孫 戈

(寧夏圖書館，寧夏 銀川 750001)

1 數(shù)字圖書館推廣工程虛擬網(wǎng)建設(shè)背景

為進一步加快我國公共圖書館在數(shù)字圖書館建設(shè)的步伐，2011年5月,文化部(現(xiàn)文化和旅游部，下同)、財政部聯(lián)合下發(fā)《財政部、文化部關(guān)于實施“數(shù)字圖書館推廣工程”的通知》文件(以下簡稱“推廣工程”),在“十二五”期間開始實施數(shù)字圖書館推廣工程，以提高公共圖書館的公共數(shù)字文化服務(wù)能力和體系建設(shè)。2015年推廣工程積極推動虛擬專網(wǎng)建設(shè)，全國各省級公共圖書館先后接入SDH 155M虛擬專網(wǎng)，實現(xiàn)了與國家圖書館點對點方式的互聯(lián)。為了形成一個更加完善的網(wǎng)絡(luò)服務(wù)體系擴大公共數(shù)字文化服務(wù)覆蓋面，2016年推廣工程開始在全國各省實施基層圖書館互聯(lián)互通建設(shè)，將基層圖書館接入推廣工程虛擬專網(wǎng)，從而形成了以國家圖書館為核心、省級圖書館為主要節(jié)點、市縣級圖書館為接入點的更為完善的網(wǎng)絡(luò)服務(wù)體系。推廣工程通過聯(lián)通遍布全國的強大傳輸網(wǎng)絡(luò)，實現(xiàn)數(shù)字圖書館間數(shù)據(jù)的高速傳輸，打通推廣工程資源服務(wù)的“最后一公里”，從整體上提升全國公共圖書館的公共數(shù)字服務(wù)能力。

2 寧夏地區(qū)虛擬網(wǎng)建設(shè)面臨的問題

2.1 寧夏各級公共圖書館網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)差異較大

寧夏現(xiàn)有各級公共圖書館26個，其中省級圖書館1個、市級圖書館4個、區(qū)縣級圖書館21個。寧夏圖書館新館于2008年建成，網(wǎng)絡(luò)基礎(chǔ)設(shè)施經(jīng)過多年的升級改造，現(xiàn)已建成萬兆主干、桌面千兆的星型局域網(wǎng)絡(luò)，網(wǎng)絡(luò)出口有300M電信光纖主線路用于館內(nèi)辦公及部分業(yè)務(wù)訪問互聯(lián)網(wǎng)，100M電信光纖備線路用于提供主線路的冗余和部分業(yè)務(wù)訪問互聯(lián)網(wǎng)，300M中國移動光纖線路用于館內(nèi)無線訪問互聯(lián)網(wǎng)，所有線路通過鏈路負載均衡設(shè)備實現(xiàn)網(wǎng)絡(luò)的智能化流量管理，達到最佳的負載均衡需求。網(wǎng)絡(luò)安全設(shè)備有出口防火墻、IPS入侵防御系統(tǒng)、服務(wù)器防火墻、WEB應(yīng)用防護系統(tǒng)、上網(wǎng)行為管理等設(shè)備。

全區(qū)4個市級館網(wǎng)絡(luò)出口帶寬多為100M～200M，網(wǎng)絡(luò)安全防護設(shè)備都配備了防火墻及上網(wǎng)行為管理等設(shè)備；21個區(qū)縣級圖書館網(wǎng)絡(luò)出口帶寬多為100M，部分縣級圖書館由于經(jīng)費問題網(wǎng)絡(luò)與文化局、文化館等其他單位共用且缺少防火墻等網(wǎng)絡(luò)安全防護設(shè)備。根據(jù)調(diào)研分析得知，省內(nèi)各級公共圖書館互聯(lián)網(wǎng)出口帶寬及網(wǎng)絡(luò)信息安全保障方面有較大差異，軟硬件基礎(chǔ)設(shè)施、網(wǎng)絡(luò)配置各不相同。

2.2 原有虛擬網(wǎng)實用性較差

2008年寧夏圖書館通過10M電信MPLS VPN與全區(qū)21家公共圖書館實現(xiàn)了虛擬網(wǎng)連接，打通了資源共享的渠道，后將電信MPLS提速至50M，2013年寧夏圖書館完成與國家圖書館155M虛擬網(wǎng)的連接。多年來原有MPLS VPN虛擬網(wǎng)線路租賃費用全部由寧夏圖書館承擔，經(jīng)費壓力過大，50M MPLS VPN線路網(wǎng)速已無法滿足圖書館應(yīng)用需求，導致很多圖書館不再使用或使用率很低。提速至100M以上速率所需要的經(jīng)費更加高昂。

