孫 戈

(寧夏圖書館，寧夏 銀川 750001)

1 數(shù)字圖書館推廣工程虛擬網(wǎng)建設背景

為進一步加快我國公共圖書館在數(shù)字圖書館建設的步伐，2011年5月,文化部(現(xiàn)文化和旅游部，下同)、財政部聯(lián)合下發(fā)《財政部、文化部關于實施“數(shù)字圖書館推廣工程”的通知》文件(以下簡稱“推廣工程”),在“十二五”期間開始實施數(shù)字圖書館推廣工程，以提高公共圖書館的公共數(shù)字文化服務能力和體系建設。2015年推廣工程積極推動虛擬專網(wǎng)建設，全國各省級公共圖書館先后接入SDH 155M虛擬專網(wǎng)，實現(xiàn)了與國家圖書館點對點方式的互聯(lián)。為了形成一個更加完善的網(wǎng)絡服務體系擴大公共數(shù)字文化服務覆蓋面，2016年推廣工程開始在全國各省實施基層圖書館互聯(lián)互通建設，將基層圖書館接入推廣工程虛擬專網(wǎng)，從而形成了以國家圖書館為核心、省級圖書館為主要節(jié)點、市縣級圖書館為接入點的更為完善的網(wǎng)絡服務體系。推廣工程通過聯(lián)通遍布全國的強大傳輸網(wǎng)絡，實現(xiàn)數(shù)字圖書館間數(shù)據(jù)的高速傳輸，打通推廣工程資源服務的“最后一公里”，從整體上提升全國公共圖書館的公共數(shù)字服務能力。

2 寧夏地區(qū)虛擬網(wǎng)建設面臨的問題

2.1 寧夏各級公共圖書館網(wǎng)絡基礎設施建設差異較大

寧夏現(xiàn)有各級公共圖書館26個，其中省級圖書館1個、市級圖書館4個、區(qū)縣級圖書館21個。寧夏圖書館新館于2008年建成，網(wǎng)絡基礎設施經(jīng)過多年的升級改造，現(xiàn)已建成萬兆主干、桌面千兆的星型局域網(wǎng)絡，網(wǎng)絡出口有300M電信光纖主線路用于館內(nèi)辦公及部分業(yè)務訪問互聯(lián)網(wǎng)，100M電信光纖備線路用于提供主線路的冗余和部分業(yè)務訪問互聯(lián)網(wǎng)，300M中國移動光纖線路用于館內(nèi)無線訪問互聯(lián)網(wǎng)，所有線路通過鏈路負載均衡設備實現(xiàn)網(wǎng)絡的智能化流量管理，達到最佳的負載均衡需求。網(wǎng)絡安全設備有出口防火墻、IPS入侵防御系統(tǒng)、服務器防火墻、WEB應用防護系統(tǒng)、上網(wǎng)行為管理等設備。

全區(qū)4個市級館網(wǎng)絡出口帶寬多為100M～200M，網(wǎng)絡安全防護設備都配備了防火墻及上網(wǎng)行為管理等設備；21個區(qū)縣級圖書館網(wǎng)絡出口帶寬多為100M，部分縣級圖書館由于經(jīng)費問題網(wǎng)絡與文化局、文化館等其他單位共用且缺少防火墻等網(wǎng)絡安全防護設備。根據(jù)調(diào)研分析得知，省內(nèi)各級公共圖書館互聯(lián)網(wǎng)出口帶寬及網(wǎng)絡信息安全保障方面有較大差異，軟硬件基礎設施、網(wǎng)絡配置各不相同。

2.2 原有虛擬網(wǎng)實用性較差

2008年寧夏圖書館通過10M電信MPLS VPN與全區(qū)21家公共圖書館實現(xiàn)了虛擬網(wǎng)連接，打通了資源共享的渠道，后將電信MPLS提速至50M，2013年寧夏圖書館完成與國家圖書館155M虛擬網(wǎng)的連接。多年來原有MPLS VPN虛擬網(wǎng)線路租賃費用全部由寧夏圖書館承擔，經(jīng)費壓力過大，50M MPLS VPN線路網(wǎng)速已無法滿足圖書館應用需求，導致很多圖書館不再使用或使用率很低。提速至100M以上速率所需要的經(jīng)費更加高昂。

