數(shù)字圖書館推廣工程中公共圖書館虛擬網部署的新思考

?

數(shù)字圖書館推廣工程中公共圖書館虛擬網部署的新思考

倪劼

摘要虛擬網部署是實現(xiàn)“數(shù)字圖書館推廣工程”的重要基礎平臺?，F(xiàn)有網絡環(huán)境下，省級公共圖書館作為虛擬網建設分支節(jié)點部署時，會對自身以及市縣館網絡結構及IP地址做出調整，通過選擇私有VPN協(xié)議以及IPSec VPN協(xié)議相結合的方式，有效減少對網絡環(huán)境改變，實現(xiàn)全省公共圖書館虛擬網平臺高效、安全、平穩(wěn)構建。

關鍵詞公共圖書館數(shù)字圖書館推廣工程虛擬網IPSec VPN

分類號G250.72

Reflections on the Deployment of Virtual Network of Public Libraries under the Digital Library Project

Ni Jie

Abstract Virtual network deployment is an important foundation platform to achieve "Digital Library Project". Under the existing network environment, when the branch of provincial public library as a virtual network construction node is deploying, city and county library will have its own IP address and network architecture to make adjustments by choosing private VPN protocol and IPSec VPN protocol combination, effectively reduce the network environment changes, so as to achieve the virtual network platform construction of public libraries of the whole province toefficient, safe and stable.

Keywords Public Library. Digital Library Project. Virtual network. IPSec VPN.

“數(shù)字圖書館推廣工程”（以下簡稱“推廣工程”）是以國家圖書館為中心，建設分布式公共文化資源庫群，以互聯(lián)網絡為基礎，借助移動終端、數(shù)字云電視等新興介質，為政府立法決策、教育科研、公民終身學習等提供多層次、多樣化、專業(yè)化、個性化的數(shù)字圖書館服務。推廣工程提出在“十二五”期間建設以國家數(shù)字圖書館為中心，以省級數(shù)字圖書館為分支節(jié)點的全國數(shù)字圖書館虛擬網，現(xiàn)覆蓋各省級圖書館節(jié)點的虛擬網絡基本建成[1]。

江蘇在推進全省公共數(shù)字文化工程建設時，亦提出以南京圖書館為依托建設省級公共數(shù)字文化系統(tǒng)，并結合公共電子閱覽室管理系統(tǒng)、全國文化資源共享工程，以省館為中心建設各市縣分支點再到鄉(xiāng)鎮(zhèn)基層文化服務中心的虛擬網絡平臺，更好地滿足全省各地區(qū)圖書館對數(shù)字資源的需求。以此建設從國家中心連接至省級分支節(jié)點，覆蓋全省市縣圖書館至基層文化服務中心的四級虛擬網絡架構，形成高效、垂直的資源建設及共享體系，為公共文化數(shù)字服務平臺在全省建設提供安全、穩(wěn)定的基礎保障。

1　江蘇公共圖書館虛擬網建設現(xiàn)狀

1.1全省公共圖書館信息化發(fā)展狀況

南京圖書館作為承載虛擬網建設的分支節(jié)點，軟硬件設備配套較為成熟，連入多家運營商互聯(lián)網專線光纖，防火墻、核心交換機、VPN設備均滿足數(shù)圖推廣工程對分支節(jié)點的要求，現(xiàn)采用IPSec VPN方式接入國家館虛擬網。全省市縣級圖書館信息化建設基本完成（見表1），各公共圖書館都有完整的硬件設施條件并配備公共電子閱覽室，在南京、蘇州、揚州等地均已搭建以市級館為分支的、覆蓋本區(qū)域內部的虛擬網絡，實現(xiàn)區(qū)域內通借通還、數(shù)字資源共建共享。

