選取合適的接入網方式是接入網項目中非常重要的一環，于是我們拿一個實例來說明，在選取接入網方式時需要特別注意的地方，在這里拿出來和大家分享一下，希望對大家有用。高校圖書館應該選擇何種VPN技術以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看，比較合理的應用方式應該是IPSEC和SSL共同使用。

正如我們前面所分析的，上游資源商對于資源的應用是有限制的，除了限制發起請求的IP地址外，還會限制單個IP地址所產生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個類型，一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶(以教師為主，數量較少)，另一類則是使用次數較少、訪問數據不多的用戶(以學生為主，數量較多)，通過用戶劃分，我們給訪問量大但數量少的教師用戶分配IPSEC接入網方式，這樣就可以把大量的用戶流量分配到不同的IP地址上，避免單個IP流量過大造成的問題，而那些數量眾多但訪問量小的學生用戶分配SSL接入網方式，利用SSL VPN無需部署客戶端的特性大大降低客戶端的維護工作量，從而實現VPN在圖書館應用的快速部署。

經過長時間的測試，華師圖書館選擇使用國內專業VPN廠商深信服科技推出了IPSEC/SSL 一體化VPN平臺:Sinfor M5100-S。該產品在一臺網關上同時集成了IPSEC和SSL VPN功能，利用兩種技術的集成很好解決了圖書館應用的需求，同時一體化的設計能夠大幅度的降低整個VPN產品的投入，滿足教育行業低成本高效率IT建設的需求。

由于IPSEC客戶端在部署過程中需要進行配置，這嚴重影響了整個VPN系統在圖書館應用中的使用，對于大量的校外用戶來說，VPN僅僅是其實現訪問校園網資源的一個途徑，如果需要其掌握專業的技術才能應用，必將極大影響整個應用的部署。針對以上難題，深信服科技推出了基于USB KEY的客戶端零配置功能，可以將遠程用戶的安全策略存儲在類似U盤的USB Key(又名DKEY)中。這樣遠程用戶隨身攜帶標識自己身份和存儲了對應安全策略配置信息的DKEY，可以在任何一臺電腦安全的接入到圖書館。安裝好IPSEC客戶端軟件后，用戶無需進行任何配置，只需要插入DKEY，輸入自己的密碼就可以完成接入網方式的選擇，做到了VPN客戶端零配置，和使用銀行取款機一樣安全方便。

多線路智能選路，解決跨運營商網絡互連問題

目前，大規模VPN網絡往往都是跨運營商的。但是國內運營商間互聯互通的帶寬過低，導致不同運營商間的訪問速度很低，嚴重影響了VPN的應用效果。作為國內領先的VPN和網絡安全研發產商，深信服科技在IPSec VPN 中，創新性地采用了多線路智能選路功能，并成功應用到IPSec/SSL一體化網關-Sinfor M5100-S中。對于分布到不同運營商網絡的遠程接入用戶，M5100-S會自動遷移到最快的線路上。只要在VPN總部端，申請多條運營商線路，便能最有效地解決跨運營商之間連接延遲大、帶寬小的問題。

若要解決跨運營商網絡互連出現的問題，通常其他方案則需要單獨購買一個線路負載均衡器，才能實現多線路負載均衡的效果。而Sinfor M5100-S的多線路負載均衡，為高校圖書館節省了采購成本，并且降低了日后的維護量。對于高校圖書館來說，大量校外用戶是采用電信提供的ADSL等上網線路，其直接訪問教育網資源的速度并不理想，利用多線路智能選路這個功能，圖書館僅需向電信運營商申請一條普通線路(如ADSL)，即可實現校外用戶的高速訪問。

多種認證方式，高安全性

SINFOR M5100-S中SSL VPN采用SSL協議加密建立安全的專用加密通道，除了使用1024位的非對稱密鑰加強安全性，還使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證，并使用PIN碼保護DKEY的安全。這種USB DKEY可以支持兩套VPN系統，安全方便。SINFOR M5100-S內置有LDAP/AD、Radius、SecurID、短信認證等多種安全認證方式，可以根據相應的安全級別，對客戶端組合幾種認證方式，最大限度地保證了接入用戶的合法性。同時，由于在隧道連接過程中，SINFOR SSL VPN僅僅使用443端口傳輸數據，大大降低了病毒從遠程客戶端入侵VPN網絡的可能。

更細致的訪問控制功能、完善的用戶和資源管理

SINFOR M5100-S 通過獨特的角色管理功能，提供了細致到每個URL和不同應用的權限劃分。通過給不同用戶設置不同角色來分配訪問授權，一個用戶可以賦予多個角色以適合各種復雜的組織結構�；�于角色的訪問限制為網絡提供了較強的安全性。通過合理的角色劃分，管理員可以根據遠程用戶的身份和權限為其分配可供其訪問的各種電子資源，如教師可以訪問國外的各種資源，而學生用戶則僅能訪問國內教育網資源。通過行為跟蹤引擎，管理員還可以查看遠程接入用戶的所有訪問記錄。

SINFOR M5100-S內置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導入。 M5100-S支持LDAP/AD、RADIUS等第三方認證，可以根據組、公用帳號、私有帳號等多種方式對用戶進行管理。同時，M5100-S集成了組用戶并發限制、公用帳號并發限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在M5100-S直觀式管理圖形用戶界面(GUI)的實時監控狀態欄中，可以實時地監控用戶的接入情況，觀察整個VPN系統的運行狀況。

支持動態ip、方便易用

由于寬帶的普及以及ADSL資費的降低，國內中小型企業通常采用ADSL撥號等動態ip的接入網方式。Sinfor M5100-S集成了深信服科技的基于web的動態ip尋址技術，使的Sinfor M5100-S 在部署的時候無需固定ip，完全支持動態ip。并且，當企業在使用M5100-S的SSL VPN功能時，可以使用和IP Sec VPN 相同的webagent來解析網關的動態ip，減少了管理員的維護量。移動辦公人員使用瀏覽器連接入公司內網時，也更加便捷。由于支持動態ip，M5100-S同樣也適合中小型企業。

傳統的IPSEC VPN在部署客戶端的時候，往往需要復雜的安裝和配置。借助于Sinfor M5100-S獨創的基于web的IPSec客戶端在線安裝方式，用戶可以很方便安裝使用IPSec VPN �？梢越Y合自身的需求，按需部署IPSec /SSL VPN網絡。

適應廣泛

SINFOR M5100-S不僅提供對Web系統的安全訪問，還能通過ssl proxy技術，實現對絕大多數C/S應用的訪問。不管是Windows還是Linux客戶端，甚至是手持設備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全的接入網方式。

集成防火墻，有效保護內部服務

和多數SSL VPN不同，SINFOR M5100-S集成了高性能的企業級防火墻，對外只開放443端口，能有效保護內部服務器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。采用IPSEC/SSL一體化的VPN安全網關，可以很好的解決數字圖書館的遠程訪問應用多方面的考慮，IPSEC/SSL VPN二合一的技術必將成為一種新的趨勢，被廣泛應用和推廣。