高校圖書館數字資源的遠程訪問研究

〔摘 要〕近幾年VPN技術逐步趨向成熟，構建基于Internet的校園VPN網絡，能夠實現校外師生對圖書館數字資源的遠程訪問。本文提出了基于Windows Server 2003的校園VPN解決方案，也詳細地介紹了VPN技術特性及其服務器和客戶端的配置方法。

〔關鍵詞〕VPN技術;Internet;高校圖書館;數字資源

〔中圖分類號〕G250.73 〔文獻標識碼〕A 〔文章編號〕1008-0821(2009)11-0096-03

Study on the Remote Access of Digital Resource of University LibraryChen Tingyong1 Xing Min1 Pan Xiqiu2

(1.Computer Department，Changchun Finance College，Changchun 130022，China;

2.Jingyu County People’s Congress，Jingyu 135200，China)

〔Abstract〕With the gradual maturation of VPN technology in recent years，the campus VPN network based on the Internet will implement the remote access of digital resource of university library.The paper proposed a solution to the campus VPN based on Windows Server 2003，also introduced the VPN technology characteristics and the disposition methods of the server and the client in detail.

〔Keywords〕VPN technology;internet;university library;digital resource

隨著Internet技術的飛速發展，信息化程度的快速提高，高校圖書館的服務已經從大量文本文獻資源的提供轉向網絡資源服務，期刊數據庫、電子圖書以及學位論文數據庫等數字資源已經成為師生們在教學和科研活動中最主要的信息來源。

然而圖書館數字資源對外開放是有限制條件的，數據庫提供商為了自身利益和保護知識產權等原因，其網絡數據庫對授權用戶的身份認證一般都采取IP地址認證的方式，即在和使用單位簽署購買合同后，使用單位提供本單位的IP地址清單，數據庫提供商只對這些IP地址開通訪問權限。因此，高校師生只有使用校園網IP地址范圍內的計算機，才能查詢圖書館所購買的各類數字資源[1-2]。

IP控制的這種局限性，使得師生們無法在校園外通過撥號或ADSL等寬帶上網方式查閱校內的數字資源，造成極大的不便，也影響了所購數字資源的利用率及使用效益。而利用虛擬專用網絡(Virtual Private Network，VPN)技術實現校外合法用戶對校內數字圖書資源的遠程訪問，就是一種費用較低、安全可靠、切實可行的解決方案。目前，我校就是通過建立VPN網絡來實現校外師生對圖書館數字資源的遠程訪問。

1 虛擬專用網絡(VPN)技術

虛擬專用網絡(VPN)指的是通過ISP(Internet Service Provider)或其他NSP(Network Service Provider)，在Internet中建立一條虛擬的專用通道，讓兩個遠距離網絡用戶能夠在一個專用的網絡通道中互相傳遞數據信息，它是通過跨越基于IP協議的公用網建立起一條安全專用通道來實現公網私用。遠程用戶通過PSTN撥號、ADSL或者小區寬帶方式接入Internet，獲得公網IP地址后通過VPN網絡方式接通校園網公網地址，從而得到一個校園網的IP地址而被納入到校園網之中，這樣用戶就能夠訪問圖書館的數字資源。

由于虛擬專用網技術將校園網之外的遠程終端或局域網以虛擬網絡的形式納入到了校園網之中，所以校外合法認證用戶就可以像校內用戶一樣使用圖書館數字資源，而不受IP地址限制[2-3]。

1.1 VPN的工作原理分析

利用VPN技術，圖書館網絡能夠在不可信任的公網上安全地通信，VPN采用高性能的復雜算法來對傳輸信息進行加密，以保證師生對信息安全性的需求。其通信過程是非校園網客戶端用戶發送信息到校園網VPN服務器(該服務器已經連接公網);VPN服務器確定用戶是否合法，是否需要對數據進行加密;對需要加密的數據，VPN服務器對整個數據包進行加密并且附上數字簽名，加上新的數據報頭，其中包括目的客戶端需要的安全信息;VPN服務器對加密后的數據、鑒別包和源IP地址進行重新封裝，重新封裝后的數據包通過虛擬通道在公網上傳輸;當數據包到達校園外客戶端時，數據包被解封裝，對數字簽名核對無誤后，數據包被解密。