此外，虛擬網(wǎng)上傳輸?shù)臄?shù)據(jù)主要是各類數(shù)字資源、應用系統(tǒng)業(yè)務數(shù)據(jù)，特別是數(shù)字資源數(shù)據(jù)格式種類較多，對網(wǎng)絡的帶寬和穩(wěn)定性、傳輸效率等要求較高，尤其是要保證應用系統(tǒng)業(yè)務數(shù)據(jù)在傳輸過程中的安全性，因此需要一個更加穩(wěn)定、高效、經(jīng)濟、易于拓展、適應性強的虛擬網(wǎng)環(huán)境來代替原來的虛擬網(wǎng)。

2.3 虛擬網(wǎng)技術的復雜多樣性

VPN(Virtual Private Network)即虛擬專用網(wǎng)絡，是在公共網(wǎng)絡上為用戶建立點到點的虛擬專用網(wǎng)絡技術,具備 Internet 接入的便捷性和專線的安全性，并且價格適中投入產(chǎn)出比較高，已經(jīng)成為系統(tǒng)安全接入和總部-分支組網(wǎng)方案的最佳選擇。目前較為常用的有MPLS VPN、SSL VPN、IPsec VPN。

MPLS VPN技術吸收了ATM交換技術和IP路由技術的優(yōu)點，利用在網(wǎng)絡運營商骨干網(wǎng)與用戶節(jié)點的路由和交換設備上應用MPLS技術提供類似于虛電路的標簽交換業(yè)務來實現(xiàn)IP虛擬專用網(wǎng)絡。MPLS VPN優(yōu)點在于隧道傳輸速度快、IP資源利用率高、具有多種QoS保證措施，適用于傳輸數(shù)據(jù)、語音、視頻等綜合業(yè)務。但在安全性方面MPLS VPN主要通過地址、路由隔離，隱藏信息等方式，對網(wǎng)絡中存在的欺騙信息進行標記，并抵抗不安全因素的各種攻擊，但對傳遞的數(shù)據(jù)本身并不提供加密的防護手段。在經(jīng)濟性方面MPLS VPN的線路租賃費較高，相當于租賃了專線。

SSL VPN采用應用層協(xié)議即第四層隧道協(xié)議中典型的SSL協(xié)議，它利用公用網(wǎng)絡將應用層的數(shù)據(jù)經(jīng)過嚴格的控制、加密、封裝后再通過傳輸層進行運輸。SSL VPN連接需要通過認定的口令密碼進行認證，提供本地認證、服務端認證、證書挑戰(zhàn)等多種身份認證方式，使用者通過客戶端認定的口令密碼進行認證建立的SSL連接，通過web瀏覽器客戶端訪問內(nèi)網(wǎng)的資源，安全性較好。SSL VPN 組網(wǎng)方式比較簡單，只需要在網(wǎng)絡中心節(jié)點配置一臺SSL VPN網(wǎng)關設備即可實現(xiàn)遠程接入訪問。雖然SSLVPN經(jīng)濟性、安全性較好，但是在響應速度上無法滿足高效運行要求，網(wǎng)絡質(zhì)量難以保證，同時對Windows應用及新的或功能復雜的Web瀏覽器只能提供有限的技術支持。

IPsec VPN采用IPsec協(xié)議三層隧道加密技術建立網(wǎng)絡層的VPN，IPsec的核心是在IP層對原始數(shù)據(jù)包添加IPsec頭部來實現(xiàn)對原始數(shù)據(jù)包的加密、完整性和源IP認證，可實現(xiàn)隧道模式和傳輸模式兩種傳輸模式并且提供線路冗余機制，可以說IPsec協(xié)議是目前最為安全的VPN協(xié)議。此外IPsec對IP協(xié)議支持的比較全面，對基礎網(wǎng)絡的要求低，部署IPsec VPN 網(wǎng)絡簡單易實現(xiàn)且建網(wǎng)費用低，只需要在兩個網(wǎng)絡的出口位置部署具有IPsec VPN功能的設備即可，但在組網(wǎng)中需要解決好穿越防火墻及IP地址沖突的問題。

