圖書館廣域網(wǎng)接入高可用架構(gòu)的技術(shù)分析

鄭曉軍

（深圳圖書館，深圳 518036）

隨著現(xiàn)代圖書館對數(shù)字資源服務(wù)和網(wǎng)絡(luò)化應(yīng)用的要求越來越高，圖書館的各種廣域網(wǎng)服務(wù)和業(yè)務(wù)管理工作越來越依賴于高可用的計算機網(wǎng)絡(luò)系統(tǒng)，尤其是廣域網(wǎng)上的各種資源揭示、信息檢索與導(dǎo)航、VOD點播、讀者借閱、館際互聯(lián)等服務(wù)，在圖書館的應(yīng)用系統(tǒng)中占據(jù)了重要的位置，而完全服務(wù)于圖書館內(nèi)部的應(yīng)用和管理的系統(tǒng)已所剩無幾。因此，與廣域網(wǎng)保持高速、不間斷通信的重要性不言而喻，廣域網(wǎng)接入發(fā)生中斷的事件不僅是讀者不可忍受的，也是圖書館不可接受的。

圖書館廣域網(wǎng)接入高可用模式主要采用雙機熱備或虛擬化的架構(gòu)，其關(guān)鍵在于要構(gòu)建安全接入設(shè)備的冗余、IP地址的復(fù)用、多鏈路的網(wǎng)絡(luò)連接以及設(shè)備資源的整合。

1 圖書館廣域網(wǎng)應(yīng)用接入架構(gòu)的模式現(xiàn)狀

互聯(lián)網(wǎng)是基于廣域網(wǎng)的最重要應(yīng)用模式，圖書館在向廣域網(wǎng)運營商申請開通互聯(lián)網(wǎng)租用鏈路服務(wù)時，都會遇到IP地址資源緊張的問題，大部分運營商默認提供的IP地址為16個，甚至更少，再多就很難申請到了。而提供給讀者和工作人員使用的計算機在區(qū)級圖書館約為200臺以內(nèi)，市級圖書館約為500臺以內(nèi)，省級圖書館約為1000臺以內(nèi)，顯然運營商提供的IP地址遠遠不能滿足圖書館的需求。因此，幾乎所有的圖書館計算機網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)對接都需要安裝網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備，通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，將圖書館內(nèi)網(wǎng)IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)的合法地址。網(wǎng)絡(luò)地址轉(zhuǎn)換不僅解決了圖書館互聯(lián)網(wǎng)IP地址不足的問題，而且還能夠有效地避免來自互聯(lián)網(wǎng)的外部攻擊，隱藏和保護圖書館的計算機，特別是有提供互聯(lián)網(wǎng)服務(wù)的服務(wù)器。

目前用于實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換的設(shè)備主要有防火墻、路由器和代理服務(wù)器。代理服務(wù)器由于運算成本高、性能效率低，采用的情況越來越少,小型圖書館或社區(qū)圖書館采用尚可；路由器雖然性能效率比代理服務(wù)器高，但圖書館一般來說不可能采用成本較高的高端路由器來實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，即使要用也是采用較低端的路由器，而且路由器的配置命令復(fù)雜，基本上都要依靠運營商提供技術(shù)支持，這種接入模式也逐漸在減少。因此，目前圖書館的互聯(lián)網(wǎng)寬帶接入主要模式是由運營商的高性能邊界路由器端口連接圖書館的防火墻設(shè)備，租用帶寬的大小由運營商設(shè)定邊界路由器端口進行控制。

不少圖書館出于經(jīng)費的考慮，會采用單臺防火墻進行網(wǎng)絡(luò)地址轉(zhuǎn)換來實現(xiàn)與外網(wǎng)的互訪，那么所有的內(nèi)外網(wǎng)之間交互的流量負載都由該設(shè)備承擔，這種架構(gòu)存在單點故障的弊病。一旦網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備故障發(fā)生，將導(dǎo)致圖書館內(nèi)網(wǎng)的讀者和工作人員無法與外網(wǎng)通信，而互聯(lián)網(wǎng)上的讀者和協(xié)作機構(gòu)也無法訪問到圖書館相關(guān)的應(yīng)用服務(wù)器，圖書館將成為信息孤島，其后果可想而知。