此外，虛擬網(wǎng)上傳輸?shù)臄?shù)據(jù)主要是各類數(shù)字資源、應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)，特別是數(shù)字資源數(shù)據(jù)格式種類較多，對網(wǎng)絡(luò)的帶寬和穩(wěn)定性、傳輸效率等要求較高，尤其是要保證應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)在傳輸過程中的安全性，因此需要一個更加穩(wěn)定、高效、經(jīng)濟、易于拓展、適應(yīng)性強的虛擬網(wǎng)環(huán)境來代替原來的虛擬網(wǎng)。

2.3 虛擬網(wǎng)技術(shù)的復(fù)雜多樣性

VPN(Virtual Private Network)即虛擬專用網(wǎng)絡(luò)，是在公共網(wǎng)絡(luò)上為用戶建立點到點的虛擬專用網(wǎng)絡(luò)技術(shù),具備 Internet 接入的便捷性和專線的安全性，并且價格適中投入產(chǎn)出比較高，已經(jīng)成為系統(tǒng)安全接入和總部-分支組網(wǎng)方案的最佳選擇。目前較為常用的有MPLS VPN、SSL VPN、IPsec VPN。

MPLS VPN技術(shù)吸收了ATM交換技術(shù)和IP路由技術(shù)的優(yōu)點，利用在網(wǎng)絡(luò)運營商骨干網(wǎng)與用戶節(jié)點的路由和交換設(shè)備上應(yīng)用MPLS技術(shù)提供類似于虛電路的標簽交換業(yè)務(wù)來實現(xiàn)IP虛擬專用網(wǎng)絡(luò)。MPLS VPN優(yōu)點在于隧道傳輸速度快、IP資源利用率高、具有多種QoS保證措施，適用于傳輸數(shù)據(jù)、語音、視頻等綜合業(yè)務(wù)。但在安全性方面MPLS VPN主要通過地址、路由隔離，隱藏信息等方式，對網(wǎng)絡(luò)中存在的欺騙信息進行標記，并抵抗不安全因素的各種攻擊，但對傳遞的數(shù)據(jù)本身并不提供加密的防護手段。在經(jīng)濟性方面MPLS VPN的線路租賃費較高，相當于租賃了專線。

SSL VPN采用應(yīng)用層協(xié)議即第四層隧道協(xié)議中典型的SSL協(xié)議，它利用公用網(wǎng)絡(luò)將應(yīng)用層的數(shù)據(jù)經(jīng)過嚴格的控制、加密、封裝后再通過傳輸層進行運輸。SSL VPN連接需要通過認定的口令密碼進行認證，提供本地認證、服務(wù)端認證、證書挑戰(zhàn)等多種身份認證方式，使用者通過客戶端認定的口令密碼進行認證建立的SSL連接，通過web瀏覽器客戶端訪問內(nèi)網(wǎng)的資源，安全性較好。SSL VPN 組網(wǎng)方式比較簡單，只需要在網(wǎng)絡(luò)中心節(jié)點配置一臺SSL VPN網(wǎng)關(guān)設(shè)備即可實現(xiàn)遠程接入訪問。雖然SSLVPN經(jīng)濟性、安全性較好，但是在響應(yīng)速度上無法滿足高效運行要求，網(wǎng)絡(luò)質(zhì)量難以保證，同時對Windows應(yīng)用及新的或功能復(fù)雜的Web瀏覽器只能提供有限的技術(shù)支持。

IPsec VPN采用IPsec協(xié)議三層隧道加密技術(shù)建立網(wǎng)絡(luò)層的VPN，IPsec的核心是在IP層對原始數(shù)據(jù)包添加IPsec頭部來實現(xiàn)對原始數(shù)據(jù)包的加密、完整性和源IP認證，可實現(xiàn)隧道模式和傳輸模式兩種傳輸模式并且提供線路冗余機制，可以說IPsec協(xié)議是目前最為安全的VPN協(xié)議。此外IPsec對IP協(xié)議支持的比較全面，對基礎(chǔ)網(wǎng)絡(luò)的要求低，部署IPsec VPN 網(wǎng)絡(luò)簡單易實現(xiàn)且建網(wǎng)費用低，只需要在兩個網(wǎng)絡(luò)的出口位置部署具有IPsec VPN功能的設(shè)備即可，但在組網(wǎng)中需要解決好穿越防火墻及IP地址沖突的問題。

