劉　渝

〔摘 要〕越來越多的讀者希望通過網(wǎng)絡(luò)訪問電子資源,利用VPN(虛擬專用網(wǎng)絡(luò))技術(shù)實(shí)現(xiàn)讀者在信息資源的遠(yuǎn)程訪問,就是一種安全可靠、切實(shí)可行的解決方案。本文介紹了VPN技術(shù)的基本原理、實(shí)現(xiàn)方式和VPN的幾種關(guān)鍵技術(shù),并對數(shù)字圖書館建設(shè)中常用的幾種VPN技術(shù)作了一些探討。

〔關(guān)鍵詞〕虛擬專用網(wǎng)(VPN);數(shù)字圖書館;模式

〔中圖分類號〕G250.76 〔文獻(xiàn)標(biāo)識碼〕B 〔文章編號〕1008-0821(2009)09-0088-03

Application of VPN Technology in Digital LibraryLiu yu

(Hebei University and College Library and Information Work Committee,Baoding 071002,China)

〔Abstract〕More and more readers hope to use electronic resource by internet.It was a safe and practical solution that was found to remote access to the digital resource of university library by using VPN technology.This article introduced the basic principle and realizing method of VPN technology,as well as the important technology of VPN,the arctical also probed into several common use of VPN technology in digital library.

〔Key words〕virtual private network(VPN);digital library;remote access

近年來,隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的迅猛發(fā)展,用戶對專用網(wǎng)絡(luò)的需求越來越大,同時面對業(yè)務(wù)數(shù)據(jù)流量的不斷增長,用戶對網(wǎng)絡(luò)的高性能、高可靠性、靈活性、安全性、經(jīng)濟(jì)性和可擴(kuò)展性等方面提出了更高的要求,使得傳統(tǒng)的基于固定地點(diǎn)的租用專線(DDN、ATM/幀中繼)聯(lián)網(wǎng)方式已難以適應(yīng)現(xiàn)代業(yè)務(wù)對專用網(wǎng)絡(luò)的需求,尤其對一些特殊應(yīng)用更加難以實(shí)現(xiàn),如:異地辦公和外出人員訪問內(nèi)部網(wǎng)絡(luò)資源等。利用公網(wǎng)的資源來組建虛擬專用網(wǎng)絡(luò)(VPN)已成為一種新的選擇,VPN是利用公共網(wǎng)絡(luò)建立的一個臨時連接,是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的專用性和安全性。另外VPN可以按照優(yōu)先級分配帶資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生;VPN能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,支持多種類型的傳輸媒介,滿足同時傳輸語音、圖像等應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

1 VPN技術(shù)概述

1.1 VPN的概念

VPN(Virtual Private Network)[1]是一種通過ISP和其它NSP在公網(wǎng)中建立用戶私有專用網(wǎng),通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點(diǎn)到點(diǎn)的專線網(wǎng)絡(luò)技術(shù)。利用VPN,用戶無需擁有實(shí)際的長途數(shù)據(jù)線路,通過Internet公眾數(shù)據(jù)網(wǎng)絡(luò)就可虛擬地構(gòu)建一個符合自己需求的專用網(wǎng)絡(luò)。

1.2 VPN的工作原理

以Access VPN為例[2],VPN是C/S(客戶端/服務(wù)端)模式的結(jié)構(gòu),要實(shí)現(xiàn)VPN連接,單位內(nèi)部網(wǎng)絡(luò)中須配置一臺基于Windows/NT2000 Server或Windows2003 Server的VPN服務(wù)器,VPN服務(wù)器內(nèi)置兩塊網(wǎng)卡,一端連接單位內(nèi)部專用網(wǎng)絡(luò),另一端連接到Internet,也就是說VPN服務(wù)器必須擁有一個公網(wǎng)IP地址。當(dāng)客戶機(jī)要連接專用網(wǎng)時,首先與ISP的PPP服務(wù)器建立連接,PPP服務(wù)器再將所有的數(shù)據(jù)傳送到VPN服務(wù)器,然后再由VPN服務(wù)器進(jìn)行身份驗(yàn)證,最后將所有的數(shù)據(jù)傳送到目標(biāo)計算機(jī)。

VPN使用3個方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向VPN服務(wù)器發(fā)出請求,VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢,客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)器,VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)。如果賬戶有效,VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限,如果有,VPN服務(wù)器接受此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。