由此可見，在圖書館內(nèi)外網(wǎng)關(guān)的網(wǎng)絡(luò)地址轉(zhuǎn)換這一重要節(jié)點，必須要組建冗余備份的架構(gòu)。最佳的方案是構(gòu)建雙機熱備系統(tǒng)，通過部署兩臺網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備形成實時數(shù)據(jù)的備份，利用虛擬路由器冗余協(xié)議（VRRP）或動態(tài)路由協(xié)議實施配置鏈路自動切換的機制以及虛擬化技術(shù)，實現(xiàn)任一臺設(shè)備出現(xiàn)故障時，會自動切換鏈路，讓數(shù)據(jù)流量順利地通過另一臺備份設(shè)備，避免圖書館的業(yè)務(wù)工作遭遇中斷的風險。

2 網(wǎng)絡(luò)地址轉(zhuǎn)換雙機熱備的機制和架構(gòu)分析

網(wǎng)絡(luò)地址轉(zhuǎn)換在防火墻雙機熱備的機制建設(shè)中包含兩個方面的內(nèi)容：一是建立防火墻雙機之間的業(yè)務(wù)內(nèi)容相互備份機制；二是建立防火墻雙機之間的數(shù)據(jù)流路徑切換機制。雙機熱備的架構(gòu)建立與工作方式是：連接兩臺防火墻設(shè)備的備份端口，在雙機之間建立備份鏈路；通過備份鏈路，兩臺防火墻設(shè)備定時互相發(fā)送報文信息，當兩臺防火墻進入同步狀態(tài)后，開始相互備份對端防火墻上的業(yè)務(wù)數(shù)據(jù)，直至兩臺防火墻設(shè)備上的業(yè)務(wù)狀態(tài)完全一致；當雙機之間的一臺防火墻發(fā)生故障時，虛擬路由器冗余協(xié)議（VRRP）或動態(tài)路由協(xié)議將業(yè)務(wù)數(shù)據(jù)流路徑切換到另一臺設(shè)備上，業(yè)務(wù)數(shù)據(jù)流將從該對端防火墻設(shè)備上通過。

防火墻雙機熱備運行的工作模式分為兩種，即主備工作模式和互備工作模式。在主備工作模式中，一臺防火墻作為主設(shè)備，另一臺防火墻作為備份設(shè)備；主設(shè)備處理所有的業(yè)務(wù)，并將網(wǎng)絡(luò)地址轉(zhuǎn)換產(chǎn)生的會話信息（包括源IP、源端口、目的IP、目的端口等信息）傳送到備份設(shè)備進行備份，而備份設(shè)備不處理業(yè)務(wù)，只用做備份。主備工作模式從設(shè)備利用角度來說效率不高，不夠經(jīng)濟，在圖書館應(yīng)用實例中并不多見。在互備工作模式中，兩臺防火墻設(shè)備均為主設(shè)備，按照路由表的配置承擔各自的應(yīng)用任務(wù)，都在處理相應(yīng)業(yè)務(wù)的數(shù)據(jù)流量，同時又作為另一臺防火墻設(shè)備的備份設(shè)備，備份對端設(shè)備的會話信息，如圖1所示。兩臺防火墻設(shè)備互為備份，一旦一臺防火墻通過心跳線偵測到對端設(shè)備出現(xiàn)故障，就立即啟動備份業(yè)務(wù)信息，接管故障設(shè)備的任務(wù)，以使業(yè)務(wù)工作延續(xù)，如圖2所示?；淠Ｊ讲粌H容錯能力強，能夠保證業(yè)務(wù)應(yīng)用的持續(xù)性，而且設(shè)備利用效率高，投資經(jīng)費相對節(jié)約，因此，在圖書館應(yīng)用最多最普遍。

