基于無線身份認證的大型圖書館網絡結構設計

張新吉

(西安培華學院 圖書館， 陜西 西安 710125)

0 引言

隨著現代科技的進步，傳統的大型紙質藏書圖書館向數字化圖書館進化的趨勢已成必然。數字化圖書館能夠實現讀者的網絡閱讀、多媒體瀏覽、線上借書等多種需求，同時還可以通過網絡進行多館互通，實現在線資源最大化，以及提高圖書館自身管理能力，極大地提高圖書館的服務效率[1]。

1 需求分析

未來建成的數字化圖書館必須能夠實現以下功能：突破傳統圖書館的地域限制，擴大讀者的活動空間使其借還書操作更加便捷；通過假設無線網絡使讀者能夠在線閱讀電子版圖書，觀看或收聽多媒體影像資料等；在圖書館內的有線和無線網絡滿足日常應用的同時，必須保證其穩定性和安全性[2]。

打破地域限制，形成一個整體的開放式空間，不再將讀者限制在某個區域內，通過設置多個網絡終端，讓其隨時隨地能夠進行圖書的檢索、借閱和歸還，借助VLAN將各個終端連接成網絡，以終端設備的功能來定義館內不同的區域。同時，考慮到隨著技術的發展隨時可能進行的終端換代或網絡擴展，館內網絡需采用扁平化結構，通過核心交換機實現對三層網關的控制。

無線網絡是數字化應用的重要特征，在圖書館內覆蓋無線網絡，能夠使通過注冊認證的讀者以在線瀏覽的方式閱讀電子版圖書或觀看多媒體影像資料。無線網絡更加深層次地簡化了借閱流程，為讀者節約了大量的時間，能夠極大地提高其閱讀體驗[3]。

在通過架設通信網絡和覆蓋無線網絡的同時，必須采取相應的技術手段來保證網絡的安全運行，防止惡意的入侵和資源盜用等行為。

2 數字化圖書館網絡結構設計

2.1 總體設計

通過VLAN結構下的扁平式局域網絡能夠實現各種功能數字終端的網絡互聯，而對于大規模局域網，為保證其運行可靠性，必須采用雙冗余式核心交換機結構以及帶有備份鏈路的路由器和功能交換機結構，網絡總圖結構形式,如圖1所示。

2.2 配置及策略

2.2.1 交換機配置

(1) VLAN設計

在扁平式VLAN網絡結構下，圖書館內不同樓層、不同位置的終端設備應當不受網絡匯聚層分層限制，實現隨意互訪(如圖1)。每個樓層讀者能夠自由活動的空間都設置有紙質書借還終端、電子讀物閱覽終端、電子檢索終端以及人工咨詢服務臺。每個樓層均設置A、B、C三個不同功能的區域，各區內放置能夠滿足需求數量的終端設備。

各樓層VLAN依據以下規則進行劃分：以樓層號+區域號的形式進行區域VLAN命名，如[1A]、[2A]、[3A]。若因實際需求未進行功能區分，則可將VLAN合并，且命名為[1AB]、[1BC]等；依據服務方式和終端設備功能的不同，將所有提供人工服務的終端設備劃分到同一個VLAN，該VLAN名為[TK],將所有智能服務終端設備劃分到同一個VLAN，VLAN名為[JS]，此外，圖書館內部各工作區域的VLAN命名為[SK]。由于每個區域都設置有電子瀏覽終端且數量不多，因此可以不必按區域劃分VLAN層，可以將多個樓層的瀏覽終端劃分到同一個VLAN下，如[R12]、[R34]等。圖書館無線網絡與連接到WIFI的客戶端建立一個獨立的VLAN，命名為[WIFI]。

圖1 數字化圖書館網絡拓撲結構

(2) 核心交換機配置

為了保證整個網絡的運行可靠性，核心交換機應通過虛擬技術進行同步數據備份，因此需進行如下配置。

步驟一：根據業務功能創立各VLAN，并為每個VLAN分配IP。

步驟二：上述各VLAN連接到一起，并與核心交換機、下屬交換機以及路由器實現互相連接。為下屬第一級各交換機設置數據端口組，端口數據集合指令框圖,如圖2所示。

圖2 端口數據集合指令框圖

步驟三：為每個鏈路創建備份并與核心交換機相連，保證網絡運行穩定性。

步驟四：通過DHCP為無線網絡提供服務，同時為無線網絡分配IP地址段，指令框圖,如圖3所示。

圖3 為無線網絡分配IP地址段框圖

步驟五：創建OSPF區域服務。

步驟六：為分散到下屬第一級的數據分配路由器的靜態地址。

(3) 接入交換機配置

在所有的配置工作中，接入交換機的配置工作最為繁瑣，配置前必須將配置方案繪制成描述對應關系的圖紙，并在其中詳盡地體現接線點編號與接入交換機端口的一一對應，同時按照圖紙對每臺交換機的端口進行VLAN配置，配置方式,如圖4所示。