3 虛擬網(wǎng)組網(wǎng)構建

3.1 VPN技術選擇

從VPN技術類型分析可以看出，SSL VPN主要是面向個人到站點的遠程接入技術，僅限于B/S結構(瀏覽器/服務器)的Web瀏覽器應用，對C/S結構(客戶/服務器)非Web頁面的支持不夠，很多非Web頁面文件訪問往往要借助于應用轉(zhuǎn)換才能實現(xiàn)，且對應用的響應速度較慢，這些都導致其不適合組網(wǎng)需求；MPLS VPN雖然能滿足中心到分支節(jié)點的連接，并且可以提供QoS保證，但是MPLS VPN往往受到單一網(wǎng)絡運營商的限制，跨運營商連接效果不好，用戶配置網(wǎng)絡不夠靈活，線路租賃費用較高，從長遠角度經(jīng)濟實用性上不適用于組網(wǎng)要求；IPsec作為當前主流的VPN協(xié)議，技術比較完善、系統(tǒng)穩(wěn)定性較高，在保證數(shù)據(jù)安全的同時可提供鏈路冗余機制保障鏈路和設備的可靠性，經(jīng)濟性上只需要在各圖書館原有網(wǎng)絡中部署一臺具有IPsec VPN功能的設備即可建立點到點的虛擬網(wǎng)，接入方式靈活多樣，網(wǎng)絡可管理性強，尤其是對技術力量薄弱的基層圖書館可實現(xiàn)設備“零管理”。只要解決好防火墻穿越技術問題規(guī)劃好IP地址便可完成整體虛擬網(wǎng)的組建，使其成為搭建虛擬網(wǎng)的最佳技術選擇。

3.2 虛擬網(wǎng)絡架構

利用各圖書館原有互聯(lián)網(wǎng)鏈路，通過在網(wǎng)絡出口部署具有IPsec VPN功能的防火墻設備組建各個基層圖書館到寧夏圖書館及國家圖書館的虛擬網(wǎng)絡，國家圖書館作為總部節(jié)點，寧夏圖書館作為省級網(wǎng)絡中心節(jié)點，各基層圖書館作為分支節(jié)點。同時防火墻可提供對病毒、木馬、終端漏洞、Web入侵等各種L2-L7層威脅的檢測、防護全面提升網(wǎng)絡安全性。虛擬網(wǎng)絡構架如圖1所示。

3.3 IP地址規(guī)劃及NAT轉(zhuǎn)換

國家圖書館對全國省級圖書館的虛擬網(wǎng)IP地址進行了規(guī)劃，為避免地址段沖突以及保證每個館有足夠IP數(shù)量，虛擬專網(wǎng)地址段使用10. 100. 0. 0 /16 - 10. 254. 0. 0 /16的地址段，其中每個省級館分配10. 100. 0. 0 /16 - 10. 134. 0. 0 /16中的一個B類地址段，寧夏圖書館IP地址段為10.131.0.0/24。寧夏圖書館規(guī)劃本地區(qū)的IP地址段為：寧夏圖書館使用192.168.0.0-192.168.99.254地址段，市縣區(qū)級館IP地址段設定為192.168.100.0-192.168.140.254中的一個C類地址。

NAT(Network Address Translation)中文意思“網(wǎng)絡地址轉(zhuǎn)換”，它是一種把內(nèi)部私有網(wǎng)絡地址翻譯成合法網(wǎng)絡IP地址的技術。為了正常訪問虛擬網(wǎng)上的資源，需要把寧夏圖書館內(nèi)網(wǎng)IP 地址通過NAT轉(zhuǎn)換為所分配的虛擬網(wǎng)地址。進行NAT地址轉(zhuǎn)換的設備為寧夏圖書館與國家圖書館虛擬網(wǎng)連接設備華為AR2220路由器，具體方法為：①配置NAT地址池：nat address-group 1 10.131.1.10 10.131.1.30 ；②配置ACL：acl number 3001， rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255；③在路由出口應用ACL：nat outbound 3001 address-group 1，即可實現(xiàn)192.168.0.0/16的源地址通過NAT地址池中的地址進行動態(tài)轉(zhuǎn)換。