1.2各地區(qū)的信息化程度存在差異

江蘇省各地區(qū)公共圖書館由于地理位置、經濟發(fā)展狀況等因素，各地區(qū)信息化建設的軟硬件設備以及專門從事信息技術人員儲備都體現(xiàn)出明顯的差異性，發(fā)展現(xiàn)狀并不均衡。以圖書館的規(guī)模來衡量，市級館硬件設備及技術人員儲備高于區(qū)縣級，以經濟發(fā)展情況衡量，經濟發(fā)達地區(qū)的硬件設備及技術人員儲備較強。以經濟發(fā)達的蘇州地區(qū)為例，其信息化建設程度明顯要高于經濟欠發(fā)達的蘇北地區(qū)，甚至比同在蘇南的南京、無錫等地建設水平都要高出一截，而蘇北的宿遷、連云港等地公共圖書館信息化建設起步較晚，在硬件設備及人員儲備上都還需要有一個發(fā)展過程。

表1　江蘇省各地區(qū)公共圖書館信息化基本情況

1.3發(fā)展覆蓋全省范圍的虛擬網建設的必要性

通過借助“數(shù)字圖書館推廣工程”，發(fā)展覆蓋全省市縣級公共圖書館虛擬網建設，可以推動江蘇公共數(shù)字文化事業(yè)的發(fā)展，滿足文化信息資源共享工程、數(shù)字圖書館推廣工程、公共電子閱覽室建設計劃三大文化惠民工程提出的任務，為全省數(shù)字資源生產和數(shù)字資源加工提供服務。通過由省級圖書館統(tǒng)一部署建設實施后，全省公共圖書館可以避免數(shù)字資源的重復建設，節(jié)約各地資金的使用，可以增強各地區(qū)之間信息的交互性，搭建一個資源共建共享的平臺。各地區(qū)圖書館讀者在本地即可訪問到國家圖書館、省級公共圖書館推送的數(shù)字資源，解決當?shù)財?shù)字資源量有限的局面，滿足讀者的需求[2]。

2　現(xiàn)有網絡環(huán)境下部署全省虛擬網面臨的問題與解決思路

2.1全省范圍內部署虛擬網面臨的問題

2.1.1全省網絡環(huán)境差異性帶來的多樣化和復雜性

全省共有市、縣級公共圖書館109家，各地選用互聯(lián)網接入線路也不相同，運營商涵蓋電信、聯(lián)通、移動等多家，線路帶寬從100Mbps專線一直到8Mbps ADSL，出口IP地址也分為固定和動態(tài)兩種，由各家運營商互相競爭帶來的相互之間訪問時速率的影響，在各個地區(qū)公共圖書館間的訪問中均能體現(xiàn)。各地網絡設備的架構也不盡相同，有雙出口鏈路三層網絡結構，有的只有防火墻設備，硬件設備存在較大的差異。這些差異性帶來了問題的多樣化，使得情況更加復雜，對后期虛擬網的配置有了很大的局限性。

2.1.2網絡安全以及用戶訪問性能方面的高要求增加了技術難度

虛擬網絡部署覆蓋全省市、縣級公共圖書館，規(guī)模如此廣泛的站與站之間的網絡互聯(lián)互通，對各地區(qū)公共圖書館網絡安全性提出了很高的要求，某些區(qū)縣級圖書館網絡與當?shù)仄渌幕瘑挝还灿靡粋€出口，如何使得圖書館用戶能順利連入虛擬網中，防止其他單位無授權訪問網絡，有效的區(qū)域隔離，在數(shù)據傳輸過程中數(shù)據加密等都是需要解決的問題[3]。同時在虛擬網絡中傳輸?shù)牟粌H是文本數(shù)據，更有大量的圖片、音視頻等數(shù)據資料傳輸，對訪問速率以及在今后與新興介質之間的擴展性、適應性上均有很高的要求。

