陳廷勇 邢 敏 潘希秋
〔摘 要〕近幾年VPN技術(shù)逐步趨向成熟,構(gòu)建基于Internet的校園VPN網(wǎng)絡(luò),能夠?qū)崿F(xiàn)校外師生對(duì)圖書館數(shù)字資源的遠(yuǎn)程訪問(wèn)。本文提出了基于Windows Server 2003的校園VPN解決方案,也詳細(xì)地介紹了VPN技術(shù)特性及其服務(wù)器和客戶端的配置方法。
〔關(guān)鍵詞〕VPN技術(shù);Internet;高校圖書館;數(shù)字資源
〔中圖分類號(hào)〕G250.73 〔文獻(xiàn)標(biāo)識(shí)碼〕A 〔文章編號(hào)〕1008-0821(2009)11-0096-03
Study on the Remote Access of Digital Resource of University LibraryChen Tingyong1 Xing Min1 Pan Xiqiu2
(1.Computer Department,Changchun Finance College,Changchun 130022,China;
2.Jingyu County Peoples Congress,Jingyu 135200,China)
〔Abstract〕With the gradual maturation of VPN technology in recent years,the campus VPN network based on the Internet will implement the remote access of digital resource of university library.The paper proposed a solution to the campus VPN based on Windows Server 2003,also introduced the VPN technology characteristics and the disposition methods of the server and the client in detail.
〔Keywords〕VPN technology;internet;university library;digital resource
隨著Internet技術(shù)的飛速發(fā)展,信息化程度的快速提高,高校圖書館的服務(wù)已經(jīng)從大量文本文獻(xiàn)資源的提供轉(zhuǎn)向網(wǎng)絡(luò)資源服務(wù),期刊數(shù)據(jù)庫(kù)、電子圖書以及學(xué)位論文數(shù)據(jù)庫(kù)等數(shù)字資源已經(jīng)成為師生們?cè)诮虒W(xué)和科研活動(dòng)中最主要的信息來(lái)源。
然而圖書館數(shù)字資源對(duì)外開(kāi)放是有限制條件的,數(shù)據(jù)庫(kù)提供商為了自身利益和保護(hù)知識(shí)產(chǎn)權(quán)等原因,其網(wǎng)絡(luò)數(shù)據(jù)庫(kù)對(duì)授權(quán)用戶的身份認(rèn)證一般都采取IP地址認(rèn)證的方式,即在和使用單位簽署購(gòu)買合同后,使用單位提供本單位的IP地址清單,數(shù)據(jù)庫(kù)提供商只對(duì)這些IP地址開(kāi)通訪問(wèn)權(quán)限。因此,高校師生只有使用校園網(wǎng)IP地址范圍內(nèi)的計(jì)算機(jī),才能查詢圖書館所購(gòu)買的各類數(shù)字資源[1-2]。
IP控制的這種局限性,使得師生們無(wú)法在校園外通過(guò)撥號(hào)或ADSL等寬帶上網(wǎng)方式查閱校內(nèi)的數(shù)字資源,造成極大的不便,也影響了所購(gòu)數(shù)字資源的利用率及使用效益。而利用虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)技術(shù)實(shí)現(xiàn)校外合法用戶對(duì)校內(nèi)數(shù)字圖書資源的遠(yuǎn)程訪問(wèn),就是一種費(fèi)用較低、安全可靠、切實(shí)可行的解決方案。目前,我校就是通過(guò)建立VPN網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)校外師生對(duì)圖書館數(shù)字資源的遠(yuǎn)程訪問(wèn)。
