數(shù)字圖書館推廣工程虛擬網(wǎng)建設(shè)實(shí)踐
——以寧夏圖書館為例

孫 戈

(寧夏圖書館，寧夏 銀川 750001)

1 數(shù)字圖書館推廣工程虛擬網(wǎng)建設(shè)背景

為進(jìn)一步加快我國(guó)公共圖書館在數(shù)字圖書館建設(shè)的步伐，2011年5月,文化部(現(xiàn)文化和旅游部，下同)、財(cái)政部聯(lián)合下發(fā)《財(cái)政部、文化部關(guān)于實(shí)施“數(shù)字圖書館推廣工程”的通知》文件(以下簡(jiǎn)稱“推廣工程”),在“十二五”期間開始實(shí)施數(shù)字圖書館推廣工程，以提高公共圖書館的公共數(shù)字文化服務(wù)能力和體系建設(shè)。2015年推廣工程積極推動(dòng)虛擬專網(wǎng)建設(shè)，全國(guó)各省級(jí)公共圖書館先后接入SDH 155M虛擬專網(wǎng)，實(shí)現(xiàn)了與國(guó)家圖書館點(diǎn)對(duì)點(diǎn)方式的互聯(lián)。為了形成一個(gè)更加完善的網(wǎng)絡(luò)服務(wù)體系擴(kuò)大公共數(shù)字文化服務(wù)覆蓋面，2016年推廣工程開始在全國(guó)各省實(shí)施基層圖書館互聯(lián)互通建設(shè)，將基層圖書館接入推廣工程虛擬專網(wǎng)，從而形成了以國(guó)家圖書館為核心、省級(jí)圖書館為主要節(jié)點(diǎn)、市縣級(jí)圖書館為接入點(diǎn)的更為完善的網(wǎng)絡(luò)服務(wù)體系。推廣工程通過(guò)聯(lián)通遍布全國(guó)的強(qiáng)大傳輸網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)字圖書館間數(shù)據(jù)的高速傳輸，打通推廣工程資源服務(wù)的“最后一公里”，從整體上提升全國(guó)公共圖書館的公共數(shù)字服務(wù)能力。

2 寧夏地區(qū)虛擬網(wǎng)建設(shè)面臨的問(wèn)題

2.1 寧夏各級(jí)公共圖書館網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)差異較大

寧夏現(xiàn)有各級(jí)公共圖書館26個(gè)，其中省級(jí)圖書館1個(gè)、市級(jí)圖書館4個(gè)、區(qū)縣級(jí)圖書館21個(gè)。寧夏圖書館新館于2008年建成，網(wǎng)絡(luò)基礎(chǔ)設(shè)施經(jīng)過(guò)多年的升級(jí)改造，現(xiàn)已建成萬(wàn)兆主干、桌面千兆的星型局域網(wǎng)絡(luò)，網(wǎng)絡(luò)出口有300M電信光纖主線路用于館內(nèi)辦公及部分業(yè)務(wù)訪問(wèn)互聯(lián)網(wǎng)，100M電信光纖備線路用于提供主線路的冗余和部分業(yè)務(wù)訪問(wèn)互聯(lián)網(wǎng)，300M中國(guó)移動(dòng)光纖線路用于館內(nèi)無(wú)線訪問(wèn)互聯(lián)網(wǎng)，所有線路通過(guò)鏈路負(fù)載均衡設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)的智能化流量管理，達(dá)到最佳的負(fù)載均衡需求。網(wǎng)絡(luò)安全設(shè)備有出口防火墻、IPS入侵防御系統(tǒng)、服務(wù)器防火墻、WEB應(yīng)用防護(hù)系統(tǒng)、上網(wǎng)行為管理等設(shè)備。