3 虛擬網(wǎng)組網(wǎng)構(gòu)建

3.1 VPN技術(shù)選擇

從VPN技術(shù)類型分析可以看出，SSL VPN主要是面向個人到站點的遠程接入技術(shù)，僅限于B/S結(jié)構(gòu)(瀏覽器/服務(wù)器)的Web瀏覽器應(yīng)用，對C/S結(jié)構(gòu)(客戶/服務(wù)器)非Web頁面的支持不夠，很多非Web頁面文件訪問往往要借助于應(yīng)用轉(zhuǎn)換才能實現(xiàn)，且對應(yīng)用的響應(yīng)速度較慢，這些都導致其不適合組網(wǎng)需求；MPLS VPN雖然能滿足中心到分支節(jié)點的連接，并且可以提供QoS保證，但是MPLS VPN往往受到單一網(wǎng)絡(luò)運營商的限制，跨運營商連接效果不好，用戶配置網(wǎng)絡(luò)不夠靈活，線路租賃費用較高，從長遠角度經(jīng)濟實用性上不適用于組網(wǎng)要求；IPsec作為當前主流的VPN協(xié)議，技術(shù)比較完善、系統(tǒng)穩(wěn)定性較高，在保證數(shù)據(jù)安全的同時可提供鏈路冗余機制保障鏈路和設(shè)備的可靠性，經(jīng)濟性上只需要在各圖書館原有網(wǎng)絡(luò)中部署一臺具有IPsec VPN功能的設(shè)備即可建立點到點的虛擬網(wǎng)，接入方式靈活多樣，網(wǎng)絡(luò)可管理性強，尤其是對技術(shù)力量薄弱的基層圖書館可實現(xiàn)設(shè)備“零管理”。只要解決好防火墻穿越技術(shù)問題規(guī)劃好IP地址便可完成整體虛擬網(wǎng)的組建，使其成為搭建虛擬網(wǎng)的最佳技術(shù)選擇。

3.2 虛擬網(wǎng)絡(luò)架構(gòu)

利用各圖書館原有互聯(lián)網(wǎng)鏈路，通過在網(wǎng)絡(luò)出口部署具有IPsec VPN功能的防火墻設(shè)備組建各個基層圖書館到寧夏圖書館及國家圖書館的虛擬網(wǎng)絡(luò)，國家圖書館作為總部節(jié)點，寧夏圖書館作為省級網(wǎng)絡(luò)中心節(jié)點，各基層圖書館作為分支節(jié)點。同時防火墻可提供對病毒、木馬、終端漏洞、Web入侵等各種L2-L7層威脅的檢測、防護全面提升網(wǎng)絡(luò)安全性。虛擬網(wǎng)絡(luò)構(gòu)架如圖1所示。

3.3 IP地址規(guī)劃及NAT轉(zhuǎn)換

國家圖書館對全國省級圖書館的虛擬網(wǎng)IP地址進行了規(guī)劃，為避免地址段沖突以及保證每個館有足夠IP數(shù)量，虛擬專網(wǎng)地址段使用10. 100. 0. 0 /16 - 10. 254. 0. 0 /16的地址段，其中每個省級館分配10. 100. 0. 0 /16 - 10. 134. 0. 0 /16中的一個B類地址段，寧夏圖書館IP地址段為10.131.0.0/24。寧夏圖書館規(guī)劃本地區(qū)的IP地址段為：寧夏圖書館使用192.168.0.0-192.168.99.254地址段，市縣區(qū)級館IP地址段設(shè)定為192.168.100.0-192.168.140.254中的一個C類地址。

NAT(Network Address Translation)中文意思“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。為了正常訪問虛擬網(wǎng)上的資源，需要把寧夏圖書館內(nèi)網(wǎng)IP 地址通過NAT轉(zhuǎn)換為所分配的虛擬網(wǎng)地址。進行NAT地址轉(zhuǎn)換的設(shè)備為寧夏圖書館與國家圖書館虛擬網(wǎng)連接設(shè)備華為AR2220路由器，具體方法為：①配置NAT地址池：nat address-group 1 10.131.1.10 10.131.1.30 ；②配置ACL：acl number 3001， rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255；③在路由出口應(yīng)用ACL：nat outbound 3001 address-group 1，即可實現(xiàn)192.168.0.0/16的源地址通過NAT地址池中的地址進行動態(tài)轉(zhuǎn)換。