1 虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
虛擬專用網(wǎng)絡(luò)(VPN)指的是通過(guò)ISP(Internet Service Provider)或其他NSP(Network Service Provider),在Internet中建立一條虛擬的專用通道,讓兩個(gè)遠(yuǎn)距離網(wǎng)絡(luò)用戶能夠在一個(gè)專用的網(wǎng)絡(luò)通道中互相傳遞數(shù)據(jù)信息,它是通過(guò)跨越基于IP協(xié)議的公用網(wǎng)建立起一條安全專用通道來(lái)實(shí)現(xiàn)公網(wǎng)私用。遠(yuǎn)程用戶通過(guò)PSTN撥號(hào)、ADSL或者小區(qū)寬帶方式接入Internet,獲得公網(wǎng)IP地址后通過(guò)VPN網(wǎng)絡(luò)方式接通校園網(wǎng)公網(wǎng)地址,從而得到一個(gè)校園網(wǎng)的IP地址而被納入到校園網(wǎng)之中,這樣用戶就能夠訪問(wèn)圖書館的數(shù)字資源。
由于虛擬專用網(wǎng)技術(shù)將校園網(wǎng)之外的遠(yuǎn)程終端或局域網(wǎng)以虛擬網(wǎng)絡(luò)的形式納入到了校園網(wǎng)之中,所以校外合法認(rèn)證用戶就可以像校內(nèi)用戶一樣使用圖書館數(shù)字資源,而不受IP地址限制[2-3]。
1.1 VPN的工作原理分析
利用VPN技術(shù),圖書館網(wǎng)絡(luò)能夠在不可信任的公網(wǎng)上安全地通信,VPN采用高性能的復(fù)雜算法來(lái)對(duì)傳輸信息進(jìn)行加密,以保證師生對(duì)信息安全性的需求。其通信過(guò)程是非校園網(wǎng)客戶端用戶發(fā)送信息到校園網(wǎng)VPN服務(wù)器(該服務(wù)器已經(jīng)連接公網(wǎng));VPN服務(wù)器確定用戶是否合法,是否需要對(duì)數(shù)據(jù)進(jìn)行加密;對(duì)需要加密的數(shù)據(jù),VPN服務(wù)器對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密并且附上數(shù)字簽名,加上新的數(shù)據(jù)報(bào)頭,其中包括目的客戶端需要的安全信息;VPN服務(wù)器對(duì)加密后的數(shù)據(jù)、鑒別包和源IP地址進(jìn)行重新封裝,重新封裝后的數(shù)據(jù)包通過(guò)虛擬通道在公網(wǎng)上傳輸;當(dāng)數(shù)據(jù)包到達(dá)校園外客戶端時(shí),數(shù)據(jù)包被解封裝,對(duì)數(shù)字簽名核對(duì)無(wú)誤后,數(shù)據(jù)包被解密。
1.2 VPN網(wǎng)絡(luò)的設(shè)計(jì)要求
實(shí)現(xiàn)高校圖書館虛擬專用網(wǎng)VPN設(shè)計(jì)方案,應(yīng)該從安全性、管理性、實(shí)用性、擴(kuò)充性、經(jīng)濟(jì)性和服務(wù)質(zhì)量等方面進(jìn)行探索實(shí)現(xiàn)。
1.2.1 安全性
安全是VPN技術(shù)的基礎(chǔ),VPN提供給師生用戶的是專用網(wǎng)絡(luò),但不是物理上的專用網(wǎng)。因此建立在不安全、不可信任的公網(wǎng)上的VPN技術(shù)首先要解決的問(wèn)題就是安全性。
虛擬專用網(wǎng)絡(luò)并不會(huì)暴露在復(fù)雜的公網(wǎng)環(huán)境中,具有專用性,同時(shí)在數(shù)據(jù)傳輸過(guò)程中VPN采用隧道、數(shù)據(jù)加解密、密鑰管理和身份認(rèn)證等技術(shù),以保證信息在傳輸過(guò)程中不被偷看、篡改和復(fù)制,從而保證數(shù)據(jù)僅被指定的發(fā)送者和接收者獲悉,保證數(shù)據(jù)的私有性。這恰好符合圖書館數(shù)字資源的數(shù)字版權(quán)保護(hù),即只有合法的用戶才能訪問(wèn)圖書館數(shù)字資源。