全區(qū)4個(gè)市級(jí)館網(wǎng)絡(luò)出口帶寬多為100M～200M，網(wǎng)絡(luò)安全防護(hù)設(shè)備都配備了防火墻及上網(wǎng)行為管理等設(shè)備；21個(gè)區(qū)縣級(jí)圖書館網(wǎng)絡(luò)出口帶寬多為100M，部分縣級(jí)圖書館由于經(jīng)費(fèi)問(wèn)題網(wǎng)絡(luò)與文化局、文化館等其他單位共用且缺少防火墻等網(wǎng)絡(luò)安全防護(hù)設(shè)備。根據(jù)調(diào)研分析得知，省內(nèi)各級(jí)公共圖書館互聯(lián)網(wǎng)出口帶寬及網(wǎng)絡(luò)信息安全保障方面有較大差異，軟硬件基礎(chǔ)設(shè)施、網(wǎng)絡(luò)配置各不相同。

2.2 原有虛擬網(wǎng)實(shí)用性較差

2008年寧夏圖書館通過(guò)10M電信MPLS VPN與全區(qū)21家公共圖書館實(shí)現(xiàn)了虛擬網(wǎng)連接，打通了資源共享的渠道，后將電信MPLS提速至50M，2013年寧夏圖書館完成與國(guó)家圖書館155M虛擬網(wǎng)的連接。多年來(lái)原有MPLS VPN虛擬網(wǎng)線路租賃費(fèi)用全部由寧夏圖書館承擔(dān)，經(jīng)費(fèi)壓力過(guò)大，50M MPLS VPN線路網(wǎng)速已無(wú)法滿足圖書館應(yīng)用需求，導(dǎo)致很多圖書館不再使用或使用率很低。提速至100M以上速率所需要的經(jīng)費(fèi)更加高昂。

此外，虛擬網(wǎng)上傳輸?shù)臄?shù)據(jù)主要是各類數(shù)字資源、應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)，特別是數(shù)字資源數(shù)據(jù)格式種類較多，對(duì)網(wǎng)絡(luò)的帶寬和穩(wěn)定性、傳輸效率等要求較高，尤其是要保證應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中的安全性，因此需要一個(gè)更加穩(wěn)定、高效、經(jīng)濟(jì)、易于拓展、適應(yīng)性強(qiáng)的虛擬網(wǎng)環(huán)境來(lái)代替原來(lái)的虛擬網(wǎng)。

2.3 虛擬網(wǎng)技術(shù)的復(fù)雜多樣性

VPN(Virtual Private Network)即虛擬專用網(wǎng)絡(luò)，是在公共網(wǎng)絡(luò)上為用戶建立點(diǎn)到點(diǎn)的虛擬專用網(wǎng)絡(luò)技術(shù),具備 Internet 接入的便捷性和專線的安全性，并且價(jià)格適中投入產(chǎn)出比較高，已經(jīng)成為系統(tǒng)安全接入和總部-分支組網(wǎng)方案的最佳選擇。目前較為常用的有MPLS VPN、SSL VPN、IPsec VPN。

MPLS VPN技術(shù)吸收了ATM交換技術(shù)和IP路由技術(shù)的優(yōu)點(diǎn)，利用在網(wǎng)絡(luò)運(yùn)營(yíng)商骨干網(wǎng)與用戶節(jié)點(diǎn)的路由和交換設(shè)備上應(yīng)用MPLS技術(shù)提供類似于虛電路的標(biāo)簽交換業(yè)務(wù)來(lái)實(shí)現(xiàn)IP虛擬專用網(wǎng)絡(luò)。MPLS VPN優(yōu)點(diǎn)在于隧道傳輸速度快、IP資源利用率高、具有多種QoS保證措施，適用于傳輸數(shù)據(jù)、語(yǔ)音、視頻等綜合業(yè)務(wù)。但在安全性方面MPLS VPN主要通過(guò)地址、路由隔離，隱藏信息等方式，對(duì)網(wǎng)絡(luò)中存在的欺騙信息進(jìn)行標(biāo)記，并抵抗不安全因素的各種攻擊，但對(duì)傳遞的數(shù)據(jù)本身并不提供加密的防護(hù)手段。在經(jīng)濟(jì)性方面MPLS VPN的線路租賃費(fèi)較高，相當(dāng)于租賃了專線。

