數字圖書館推廣工程中公共圖書館虛擬網部署的新思考

?

數字圖書館推廣工程中公共圖書館虛擬網部署的新思考

倪劼

摘要虛擬網部署是實現“數字圖書館推廣工程”的重要基礎平臺。現有網絡環境下，省級公共圖書館作為虛擬網建設分支節點部署時，會對自身以及市縣館網絡結構及IP地址做出調整，通過選擇私有VPN協議以及IPSec VPN協議相結合的方式，有效減少對網絡環境改變，實現全省公共圖書館虛擬網平臺高效、安全、平穩構建。

關鍵詞公共圖書館數字圖書館推廣工程虛擬網IPSec VPN

分類號G250.72

Reflections on the Deployment of Virtual Network of Public Libraries under the Digital Library Project

Ni Jie

Abstract Virtual network deployment is an important foundation platform to achieve "Digital Library Project". Under the existing network environment, when the branch of provincial public library as a virtual network construction node is deploying, city and county library will have its own IP address and network architecture to make adjustments by choosing private VPN protocol and IPSec VPN protocol combination, effectively reduce the network environment changes, so as to achieve the virtual network platform construction of public libraries of the whole province toefficient, safe and stable.

Keywords Public Library. Digital Library Project. Virtual network. IPSec VPN.

“數字圖書館推廣工程”（以下簡稱“推廣工程”）是以國家圖書館為中心，建設分布式公共文化資源庫群，以互聯網絡為基礎，借助移動終端、數字云電視等新興介質，為政府立法決策、教育科研、公民終身學習等提供多層次、多樣化、專業化、個性化的數字圖書館服務。推廣工程提出在“十二五”期間建設以國家數字圖書館為中心，以省級數字圖書館為分支節點的全國數字圖書館虛擬網，現覆蓋各省級圖書館節點的虛擬網絡基本建成[1]。

江蘇在推進全省公共數字文化工程建設時，亦提出以南京圖書館為依托建設省級公共數字文化系統，并結合公共電子閱覽室管理系統、全國文化資源共享工程，以省館為中心建設各市縣分支點再到鄉鎮基層文化服務中心的虛擬網絡平臺，更好地滿足全省各地區圖書館對數字資源的需求。以此建設從國家中心連接至省級分支節點，覆蓋全省市縣圖書館至基層文化服務中心的四級虛擬網絡架構，形成高效、垂直的資源建設及共享體系，為公共文化數字服務平臺在全省建設提供安全、穩定的基礎保障。

1　江蘇公共圖書館虛擬網建設現狀

1.1全省公共圖書館信息化發展狀況

南京圖書館作為承載虛擬網建設的分支節點，軟硬件設備配套較為成熟，連入多家運營商互聯網專線光纖，防火墻、核心交換機、VPN設備均滿足數圖推廣工程對分支節點的要求，現采用IPSec VPN方式接入國家館虛擬網。全省市縣級圖書館信息化建設基本完成（見表1），各公共圖書館都有完整的硬件設施條件并配備公共電子閱覽室，在南京、蘇州、揚州等地均已搭建以市級館為分支的、覆蓋本區域內部的虛擬網絡，實現區域內通借通還、數字資源共建共享。

1.2各地區的信息化程度存在差異

江蘇省各地區公共圖書館由于地理位置、經濟發展狀況等因素，各地區信息化建設的軟硬件設備以及專門從事信息技術人員儲備都體現出明顯的差異性，發展現狀并不均衡。以圖書館的規模來衡量，市級館硬件設備及技術人員儲備高于區縣級，以經濟發展情況衡量，經濟發達地區的硬件設備及技術人員儲備較強。以經濟發達的蘇州地區為例，其信息化建設程度明顯要高于經濟欠發達的蘇北地區，甚至比同在蘇南的南京、無錫等地建設水平都要高出一截，而蘇北的宿遷、連云港等地公共圖書館信息化建設起步較晚，在硬件設備及人員儲備上都還需要有一個發展過程。