圖1 防火墻無故障時的數(shù)據(jù)流量模型

圖2 防火墻A故障后的數(shù)據(jù)流量模型

3 雙機熱備工作模式中網(wǎng)絡(luò)地址轉(zhuǎn)換沖突問題的解決

3.1 網(wǎng)絡(luò)地址轉(zhuǎn)換表項的沖突

當雙機熱備的互備工作模式中兩臺防火墻設(shè)備在網(wǎng)絡(luò)通信中需要完成網(wǎng)絡(luò)地址轉(zhuǎn)換功能時，兩臺防火墻上配置的網(wǎng)絡(luò)地址轉(zhuǎn)換池的地址空間必須完全一樣，才能保證在一臺防火墻發(fā)生故障時，另一臺防火墻能夠接替故障設(shè)備，讓業(yè)務(wù)應(yīng)用的運行持續(xù)。然而，如果兩臺防火墻在做地址轉(zhuǎn)換時，分別從各自的地址池中選用了相同的IP地址，且分配了相同的端口號，則會導(dǎo)致兩臺防火墻設(shè)備上的反向會話信息完全一樣，無法進行會話數(shù)據(jù)的互為備份。

為解決該問題，必須采用網(wǎng)絡(luò)地址轉(zhuǎn)換池高低優(yōu)先級屬性的技術(shù)，在互備模式的兩臺防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換空間相同但優(yōu)先級不同的IP地址池。例如：在兩臺防火墻設(shè)備上均配置有兩個地址池58.60.2.0～58.60.2.31和58.60.2.32～58.60.2.61。其中防火墻A設(shè)備上的58.60.2.0～58.60.2.31地址池定義為高優(yōu)先級，58.60.2.32～58.60.2.61地址池定義為低優(yōu)先級。而另一臺防火墻B則相反，將58.60.2.0～58.60.2.31地址池定義為低優(yōu)先級，58.60.2.32～58.60.2.61地址池定義為高優(yōu)先級。那么，在兩臺防火墻均正常工作時，路由配置表定義的數(shù)據(jù)流路徑指向防火墻A時，網(wǎng)絡(luò)地址轉(zhuǎn)換則在58.60.2.0～58.60.2.31地址池里完成轉(zhuǎn)換；而路由配置表定義的數(shù)據(jù)流路徑指向防火墻B時，網(wǎng)絡(luò)地址轉(zhuǎn)換則在58.60.2.32～58.60.2.61地址池里完成轉(zhuǎn)換。但當防火墻A出現(xiàn)故障時，由于防火墻B中的會話表項與防火墻A完全一致，防火墻B全面接管防火墻A的工作任務(wù)，兩段地址池同時有效地按照路由表的策略定義進行地址轉(zhuǎn)換。反之，防火墻B出現(xiàn)故障，則防火墻A同樣全面接管防火墻B的工作任務(wù)。

雖然互備模式的兩臺防火墻使用相同的網(wǎng)絡(luò)地址轉(zhuǎn)換池中的地址，但是由于地址池定義的優(yōu)先級別不同，網(wǎng)絡(luò)地址轉(zhuǎn)換后互聯(lián)網(wǎng)IP和互聯(lián)網(wǎng)端口不會出現(xiàn)完全相同的情況，在相互備份會話數(shù)據(jù)時不會發(fā)生沖突。

3.2 地址解析協(xié)議（ARP）響應(yīng)的沖突

在上述的圖書館互聯(lián)網(wǎng)接入架構(gòu)中，兩臺互備模式的防火墻設(shè)備還會發(fā)生地址解析協(xié)議響應(yīng)沖突的情況。由于兩臺防火墻上均配置了相同的網(wǎng)絡(luò)地址轉(zhuǎn)換池58.60.2.0～58.60.2.31和58.60.2.32～58.60.2.61。當路由發(fā)出地址解析請求，查詢這兩個地址池中的某個地址，兩臺防火墻都會收到這個地址解析請求，并識別出這是自己地址轉(zhuǎn)換池中的地址。這樣，兩臺防火墻都會回復(fù)響應(yīng)，導(dǎo)致地址解析響應(yīng)沖突。

為避免地址解析響應(yīng)的沖突，必須在兩臺防火墻中建立不同級別的地址轉(zhuǎn)換池解析響應(yīng)機制，可以設(shè)置高優(yōu)先級的地址轉(zhuǎn)換池在防火墻互備工作模式處于同步狀態(tài)時優(yōu)先響應(yīng)地址解析協(xié)議的請求，而低優(yōu)先級的地址轉(zhuǎn)換池則不響應(yīng)地址協(xié)議的請求，如此就能保證不會出現(xiàn)地址解析協(xié)議響應(yīng)的沖突。