2.1.3部署時出現(xiàn)的IP地址沖突會影響現(xiàn)有的網絡環(huán)境

各市、縣公共圖書館均已建成各自的信息化系統(tǒng)，在某些區(qū)域內以市或縣級館牽頭搭建的區(qū)域內部虛擬網環(huán)境正在運行，在部署全省虛擬網時需要避免與現(xiàn)有的環(huán)境產生沖突。由于是在現(xiàn)有的環(huán)境下部署，難免會牽涉到配置參數(shù)上的改變，需要盡可能保證現(xiàn)有業(yè)務系統(tǒng)的正常運行，又要保證按計劃部署，這當中會產生一定的沖突，比如會產生IP地址段的沖突，會對某一些網絡參數(shù)進行重新配置和調整。

2.2面對現(xiàn)有網絡環(huán)境下部署虛擬網的基本思路

在現(xiàn)有網絡環(huán)境下部署虛擬網，需要遵循平穩(wěn)性、安全性、高效性、可擴展性的原則。避免在實施中對網絡系統(tǒng)造成大的變動，從而影響到業(yè)務系統(tǒng)正常運行，在參數(shù)的設置上需要盡量選擇標準化設置，充分保障站與站，站與中心端、分支節(jié)點之間的訪問速率，充分考慮站與用戶端之間網絡接入安全性。各地區(qū)網絡接入環(huán)境也不相同，要滿足部署要求、保證數(shù)據安全性，以及適應相當一段時間內發(fā)展的需要，同時盡量避免對運行中的業(yè)務產生影響，在選擇部署方案時需要為后期維護升級預留一定的可擴展性[4]。由于客觀環(huán)境因素造成的現(xiàn)有設備及技術人員配置差異，使得區(qū)縣級圖書館在實施中顯得技術力量薄弱，這些區(qū)域對省中心技術支持要求明顯要高于地市級圖書館，更多的需要依托省級圖書館的技術力量作為支撐，這在項目實施過程中對部署的前瞻性提出更高的要求。

3　基于現(xiàn)有網絡環(huán)境的虛擬網搭建方法比較分析

3.1目前可供選擇的虛擬網連接協(xié)議比較

在做虛擬網搭建時，通常使用的VPN連接方式有PPTP/L2TP、SSL、MPLS、GRE、IPSec、各廠商私有VPN協(xié)議等等。PPTP/L2TP協(xié)議是微軟公司（后者有思科公司的參與）提出來的，PPTP/L2TP已被嵌入到微軟的操作系統(tǒng)中，用于微軟的路由和遠程訪問服務。PPTP/L2TP目前已經不是主流，因為它們沒有提供內在的安全機制，端點用戶需要在連接前手工建立加密信道，沒有加密和認證支持，穩(wěn)定性也很差，而且也無法穿越NAT，因此僅僅是部分微軟用戶在使用。IPSec與SSL是目前最主流的兩種VPN協(xié)議，使用范圍非常廣泛，各自優(yōu)劣與用戶的需求相關聯(lián)。SSL VPN主要面向為大量用戶提供訪問，適合作為一種用戶到站點之間的遠程接入方案。而MPLS VPN在支持QoS方面具有天然的優(yōu)勢，適合于網絡服務質量要求較高的情況，大多被運營商使用。GRE 和IPSsec VPN技術有許多共同點，在使用過程中GRE連接的速度更快，GRE傳輸?shù)倪^程中先是將數(shù)據報文進行封裝，再加上了頭部報文，然后再封裝在IP報文中前向轉發(fā)，整個傳輸過程并沒有對數(shù)據進行加密；IPSec VPN協(xié)議有多種連接模式并且兼顧數(shù)據傳輸中一定安全性保證被大多數(shù)用戶使用[5]。近些年來各個廠商也大力開發(fā)出適合自己產品的私有VPN協(xié)議，由于連接速度快、改進傳統(tǒng)標準VPN協(xié)議的不足，在各個區(qū)域內也被廣泛采用。