表1　江蘇省各地區公共圖書館信息化基本情況

1.3發展覆蓋全省范圍的虛擬網建設的必要性

通過借助“數字圖書館推廣工程”，發展覆蓋全省市縣級公共圖書館虛擬網建設，可以推動江蘇公共數字文化事業的發展，滿足文化信息資源共享工程、數字圖書館推廣工程、公共電子閱覽室建設計劃三大文化惠民工程提出的任務，為全省數字資源生產和數字資源加工提供服務。通過由省級圖書館統一部署建設實施后，全省公共圖書館可以避免數字資源的重復建設，節約各地資金的使用，可以增強各地區之間信息的交互性，搭建一個資源共建共享的平臺。各地區圖書館讀者在本地即可訪問到國家圖書館、省級公共圖書館推送的數字資源，解決當地數字資源量有限的局面，滿足讀者的需求[2]。

2　現有網絡環境下部署全省虛擬網面臨的問題與解決思路

2.1全省范圍內部署虛擬網面臨的問題

2.1.1全省網絡環境差異性帶來的多樣化和復雜性

全省共有市、縣級公共圖書館109家，各地選用互聯網接入線路也不相同，運營商涵蓋電信、聯通、移動等多家，線路帶寬從100Mbps專線一直到8Mbps ADSL，出口IP地址也分為固定和動態兩種，由各家運營商互相競爭帶來的相互之間訪問時速率的影響，在各個地區公共圖書館間的訪問中均能體現。各地網絡設備的架構也不盡相同，有雙出口鏈路三層網絡結構，有的只有防火墻設備，硬件設備存在較大的差異。這些差異性帶來了問題的多樣化，使得情況更加復雜，對后期虛擬網的配置有了很大的局限性。

2.1.2網絡安全以及用戶訪問性能方面的高要求增加了技術難度

虛擬網絡部署覆蓋全省市、縣級公共圖書館，規模如此廣泛的站與站之間的網絡互聯互通，對各地區公共圖書館網絡安全性提出了很高的要求，某些區縣級圖書館網絡與當地其他文化單位共用一個出口，如何使得圖書館用戶能順利連入虛擬網中，防止其他單位無授權訪問網絡，有效的區域隔離，在數據傳輸過程中數據加密等都是需要解決的問題[3]。同時在虛擬網絡中傳輸的不僅是文本數據，更有大量的圖片、音視頻等數據資料傳輸，對訪問速率以及在今后與新興介質之間的擴展性、適應性上均有很高的要求。

2.1.3部署時出現的IP地址沖突會影響現有的網絡環境

各市、縣公共圖書館均已建成各自的信息化系統，在某些區域內以市或縣級館牽頭搭建的區域內部虛擬網環境正在運行，在部署全省虛擬網時需要避免與現有的環境產生沖突。由于是在現有的環境下部署，難免會牽涉到配置參數上的改變，需要盡可能保證現有業務系統的正常運行，又要保證按計劃部署，這當中會產生一定的沖突，比如會產生IP地址段的沖突，會對某一些網絡參數進行重新配置和調整。

2.2面對現有網絡環境下部署虛擬網的基本思路

在現有網絡環境下部署虛擬網，需要遵循平穩性、安全性、高效性、可擴展性的原則。避免在實施中對網絡系統造成大的變動，從而影響到業務系統正常運行，在參數的設置上需要盡量選擇標準化設置，充分保障站與站，站與中心端、分支節點之間的訪問速率，充分考慮站與用戶端之間網絡接入安全性。各地區網絡接入環境也不相同，要滿足部署要求、保證數據安全性，以及適應相當一段時間內發展的需要，同時盡量避免對運行中的業務產生影響，在選擇部署方案時需要為后期維護升級預留一定的可擴展性[4]。由于客觀環境因素造成的現有設備及技術人員配置差異，使得區縣級圖書館在實施中顯得技術力量薄弱，這些區域對省中心技術支持要求明顯要高于地市級圖書館，更多的需要依托省級圖書館的技術力量作為支撐，這在項目實施過程中對部署的前瞻性提出更高的要求。

