数字图书馆推广工程中公共图书馆虚拟网部署的新思考



数字图书馆推广工程中公共图书馆虚拟网部署的新思考

倪劼

摘要虚拟网部署是实现“数字图书馆推广工程”的重要基础平台。现有网络环境下，省级公共图书馆作为虚拟网建设分支节点部署时，会对自身以及市县馆网络结构及IP地址做出调整，通过选择私有VPN协议以及IPSec VPN协议相结合的方式，有效减少对网络环境改变，实现全省公共图书馆虚拟网平台高效、安全、平稳构建。

关键词公共图书馆数字图书馆推广工程虚拟网IPSec VPN

分类号G250.72

Reflections on the Deployment of Virtual Network of Public Libraries under the Digital Library Project

Ni Jie

Abstract Virtual network deployment is an important foundation platform to achieve "Digital Library Project". Under the existing network environment, when the branch of provincial public library as a virtual network construction node is deploying, city and county library will have its own IP address and network architecture to make adjustments by choosing private VPN protocol and IPSec VPN protocol combination, effectively reduce the network environment changes, so as to achieve the virtual network platform construction of public libraries of the whole province toefficient, safe and stable.

Keywords Public Library. Digital Library Project. Virtual network. IPSec VPN.

“数字图书馆推广工程”（以下简称“推广工程”）是以国家图书馆为中心，建设分布式公共文化资源库群，以互联网络为基础，借助移动终端、数字云电视等新兴介质，为政府立法决策、教育科研、公民终身学习等提供多层次、多样化、专业化、个性化的数字图书馆服务。推广工程提出在“十二五”期间建设以国家数字图书馆为中心，以省级数字图书馆为分支节点的全国数字图书馆虚拟网，现覆盖各省级图书馆节点的虚拟网络基本建成[1]。

江苏在推进全省公共数字文化工程建设时，亦提出以南京图书馆为依托建设省级公共数字文化系统，并结合公共电子阅览室管理系统、全国文化资源共享工程，以省馆为中心建设各市县分支点再到乡镇基层文化服务中心的虚拟网络平台，更好地满足全省各地区图书馆对数字资源的需求。以此建设从国家中心连接至省级分支节点，覆盖全省市县图书馆至基层文化服务中心的四级虚拟网络架构，形成高效、垂直的资源建设及共享体系，为公共文化数字服务平台在全省建设提供安全、稳定的基础保障。

1　江苏公共图书馆虚拟网建设现状

1.1全省公共图书馆信息化发展状况

南京图书馆作为承载虚拟网建设的分支节点，软硬件设备配套较为成熟，连入多家运营商互联网专线光纤，防火墙、核心交换机、VPN设备均满足数图推广工程对分支节点的要求，现采用IPSec VPN方式接入国家馆虚拟网。全省市县级图书馆信息化建设基本完成（见表1），各公共图书馆都有完整的硬件设施条件并配备公共电子阅览室，在南京、苏州、扬州等地均已搭建以市级馆为分支的、覆盖本区域内部的虚拟网络，实现区域内通借通还、数字资源共建共享。

1.2各地区的信息化程度存在差异

江苏省各地区公共图书馆由于地理位置、经济发展状况等因素，各地区信息化建设的软硬件设备以及专门从事信息技术人员储备都体现出明显的差异性，发展现状并不均衡。以图书馆的规模来衡量，市级馆硬件设备及技术人员储备高于区县级，以经济发展情况衡量，经济发达地区的硬件设备及技术人员储备较强。以经济发达的苏州地区为例，其信息化建设程度明显要高于经济欠发达的苏北地区，甚至比同在苏南的南京、无锡等地建设水平都要高出一截，而苏北的宿迁、连云港等地公共图书馆信息化建设起步较晚，在硬件设备及人员储备上都还需要有一个发展过程。

表1　江苏省各地区公共图书馆信息化基本情况

1.3发展覆盖全省范围的虚拟网建设的必要性

通过借助“数字图书馆推广工程”，发展覆盖全省市县级公共图书馆虚拟网建设，可以推动江苏公共数字文化事业的发展，满足文化信息资源共享工程、数字图书馆推广工程、公共电子阅览室建设计划三大文化惠民工程提出的任务，为全省数字资源生产和数字资源加工提供服务。通过由省级图书馆统一部署建设实施后，全省公共图书馆可以避免数字资源的重复建设，节约各地资金的使用，可以增强各地区之间信息的交互性，搭建一个资源共建共享的平台。各地区图书馆读者在本地即可访问到国家图书馆、省级公共图书馆推送的数字资源，解决当地数字资源量有限的局面，满足读者的需求[2]。