4 防火墻雙機互備方案的構(gòu)建

4.1 利用虛擬路由冗余協(xié)議VRRP實現(xiàn)防火墻的流量切換

虛擬路由冗余協(xié)議VRRP（Virtual Router Redundancy Protocol）是一種容錯協(xié)議，應(yīng)用于具有多組播或廣播能力的局域網(wǎng)。通常，一個圖書館局域網(wǎng)內(nèi)的所有主機都設(shè)置一條缺省路由，館內(nèi)的計算機或服務(wù)器訪問的目的地址如不在本網(wǎng)段內(nèi)，將被通過缺省路由發(fā)往配置路由模式的防火器A，從而實現(xiàn)與外部網(wǎng)絡(luò)的通信。當防火墻A故障時，本網(wǎng)段內(nèi)所有以防火墻A為缺省路由下聯(lián)的主機將斷掉與外部的通信，就此產(chǎn)生了單點故障。VRRP協(xié)議應(yīng)用于圖書館時，通常將局域網(wǎng)的兩臺核心防火墻配置成路由模式，組成一個虛擬路由設(shè)備。整合后兩臺配置路由模式的防火墻擁有一個獨立的虛IP地址，這個虛IP地址不同于兩臺核心防火墻的路由地址。圖書館局域網(wǎng)內(nèi)的計算機或服務(wù)器均缺省指向這個虛擬路由設(shè)備的虛IP地址，并不指向具體的兩臺核心防火墻的路由IP地址，網(wǎng)絡(luò)內(nèi)的計算機就通過這個虛IP來與互聯(lián)網(wǎng)或由防火墻隔離的其它外網(wǎng)進行信息通信。如果核心防火墻A由于故障停止工作，那么將會通過策略自動由另一臺防火墻B繼續(xù)向館內(nèi)的計算機提供路由轉(zhuǎn)發(fā)，實現(xiàn)圖書館局域網(wǎng)內(nèi)的計算機或服務(wù)器不間斷地與互聯(lián)網(wǎng)等外網(wǎng)進行通信。

4.2 利用動態(tài)路由實現(xiàn)流量切換

在雙機互備工作模式中，兩臺防火墻同時啟用BGP、OSPF、RIP等動態(tài)路由協(xié)議，當默認的路由鏈路出現(xiàn)故障而斷開時，路由表中的備份鏈路將自動啟動生效，產(chǎn)生的路由鏈路切換不會導(dǎo)致任何的時間延遲。

與VRRP協(xié)議實現(xiàn)流量切換相比，動態(tài)路由協(xié)議方式更適用多路徑的網(wǎng)絡(luò)環(huán)境。比如說，圖書館局域網(wǎng)中的某臺PC電腦，一般與訪問的服務(wù)器存在不同的網(wǎng)段中，無論服務(wù)器在局域網(wǎng)中還是在廣域網(wǎng)上，在PC電腦和服務(wù)器之間配置有多條路由通路，動態(tài)路由協(xié)議會計算出PC電腦到服務(wù)器的最優(yōu)路徑作為缺省的路由。當這條路徑出現(xiàn)故障而斷開后，動態(tài)路由協(xié)議會重新計算，從配置表上再選擇一條最優(yōu)的路徑作為新的路由。如果故障防火墻恢復(fù)正常，則會重新使用原來的缺省路由，也可以說動態(tài)路由協(xié)議是用動態(tài)的方式的保證網(wǎng)絡(luò)設(shè)備之間的實時連通。

5 防火墻虛擬化架構(gòu)的應(yīng)用

網(wǎng)關(guān)防火墻安裝在圖書館的內(nèi)網(wǎng)與外網(wǎng)之間，數(shù)字圖書館的應(yīng)用大多數(shù)是廣域網(wǎng)的應(yīng)用，換句話說圖書館的應(yīng)用信息流需要通過防火墻的匯聚和轉(zhuǎn)換實現(xiàn)與外網(wǎng)的通信，因此圖書館對防火墻的性能和可靠性要求極高。防火墻是網(wǎng)絡(luò)攻擊的主要對象，如果攻擊的流量達到飽和，那么在網(wǎng)關(guān)防火墻就會形成流量堵塞，網(wǎng)絡(luò)性能急劇下降，效果如同圖書館整個網(wǎng)絡(luò)中斷。為了降低網(wǎng)絡(luò)瓶頸對圖書館可能造成的負面影響，圖書館可選擇利用防火墻虛擬化架構(gòu)來提升網(wǎng)絡(luò)的高可用性。