1.3 VPN的實(shí)現(xiàn)方式

VPN連接方式一般可分為兩類:一是撥號VPN為移動用戶和遠(yuǎn)程辦公用戶提供對單位內(nèi)部網(wǎng)的遠(yuǎn)程訪問,主要基于PPTP和L2F協(xié)議。這種VPN連接方式先通過普通的撥號(如Modem、ISDN、X?25、虛擬ADSL等)與公用網(wǎng)進(jìn)行連接,然后再通過VPN專用網(wǎng)絡(luò)連接項(xiàng),輸入目標(biāo)網(wǎng)絡(luò)的IP地址或域名進(jìn)行連接。二是專線VPN是指企業(yè)已通過專線方式與公網(wǎng)建立了連接,這種連接方式一般都需要有靜態(tài)的IP地址[3]。

無論何種連接方式,都要通過硬件VPN或軟件VPN來實(shí)現(xiàn)。硬件VPN可以是具有VPN連接功能的路由器、防火墻、或是專用VPN交換機(jī),如Cisco的VPN Concentrator 3000,北電的Contivity等。軟件VPN是安裝專門VPN軟件或用Microsoft提供的Windows 2000 server自帶的VPN包。

2 數(shù)字圖書館建設(shè)中常用的VPN模式

2.1 IPSec VPN模式

IPSec包括安全協(xié)議,及為這些安全協(xié)議協(xié)商安全參數(shù)的密鑰管理協(xié)議。IPSec提供訪問控制、數(shù)據(jù)完整性、身份認(rèn)證、重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。IPSec在IP層提供安全服務(wù),它包括兩個安全協(xié)議:AH(報文驗(yàn)證頭協(xié)議)和ESP(報文安全封裝協(xié)議)。目前國內(nèi)已經(jīng)有不少圖書館采用了或者正嘗試使用VPN技術(shù)來解決這個問題,而且大多是采用IPSec VPN技術(shù)[4]。利用IPSec技術(shù),校外用戶在本機(jī)安裝一個VPN客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡(luò),IPSec VPN中心端會給每個遠(yuǎn)程用戶分配一個校園網(wǎng)IP地址,從而實(shí)現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問電子資源。

2.2 SSL VPN模式

IPSec VPN模式[5]有很多優(yōu)點(diǎn),技術(shù)相對成熟與穩(wěn)定,安全性能較好。但也存在一些不足,例如用戶配置比較繁雜、網(wǎng)絡(luò)的兼容性較差。相比IPSecVPN來說,SSL VPN模式在以下幾方面做了改進(jìn)。首先SSL VPN模式操作簡單,它不需要配置,可以立即安裝,立即生效;其次是客戶端不需要安裝,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行;最后是SSL VPN對網(wǎng)絡(luò)性能要求較低,兼容性好,適用任何終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館即可。SSL VPN技術(shù)采用了一種類似代理性質(zhì)的技術(shù),所有的訪問都是以SSL VPN設(shè)備的LAN口的名義發(fā)起的,所以只要SSL VPN設(shè)備的LAN IP是一個合法的校園網(wǎng)IP,所有成功接入SSL的校外用戶都可以成功訪問這個SSL VPN設(shè)備LAN口所能訪問的資源。IPSec VPN是在兩個局域網(wǎng)之間通過Internet建立的安全連接,保護(hù)的是點(diǎn)對點(diǎn)之間的通信。并且,IPSec工作于網(wǎng)絡(luò)層,不局限于Web應(yīng)用。相比IPSec VPN來說,SSL VPN考慮的是應(yīng)用軟件的安全性,更多應(yīng)用在Web的遠(yuǎn)程安全接入方面;它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò),對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù),在安全方面和應(yīng)用的擴(kuò)展性方面做得更好。

2.3 L2TP VPN模式

L2TP協(xié)議不僅支持已注冊IP地址,也支持私有IP地址以及IPX,X2.5等多協(xié)議傳輸。L2TP將PPP分組進(jìn)行隧道封裝并在不同的傳輸媒體上傳輸。這種技術(shù)允許不同的網(wǎng)絡(luò)場所共享如調(diào)制解調(diào)器、訪問服務(wù)器、ISDN路由器等基礎(chǔ)設(shè)施。從而將用戶直接撥號訪問服務(wù)器與PPP會話的邏輯終點(diǎn)的物理位置分隔。這使得異地訪問和存取數(shù)據(jù)變得極為方便和安全。L2TP定義了一種將PPP分組封裝傳輸?shù)膮f(xié)議。它能邏輯地延伸PPP鏈接,將PPP鏈接的物理終點(diǎn)和邏輯終點(diǎn)相分離,從而使用戶的遠(yuǎn)程訪問能利用PPP成熟的鑒別、授權(quán)和審計等功能,但L2TP的安全性較差。而IPSec VPN模式則有一套強(qiáng)而靈活的IP層安全機(jī)制,能對IP數(shù)據(jù)流進(jìn)行完整性、機(jī)密性、防重放攻擊等的保護(hù),也能靈活地提供控制的連接級、數(shù)據(jù)的分組級源鑒別。但是IPSec VPN仍然存在一些需要解決的問題,如多協(xié)議封裝、用戶級身份鑒別等。數(shù)字圖書館在使用VPN過程中,也可以將L2TP和IPSec相結(jié)合使用,利用IPSec彌補(bǔ)L2TP的安全方面的不足,同時又利用L2TP來彌補(bǔ)IPSec在多協(xié)議封裝、用戶級身份鑒別、授權(quán)等方面的不足。

