繆元照 劉基昌 劉志南

摘? 要： 利用銳捷EG2000多功能出口網(wǎng)關(guān)作為VPN設(shè)備，采用SSL VPN技術(shù)，在天津美術(shù)學(xué)院完成了連接CERNET、聯(lián)通、電信、移動等四家運(yùn)營商的多出口校園網(wǎng)絡(luò)，實現(xiàn)統(tǒng)一身份認(rèn)證的圖書館資源遠(yuǎn)程訪問系統(tǒng)，使用戶在校內(nèi)、校外享有同樣的訪問權(quán)限，提高了圖書館電子資源利用效率。

關(guān)鍵詞： VPN; 遠(yuǎn)程訪問; 校園網(wǎng); SSL VPN; EG2000出口網(wǎng)關(guān)

Abstract： Using Ruijie EG2000 multi-functional export gateway as the VPN device， with SSL VPN technology， a multi-export campus network connecting to four operators of CERNET， Unicom， China Telecom and China Mobile etc. are completed in Tianjin Academy of fine arts， and the library resource remote access system with unified identity authentication is realized. In the network， the users inside and/or outside the school have the same access rights， which improves the utilization efficiency of library electronic resources.

Key words： VPN; remote access; campus network; SSL VPN; EG2000 export gateway

0 引言

由于數(shù)字圖書館是有版權(quán)保護(hù)的，高校圖書館所購買的電子資源一般限制訪問的IP地址范圍，僅限校園網(wǎng)可以訪問。讀者在校園網(wǎng)外訪問圖書館購買的電子資源，會出現(xiàn)未授權(quán)無法訪問的問題。

為了解決圖書館電子資源遠(yuǎn)程訪問的問題，VPN技術(shù)在圖書館被廣泛使用，華南師范大學(xué)2007年就使用Sinfor M5100專業(yè)VPN，與圖書集成系統(tǒng)進(jìn)行集成[1]。圖書館電子資源遠(yuǎn)程訪問也嘗試過很多使用開源系統(tǒng)或者操作系統(tǒng)自帶VPN的解決方案[2-5]。天津圖書館使用以IPsec VPN組建多級節(jié)點虛擬專網(wǎng)實現(xiàn)圖書館數(shù)字資源異地共享應(yīng)用[6]，天津理工大學(xué)采用Web Driver技術(shù)對圖書館VPN賬號進(jìn)行自動審核[7]，VPN在圖書館電子資源遠(yuǎn)程訪問的探索與實踐一直在深入進(jìn)行。

本文就多出口校園網(wǎng)環(huán)境下的高校圖書館資源遠(yuǎn)程訪問系統(tǒng)的構(gòu)建和實施進(jìn)行了探討，以解決遠(yuǎn)程訪問速度慢、體驗差的問題。

1 多出口網(wǎng)絡(luò)環(huán)境下的高校圖書館資源遠(yuǎn)程訪問建設(shè)需求

天津市高等教育文獻(xiàn)信息中心采用江蘇易安聯(lián)的ENLINK建設(shè)了專業(yè)VPN系統(tǒng)， 2010年開始為天津市高校用戶提供服務(wù)，提供教育網(wǎng)和電信網(wǎng)接入。但是教育網(wǎng)、電信和其他ISP的互聯(lián)存在瓶頸，可能嚴(yán)重影響用戶使用體驗。全國美院只有天津美術(shù)學(xué)院和廣州美術(shù)學(xué)院分別利用ENLINK和RasDL系統(tǒng)，實現(xiàn)了電子資源的校外訪問[8]。

為了滿足師生在校外訪問、下載CNKI論文，天津美術(shù)學(xué)院圖書館提供了臨時的用戶名、密碼方式CNKI網(wǎng)站下載資源的方式，但僅限于CNKI資源，且用戶名、密碼方式存在泄露風(fēng)險和并發(fā)用戶量的限制。