3.2使用IPsecVPN協(xié)議的優(yōu)勢與不足

作為站到站VPN連接的首選標準協(xié)議，IPSec VPN的優(yōu)點不言而喻，標準的協(xié)議格式可以兼容不同品牌不同型號設備，良好的加密性能保證了數(shù)據在傳輸中的安全性，同時IPSec VPN作為傳輸層以下的網絡協(xié)議，對應用層數(shù)據不產生影響，在站到站虛擬網連接中廣泛被使用。但在實際使用中Ipsec VPN仍暴露出缺點，有些甚至很嚴重。在使用不同產品做IPSec VPN連接時，需要通信性能較低，不支持源地址隧道內NAT轉換，在現(xiàn)有環(huán)境下配置時會產生地址沖突，需要提前做好規(guī)劃地址。

3.3使用廠商私有VPN協(xié)議的優(yōu)勢與不足

隨著VPN技術的不斷發(fā)展，標準協(xié)議在實際使用中的缺點也一直遭受用戶的詬病，各廠商趁此機會紛紛推出自己的私有VPN協(xié)議，由于私有協(xié)議的針對性，所以自身優(yōu)勢也非常明顯，設備之間連接速度更快，運行更加高效穩(wěn)定，尤其對于IPSec VPN不具備的隧道內NAT技術做出了修改，特別針對在現(xiàn)有網絡環(huán)境下部署虛擬網，不需要對接入端的IP地址做任何改動，在隧道內即完成源地址的NAT，大大降低了部署的難度。當然缺點也很明顯，需要在接入端和分支節(jié)點同時使用該品牌設備，在部署時不具有兼容性。

4　全省虛擬網部署的具體方式與新思考

圖1　虛擬網拓撲圖

從圖1可以看出，南京圖書館作為江蘇省級分支節(jié)點，專門為分支節(jié)點劃分獨立的VPN區(qū)域，使得和內部網絡區(qū)域隔離開來，保證區(qū)域內部的安全性、獨立性、穩(wěn)定性[6]。在全省虛擬網絡部署時選用混合協(xié)議接入模式，IPSec VPN協(xié)議與私有VPN協(xié)議同時使用，市縣級圖書館與省級分支節(jié)點為同品牌的設備時，可以使用私有VPN協(xié)議連接，其余市縣級圖書館為第三方設備時使用IPsec VPN協(xié)議。在部署前期對全省虛擬網規(guī)劃詳細的IP地址表，由于使用私有VPN協(xié)議帶來最大的好處就是隧道內NAT技術，所以使用私有VPN協(xié)議的接入端不需要對本地的IP地址做任何改動，只需要在VPN設備上做相應配置，對本地業(yè)務系統(tǒng)并不會帶來太多影響。采用ipsec VPN協(xié)議除了在設備上做配置外，還需要將規(guī)劃好的IP地址植入本地網絡中，這將會對本地業(yè)務系統(tǒng)帶來一定的影響，可考慮三種解決方案。

4.1重新配置IP地址

對于規(guī)模較小，業(yè)務比較單一的區(qū)縣級圖書館，建議使用IP地址重新配置的方式。由于本身鏈路上僅有一臺設備，既要擔任防火墻功能，又要做VPN，在這些區(qū)縣館的網絡結構比較簡單，涉及到的設備也不是很多，在替換IP地址方面遇到的影響較小，所以對于這樣的圖書館，可以采取直接更換IP地址方式接入。例如泰興市圖書館、漣水縣圖書館等，終端數(shù)量小于30臺，運行業(yè)務系統(tǒng)也比較簡單，可以使用重新配置IP地址的方式連入省級分支節(jié)點。

4.2采用兩次NAT方式

對于設備比較充裕，業(yè)務系統(tǒng)也比較復雜的圖書館，設計使用兩次NAT地址轉換的方式（見圖2），將防火墻和VPN設備串聯(lián)在鏈路中，內部數(shù)據經過VPN設備時做第一次NAT轉換，內部用戶地址轉換成規(guī)劃好的IP地址，再由防火墻設備做第二次NAT轉換成公網地址，與省級分支節(jié)點進行連接。這樣的方式適合在規(guī)模適中的圖書館網絡環(huán)境中，由網絡設備做兩次NAT轉換，避免了內部用戶以及服務器對地址的調整，僅在主干鏈路改變網絡配置，此方式對終端環(huán)境不會產生影響[7]。例如地市級圖書館，均有自己的路由器及防火墻設備，同時運行業(yè)務系統(tǒng)較多，為了最小程度影響現(xiàn)有業(yè)務運行，可以通過使用兩次NAT方式接入省級分支節(jié)點。