圖4 接入交換機端口配置方法示意圖

網絡投入使用后日常的維護和管理工作較為繁重，為了減少其工作量，配置接入交換機端口時可以為每個堆疊組設置一個管理端口并賦予其固定IP地址，一旦網絡運行過程中需要調整早期配置則可以通過任意一個管理端口來接入指定的交換機[4]。

2.2.2 路由配置

根據圖1，路由器為每條單獨的鏈路分配IP地址，另一端則與核心交換機相連，線路備份由連接防火墻的鏈路來實現。在OSPF網絡模式下對路由器進行配置，實際上就是簡單的互聯IP地址分配，加入各OSPF域中去。配置流程,如圖5所示。

圖5 路由配置流程框圖

2.2.3 防火墻配置

防火墻在網絡中的主要作用是保護連接外網的線路并轉換提供數據的IP地址。首先，為VLAN互聯分配IP以及OSPF域的分配；其次，限定ACL訪問控制方式，接受ICMP數據交互、允許特定VLAN連接互聯網；最后，為ISP互聯分配地址、創建IP地址集、將局域網IP地址轉換為net訪問格式。

2.2.4 跨樓互聯配置

將兩棟不同建筑物之間的網絡互聯在技術上,實際上是將兩個局域網的核心交換機進行互聯，即通過光纖實現鏈路聚合并做出對應的配置,如圖6所示。

圖6 跨樓網絡連接方式示意圖

3 無線接入與身份認證

在圖書館內覆蓋無線網絡，能夠使通過注冊認證的讀者以在線瀏覽的方式閱讀電子版圖書或觀看多媒體影像資料，極大地提高了讀者的閱讀體驗。

3.1 控制器與AP配置

在無線網絡中，通過多個AP終端提供WIFI信號并進行SSID的廣播[5]。由于核心交換機已經為無線VLAN提供了DHCP服務，因此所有AP與無線控制器應同處于一個VLAN域中。控制器配置主要包括兩方面的內容，一是進行SSID的創建和廣播；二是完成每天的AP自啟。

3.2 身份認證策略

在圖書館內覆蓋一個免費的無線WIFI網絡，實際上就是通過控制器向接入者發送WIFI密碼，為了保證這種方式下網絡的安全運行，就必須對讀者的身份進行二次認證，按照公共場所無線網絡運行通則，二次認證以WEB/Portal的方式進行，在應用策略上，采用IMC平臺持續搜索Portal服務器。

3.3 身份認證流程與設備配置

在上述認證模式下，具體的認證工作主要是通過核心交換機來完成的，無線控制器并不參與認證。核心交換機中的認證配置主要內容是與IMC服務器互聯和啟用Portal進行身份驗證，同時在無線VLAN中應用Portal功能。為IMC服務器提供了IP地址，Portal Web頁面的地址則按照ur1后的指令進行自定義。指令的具體工作流程,如圖7所示。

圖7 身份認證流程

4 功能驗證

網絡架設與配置工作完成后，應對網絡所具備的功能逐項進行測試，以保證網絡終端、VLAN各層級以及整體網絡運行的可靠性和穩定性。功能驗證的具體工作內容包括以下幾個方面。

(1) 內部網絡的穩定性。通過可移動設備測試各信息點的網絡信號，通過Ping操作在各終端設備的接口訪問所屬VLAN網關，若信號延遲未出現波動，則判定信息點接口到交換機的網絡連接無異常，從而確保其能夠持續穩定地接收網絡數據。

(2) 互聯網訪問的可用性與安全性。通過終端接口重復訪問多個互聯網站點，以驗證核心交換機與路由器、防火墻互聯的OSPF配置是否正確，同時測試NAT防火墻的工作可靠性。

(3) 跨樓互訪網絡的可用性。通過圖書館任意建筑物中的網絡終端設備對其它建筑物中的服務器進行訪問，檢查是否能夠從目標服務器中讀取數據，以確認是否能夠正常訪問其他建筑物中的VLAN網絡。

(4) 無線網絡身份認證功能可用性。在圖書館無線網絡所覆蓋的范圍內搜索SSID并與其連接，建立連接后打開瀏覽器，檢查系統是否啟動Portal認證程序，測試讀者賬號驗證身份認證功能，同時檢查認證通過后能夠進行所需的網絡瀏覽。

在上述單項功能可實現性驗證全部通過后，選取某市級圖書館依據本文所設計的網絡結構進行網絡改造，工程結束后進行為期一個月的網絡試運行，得到網絡投入運行前后圖書館業務數據,如表1所示。

表1 網絡試運行前后圖書館業務數據對比表

由表1可見，網絡結構的改進極大地提高了圖書館網絡的運行能力，從而促進了業務處理效率的大幅提升。同時，無線網絡的覆蓋增強了圖書館的信息輸出能力，也為圖書館吸引了更多的持卡讀者。

5 總結

本文制定了完整的傳統圖書館數字化改造方案，提出了數字化圖書館的網絡架構方式，重點研究了數字化網絡中各級交換機、路由器、網絡防火墻的配置策略，以及無線網絡的覆蓋方法和安全認證方式，為傳統圖書館數字化改造工作提供了詳盡可行的技術方案。