圖書館的廣域網(wǎng)應(yīng)用眾多，以深圳圖書館為例，擁有的局域網(wǎng)與廣域網(wǎng)連接的網(wǎng)絡(luò)出口鏈路多達6條，包括互聯(lián)網(wǎng)應(yīng)用的光纖城域網(wǎng)接入、短信系統(tǒng)的光纖接入、政務(wù)內(nèi)外網(wǎng)的光纖接入、深圳館際云服務(wù)平臺的MPLS-VPN光纖接入等。理論上說，安裝與網(wǎng)絡(luò)出口鏈路相同數(shù)量的防火墻設(shè)備就能解決問題，然而高額的采購費用和維護費用，又是大多數(shù)圖書館無法承受的。如此眾多的外網(wǎng)鏈路都必須安裝安全網(wǎng)關(guān)防火墻，采用虛擬化技術(shù)的架構(gòu)是必然的選擇。

虛擬化技術(shù)架構(gòu)的實質(zhì)在于一臺網(wǎng)絡(luò)設(shè)備可以模擬為多臺性能適用的網(wǎng)絡(luò)設(shè)備，即“一虛多”模式；或者多臺網(wǎng)絡(luò)設(shè)備模擬為一臺性能更為強大的網(wǎng)絡(luò)設(shè)備，即“多虛一”模式。采用虛擬化技術(shù)，允許圖書館將不同外網(wǎng)出口鏈路針對不同的“虛擬防火墻”部署到各自的網(wǎng)絡(luò)分區(qū)或應(yīng)用組，分割后的邏輯網(wǎng)絡(luò)內(nèi)部有獨立的數(shù)據(jù)通道，對網(wǎng)絡(luò)安全資源進行更加細致的劃分，根據(jù)業(yè)務(wù)特征在邏輯網(wǎng)絡(luò)內(nèi)進行靈活的安全策略的部署和匹配。如虛擬防火墻被攻擊或性能重新調(diào)整等原因需要遷移，對應(yīng)的安全策略也隨之動態(tài)遷移，以達到多臺防火墻集群的效果。也可以將多臺性能一般的防火墻整合為一臺性能強大的虛擬防火墻，整合虛擬環(huán)境下動態(tài)的安全策略部署。例如，深圳圖書館在2013年6月進行的核心系統(tǒng)升級改造中，就采用“多虛一”的模式將2臺物理防火墻通過虛擬化技術(shù)合并為一臺性能強大的防火墻，所有局域網(wǎng)和廣域網(wǎng)的連接均為雙鏈路至網(wǎng)絡(luò)虛擬防火墻，通過統(tǒng)一平臺實現(xiàn)對防虛擬火墻的端口、策略、性能等進行集中的監(jiān)控、整合、配置和管理?？傊?，虛擬化技術(shù)優(yōu)化了網(wǎng)絡(luò)資源的使用，動態(tài)地調(diào)整和遷移虛擬防火墻的資源，使圖書館能夠利用虛擬化的架構(gòu)和統(tǒng)一的管理平臺，應(yīng)對數(shù)字圖書館核心應(yīng)用日益增長的變化。

6 結(jié)束語

廣域網(wǎng)接入設(shè)備高效的、安全的架構(gòu)是圖書館自動化、網(wǎng)絡(luò)化的可靠保證。在現(xiàn)代圖書館開始采用云計算技術(shù)、云服務(wù)模式漸漸走入云圖書館的時代，利用集群、冗余、熱備、虛擬化等成熟、穩(wěn)定的高新技術(shù)是圖書館計算機網(wǎng)絡(luò)應(yīng)用堅實的基礎(chǔ)。

[1] 杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實踐[M].北京:電子工業(yè)出版社,2012.

[2] 吳秀梅.防火器技術(shù)及應(yīng)用教程[M].北京:清華大學(xué)出版社，2012.

[3] 范九倫等.網(wǎng)絡(luò)安全：現(xiàn)狀與展望[M].北京:科學(xué)出版社，2010.

[4] 劉鵬.云計算[M].北京:電子工業(yè)出版社，2010.