4 虛擬網(wǎng)組網(wǎng)實踐

4.1 基層圖書館與寧夏圖書館的VPN連接

寧夏圖書館與基層圖書館在網(wǎng)絡(luò)出口處各部署一臺具有IPsec VPN功能的防火墻，均采用網(wǎng)關(guān)模式進行網(wǎng)絡(luò)互聯(lián)。本次實例中寧夏圖書館使用的設(shè)備為深信服VPN-6050網(wǎng)關(guān)，基層圖書館使用的設(shè)備為深信服AF-1000-c600防火墻，配置界面均采用WEB界面，具體配置信息如下。

4.1.1 配置基層圖書館防火墻IPsec功能

①配置新建連接，輸入總部IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②輸入總部分配的用戶賬號信息xqxx和密碼XXX，傳輸協(xié)議選擇TCP，加密算法采用AES。③配置VPN接口，使用系統(tǒng)自動分配的VPN接口虛擬IP地址：143.255.18.138/32。④配置本地子網(wǎng)，添加寧夏圖書館為該基層圖書館規(guī)劃的虛擬網(wǎng)地址段：192.168.130.0/24。

4.1.2 配置寧夏圖書館IPsec網(wǎng)關(guān)設(shè)備

①配置IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②建立該基層圖書館的連接賬號xqxx和連接密碼xxx。③配置VPN接口，使用系統(tǒng)自動分配的VPN接口虛擬IP地址：55.50.84.171/32。④配置容許該基層圖書館訪問的地址段如：寧夏圖書館服務(wù)器網(wǎng)段(192.168.x.0/24),國家圖書館網(wǎng)段(10.100.x.0/16)。⑤查看IPsec運行狀態(tài)顯示已有數(shù)據(jù)流量，說明IPsec隧道連接成功。

4.2 寧夏圖書館與國家圖書館的VPN連接

寧夏圖書館通過一臺華為AR2220路由器與國家圖書館進行虛擬網(wǎng)互聯(lián)。配置舉例如下。

4.2.1 配置訪問控制列表

acl number 3001

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255

4.2.2 配置NAT地址池

nat address-group 1 10.131.1.10 10.131.1.30

4.2.3 配置acl策略應(yīng)用到路由器出口

interface Pos6/0/0

link-protocol ppp

ip address 11.0.0.38 255.255.255.252

nat outbound 3001 address-group 1

4.2.4 配置路由

ip route-static 0.0.0.0 0.0.0.0 11.0.0.37//缺省路由指向國家圖書館

ip route-static 192.168.0.0 255.255.0.0 10.131.254.253//路由指向下連寧夏圖書館網(wǎng)絡(luò)設(shè)備

4.3 連通效果

4.3.1 基層圖書館網(wǎng)絡(luò)連通性測試

從基層圖書館PC(192.168.130.1)ping寧夏圖書館內(nèi)部服務(wù)器地址(192.168.1.17)可ping通，ping國家圖書館資源服務(wù)器地址(10.100.2.2)可ping通，tracert兩個服務(wù)器地址路由結(jié)果正常。

4.3.2 寧夏圖書館到國家圖書館網(wǎng)絡(luò)連通性測試

從寧夏圖書館pc(192.168.10.1)ping國家圖書館資源服務(wù)器地址(10.100.2.2)可ping通,tracert服務(wù)器地址路由結(jié)果正常。

4.3.3 對數(shù)字資源的訪問測試

從基層圖書館及寧夏圖書館任意pc訪問推廣工程資源庫群中的資源，訪問鏈http://10.100.2.2:82/refbook/可直接訪問使用，同時基層圖書館任意PC也可直接訪問使用寧夏圖書館數(shù)字資源，訪問鏈http://192.168.1.25:8080/，達到了虛擬網(wǎng)的使用效果。

5 結(jié)束語

由于MPLS VPN高額的線路租賃費，近年來寧夏圖書館借助推廣工程基層圖書館互連互通項目的實施逐步將原有MPLS VPN替換為IPsec VPN?？傊?，虛擬網(wǎng)建設(shè)是推廣工程基礎(chǔ)性建設(shè)之一，通過虛擬網(wǎng)促進了圖書館間資源與服務(wù)的全面共建共享，促進了圖書館數(shù)字資源建設(shè)和服務(wù)模式的多樣化發(fā)展，使得讀者能享受到更加方便、快捷的數(shù)字圖書館服務(wù)。