，汉族，内蒙古巴彦淖尔人，讲师，硕士研究生，研究方向：计算机网络、信息安全、云计算。