3　基于現有網絡環境的虛擬網搭建方法比較分析

3.1目前可供選擇的虛擬網連接協議比較

在做虛擬網搭建時，通常使用的VPN連接方式有PPTP/L2TP、SSL、MPLS、GRE、IPSec、各廠商私有VPN協議等等。PPTP/L2TP協議是微軟公司（后者有思科公司的參與）提出來的，PPTP/L2TP已被嵌入到微軟的操作系統中，用于微軟的路由和遠程訪問服務。PPTP/L2TP目前已經不是主流，因為它們沒有提供內在的安全機制，端點用戶需要在連接前手工建立加密信道，沒有加密和認證支持，穩定性也很差，而且也無法穿越NAT，因此僅僅是部分微軟用戶在使用。IPSec與SSL是目前最主流的兩種VPN協議，使用范圍非常廣泛，各自優劣與用戶的需求相關聯。SSL VPN主要面向為大量用戶提供訪問，適合作為一種用戶到站點之間的遠程接入方案。而MPLS VPN在支持QoS方面具有天然的優勢，適合于網絡服務質量要求較高的情況，大多被運營商使用。GRE 和IPSsec VPN技術有許多共同點，在使用過程中GRE連接的速度更快，GRE傳輸的過程中先是將數據報文進行封裝，再加上了頭部報文，然后再封裝在IP報文中前向轉發，整個傳輸過程并沒有對數據進行加密；IPSec VPN協議有多種連接模式并且兼顧數據傳輸中一定安全性保證被大多數用戶使用[5]。近些年來各個廠商也大力開發出適合自己產品的私有VPN協議，由于連接速度快、改進傳統標準VPN協議的不足，在各個區域內也被廣泛采用。

3.2使用IPsecVPN協議的優勢與不足

作為站到站VPN連接的首選標準協議，IPSec VPN的優點不言而喻，標準的協議格式可以兼容不同品牌不同型號設備，良好的加密性能保證了數據在傳輸中的安全性，同時IPSec VPN作為傳輸層以下的網絡協議，對應用層數據不產生影響，在站到站虛擬網連接中廣泛被使用。但在實際使用中Ipsec VPN仍暴露出缺點，有些甚至很嚴重。在使用不同產品做IPSec VPN連接時，需要通信性能較低，不支持源地址隧道內NAT轉換，在現有環境下配置時會產生地址沖突，需要提前做好規劃地址。

3.3使用廠商私有VPN協議的優勢與不足

隨著VPN技術的不斷發展，標準協議在實際使用中的缺點也一直遭受用戶的詬病，各廠商趁此機會紛紛推出自己的私有VPN協議，由于私有協議的針對性，所以自身優勢也非常明顯，設備之間連接速度更快，運行更加高效穩定，尤其對于IPSec VPN不具備的隧道內NAT技術做出了修改，特別針對在現有網絡環境下部署虛擬網，不需要對接入端的IP地址做任何改動，在隧道內即完成源地址的NAT，大大降低了部署的難度。當然缺點也很明顯，需要在接入端和分支節點同時使用該品牌設備，在部署時不具有兼容性。

4　全省虛擬網部署的具體方式與新思考

圖1　虛擬網拓撲圖

從圖1可以看出，南京圖書館作為江蘇省級分支節點，專門為分支節點劃分獨立的VPN區域，使得和內部網絡區域隔離開來，保證區域內部的安全性、獨立性、穩定性[6]。在全省虛擬網絡部署時選用混合協議接入模式，IPSec VPN協議與私有VPN協議同時使用，市縣級圖書館與省級分支節點為同品牌的設備時，可以使用私有VPN協議連接，其余市縣級圖書館為第三方設備時使用IPsec VPN協議。在部署前期對全省虛擬網規劃詳細的IP地址表，由于使用私有VPN協議帶來最大的好處就是隧道內NAT技術，所以使用私有VPN協議的接入端不需要對本地的IP地址做任何改動，只需要在VPN設備上做相應配置，對本地業務系統并不會帶來太多影響。采用ipsec VPN協議除了在設備上做配置外，還需要將規劃好的IP地址植入本地網絡中，這將會對本地業務系統帶來一定的影響，可考慮三種解決方案。