SSL VPN采用應(yīng)用層協(xié)議即第四層隧道協(xié)議中典型的SSL協(xié)議，它利用公用網(wǎng)絡(luò)將應(yīng)用層的數(shù)據(jù)經(jīng)過(guò)嚴(yán)格的控制、加密、封裝后再通過(guò)傳輸層進(jìn)行運(yùn)輸。SSL VPN連接需要通過(guò)認(rèn)定的口令密碼進(jìn)行認(rèn)證，提供本地認(rèn)證、服務(wù)端認(rèn)證、證書挑戰(zhàn)等多種身份認(rèn)證方式，使用者通過(guò)客戶端認(rèn)定的口令密碼進(jìn)行認(rèn)證建立的SSL連接，通過(guò)web瀏覽器客戶端訪問(wèn)內(nèi)網(wǎng)的資源，安全性較好。SSL VPN 組網(wǎng)方式比較簡(jiǎn)單，只需要在網(wǎng)絡(luò)中心節(jié)點(diǎn)配置一臺(tái)SSL VPN網(wǎng)關(guān)設(shè)備即可實(shí)現(xiàn)遠(yuǎn)程接入訪問(wèn)。雖然SSLVPN經(jīng)濟(jì)性、安全性較好，但是在響應(yīng)速度上無(wú)法滿足高效運(yùn)行要求，網(wǎng)絡(luò)質(zhì)量難以保證，同時(shí)對(duì)Windows應(yīng)用及新的或功能復(fù)雜的Web瀏覽器只能提供有限的技術(shù)支持。

IPsec VPN采用IPsec協(xié)議三層隧道加密技術(shù)建立網(wǎng)絡(luò)層的VPN，IPsec的核心是在IP層對(duì)原始數(shù)據(jù)包添加IPsec頭部來(lái)實(shí)現(xiàn)對(duì)原始數(shù)據(jù)包的加密、完整性和源IP認(rèn)證，可實(shí)現(xiàn)隧道模式和傳輸模式兩種傳輸模式并且提供線路冗余機(jī)制，可以說(shuō)IPsec協(xié)議是目前最為安全的VPN協(xié)議。此外IPsec對(duì)IP協(xié)議支持的比較全面，對(duì)基礎(chǔ)網(wǎng)絡(luò)的要求低，部署IPsec VPN 網(wǎng)絡(luò)簡(jiǎn)單易實(shí)現(xiàn)且建網(wǎng)費(fèi)用低，只需要在兩個(gè)網(wǎng)絡(luò)的出口位置部署具有IPsec VPN功能的設(shè)備即可，但在組網(wǎng)中需要解決好穿越防火墻及IP地址沖突的問(wèn)題。

3 虛擬網(wǎng)組網(wǎng)構(gòu)建

3.1 VPN技術(shù)選擇

從VPN技術(shù)類型分析可以看出，SSL VPN主要是面向個(gè)人到站點(diǎn)的遠(yuǎn)程接入技術(shù)，僅限于B/S結(jié)構(gòu)(瀏覽器/服務(wù)器)的Web瀏覽器應(yīng)用，對(duì)C/S結(jié)構(gòu)(客戶/服務(wù)器)非Web頁(yè)面的支持不夠，很多非Web頁(yè)面文件訪問(wèn)往往要借助于應(yīng)用轉(zhuǎn)換才能實(shí)現(xiàn)，且對(duì)應(yīng)用的響應(yīng)速度較慢，這些都導(dǎo)致其不適合組網(wǎng)需求；MPLS VPN雖然能滿足中心到分支節(jié)點(diǎn)的連接，并且可以提供QoS保證，但是MPLS VPN往往受到單一網(wǎng)絡(luò)運(yùn)營(yíng)商的限制，跨運(yùn)營(yíng)商連接效果不好，用戶配置網(wǎng)絡(luò)不夠靈活，線路租賃費(fèi)用較高，從長(zhǎng)遠(yuǎn)角度經(jīng)濟(jì)實(shí)用性上不適用于組網(wǎng)要求；IPsec作為當(dāng)前主流的VPN協(xié)議，技術(shù)比較完善、系統(tǒng)穩(wěn)定性較高，在保證數(shù)據(jù)安全的同時(shí)可提供鏈路冗余機(jī)制保障鏈路和設(shè)備的可靠性，經(jīng)濟(jì)性上只需要在各圖書館原有網(wǎng)絡(luò)中部署一臺(tái)具有IPsec VPN功能的設(shè)備即可建立點(diǎn)到點(diǎn)的虛擬網(wǎng)，接入方式靈活多樣，網(wǎng)絡(luò)可管理性強(qiáng)，尤其是對(duì)技術(shù)力量薄弱的基層圖書館可實(shí)現(xiàn)設(shè)備“零管理”。只要解決好防火墻穿越技術(shù)問(wèn)題規(guī)劃好IP地址便可完成整體虛擬網(wǎng)的組建，使其成為搭建虛擬網(wǎng)的最佳技術(shù)選擇。

