多出口校園網的高校圖書館資源遠程訪問系統設計

董一爽

摘要：圖書館是現代學校的重要組成部分，有效管理學校圖書館，可使其為全校師生提供更好的服務，從而提高教學效果，為此，需構建較好的圖書館資源遠程訪問系統。文章分析了高校圖書館資源遠程訪問系統的建設需求，設計了基于多出口校園網的高校圖書館資源遠程訪問系統，系統為存儲-轉發方式，其中背板寬帶32 Tbps/64 Tbps、包轉發率57 600 Mpps、模塊數量為10個的交換機，為進一步提升高校圖書館管理效果提供了支持。

關鍵詞：多出口校園網；高校圖書館；資源遠程訪問系統

中圖分類號：TP311 ?文獻標志碼：A

0 引言

科學技術迅猛發展的今天，各高校紛紛建設了數字圖書館。數字圖書館的所有數字圖書有一定的權限要求，限制了數字圖書館的使用范圍，要求是處于校園網內的用戶，而處于校園網外的用戶登錄系統時會收到“未授權”的提示［1］。當學生與教師不在校園時，例如節假日，則無法順利進入校園數字圖書館，難以獲取圖書館中的資料與信息。為解決這一問題，學校要以多出口校園網為核心，開發性能良好且功能健全的圖書館資源遠程訪問系統，確保學生或教師可以在校外登錄數字圖書館以獲得需要的資料信息，為更好地進行自主學習打下良好基礎［2］。因此，研究多出口校園網的高校圖書館資源遠程訪問系統具有重要的意義，促使現代學校數字圖書館為學生與教師提供更好的遠程服務。

1 虛擬專用網絡

現代社會迅猛發展的今天，組網技術更加成熟與完善，逐漸出現了更加先進的組網技術。虛擬專用網絡（Virtual Private Network，VPN）是其中應用較為廣泛的一種，通過共享通信基礎設施為用戶提供指定的網絡連接，本質上可將其看成從公共網絡中將私有與專用網絡進行隔離的模式。智慧校園圖書館建設時，通過VPN的應用，能夠構建一條校內網與校外網的連接通道，在保證校外用戶正常登錄系統的同時，可以有效提升校園內部網絡的安全性，防止校園網數據信息的泄露，從而對學校及師生造成不好的影響。現代通信領域，VPN通常包含3種連接方式，分別為遠程接入VPN、內聯網VPN與外聯網VPN。智慧校園圖書館建設采用的是遠程接入VPN，其主要原理為：智慧校園圖書館內設置了相應的共享策略，用戶在校外申請登錄智慧校園圖書館時，可自動向智慧校園圖書館提供共享策略，通過驗證后會自動形成一條安全隧道，使校外用戶可以隨時隨地通過Modem，ISDN，ADSL等途徑自動登錄智慧校園圖書館，并隨意獲取圖書資料。

2 基于多出口校園網的高校圖書館資源遠程訪問系統的需求分析

2.1 某高校數字圖書館建設現狀

某高校很早就重視數字圖書館的建設，并利用VPN技術等原理開發了功能相對較為健全的數字圖書館，學生可通過學生證編號及相應的密碼登錄到該系統內，以獲得所需要的資料信息。同時，為了使數字圖書館為師生提供更好的服務，確保師生即使處于校園網外，依然可登錄數字圖書館，并下載圖書館中的資料文獻，還提供了臨時的用戶名與密碼。但對該方式進行深入研究發現，其中依然存在明顯的缺陷，主要體現在兩個方面，一方面是臨時用戶名與密碼的安全性較低，很容易出現泄露的風險；另一方面，同一個臨時用戶名無法由多名師生同時共同使用，這對數字圖書館的使用造成了干擾，難以向師生提供最佳的資源遠程訪問服務。為了改變這種情況，某高校必須構建更加完善的圖書館資源遠程訪問系統。