4.1重新配置IP地址

對于規模較小，業務比較單一的區縣級圖書館，建議使用IP地址重新配置的方式。由于本身鏈路上僅有一臺設備，既要擔任防火墻功能，又要做VPN，在這些區縣館的網絡結構比較簡單，涉及到的設備也不是很多，在替換IP地址方面遇到的影響較小，所以對于這樣的圖書館，可以采取直接更換IP地址方式接入。例如泰興市圖書館、漣水縣圖書館等，終端數量小于30臺，運行業務系統也比較簡單，可以使用重新配置IP地址的方式連入省級分支節點。

4.2采用兩次NAT方式

對于設備比較充裕，業務系統也比較復雜的圖書館，設計使用兩次NAT地址轉換的方式（見圖2），將防火墻和VPN設備串聯在鏈路中，內部數據經過VPN設備時做第一次NAT轉換，內部用戶地址轉換成規劃好的IP地址，再由防火墻設備做第二次NAT轉換成公網地址，與省級分支節點進行連接。這樣的方式適合在規模適中的圖書館網絡環境中，由網絡設備做兩次NAT轉換，避免了內部用戶以及服務器對地址的調整，僅在主干鏈路改變網絡配置，此方式對終端環境不會產生影響[7]。例如地市級圖書館，均有自己的路由器及防火墻設備，同時運行業務系統較多，為了最小程度影響現有業務運行，可以通過使用兩次NAT方式接入省級分支節點。

圖2　兩次源地址NAT訪問分支節點

4.3采用子接口地址方式

對于某些規模不大，主干核心網絡環境又不能夠改變的接入端，在設備支持子接口配置的條件下，可以按圖3所示采用一種全新的配置方法——使用子接口配置。在網絡設備接口上創建子接口并配置規劃好的IP地址，同時更改本地接入終端上的IP地址。由于使用子接口方式僅需在網絡設備上添加子接口配置，對主干網絡環境不會產生影響。

圖3　子接口方式訪問分支節點

5　江蘇省公共圖書館虛擬網的統一管理與應用

5.1制定統一的規劃和實施標準

江蘇省公共圖書館虛擬網絡建設由南京圖書館作為省級分支節點，對全省虛擬網接入制定統一的規劃和實施標準。結合江蘇省公共圖書館信息化系統運行的現有狀況，搭建虛擬網絡在保證安全、穩定、高效運行同時，需要有一定的兼容性及前瞻性，全省虛擬網絡搭建確定使用私有VPN協議與IPSecVPN協議共同部署的模式，將國家中心分配的10.111.0.0/16地址進行統一規劃，為各市縣圖書館分配對應IP地址，同時為連接加密方式及密鑰規則制定統一標準，并充分考慮IPV4向IPV6平滑過渡中的兼容性問題[8]。各市縣圖書館接入端均可根據自身實際情況，結合以上提出的幾種連接方式，選擇既能滿足自身需求，又減少對現有網絡環境影響與省級分支節點進行虛擬網環境搭建。

5.2通過虛擬網實現內部資源訪問

由于數字資源廠商對自身的保護以及版權問題，讀者僅能通過辦理借閱證在當地圖書館的局域網內部獲取免費資源，然而許多中小型公共圖書館由于經費制約，在數字資源的采購量上也遠不及國家中心、省級分支節點，同時各地區在數字資源采購上存在著重復購買的現狀，通過虛擬網的建設有效解決了數字資源的訪問局限性、資源局限性、購買重復性。普通讀者可以在公共電子閱覽室終端通過虛擬網絡，實現對國家中心、省級分支節點內部數字資源的直接訪問，極大地提高了各地區公共圖書館對數字資源訪問范圍，并可以對全省數字資源進行整合，使各公共圖書館在數字資源采購時避免重復建設。同時在未來通過統一用戶認證方式，為讀者實現任何場合、任何地點、任何時間訪問公共圖書館內部資源提供良好的基礎平臺。