4 虛擬網(wǎng)組網(wǎng)實踐

4.1 基層圖書館與寧夏圖書館的VPN連接

寧夏圖書館與基層圖書館在網(wǎng)絡出口處各部署一臺具有IPsec VPN功能的防火墻，均采用網(wǎng)關模式進行網(wǎng)絡互聯(lián)。本次實例中寧夏圖書館使用的設備為深信服VPN-6050網(wǎng)關，基層圖書館使用的設備為深信服AF-1000-c600防火墻，配置界面均采用WEB界面，具體配置信息如下。

4.1.1 配置基層圖書館防火墻IPsec功能

①配置新建連接，輸入總部IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②輸入總部分配的用戶賬號信息xqxx和密碼XXX，傳輸協(xié)議選擇TCP，加密算法采用AES。③配置VPN接口，使用系統(tǒng)自動分配的VPN接口虛擬IP地址：143.255.18.138/32。④配置本地子網(wǎng)，添加寧夏圖書館為該基層圖書館規(guī)劃的虛擬網(wǎng)地址段：192.168.130.0/24。

4.1.2 配置寧夏圖書館IPsec網(wǎng)關設備

①配置IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②建立該基層圖書館的連接賬號xqxx和連接密碼xxx。③配置VPN接口，使用系統(tǒng)自動分配的VPN接口虛擬IP地址：55.50.84.171/32。④配置容許該基層圖書館訪問的地址段如：寧夏圖書館服務器網(wǎng)段(192.168.x.0/24),國家圖書館網(wǎng)段(10.100.x.0/16)。⑤查看IPsec運行狀態(tài)顯示已有數(shù)據(jù)流量，說明IPsec隧道連接成功。

4.2 寧夏圖書館與國家圖書館的VPN連接

寧夏圖書館通過一臺華為AR2220路由器與國家圖書館進行虛擬網(wǎng)互聯(lián)。配置舉例如下。

4.2.1 配置訪問控制列表

acl number 3001

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255

4.2.2 配置NAT地址池

nat address-group 1 10.131.1.10 10.131.1.30

4.2.3 配置acl策略應用到路由器出口

interface Pos6/0/0

link-protocol ppp

ip address 11.0.0.38 255.255.255.252

nat outbound 3001 address-group 1

4.2.4 配置路由

ip route-static 0.0.0.0 0.0.0.0 11.0.0.37//缺省路由指向國家圖書館

ip route-static 192.168.0.0 255.255.0.0 10.131.254.253//路由指向下連寧夏圖書館網(wǎng)絡設備

4.3 連通效果

4.3.1 基層圖書館網(wǎng)絡連通性測試

從基層圖書館PC(192.168.130.1)ping寧夏圖書館內(nèi)部服務器地址(192.168.1.17)可ping通，ping國家圖書館資源服務器地址(10.100.2.2)可ping通，tracert兩個服務器地址路由結果正常。

4.3.2 寧夏圖書館到國家圖書館網(wǎng)絡連通性測試

從寧夏圖書館pc(192.168.10.1)ping國家圖書館資源服務器地址(10.100.2.2)可ping通,tracert服務器地址路由結果正常。

4.3.3 對數(shù)字資源的訪問測試

從基層圖書館及寧夏圖書館任意pc訪問推廣工程資源庫群中的資源，訪問鏈http://10.100.2.2:82/refbook/可直接訪問使用，同時基層圖書館任意PC也可直接訪問使用寧夏圖書館數(shù)字資源，訪問鏈http://192.168.1.25:8080/，達到了虛擬網(wǎng)的使用效果。

5 結束語

由于MPLS VPN高額的線路租賃費，近年來寧夏圖書館借助推廣工程基層圖書館互連互通項目的實施逐步將原有MPLS VPN替換為IPsec VPN?？傊?，虛擬網(wǎng)建設是推廣工程基礎性建設之一，通過虛擬網(wǎng)促進了圖書館間資源與服務的全面共建共享，促進了圖書館數(shù)字資源建設和服務模式的多樣化發(fā)展，使得讀者能享受到更加方便、快捷的數(shù)字圖書館服務。