2.2 需求分析

以多出口校園網為核心，高校圖書館數字資源遠程訪問系統的開發需要滿足以下幾個要求：（1）若學生或教師未處于校園網覆蓋范圍內，依然可以正常登錄數字圖書館，瀏覽、下載其中存儲的文獻、資料；（2）在校園網覆蓋范圍外，師生遠程訪問系統時，應對系統產生最小的干預，就此，應采用SSL VPN技術［3］；（3）校園網覆蓋范圍外登錄系統時，應與校園網內部的登錄方式、原理等基本相同，每名師生具有唯一的用戶名與密碼，這樣可具有較高的安全性；（4）資源遠程訪問系統應時刻處于安全防護策略中，當系統受到外界惡意攻擊時，能有效地進行抵御，避免惡意攻擊影響系統的正常運行。同時，系統應具備良好的并發性，當大量用戶同時登錄時，系統依然可順暢運行［4］；（5）可瀏覽歷史登錄日志，查詢過去一段時間的上網日志。具備預留短信與用戶名、密碼雙因子認證的功能，確保用戶登錄認證時，不會出現隱私泄露的問題，針對這一情況，可選擇校園網認證，也可采用圖書館集成系統［5-6］；（6）為高校提供網絡通信服務的通信運營商可能有多個，設計遠程訪問系統時，應選擇BARS認證模式，以確保校園網與所有運營商的通信網絡有效連接到一起［7］。

3 基于多出口校園網的高校圖書館資源遠程訪問系統的設計

3.1 總體設計

某高校針對現有數字圖書館存在的缺陷，結合多出口校園網的支持，設計并開發了圖書館資源遠程訪問系統。其中，在多出口校園網方面，選擇的是由銳捷科技生產的型號為RG-NI8010的交換機，用于數據的轉換與傳輸，共兩臺，一臺為核心交換機，另一臺為數據交換機，其參數如表1所示；選擇了由山石科技生產的型號為SG6000-T-5的防火墻，用于校園網的安全防護；同時配置了相應的路由設備。在校園網的出口端，共有4條通信總線，分別與教育網、聯通網絡、電信網絡及移動網絡連接到一起。

原校園網出口邊界路由設備銳捷EG2000多功能出口網關當作VPN設備，通過對EG2000的調節與設置，以此當作系統的VPN網關，并通過端口聚合的方式，將其與RG-N18010交換機連接到一起。通過校園網內設計的用戶認證系統，對用戶身份信息予以驗證。用戶登錄系統時，使用相同的用戶名與密碼，不論是在校園網內，還是在校園網覆蓋范圍外，均可正常登錄系統。VPN網關運行時，能同時在教育網、聯通網絡、移動網絡及電信網絡線路傳輸服務信息［8］。遠程訪問系統的設計，是在校園網已有資源的基礎上完成的，系統結構如圖1所示，為了便于論述，本文忽略了數據交換機，僅將核心交換機作為研究對象，公網地址均選擇“192.168.”的常見地址。

3.2 防火墻設計

在SSL VPN內，以TCP443端口為未接，將SSL端口啟用，并設定相應的配置。以防火墻為主要工具，對EG2000地址10.2.1.1予以轉化，使其能夠與四大通信網絡連接，具體如下。

ip vrouter "trust-vr"

bind pbr-policy"出口路由"

dnatrule id 4 from "Any" to "192.168.216.51"

service "443" trans-to "10.2.1.1" port 443 log

dnatrule id 5 from "Any" to "192.168.10.51"

service "443" trans-to "10.2.1.1" port 443 log

dnatrule id 6 from "Any" to "192.168.148.60"

service "443" trans-to "10.2.1.1" port 443 log

dnatrule id 7 from "Any" to "192.168.56.220"

service "443" trans-to "10.2.1.1" port 443 log

上述代碼中，“4”代表教育網，“5”代表聯通網絡，“6”代表電信網絡，“7”代表移動網絡。

3.3 交換機設計

在交換機處，一端通過兩條10 000 M的光口作為媒介，與防火墻連接到一起，另一端與EG2000相連，以完成防火墻與EG2000間數據的傳輸與共享［9］。為了實現這一功能，需要進行下述配置。