5.3通過虛擬網實現全省資源共建共享

全省虛擬網平臺的搭建，極大地增加了各地區圖書館之間的交互性，為全省范圍內信息化服務提供了多樣性、安全性、可靠性保證。以全省虛擬網為平臺，各接入端可以實現資源互相交流、共建資源。全省公共圖書館共同建立特色數據庫、地方文獻數據庫等數字資源共建，并且在數字資源加工、統一元數據標引，以及數字資源分發平臺特別是流媒體資源在虛擬網中的調度有很大意義[9]。同時虛擬網可以實現省級中心節點硬件資源共享，對傳輸速率延時較低的云服務，相比通過傳統的互聯網實現而言，虛擬網通過傳輸中的數據加密，在安全性上提供有強力保障。對省級中心節點硬件設備虛擬化，可以為接入端公共圖書館提供服務器虛擬化、存儲虛擬化云服務，既對接入端提供了對硬件設備不足的需求，又保證了數據傳輸的安全性，同時接入端在各地區做相互數據災備，為本地數據資源恢復提供可靠保障。

6　結語

江蘇省公共圖書館虛擬網是在“數字圖書館推廣工程”、江蘇省公共數字文化工程背景下，以南京圖書館為省級分支節點，全省各地公共圖書館共同參與建設。在現有網絡環境下搭建覆蓋全省范圍的虛擬網絡環境，需要考慮到系統的兼容性、安全性、可操作性、穩定性、擴展性等各方面內容，選擇單獨劃分VPN區域獨立于南京圖書館信息化網絡之外，也是基于上面幾個方面的考慮。與市縣館實施連接時最大的難點在于對現有網絡結構的調整，既要保證與省中心連接，又要保持現有網絡結構，本文給出了私有協議加IpsecVPN標準協議相結合，對采用IpsecVPN協議的接入端根據實際情況選擇重新配置規劃地址、兩次NAT轉換、使用子接口方式，以最大程度地減少項目實施的復雜程度達到最佳效果。虛擬網部署是江蘇公共數字文化服務體系的重要基礎支撐，對構建內容豐富、形式多樣、覆蓋城鄉、傳播快捷的公共文化數字資源建設工作具有十分重要的意義。

參考文獻：

[1]周和平．加快實施推廣工程建設覆蓋全國的數字圖書館服務體系：在數字圖書館推廣工程館長培訓班上的講話[J]．國家圖書館學刊，2012（5）：5-13．

[2]谷峰．江蘇公共圖書館事業“十二·五”發展規劃編制研究[J]．新世紀圖書館，2010（4）:58-59．

[3]劉偉．利用VPN技術加強公共圖書館基層數字分館建設[J]．圖書館學刊，2011（8）：117-118．

[4]周群．VPN技術應用于圖書館研究綜述[J]．圖書館學刊，2010（3）：100-102．

[5]王宏群．GRE over IPSec VPN技術在多校區校園網中的應用[J]．大眾科技，2013（2）：11-13．

[6]馮程程，宋君蕾．談高校數字圖書館信息安全[J]．中國環境管理干部學院學報，2014（2）：89-91．

[7]陸敏鋒，平玲娣，李卓．基于IPSec網絡協議的VPN測試系統[J]．計算機工程，2010（3）：157-161．

[8]鄒晴楓．圖書館網絡安全防御體系的研究與構建：以溫州大學圖書館網絡系統為例[J]．圖書館理論與實踐，2012（7）：81-84．

[9]張劍鋒．淺析廣州地區公共圖書館通借通還服務[J]．科技情報開發與經濟，2013（4）：97-99．

倪劼南京圖書館信息技術應用部副主任、館員。江蘇南京，210018。

收稿日期：（2014-12-09編校：劉勇定）