2.4 MPLS VPN模式

MPLS(Multiprotocol Label Switch,多協(xié)議標(biāo)簽交換),集成了IP路由技術(shù)的靈活性和二層交換的簡捷性,在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。MPLS可以看做是一種面向連接的技術(shù)。MPLS VPN是一種基于MPLS技術(shù)的VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IPVPN)。在MPLS VPN模式中,根據(jù)PE(Provider Edge)設(shè)備是否參與VPN路由又可分為二層VPN和三層VPN。從整體來說MPLS VPN還是在發(fā)展和成型階段[6]。其中三層MPLS BGP VPN相對來說比較成熟。在數(shù)字圖書館建設(shè)中,MPLS VPN具有很多優(yōu)點(diǎn),例如組建網(wǎng)絡(luò)簡單易行、管理和維護(hù)成本低、用戶點(diǎn)多、速度快。通過MPLS VPN模式,用戶端設(shè)備可以采用普通路由器,甚至是帶簡單路由功能的交換機(jī),然后租用運(yùn)營商相應(yīng)速率的VPN端口,就可享用互聯(lián)網(wǎng)巨大的帶寬和高速轉(zhuǎn)發(fā)能力。它以較低的價格,充分利用路由器的快速轉(zhuǎn)發(fā)能力和巨大的傳輸帶寬,滿足用戶較高帶寬的應(yīng)用要求,如視頻、話音與數(shù)據(jù)的一體化傳輸。

3 組建圖書館VPN

校園網(wǎng)內(nèi)用戶可直接訪問圖書館局域網(wǎng)內(nèi)的各種數(shù)字資源,為使校園網(wǎng)用戶在校外也能方便地檢索到圖書館數(shù)字資源,需在校園網(wǎng)內(nèi)建立一個VPN服務(wù)器,授權(quán)用戶可通過它從校外訪問圖書館內(nèi)部資源,并通過適當(dāng)?shù)脑L問策略配置,以保證網(wǎng)絡(luò)安全。以使用WindowsXP建立VPN服務(wù)器為例[7]。

3.1 配置VPN服務(wù)器

首先點(diǎn)擊“開始”→“程序”→“附件”→“通訊”→新建連接向?qū)Ш?選擇“設(shè)置高級連接”。在隨后彈出的對話框中選擇“接受傳入的連接”。接著系統(tǒng)會詢問是否使用并口設(shè)備,此時應(yīng)當(dāng)選擇跳過,因?yàn)槲覀儾⒎峭ㄟ^并口直連這種落后的慢速方式。下一步是最關(guān)鍵的部分,此時須選擇“允許虛擬專用連接”。如果未選擇這一步,整個VPN配置將會被取消。接下來直接按“下一步”,完成撥入連接的創(chuàng)建,其它具體的設(shè)置可在創(chuàng)建工作完成后進(jìn)行。當(dāng)上述的步驟順利完成之后,WindowsXP系統(tǒng)中就會生成一個遠(yuǎn)程控制報務(wù)器虛擬網(wǎng)絡(luò)適配器,在“網(wǎng)絡(luò)鄰居”的屬性中有一個“傳入的連接”,它用于處理VPN的連接和IP地址的分配。在“傳入的連接”屬性中有“常規(guī)”、“用戶”和“網(wǎng)絡(luò)”3個選項(xiàng)卡?！俺Ｒ?guī)”選項(xiàng)卡中可設(shè)置這臺服務(wù)器在VPN服務(wù)中擔(dān)當(dāng)?shù)慕巧?只按默認(rèn)即可。在“用戶”選項(xiàng)卡中,管理員可以對使用VPN的用戶進(jìn)行權(quán)限的分配和相應(yīng)的設(shè)置,用戶可根據(jù)具體的實(shí)際使用情況來選擇。在“網(wǎng)絡(luò)”選項(xiàng)卡的“Internet協(xié)議(TCP/IP)”的屬性中可設(shè)置服務(wù)器分配給遠(yuǎn)程客戶的IP地址,如選擇“用DHCP自動指派TCP/IP地址”,則遠(yuǎn)程客戶的IP地址由服務(wù)器的DHCP服務(wù)自動分配,但要求服務(wù)器已安裝了DHCP服務(wù)。