1.2 VPN網絡的設計要求

實現高校圖書館虛擬專用網VPN設計方案，應該從安全性、管理性、實用性、擴充性、經濟性和服務質量等方面進行探索實現。

1.2.1 安全性

安全是VPN技術的基礎，VPN提供給師生用戶的是專用網絡，但不是物理上的專用網。因此建立在不安全、不可信任的公網上的VPN技術首先要解決的問題就是安全性。

虛擬專用網絡并不會暴露在復雜的公網環境中，具有專用性，同時在數據傳輸過程中VPN采用隧道、數據加解密、密鑰管理和身份認證等技術，以保證信息在傳輸過程中不被偷看、篡改和復制，從而保證數據僅被指定的發送者和接收者獲悉，保證數據的私有性。這恰好符合圖書館數字資源的數字版權保護，即只有合法的用戶才能訪問圖書館數字資源。

由于VPN網絡的數據傳輸是加密進行的，因此VPN服務器分配的與VPN連接的內部地址不能被Internet用戶看到，Internet用戶只能看到遠程訪問服務器的外部IP地址，所以校園網內部的IP地址也是安全的。

1.2.2 管理性

由于VPN技術的安全特性非常高，這就決定了它必須具有可管理性，對VPN網絡的管理主要體現在安全管理、設備管理、配置管理以及訪問控制列表管理等具體內容。對VPN網絡管理不僅出于成本的考慮，更為重要的是要保證它具有較高的安全性能。具體應該包括對網絡的可知性，即對運行狀態的監控、日志記錄、審計手段和預警方式等方面;還應包括對網絡使用的可控性，即安全策略的部署、用戶的控制和非法入侵的鎖定等方面，為此應具備一個統一管理平臺來實現，而不能將管理信息分散在不同節點上。

1.2.3 實用性

校園外師生在遠程訪問時希望使用最簡單的設置、最少的步驟就能夠連上校園網，這就要求VPN技術設計對客戶端的支持具有簡單實用性，只需要校園外用戶設置好VPN客戶端，通過客戶端接入校園網就可以訪問圖書館數字資源，使用簡單方便，接入方式靈活。

1.2.4 擴充性

公網提供了多種接入方式，PSTN撥號、ADSL以及小區寬帶等，而VPN網絡可以根據各種接入方式的信息量、實時性和通信條件等情況，分別選擇不同速率與之鏈接。同時VPN網絡又能夠支持各種類型的數據流，支持多種類型的傳輸媒介，能夠滿足語音、圖像和視頻等多媒體信息同時傳輸的需求，并且增加新節點、增加訪問用戶的數量等都非常方便，具有非常高的可擴充性能。

1.2.5 經濟性

與租用一條昂貴的網絡專線相比，VPN網絡是一種經濟實用的解決方案。只需要一次性投入VPN設備，包括服務器和路由器，而不再需要購買其他的存儲設備，VPN網絡更不必考慮線路帶寬的利用率和費用等問題。

1.2.6 服務質量

公網中不穩定的流量使得帶寬利用率很低，在流量高峰期會引起網絡擁塞，導致一些數據不能及時發送和接收，流量低谷期又會造成帶寬的浪費。VPN網絡可以對流量進行預測并且能夠進行較好控制，實現帶寬的優化管理，從而避免了網絡擁塞，提高了數據傳輸的質量[1-3]。

2 我校圖書館的VPN解決方案

我校圖書館局域網內有多個數字資源服務器，在校園網內可以直接訪問。為了使廣大師生能夠從校園外遠程訪問圖書館的數字資源，在圖書館局域網內建立1個VPN服務器，通過適當的訪問策略配置，保證網絡安全。我校使用Windows Server 2003建立VPN服務器，實現軟件平臺的VPN虛擬專用網絡，這種網絡建設不需要昂貴的專用設備，可節省網絡建設成本，配置及維護靈活簡單，可以方便地為校園網構建一個實用的、造價低廉的VPN網絡，校園外用戶只需在Windows系統平臺上建立VPN客戶端就可以輕松方便地連接到校園網。

2.1 VPN服務器的配置

配置VPN服務器的前提是確信該服務器已經連入Internet，同時為了使Internet上的主機能夠訪問到VPN服務器，它必須擁有一個獨立的公網IP地址。并且VPN服務器至少需要兩塊網卡，一塊網卡對外網，分配的是連接Internet的IP地址，一塊網卡是對內部局域網，分配的是內網地址。其具體配置步驟如下。