圖2　兩次源地址NAT訪問分支節(jié)點

4.3采用子接口地址方式

對于某些規(guī)模不大，主干核心網絡環(huán)境又不能夠改變的接入端，在設備支持子接口配置的條件下，可以按圖3所示采用一種全新的配置方法——使用子接口配置。在網絡設備接口上創(chuàng)建子接口并配置規(guī)劃好的IP地址，同時更改本地接入終端上的IP地址。由于使用子接口方式僅需在網絡設備上添加子接口配置，對主干網絡環(huán)境不會產生影響。

圖3　子接口方式訪問分支節(jié)點

5　江蘇省公共圖書館虛擬網的統(tǒng)一管理與應用

5.1制定統(tǒng)一的規(guī)劃和實施標準

江蘇省公共圖書館虛擬網絡建設由南京圖書館作為省級分支節(jié)點，對全省虛擬網接入制定統(tǒng)一的規(guī)劃和實施標準。結合江蘇省公共圖書館信息化系統(tǒng)運行的現(xiàn)有狀況，搭建虛擬網絡在保證安全、穩(wěn)定、高效運行同時，需要有一定的兼容性及前瞻性，全省虛擬網絡搭建確定使用私有VPN協(xié)議與IPSecVPN協(xié)議共同部署的模式，將國家中心分配的10.111.0.0/16地址進行統(tǒng)一規(guī)劃，為各市縣圖書館分配對應IP地址，同時為連接加密方式及密鑰規(guī)則制定統(tǒng)一標準，并充分考慮IPV4向IPV6平滑過渡中的兼容性問題[8]。各市縣圖書館接入端均可根據自身實際情況，結合以上提出的幾種連接方式，選擇既能滿足自身需求，又減少對現(xiàn)有網絡環(huán)境影響與省級分支節(jié)點進行虛擬網環(huán)境搭建。

5.2通過虛擬網實現(xiàn)內部資源訪問

由于數(shù)字資源廠商對自身的保護以及版權問題，讀者僅能通過辦理借閱證在當?shù)貓D書館的局域網內部獲取免費資源，然而許多中小型公共圖書館由于經費制約，在數(shù)字資源的采購量上也遠不及國家中心、省級分支節(jié)點，同時各地區(qū)在數(shù)字資源采購上存在著重復購買的現(xiàn)狀，通過虛擬網的建設有效解決了數(shù)字資源的訪問局限性、資源局限性、購買重復性。普通讀者可以在公共電子閱覽室終端通過虛擬網絡，實現(xiàn)對國家中心、省級分支節(jié)點內部數(shù)字資源的直接訪問，極大地提高了各地區(qū)公共圖書館對數(shù)字資源訪問范圍，并可以對全省數(shù)字資源進行整合，使各公共圖書館在數(shù)字資源采購時避免重復建設。同時在未來通過統(tǒng)一用戶認證方式，為讀者實現(xiàn)任何場合、任何地點、任何時間訪問公共圖書館內部資源提供良好的基礎平臺。