3.2 虛擬網(wǎng)絡(luò)架構(gòu)

利用各圖書館原有互聯(lián)網(wǎng)鏈路，通過(guò)在網(wǎng)絡(luò)出口部署具有IPsec VPN功能的防火墻設(shè)備組建各個(gè)基層圖書館到寧夏圖書館及國(guó)家圖書館的虛擬網(wǎng)絡(luò)，國(guó)家圖書館作為總部節(jié)點(diǎn)，寧夏圖書館作為省級(jí)網(wǎng)絡(luò)中心節(jié)點(diǎn)，各基層圖書館作為分支節(jié)點(diǎn)。同時(shí)防火墻可提供對(duì)病毒、木馬、終端漏洞、Web入侵等各種L2-L7層威脅的檢測(cè)、防護(hù)全面提升網(wǎng)絡(luò)安全性。虛擬網(wǎng)絡(luò)構(gòu)架如圖1所示。

3.3 IP地址規(guī)劃及NAT轉(zhuǎn)換

國(guó)家圖書館對(duì)全國(guó)省級(jí)圖書館的虛擬網(wǎng)IP地址進(jìn)行了規(guī)劃，為避免地址段沖突以及保證每個(gè)館有足夠IP數(shù)量，虛擬專網(wǎng)地址段使用10. 100. 0. 0 /16 - 10. 254. 0. 0 /16的地址段，其中每個(gè)省級(jí)館分配10. 100. 0. 0 /16 - 10. 134. 0. 0 /16中的一個(gè)B類地址段，寧夏圖書館IP地址段為10.131.0.0/24。寧夏圖書館規(guī)劃本地區(qū)的IP地址段為：寧夏圖書館使用192.168.0.0-192.168.99.254地址段，市縣區(qū)級(jí)館IP地址段設(shè)定為192.168.100.0-192.168.140.254中的一個(gè)C類地址。

NAT(Network Address Translation)中文意思“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。為了正常訪問(wèn)虛擬網(wǎng)上的資源，需要把寧夏圖書館內(nèi)網(wǎng)IP 地址通過(guò)NAT轉(zhuǎn)換為所分配的虛擬網(wǎng)地址。進(jìn)行NAT地址轉(zhuǎn)換的設(shè)備為寧夏圖書館與國(guó)家圖書館虛擬網(wǎng)連接設(shè)備華為AR2220路由器，具體方法為：①配置NAT地址池：nat address-group 1 10.131.1.10 10.131.1.30 ；②配置ACL：acl number 3001， rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255；③在路由出口應(yīng)用ACL：nat outbound 3001 address-group 1，即可實(shí)現(xiàn)192.168.0.0/16的源地址通過(guò)NAT地址池中的地址進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。

4 虛擬網(wǎng)組網(wǎng)實(shí)踐

4.1 基層圖書館與寧夏圖書館的VPN連接

寧夏圖書館與基層圖書館在網(wǎng)絡(luò)出口處各部署一臺(tái)具有IPsec VPN功能的防火墻，均采用網(wǎng)關(guān)模式進(jìn)行網(wǎng)絡(luò)互聯(lián)。本次實(shí)例中寧夏圖書館使用的設(shè)備為深信服VPN-6050網(wǎng)關(guān)，基層圖書館使用的設(shè)備為深信服AF-1000-c600防火墻，配置界面均采用WEB界面，具體配置信息如下。