2　现有网络环境下部署全省虚拟网面临的问题与解决思路

2.1全省范围内部署虚拟网面临的问题

2.1.1全省网络环境差异性带来的多样化和复杂性

全省共有市、县级公共图书馆109家，各地选用互联网接入线路也不相同，运营商涵盖电信、联通、移动等多家，线路带宽从100Mbps专线一直到8Mbps ADSL，出口IP地址也分为固定和动态两种，由各家运营商互相竞争带来的相互之间访问时速率的影响，在各个地区公共图书馆间的访问中均能体现。各地网络设备的架构也不尽相同，有双出口链路三层网络结构，有的只有防火墙设备，硬件设备存在较大的差异。这些差异性带来了问题的多样化，使得情况更加复杂，对后期虚拟网的配置有了很大的局限性。

2.1.2网络安全以及用户访问性能方面的高要求增加了技术难度

虚拟网络部署覆盖全省市、县级公共图书馆，规模如此广泛的站与站之间的网络互联互通，对各地区公共图书馆网络安全性提出了很高的要求，某些区县级图书馆网络与当地其他文化单位共用一个出口，如何使得图书馆用户能顺利连入虚拟网中，防止其他单位无授权访问网络，有效的区域隔离，在数据传输过程中数据加密等都是需要解决的问题[3]。同时在虚拟网络中传输的不仅是文本数据，更有大量的图片、音视频等数据资料传输，对访问速率以及在今后与新兴介质之间的扩展性、适应性上均有很高的要求。

2.1.3部署时出现的IP地址冲突会影响现有的网络环境

各市、县公共图书馆均已建成各自的信息化系统，在某些区域内以市或县级馆牵头搭建的区域内部虚拟网环境正在运行，在部署全省虚拟网时需要避免与现有的环境产生冲突。由于是在现有的环境下部署，难免会牵涉到配置参数上的改变，需要尽可能保证现有业务系统的正常运行，又要保证按计划部署，这当中会产生一定的冲突，比如会产生IP地址段的冲突，会对某一些网络参数进行重新配置和调整。

2.2面对现有网络环境下部署虚拟网的基本思路

在现有网络环境下部署虚拟网，需要遵循平稳性、安全性、高效性、可扩展性的原则。避免在实施中对网络系统造成大的变动，从而影响到业务系统正常运行，在参数的设置上需要尽量选择标准化设置，充分保障站与站，站与中心端、分支节点之间的访问速率，充分考虑站与用户端之间网络接入安全性。各地区网络接入环境也不相同，要满足部署要求、保证数据安全性，以及适应相当一段时间内发展的需要，同时尽量避免对运行中的业务产生影响，在选择部署方案时需要为后期维护升级预留一定的可扩展性[4]。由于客观环境因素造成的现有设备及技术人员配置差异，使得区县级图书馆在实施中显得技术力量薄弱，这些区域对省中心技术支持要求明显要高于地市级图书馆，更多的需要依托省级图书馆的技术力量作为支撑，这在项目实施过程中对部署的前瞻性提出更高的要求。

3　基于现有网络环境的虚拟网搭建方法比较分析

3.1目前可供选择的虚拟网连接协议比较

在做虚拟网搭建时，通常使用的VPN连接方式有PPTP/L2TP、SSL、MPLS、GRE、IPSec、各厂商私有VPN协议等等。PPTP/L2TP协议是微软公司（后者有思科公司的参与）提出来的，PPTP/L2TP已被嵌入到微软的操作系统中，用于微软的路由和远程访问服务。PPTP/L2TP目前已经不是主流，因为它们没有提供内在的安全机制，端点用户需要在连接前手工建立加密信道，没有加密和认证支持，稳定性也很差，而且也无法穿越NAT，因此仅仅是部分微软用户在使用。IPSec与SSL是目前最主流的两种VPN协议，使用范围非常广泛，各自优劣与用户的需求相关联。SSL VPN主要面向为大量用户提供访问，适合作为一种用户到站点之间的远程接入方案。而MPLS VPN在支持QoS方面具有天然的优势，适合于网络服务质量要求较高的情况，大多被运营商使用。GRE 和IPSsec VPN技术有许多共同点，在使用过程中GRE连接的速度更快，GRE传输的过程中先是将数据报文进行封装，再加上了头部报文，然后再封装在IP报文中前向转发，整个传输过程并没有对数据进行加密；IPSec VPN协议有多种连接模式并且兼顾数据传输中一定安全性保证被大多数用户使用[5]。近些年来各个厂商也大力开发出适合自己产品的私有VPN协议，由于连接速度快、改进传统标准VPN协议的不足，在各个区域内也被广泛采用。