5.3通過虛擬網實現(xiàn)全省資源共建共享

全省虛擬網平臺的搭建，極大地增加了各地區(qū)圖書館之間的交互性，為全省范圍內信息化服務提供了多樣性、安全性、可靠性保證。以全省虛擬網為平臺，各接入端可以實現(xiàn)資源互相交流、共建資源。全省公共圖書館共同建立特色數(shù)據庫、地方文獻數(shù)據庫等數(shù)字資源共建，并且在數(shù)字資源加工、統(tǒng)一元數(shù)據標引，以及數(shù)字資源分發(fā)平臺特別是流媒體資源在虛擬網中的調度有很大意義[9]。同時虛擬網可以實現(xiàn)省級中心節(jié)點硬件資源共享，對傳輸速率延時較低的云服務，相比通過傳統(tǒng)的互聯(lián)網實現(xiàn)而言，虛擬網通過傳輸中的數(shù)據加密，在安全性上提供有強力保障。對省級中心節(jié)點硬件設備虛擬化，可以為接入端公共圖書館提供服務器虛擬化、存儲虛擬化云服務，既對接入端提供了對硬件設備不足的需求，又保證了數(shù)據傳輸?shù)陌踩?，同時接入端在各地區(qū)做相互數(shù)據災備，為本地數(shù)據資源恢復提供可靠保障。

6　結語

江蘇省公共圖書館虛擬網是在“數(shù)字圖書館推廣工程”、江蘇省公共數(shù)字文化工程背景下，以南京圖書館為省級分支節(jié)點，全省各地公共圖書館共同參與建設。在現(xiàn)有網絡環(huán)境下搭建覆蓋全省范圍的虛擬網絡環(huán)境，需要考慮到系統(tǒng)的兼容性、安全性、可操作性、穩(wěn)定性、擴展性等各方面內容，選擇單獨劃分VPN區(qū)域獨立于南京圖書館信息化網絡之外，也是基于上面幾個方面的考慮。與市縣館實施連接時最大的難點在于對現(xiàn)有網絡結構的調整，既要保證與省中心連接，又要保持現(xiàn)有網絡結構，本文給出了私有協(xié)議加IpsecVPN標準協(xié)議相結合，對采用IpsecVPN協(xié)議的接入端根據實際情況選擇重新配置規(guī)劃地址、兩次NAT轉換、使用子接口方式，以最大程度地減少項目實施的復雜程度達到最佳效果。虛擬網部署是江蘇公共數(shù)字文化服務體系的重要基礎支撐，對構建內容豐富、形式多樣、覆蓋城鄉(xiāng)、傳播快捷的公共文化數(shù)字資源建設工作具有十分重要的意義。

參考文獻：

[1]周和平．加快實施推廣工程建設覆蓋全國的數(shù)字圖書館服務體系：在數(shù)字圖書館推廣工程館長培訓班上的講話[J]．國家圖書館學刊，2012（5）：5-13．

[2]谷峰．江蘇公共圖書館事業(yè)“十二·五”發(fā)展規(guī)劃編制研究[J]．新世紀圖書館，2010（4）:58-59．

[3]劉偉．利用VPN技術加強公共圖書館基層數(shù)字分館建設[J]．圖書館學刊，2011（8）：117-118．

[4]周群．VPN技術應用于圖書館研究綜述[J]．圖書館學刊，2010（3）：100-102．

[5]王宏群．GRE over IPSec VPN技術在多校區(qū)校園網中的應用[J]．大眾科技，2013（2）：11-13．

[6]馮程程，宋君蕾．談高校數(shù)字圖書館信息安全[J]．中國環(huán)境管理干部學院學報，2014（2）：89-91．

[7]陸敏鋒，平玲娣，李卓．基于IPSec網絡協(xié)議的VPN測試系統(tǒng)[J]．計算機工程，2010（3）：157-161．

[8]鄒晴楓．圖書館網絡安全防御體系的研究與構建：以溫州大學圖書館網絡系統(tǒng)為例[J]．圖書館理論與實踐，2012（7）：81-84．

[9]張劍鋒．淺析廣州地區(qū)公共圖書館通借通還服務[J]．科技情報開發(fā)與經濟，2013（4）：97-99．

倪劼南京圖書館信息技術應用部副主任、館員。江蘇南京，210018。

收稿日期：（2014-12-09編校：劉勇定）