由于VPN網(wǎng)絡(luò)的數(shù)據(jù)傳輸是加密進(jìn)行的,因此VPN服務(wù)器分配的與VPN連接的內(nèi)部地址不能被Internet用戶看到,Internet用戶只能看到遠(yuǎn)程訪問(wèn)服務(wù)器的外部IP地址,所以校園網(wǎng)內(nèi)部的IP地址也是安全的。
1.2.2 管理性
由于VPN技術(shù)的安全特性非常高,這就決定了它必須具有可管理性,對(duì)VPN網(wǎng)絡(luò)的管理主要體現(xiàn)在安全管理、設(shè)備管理、配置管理以及訪問(wèn)控制列表管理等具體內(nèi)容。對(duì)VPN網(wǎng)絡(luò)管理不僅出于成本的考慮,更為重要的是要保證它具有較高的安全性能。具體應(yīng)該包括對(duì)網(wǎng)絡(luò)的可知性,即對(duì)運(yùn)行狀態(tài)的監(jiān)控、日志記錄、審計(jì)手段和預(yù)警方式等方面;還應(yīng)包括對(duì)網(wǎng)絡(luò)使用的可控性,即安全策略的部署、用戶的控制和非法入侵的鎖定等方面,為此應(yīng)具備一個(gè)統(tǒng)一管理平臺(tái)來(lái)實(shí)現(xiàn),而不能將管理信息分散在不同節(jié)點(diǎn)上。
1.2.3 實(shí)用性
校園外師生在遠(yuǎn)程訪問(wèn)時(shí)希望使用最簡(jiǎn)單的設(shè)置、最少的步驟就能夠連上校園網(wǎng),這就要求VPN技術(shù)設(shè)計(jì)對(duì)客戶端的支持具有簡(jiǎn)單實(shí)用性,只需要校園外用戶設(shè)置好VPN客戶端,通過(guò)客戶端接入校園網(wǎng)就可以訪問(wèn)圖書館數(shù)字資源,使用簡(jiǎn)單方便,接入方式靈活。
1.2.4 擴(kuò)充性
公網(wǎng)提供了多種接入方式,PSTN撥號(hào)、ADSL以及小區(qū)寬帶等,而VPN網(wǎng)絡(luò)可以根據(jù)各種接入方式的信息量、實(shí)時(shí)性和通信條件等情況,分別選擇不同速率與之鏈接。同時(shí)VPN網(wǎng)絡(luò)又能夠支持各種類型的數(shù)據(jù)流,支持多種類型的傳輸媒介,能夠滿足語(yǔ)音、圖像和視頻等多媒體信息同時(shí)傳輸?shù)男枨?并且增加新節(jié)點(diǎn)、增加訪問(wèn)用戶的數(shù)量等都非常方便,具有非常高的可擴(kuò)充性能。
1.2.5 經(jīng)濟(jì)性
與租用一條昂貴的網(wǎng)絡(luò)專線相比,VPN網(wǎng)絡(luò)是一種經(jīng)濟(jì)實(shí)用的解決方案。只需要一次性投入VPN設(shè)備,包括服務(wù)器和路由器,而不再需要購(gòu)買其他的存儲(chǔ)設(shè)備,VPN網(wǎng)絡(luò)更不必考慮線路帶寬的利用率和費(fèi)用等問(wèn)題。
1.2.6 服務(wù)質(zhì)量
公網(wǎng)中不穩(wěn)定的流量使得帶寬利用率很低,在流量高峰期會(huì)引起網(wǎng)絡(luò)擁塞,導(dǎo)致一些數(shù)據(jù)不能及時(shí)發(fā)送和接收,流量低谷期又會(huì)造成帶寬的浪費(fèi)。VPN網(wǎng)絡(luò)可以對(duì)流量進(jìn)行預(yù)測(cè)并且能夠進(jìn)行較好控制,實(shí)現(xiàn)帶寬的優(yōu)化管理,從而避免了網(wǎng)絡(luò)擁塞,提高了數(shù)據(jù)傳輸?shù)馁|(zhì)量[1-3]。
2 我校圖書館的VPN解決方案