依次進入“開始”→“程序”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”控制臺。在左邊框架服務器名“VPN-SERVER(本地)”處單擊鼠標右鍵，選擇“配置并啟用路由和遠程訪問”，打開“路由和遠程訪問安裝向導”，單擊“下一步”繼續，在“公共設置”選擇“虛擬專用網絡(VPN)訪問和NAT”，單擊“下一步”繼續。在“VPN連接”一步需要指定服務器所使用的連接，由于本服務器使用雙網卡，在此應該選擇Internet連接使用的網卡，即選擇VPN服務器公網IP地址，單擊“下一步”繼續。在“IP地址指定”一步需要選擇為遠程VPN客戶端指定IP地址的方法，由于本機沒有配置DHCP服務器，因此選擇“來自一個指定的地址范圍”選項，單擊“下一步”繼續。在“地址范圍指定”一步可以為VPN客戶機指定所分配的IP地址范圍，由于為VPN服務器分配的內網IP為202.198.224.1，所以為VPN客戶機指定所分配的IP地址范圍可以為“202.198.224.100”～“202.198.224.200”。單擊“新建”按鈕打開“新建地址范圍”窗口，按提示輸入后單擊“確定”按鈕，返回“地址范圍指定”一步，這些IP地址將分配給VPN服務器和VPN客戶機。為了確保連接后的VPN網絡同VPN服務器原有局域網之間能夠正常通信，它們必須同VPN服務器的IP地址處在同一個網段中。假設VPN服務器IP地址為“202.198.16.1”，則此范圍中的IP地址均應該以“202.198.16”開頭。然后單擊“下一步”，選擇“不，我現在不想設置此服務器使用RADIUS”，單擊“完成”，此時屏幕上出現一個名為“正在啟動路由和遠程訪問服務”小窗口，稍后將自動返回“路由和遠程訪問”控制臺，至此VPN服務器配置工作已完成。“服務”控制臺中的“Routing and Remote Access”服務則“自動”處于“已啟動”狀態，在“網絡和撥號連接”窗口中就會多出一個“傳入的連接”圖標。

還有一個極重要的關鍵環節就是賦予用戶撥入權限，默認的情況包括Administrator在內的所有用戶均被拒絕撥入到VPN服務器，因此需要為相應用戶賦予撥入權限。再次打開“計算機管理”控制臺，在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊要分配權限的用戶名稱，打開用戶屬性窗口。在“撥入”選項卡，在“選擇訪問權限(撥入或VPN)”選項組下默認選項為“通過遠程訪問策略控制訪問”，改選為“允許訪問”，單擊“確定”返回“計算機管理”控制臺，這樣就結束了賦予用戶撥入權限的全部工作[4]。

2.2 VPN客戶端的配置與VPN服務器的連接

VPN客戶端主要是指遠程訪問VPN連接的單個認證用戶計算機，可運行Windows 9X/XP/2000/NT操作系統，配置方法大致相同，具體步驟是依次打開“網絡和撥號連接→新建連接”，進入“網絡連接向導”對話框，點擊“下一步”繼續，在網絡連接類型選擇“通過Internet連接到專用網絡”。在“目標地址”一步，輸入需要連接的VPN服務器域名或IP地址，在“可用連接”中，可以根據需要選擇使用此連接的用戶，一般情況下可以選擇默認選項，即“所有用戶使用此連接”。

配置連接共享來決定局域網中其他計算機是否可以使用該連接來訪問外部資源，采用默認值。在“完成網絡連接”一步， 輸入該連接名稱， 單擊“完成”結束網絡連接向導。建立VPN 連接后就會出現虛擬網絡連接登錄對話框，通過學校圖書館提供的用戶名和密碼，點擊“連接”就可以連接VPN服務器。

連接完成后，用戶將獲得一個可以訪問校園網的IP地址，這樣校園外師生用戶就可以訪問圖書館數字資源。

3 結 語

虛擬專用網VPN設計方案能夠較好地解決非校園網用戶遠程訪問圖書館數字資源的問題，它已經被廣泛地應用于各高校，校園外師生足不出戶就可以在家里訪問圖書館數字資源。VPN技術是當今網絡發展的新趨勢，它的優勢是安全性好、可操作性強、經濟實用以及靈活方便等，因此隨著VPN技術的不斷發展和完善，以及高校師生對圖書館數字資源依賴程度的增強，VPN技術在高校圖書館的應用前景將更加廣闊。

參考文獻

[1]姜琳.關于非校園網用戶利用圖書館電子資源的研究[J].現代情報，2006，(2):64-66.

[2]韓明明.VPN技術在高校圖書館中的應用探討[J].高校圖書情報論壇，2007，(1):43-45.

[3]雷濤.利用VPN技術實現大學圖書館數字資源的遠程訪問[J].科技情報開發與經濟，2008，(5):21-22.

[4]王達，等.虛擬專用網(VPN)精解[M].北京:清華大學出版社，2004.