4.1.1 配置基層圖書館防火墻IPsec功能

①配置新建連接，輸入總部IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②輸入總部分配的用戶賬號(hào)信息xqxx和密碼XXX，傳輸協(xié)議選擇TCP，加密算法采用AES。③配置VPN接口，使用系統(tǒng)自動(dòng)分配的VPN接口虛擬IP地址：143.255.18.138/32。④配置本地子網(wǎng)，添加寧夏圖書館為該基層圖書館規(guī)劃的虛擬網(wǎng)地址段：192.168.130.0/24。

4.1.2 配置寧夏圖書館IPsec網(wǎng)關(guān)設(shè)備

①配置IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②建立該基層圖書館的連接賬號(hào)xqxx和連接密碼xxx。③配置VPN接口，使用系統(tǒng)自動(dòng)分配的VPN接口虛擬IP地址：55.50.84.171/32。④配置容許該基層圖書館訪問(wèn)的地址段如：寧夏圖書館服務(wù)器網(wǎng)段(192.168.x.0/24),國(guó)家圖書館網(wǎng)段(10.100.x.0/16)。⑤查看IPsec運(yùn)行狀態(tài)顯示已有數(shù)據(jù)流量，說(shuō)明IPsec隧道連接成功。

4.2 寧夏圖書館與國(guó)家圖書館的VPN連接

寧夏圖書館通過(guò)一臺(tái)華為AR2220路由器與國(guó)家圖書館進(jìn)行虛擬網(wǎng)互聯(lián)。配置舉例如下。

4.2.1 配置訪問(wèn)控制列表

acl number 3001

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255

4.2.2 配置NAT地址池

nat address-group 1 10.131.1.10 10.131.1.30

4.2.3 配置acl策略應(yīng)用到路由器出口

interface Pos6/0/0

link-protocol ppp

ip address 11.0.0.38 255.255.255.252

nat outbound 3001 address-group 1

4.2.4 配置路由

ip route-static 0.0.0.0 0.0.0.0 11.0.0.37//缺省路由指向國(guó)家圖書館

ip route-static 192.168.0.0 255.255.0.0 10.131.254.253//路由指向下連寧夏圖書館網(wǎng)絡(luò)設(shè)備

4.3 連通效果

4.3.1 基層圖書館網(wǎng)絡(luò)連通性測(cè)試

從基層圖書館PC(192.168.130.1)ping寧夏圖書館內(nèi)部服務(wù)器地址(192.168.1.17)可ping通，ping國(guó)家圖書館資源服務(wù)器地址(10.100.2.2)可ping通，tracert兩個(gè)服務(wù)器地址路由結(jié)果正常。

4.3.2 寧夏圖書館到國(guó)家圖書館網(wǎng)絡(luò)連通性測(cè)試

從寧夏圖書館pc(192.168.10.1)ping國(guó)家圖書館資源服務(wù)器地址(10.100.2.2)可ping通,tracert服務(wù)器地址路由結(jié)果正常。

4.3.3 對(duì)數(shù)字資源的訪問(wèn)測(cè)試

從基層圖書館及寧夏圖書館任意pc訪問(wèn)推廣工程資源庫(kù)群中的資源，訪問(wèn)鏈http://10.100.2.2:82/refbook/可直接訪問(wèn)使用，同時(shí)基層圖書館任意PC也可直接訪問(wèn)使用寧夏圖書館數(shù)字資源，訪問(wèn)鏈http://192.168.1.25:8080/，達(dá)到了虛擬網(wǎng)的使用效果。

5 結(jié)束語(yǔ)

由于MPLS VPN高額的線路租賃費(fèi)，近年來(lái)寧夏圖書館借助推廣工程基層圖書館互連互通項(xiàng)目的實(shí)施逐步將原有MPLS VPN替換為IPsec VPN。總之，虛擬網(wǎng)建設(shè)是推廣工程基礎(chǔ)性建設(shè)之一，通過(guò)虛擬網(wǎng)促進(jìn)了圖書館間資源與服務(wù)的全面共建共享，促進(jìn)了圖書館數(shù)字資源建設(shè)和服務(wù)模式的多樣化發(fā)展，使得讀者能享受到更加方便、快捷的數(shù)字圖書館服務(wù)。