我校圖書館局域網(wǎng)內(nèi)有多個(gè)數(shù)字資源服務(wù)器,在校園網(wǎng)內(nèi)可以直接訪問(wèn)。為了使廣大師生能夠從校園外遠(yuǎn)程訪問(wèn)圖書館的數(shù)字資源,在圖書館局域網(wǎng)內(nèi)建立1個(gè)VPN服務(wù)器,通過(guò)適當(dāng)?shù)脑L問(wèn)策略配置,保證網(wǎng)絡(luò)安全。我校使用Windows Server 2003建立VPN服務(wù)器,實(shí)現(xiàn)軟件平臺(tái)的VPN虛擬專用網(wǎng)絡(luò),這種網(wǎng)絡(luò)建設(shè)不需要昂貴的專用設(shè)備,可節(jié)省網(wǎng)絡(luò)建設(shè)成本,配置及維護(hù)靈活簡(jiǎn)單,可以方便地為校園網(wǎng)構(gòu)建一個(gè)實(shí)用的、造價(jià)低廉的VPN網(wǎng)絡(luò),校園外用戶只需在Windows系統(tǒng)平臺(tái)上建立VPN客戶端就可以輕松方便地連接到校園網(wǎng)。
2.1 VPN服務(wù)器的配置
配置VPN服務(wù)器的前提是確信該服務(wù)器已經(jīng)連入Internet,同時(shí)為了使Internet上的主機(jī)能夠訪問(wèn)到VPN服務(wù)器,它必須擁有一個(gè)獨(dú)立的公網(wǎng)IP地址。并且VPN服務(wù)器至少需要兩塊網(wǎng)卡,一塊網(wǎng)卡對(duì)外網(wǎng),分配的是連接Internet的IP地址,一塊網(wǎng)卡是對(duì)內(nèi)部局域網(wǎng),分配的是內(nèi)網(wǎng)地址。其具體配置步驟如下。
依次進(jìn)入“開(kāi)始”→“程序”→“管理工具”→“路由和遠(yuǎn)程訪問(wèn)”,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái)。在左邊框架服務(wù)器名“VPN-SERVER(本地)”處單擊鼠標(biāo)右鍵,選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)安裝向?qū)А?單擊“下一步”繼續(xù),在“公共設(shè)置”選擇“虛擬專用網(wǎng)絡(luò)(VPN)訪問(wèn)和NAT”,單擊“下一步”繼續(xù)。在“VPN連接”一步需要指定服務(wù)器所使用的連接,由于本服務(wù)器使用雙網(wǎng)卡,在此應(yīng)該選擇Internet連接使用的網(wǎng)卡,即選擇VPN服務(wù)器公網(wǎng)IP地址,單擊“下一步”繼續(xù)。在“IP地址指定”一步需要選擇為遠(yuǎn)程VPN客戶端指定IP地址的方法,由于本機(jī)沒(méi)有配置DHCP服務(wù)器,因此選擇“來(lái)自一個(gè)指定的地址范圍”選項(xiàng),單擊“下一步”繼續(xù)。在“地址范圍指定”一步可以為VPN客戶機(jī)指定所分配的IP地址范圍,由于為VPN服務(wù)器分配的內(nèi)網(wǎng)IP為202.198.224.1,所以為VPN客戶機(jī)指定所分配的IP地址范圍可以為“202.198.224.100”~“202.198.224.200”。單擊“新建”按鈕打開(kāi)“新建地址范圍”窗口,按提示輸入后單擊“確定”按鈕,返回“地址范圍指定”一步,這些IP地址將分配給VPN服務(wù)器和VPN客戶機(jī)。為了確保連接后的VPN網(wǎng)絡(luò)同VPN服務(wù)器原有局域網(wǎng)之間能夠正常通信,它們必須同VPN服務(wù)器的IP地址處在同一個(gè)網(wǎng)段中。假設(shè)VPN服務(wù)器IP地址為“202.198.16.1”,則此范圍中的IP地址均應(yīng)該以“202.198.16”開(kāi)頭。然后單擊“下一步”,選擇“不,我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”,單擊“完成”,此時(shí)屏幕上出現(xiàn)一個(gè)名為“正在啟動(dòng)路由和遠(yuǎn)程訪問(wèn)服務(wù)”小窗口,稍后將自動(dòng)返回“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái),至此VPN服務(wù)器配置工作已完成?!胺?wù)”控制臺(tái)中的“Routing and Remote Access”服務(wù)則“自動(dòng)”處于“已啟動(dòng)”狀態(tài),在“網(wǎng)絡(luò)和撥號(hào)連接”窗口中就會(huì)多出一個(gè)“傳入的連接”圖標(biāo)。