3.2 賦予用戶權(quán)限

在默認(rèn)狀態(tài)下,任何用戶都會被拒絕撥入到VPN服務(wù)器,因此,在設(shè)置好VPN服務(wù)器后還必須進(jìn)行賦權(quán)操作,通過遠(yuǎn)程訪問策略的設(shè)定,可根據(jù)用戶的不同特征分配不同的權(quán)限。如果要給一個用戶賦予撥入到此服務(wù)器的權(quán)限,只需在用戶管理器中,選中所要的用戶后,單擊右鍵→屬性,在該用戶屬性窗口中選擇“撥入”項(xiàng),然后點(diǎn)擊“允許訪問”項(xiàng),再確定,即可完成賦予此用戶撥入權(quán)限的工作。

3.3 設(shè)置VPN客戶端

遠(yuǎn)程用戶在與VPN服務(wù)器連接之前,需先對VPN客戶端軟件進(jìn)行配置。對于Window2000/xp,首先進(jìn)入“新建連接”的界面,在“網(wǎng)絡(luò)類型選擇”中選擇“連接到我的工作場所的網(wǎng)絡(luò)”或“通過Internet連接到專用網(wǎng)絡(luò)”,隨后選擇“虛擬私人網(wǎng)絡(luò)連接”,在出現(xiàn)的登錄界面或“目標(biāo)地址”中輸入VPN服務(wù)器的公網(wǎng)IP地址,并為該連接取個易理解的名稱,至此,客戶端的配置就已完成。

3.4 通過VPN連接訪問圖書館

建立VPN連接后,就相當(dāng)于在Internet建立了一個雙方專用的虛擬通道。遠(yuǎn)程用戶首先連入Internet,再用前面創(chuàng)建的連接進(jìn)行連接,連接時用到的用戶名、密碼和撥入屬性就是VPN服務(wù)器上事先設(shè)置的內(nèi)容。連接成功后,遠(yuǎn)程用戶被分配到校內(nèi)圖書館私有IP地址,也就相當(dāng)于遠(yuǎn)程用戶成了圖書館專用網(wǎng)里的用戶,可像在校內(nèi)一樣訪問圖書館的各項(xiàng)電子資源,這樣的訪問是雙方專用的,且具有很好的保密性能。

VPN技術(shù)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢,它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)性能的優(yōu)點(diǎn)(安全和QOS)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡單和低成本),能夠提供遠(yuǎn)程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設(shè)與維護(hù)費(fèi)用比專線網(wǎng)絡(luò)要低得多。而且,VPN在降低成本的同時滿足了對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求。根據(jù)Infonetice Research公司調(diào)查數(shù)據(jù)表明,用VPN替代租用線路來連接遠(yuǎn)程站點(diǎn)可節(jié)約20%~47%的開支,這種經(jīng)濟(jì)、安全和靈活的技術(shù),在國外圖書館已經(jīng)逐步普及。在國內(nèi),一些高校圖書館也開始應(yīng)用VPN技術(shù)實(shí)現(xiàn)多校區(qū)圖書館互聯(lián)和開展一些遠(yuǎn)程文獻(xiàn)信息服務(wù)。VPN技術(shù)在高校圖書館的應(yīng)用,必將提高圖書館利用效率,為圖書館的遠(yuǎn)程文獻(xiàn)信息服務(wù)打開新局面,尤其為多校區(qū)圖書館之間資源的共享提供安全、高效、經(jīng)濟(jì)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)訪問途徑。隨著VPN技術(shù)的日益成熟,它將在圖書館得到更為廣泛的應(yīng)用。

參考文獻(xiàn)

[1]江先斌.VPN技術(shù)在圖書館中的應(yīng)用[J].福建電腦,2004,(9):28.

[2]曾巧紅.VPN技術(shù)在高校圖書館的應(yīng)用[J].情報學(xué)報,2005,(6):53.

[3]魏華.VPN技術(shù)在圖書館遠(yuǎn)程訪問中的應(yīng)用[J].現(xiàn)代情報,2006,(1):41.

[4]王朗.利用VPN技術(shù)實(shí)現(xiàn)合并圖書館分館互聯(lián)[J].現(xiàn)代圖書情報技術(shù),2004,(5):24.

[5]趙麗萍.虛擬專用網(wǎng)VPN在圖書館資源共享中的應(yīng)用[J].現(xiàn)代圖書情報技術(shù),2005,(2):38.

[6]周喜,等.VPN現(xiàn)狀與在網(wǎng)區(qū)中的部署分析[J].計算機(jī)應(yīng)用研究,2003,(2):105.

[7]石百千.基于WinXP系統(tǒng)的VPN技術(shù)在圖書館中的應(yīng)用[J].大學(xué)圖書情報學(xué)刊,2006,(4):37.