美術(shù)院校師生美術(shù)作品創(chuàng)作的要求高于科研的要求，自建的特色數(shù)據(jù)庫在師生的美術(shù)創(chuàng)作中顯得格外重要，自建的特色數(shù)據(jù)庫資源來自于館藏的精品畫、精品復(fù)制畫、古籍、拓片、名師作品等，其出版著作權(quán)的問題極為敏感[8]。天津美術(shù)學(xué)院圖書館擁有館藏古籍資料、美術(shù)作品、精品素材等自建數(shù)據(jù)資源，擁有以雅昌藝術(shù)書城、皮影數(shù)字博物館、安博視頻資源、美術(shù)類區(qū)域圖書館等為代表的本校資源，即使登錄ENLINK系統(tǒng)后，在正常使用中也會存在問題。

多出口校園網(wǎng)環(huán)境下，圖書館電子資源遠(yuǎn)程訪問系統(tǒng)構(gòu)建應(yīng)該實現(xiàn)以下目標(biāo)。

⑴ 讀者在校外能夠流暢使用圖書館電子資源，特別是高清圖片、音視頻數(shù)字資源，多出口校園網(wǎng)環(huán)境下，應(yīng)該在各ISP線路中均能夠提供遠(yuǎn)程訪問。

⑵ 用戶在校外使用遠(yuǎn)程訪問系統(tǒng)，應(yīng)該遵循最小干預(yù)原則，就目前來說SSL VPN技術(shù)是首選。

⑶ 用戶在校外使用遠(yuǎn)程訪問系統(tǒng)能夠獲取在校內(nèi)相同的資源使用權(quán)限，用戶使用與在校園網(wǎng)類似的認(rèn)證方式來登錄遠(yuǎn)程訪問系統(tǒng)。

⑷ 遠(yuǎn)程訪問系統(tǒng)應(yīng)該在校園網(wǎng)和圖書館的整體安全防護(hù)策略之內(nèi)，系統(tǒng)本身要有抵御來校園網(wǎng)內(nèi)外攻擊的能力，應(yīng)該具有高并發(fā)連接處理能力，能夠提供足夠的并發(fā)用戶數(shù)。

⑸ 遠(yuǎn)程訪問系統(tǒng)應(yīng)該能夠查詢登錄日志，回溯上網(wǎng)日志。需要預(yù)留短信和用戶名、密碼雙因子認(rèn)證的能力，滿足系統(tǒng)等級保護(hù)的基本要求，用戶認(rèn)證使用的數(shù)據(jù)庫避免用戶隱私泄露，通過校園網(wǎng)認(rèn)證系統(tǒng)或者是圖書館集成系統(tǒng)進(jìn)行認(rèn)證為佳。多運(yùn)營商聯(lián)合運(yùn)營模式下，多采用BARS認(rèn)證模式[9]，遠(yuǎn)程訪問系統(tǒng)認(rèn)證需要能夠和各運(yùn)營商BARS設(shè)備無縫整合。

2 校園網(wǎng)多出口網(wǎng)絡(luò)環(huán)境下的高校圖書館資源遠(yuǎn)程訪問架構(gòu)

天津美術(shù)學(xué)院校園網(wǎng)使用兩臺銳捷RG-N18010交換機(jī)虛擬核心交換機(jī)，山石SG6000-T-5防火墻作為邊界安全及路由設(shè)備，出口擁有CERNET、聯(lián)通、電信、移動四個運(yùn)營商的網(wǎng)絡(luò)連接。

原校園網(wǎng)出口邊界路由設(shè)備銳捷EG2000多功能出口網(wǎng)關(guān)作為VPN設(shè)備，將EG2000部署為VPN網(wǎng)關(guān)，和銳捷RG-N18010交換機(jī)使用端口聚合連接，用戶認(rèn)證使用校園網(wǎng)用戶認(rèn)證系統(tǒng)，銳捷的SAM+系統(tǒng)完成，用戶名和密碼與在校園網(wǎng)上網(wǎng)時使用的用戶名和密碼完全一致，VPN網(wǎng)關(guān)需要在CERNET、聯(lián)通、電信、移動四個運(yùn)營商的線路上發(fā)布服務(wù)，本系統(tǒng)利用校園網(wǎng)現(xiàn)有設(shè)備和資源來建設(shè)。設(shè)備連接如圖1所示，為了方便表述，簡化為一臺核心交換機(jī)，省略了數(shù)據(jù)中心交換機(jī)。所有公網(wǎng)的IP地址一律用192.168.地址代表，配置如下：