還有一個(gè)極重要的關(guān)鍵環(huán)節(jié)就是賦予用戶撥入權(quán)限,默認(rèn)的情況包括Administrator在內(nèi)的所有用戶均被拒絕撥入到VPN服務(wù)器,因此需要為相應(yīng)用戶賦予撥入權(quán)限。再次打開(kāi)“計(jì)算機(jī)管理”控制臺(tái),在左邊框架中依次展開(kāi)“本地用戶和組”→“用戶”,在右邊框架中雙擊要分配權(quán)限的用戶名稱,打開(kāi)用戶屬性窗口。在“撥入”選項(xiàng)卡,在“選擇訪問(wèn)權(quán)限(撥入或VPN)”選項(xiàng)組下默認(rèn)選項(xiàng)為“通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn)”,改選為“允許訪問(wèn)”,單擊“確定”返回“計(jì)算機(jī)管理”控制臺(tái),這樣就結(jié)束了賦予用戶撥入權(quán)限的全部工作[4]。
2.2 VPN客戶端的配置與VPN服務(wù)器的連接
VPN客戶端主要是指遠(yuǎn)程訪問(wèn)VPN連接的單個(gè)認(rèn)證用戶計(jì)算機(jī),可運(yùn)行Windows 9X/XP/2000/NT操作系統(tǒng),配置方法大致相同,具體步驟是依次打開(kāi)“網(wǎng)絡(luò)和撥號(hào)連接→新建連接”,進(jìn)入“網(wǎng)絡(luò)連接向?qū)А睂?duì)話框,點(diǎn)擊“下一步”繼續(xù),在網(wǎng)絡(luò)連接類型選擇“通過(guò)Internet連接到專用網(wǎng)絡(luò)”。在“目標(biāo)地址”一步,輸入需要連接的VPN服務(wù)器域名或IP地址,在“可用連接”中,可以根據(jù)需要選擇使用此連接的用戶,一般情況下可以選擇默認(rèn)選項(xiàng),即“所有用戶使用此連接”。
配置連接共享來(lái)決定局域網(wǎng)中其他計(jì)算機(jī)是否可以使用該連接來(lái)訪問(wèn)外部資源,采用默認(rèn)值。在“完成網(wǎng)絡(luò)連接”一步, 輸入該連接名稱, 單擊“完成”結(jié)束網(wǎng)絡(luò)連接向?qū)А=PN 連接后就會(huì)出現(xiàn)虛擬網(wǎng)絡(luò)連接登錄對(duì)話框,通過(guò)學(xué)校圖書館提供的用戶名和密碼,點(diǎn)擊“連接”就可以連接VPN服務(wù)器。
連接完成后,用戶將獲得一個(gè)可以訪問(wèn)校園網(wǎng)的IP地址,這樣校園外師生用戶就可以訪問(wèn)圖書館數(shù)字資源。
3 結(jié) 語(yǔ)
虛擬專用網(wǎng)VPN設(shè)計(jì)方案能夠較好地解決非校園網(wǎng)用戶遠(yuǎn)程訪問(wèn)圖書館數(shù)字資源的問(wèn)題,它已經(jīng)被廣泛地應(yīng)用于各高校,校園外師生足不出戶就可以在家里訪問(wèn)圖書館數(shù)字資源。VPN技術(shù)是當(dāng)今網(wǎng)絡(luò)發(fā)展的新趨勢(shì),它的優(yōu)勢(shì)是安全性好、可操作性強(qiáng)、經(jīng)濟(jì)實(shí)用以及靈活方便等,因此隨著VPN技術(shù)的不斷發(fā)展和完善,以及高校師生對(duì)圖書館數(shù)字資源依賴程度的增強(qiáng),VPN技術(shù)在高校圖書館的應(yīng)用前景將更加廣闊。
參考文獻(xiàn)
[1]姜琳.關(guān)于非校園網(wǎng)用戶利用圖書館電子資源的研究[J].現(xiàn)代情報(bào),2006,(2):64-66.
[2]韓明明.VPN技術(shù)在高校圖書館中的應(yīng)用探討[J].高校圖書情報(bào)論壇,2007,(1):43-45.
[3]雷濤.利用VPN技術(shù)實(shí)現(xiàn)大學(xué)圖書館數(shù)字資源的遠(yuǎn)程訪問(wèn)[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2008,(5):21-22.
[4]王達(dá),等.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2004.