interface TenGigabitEthernet 1/1/2

no switchport

description TO-HillsTOne

port-group 11

interface TenGigabitEthernet 2/1/2

no switchport

description TO-HillsTOne

port-group 11

interface AggregatePort 11

no switchport

description TO-HillsTOne

ip address 10.5.1.6 255.255.255.252

3.4 多功能出口網關設計

在網關方面，采用的是SSL VPN網關，為了確保其有效運行，需要設定以下配置。

啟用SSL-VPN

sslvpn gateway sslvpn

ip address any

title SSL VPN Service

max-ssl-eeor-persec 5

name-server 114.114.114.114

用戶訪問時，若錄入信息連續錯誤5次，這一賬號的權限將鎖定，5 min后才可繼續使用，以此提升系統的安全性。這一功能的實現配置如下。

aaa new-model

aaa accounting network sslvpnRadius start-stop group radius

aaa authentication sslvpn sslvpnLocal subs

aaa authentication sslvpn sslvpnRadius group radius

aaa queue-limit account-request 20480

radius-server host 10.3.1.2

radius-server key 123456

ip http port 80

ip http secure-port 4430

enable service web-server all

enable service web-server http

enable service web-server https

3.5 計費系統設計

計費系統選擇由銳捷科技生產的型號為SAM+的認證計費系統，不論是校園網絡，還是遠程訪問SSL VPN系統，都將SAM+系統當作媒介，對用戶信息予以驗證。SAM+系統運行時，以PORTAL服務器為主要工具，向系統提供自助服務。在該系統內，根據用戶身份情況，可將其劃分成不同小組，并賦予不同的權限［10］。

4 結語

綜上所述，本文以多出口校園網為基礎設計開發了圖書資源遠程訪問系統，通過該系統的應用，大大改善了傳統高校數字圖書館遠程訪問的缺陷，可為高校師生提供更好的服務，為師生自主學習打下更好的基礎。

參考文獻

［1］謝秀芳，牛莉麗，于寧.高校圖書館遠程訪問服務現狀與優化建議［J］.數字圖書館論壇，2022（9）：42-47.

［2］陳彬，杜陳艷，陳建兵.基于IPsec VPN的遠程訪問服務——云南師范大學與云南省疾控中心隧道連接的建立［J］.云南師范大學學報，2021（6）：25-27.

［3］李國禧，周璐，孫超.VPN和CARSI在遠程訪問校內資源中的應用以及風險防控［J］.電腦知識與技術，2021（31）：55-56，64.

［4］丁愛萍，曾赟.基于并行調度算法的高校協同資源遠程訪問模型［J］.微型電腦應用，2021（9）：11-13.

［5］顧純，顧建榮.利用WebVPN實現高校內網資源遠程訪問［J］.信息記錄材料，2021（8）：209-211.

［6］盧鳳玲.疫情背景下學術圖書館數字資源遠程服務實踐研究——以上海市委黨校圖書館為例［J］.圖書情報導刊，2021（4）：1-6.

［7］孫光懿，賈英霞.多出口校園網仿真設計與實現［J］.首都師范大學學報，2020（6）：6-13.

［8］羅孟儒，熊擁軍，袁小一，等.電子資源遠程服務讀者咨詢常見問題的分析與啟示——以中南大學圖書館為例［J］.資源信息與工程，2020（5）：148-152.

［9］金志敏.基于VPN技術實現高校圖書館數字資源的遠程訪問［J］.辦公自動化，2020（15）：27-29，53.

［10］疫情之下，如何更安全地遠程辦公——金融業VPN遠程訪問的終端安全加固方案［J］.中國金融電腦，2020（3）：87-88.

（編輯 沈 強）

Design of remote access system of university library resources based on multi-export campus network

Dong? Yishuang

（Library， Sanya University， Sanya 572022， China）

Abstract：? The library is an important component of modern schools. Effective management of the school library can provide better services for all teachers and students， thereby improving teaching effectiveness. Therefore， it is necessary to build a good remote access system for library resources. The article analyzes the construction requirements of a remote access system for university library resources， and designs a remote access system for university library resources based on a multi outlet campus network. The system adopts a storage and forwarding method， with a backplane broadband of 32 Tbps/64 Tbps， a packet forwarding rate of 57 600 Mpps， and a switch with 10 modules， providing support for further improving the management effectiveness of university libraries.

Key words： multi-export campus network; university library; resource remote access system