2.1 山石SG6000-T-5防火墻相關(guān)配置[10]

SSL VPN啟用SSL端口復(fù)用使用TCP 443端口，啟用端口復(fù)用配置。在出口防火墻將EG2000的地址10.2.1.1分別轉(zhuǎn)換為CERNET、聯(lián)通、電信、移動的遠(yuǎn)程訪問地址，配置如下，策略4、5、6、7分別對應(yīng)CERNET、聯(lián)通、電信、移動出口策略：

在遠(yuǎn)程訪問系統(tǒng)的網(wǎng)頁中，需要檢測訪問者來源IP地址，并且根據(jù)IP來源的ISP給出建議選擇的地址鏈接，以方便讀者在校外選擇最適當(dāng)?shù)牡刂窊苋朐L問EG2000的VPN系統(tǒng)。

2.2 銳捷RG-N18010核心交換機(jī)相關(guān)配置[11]

兩臺銳捷RG-N18010交換機(jī)做虛擬化，核心交換機(jī)與防火墻之間用兩路萬兆光口做端口聚合連接，核心交換機(jī)與EG2000之間也做端口聚合連接，以核心交換機(jī)與校園網(wǎng)邊界防火墻之間的連接配置為例，說明如下：

RG-N18010交換機(jī)還需要進(jìn)行VPN用戶相關(guān)VLAN與IP地址的設(shè)置，并且啟用安全配置，校園網(wǎng)內(nèi)部有線及無線用戶將不能訪問EG2000的VPN接口，EG2000的VPN僅提供校外用戶使用。

2.3 銳捷EG2000多功能出口網(wǎng)關(guān)相關(guān)配置[12]

按照圖1所示拓?fù)浣Y(jié)構(gòu)，啟用EG2000為SSL VPN網(wǎng)關(guān)，最主要的是配置SSL VPN通道和Radius認(rèn)證服務(wù)器指向，配置如下：

配置了如果用戶連續(xù)輸入同個賬戶的密碼錯誤5次后，該賬號會暫時被鎖定5分鐘的功能，提高了安全性。EG2000支持做短信和用戶名、密碼雙因子認(rèn)證，由于短信包的費(fèi)用問題，暫未啟用。

在EG2000配置Radius認(rèn)證服務(wù)器指向，本文Radius服務(wù)器為校園網(wǎng)認(rèn)證計費(fèi)的SAM+系統(tǒng)，啟用EG2000的radius認(rèn)證配置如下：

天津美術(shù)學(xué)院SAM+開戶不足6000賬戶，EG2000設(shè)置并發(fā)賬戶請求是20480，這個配置完全能夠滿足SSL VPN校外撥入需求。

2.4 銳捷SAM+相關(guān)配置[13]

天津美術(shù)學(xué)院校園網(wǎng)采用銳捷SAM+作為認(rèn)證計費(fèi)系統(tǒng)，校園網(wǎng)有線、無線以及遠(yuǎn)程訪問SSL VPN系統(tǒng)均使用SAM+作為Radius認(rèn)證服務(wù)器。SAM+系統(tǒng)由PORTAL服務(wù)器提供PORTAL自助服務(wù)系統(tǒng)。SAM+用戶按照身份進(jìn)行分組，享有不同的權(quán)限。SAM+支持作為Radius認(rèn)證服務(wù)器與主流BARS設(shè)備集成以及實現(xiàn)網(wǎng)絡(luò)扁平化，簡化運(yùn)維。

3 結(jié)果與討論

采用原校園網(wǎng)邊界路由銳捷EG2000多功能出口網(wǎng)關(guān)作為VPN設(shè)備，構(gòu)建了面向CERNET、聯(lián)通、電信、移動四個運(yùn)營商的網(wǎng)絡(luò)線路的遠(yuǎn)程訪問系統(tǒng)。用戶可以根據(jù)提示或者明確自己的網(wǎng)絡(luò)ISP來選擇撥入IP地址，用戶在校外網(wǎng)絡(luò)認(rèn)證與使用校園網(wǎng)認(rèn)證的用戶名和密碼完全一致，SAM+記錄所有認(rèn)證的日志并備查。本文所述的電子資源遠(yuǎn)程訪問系統(tǒng)比傳統(tǒng)的遠(yuǎn)程訪問系統(tǒng)明顯提高了訪問速度，同時與校園網(wǎng)完全一致的認(rèn)證方式和訪問權(quán)限，也提升了讀者用戶的使用效果和感受。

部分高校的學(xué)生宿舍區(qū)會采用網(wǎng)絡(luò)開放給運(yùn)營商去運(yùn)營的模式，如果選擇支持代撥功能的網(wǎng)絡(luò)設(shè)備作為BARS設(shè)備，在BRAC模式中，用戶認(rèn)證依舊可以在SAM+完成[14]。

本文基于CERNET、聯(lián)通、電信、移動四個運(yùn)營商的校園網(wǎng)線路的電子資源遠(yuǎn)程訪問系統(tǒng)，預(yù)留了BARS設(shè)備認(rèn)證的能力，也可以做短信和用戶名、密碼雙因子認(rèn)證，這個嘗試對于中小型高校圖書館建設(shè)具有一定的普遍性意義。，圖書館電子資源如何與智慧校園深入融合，遠(yuǎn)程訪問系統(tǒng)如何與智慧校園的安全性和可用性進(jìn)行完美結(jié)合，還有待實踐與探索。

參考文獻(xiàn)（References）：

[1] 曾巧紅，徐文賢，林綺屏.基于SSL VPN的圖書館遠(yuǎn)程訪問系統(tǒng)的構(gòu)建[J].情報科學(xué)，2007.10：1520-1524

[2] 劉衛(wèi)國，樓佳.VPN技術(shù)在高校圖書館的應(yīng)用[J].圖書館工作與研究，2007.6：39-41

[3] 王健.利用VPN技術(shù)實現(xiàn)高校圖書館數(shù)字資源的遠(yuǎn)程訪問[J].圖書館學(xué)研究，2006.5：30-32

[4] 葉新明，陳光鋒.校外訪問代理軟件的分析與比資源技術(shù)綜較[J].現(xiàn)代圖書情報技術(shù)，2006.1：83-85

[5] 徐忻.利用開源軟件實現(xiàn)基于SSL VPN的圖書館遠(yuǎn)程訪問[J].現(xiàn)代情報，2009.29（4）：160-163

[6] 張強(qiáng).IPsec VPN技術(shù)在數(shù)字圖書館推廣工程建設(shè)中的應(yīng)用——以天津圖書館為例[J].圖書館工作與研究，2015.11：41-44

[7] 侯志江.借助WebDriver技術(shù)實現(xiàn)圖書館Web業(yè)務(wù)操作自動化——以VPN賬號申請的自動審核為例[J].新世紀(jì)圖書館，2018.2：62-64，93

[8] 孔凡敏.美術(shù)院校圖書館數(shù)字資源校外訪問方式的研究[J].湖北美術(shù)學(xué)院學(xué)報，2017.2：78-81

[9] 楊傳斌，陳龍飛，譚曉曉.多出口校園網(wǎng)中圖書館數(shù)字資源訪問統(tǒng)一出口的方法[J].圖書館學(xué)研究，2019.15：9-13

[10] 北京山石網(wǎng)科.Stone OS手冊5.5R7[EB/OL].https：//docs.hillstonenet.com/cn/Content/PDF%20Downloads.htm#T.2019-11-04.

[11] 北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司.RG-N18000系列交換機(jī)RGOS11.0（4）B103版本命令手冊（V1.0）[EB/OL].http：//www.ruijie.com.cn/fw/wd/84462/，2019-11-04.

[12] 北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司.銳捷網(wǎng)關(guān)EG2000及EG3000系列產(chǎn)品實施一本通（V6.6）[EB/OL].http：//www.ruijie.com.cn/fw/qdwd/57766/，2019-11-04.

[13] 北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-SAM+安全計費(fèi)管理系統(tǒng)產(chǎn)品實施一本通（V5.3）[EB/OL].http：//www.ruijie.com.cn/fw/qdwd/57562/，2019-11-04.

[14]? 北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司. RG-RSR77-X&RSR-M系列路由器RGOS 10.4（3b96）版本命令手冊（V1.3）[EB/OL].http：//www.ruijie.com.cn/fw/wd/82186/，2019-11-04.