3.2使用IPsecVPN协议的优势与不足

作为站到站VPN连接的首选标准协议，IPSec VPN的优点不言而喻，标准的协议格式可以兼容不同品牌不同型号设备，良好的加密性能保证了数据在传输中的安全性，同时IPSec VPN作为传输层以下的网络协议，对应用层数据不产生影响，在站到站虚拟网连接中广泛被使用。但在实际使用中Ipsec VPN仍暴露出缺点，有些甚至很严重。在使用不同产品做IPSec VPN连接时，需要通信性能较低，不支持源地址隧道内NAT转换，在现有环境下配置时会产生地址冲突，需要提前做好规划地址。

3.3使用厂商私有VPN协议的优势与不足

随着VPN技术的不断发展，标准协议在实际使用中的缺点也一直遭受用户的诟病，各厂商趁此机会纷纷推出自己的私有VPN协议，由于私有协议的针对性，所以自身优势也非常明显，设备之间连接速度更快，运行更加高效稳定，尤其对于IPSec VPN不具备的隧道内NAT技术做出了修改，特别针对在现有网络环境下部署虚拟网，不需要对接入端的IP地址做任何改动，在隧道内即完成源地址的NAT，大大降低了部署的难度。当然缺点也很明显，需要在接入端和分支节点同时使用该品牌设备，在部署时不具有兼容性。

4　全省虚拟网部署的具体方式与新思考

图1　虚拟网拓扑图

从图1可以看出，南京图书馆作为江苏省级分支节点，专门为分支节点划分独立的VPN区域，使得和内部网络区域隔离开来，保证区域内部的安全性、独立性、稳定性[6]。在全省虚拟网络部署时选用混合协议接入模式，IPSec VPN协议与私有VPN协议同时使用，市县级图书馆与省级分支节点为同品牌的设备时，可以使用私有VPN协议连接，其余市县级图书馆为第三方设备时使用IPsec VPN协议。在部署前期对全省虚拟网规划详细的IP地址表，由于使用私有VPN协议带来最大的好处就是隧道内NAT技术，所以使用私有VPN协议的接入端不需要对本地的IP地址做任何改动，只需要在VPN设备上做相应配置，对本地业务系统并不会带来太多影响。采用ipsec VPN协议除了在设备上做配置外，还需要将规划好的IP地址植入本地网络中，这将会对本地业务系统带来一定的影响，可考虑三种解决方案。

4.1重新配置IP地址

对于规模较小，业务比较单一的区县级图书馆，建议使用IP地址重新配置的方式。由于本身链路上仅有一台设备，既要担任防火墙功能，又要做VPN，在这些区县馆的网络结构比较简单，涉及到的设备也不是很多，在替换IP地址方面遇到的影响较小，所以对于这样的图书馆，可以采取直接更换IP地址方式接入。例如泰兴市图书馆、涟水县图书馆等，终端数量小于30台，运行业务系统也比较简单，可以使用重新配置IP地址的方式连入省级分支节点。

4.2采用两次NAT方式

对于设备比较充裕，业务系统也比较复杂的图书馆，设计使用两次NAT地址转换的方式（见图2），将防火墙和VPN设备串联在链路中，内部数据经过VPN设备时做第一次NAT转换，内部用户地址转换成规划好的IP地址，再由防火墙设备做第二次NAT转换成公网地址，与省级分支节点进行连接。这样的方式适合在规模适中的图书馆网络环境中，由网络设备做两次NAT转换，避免了内部用户以及服务器对地址的调整，仅在主干链路改变网络配置，此方式对终端环境不会产生影响[7]。例如地市级图书馆，均有自己的路由器及防火墙设备，同时运行业务系统较多，为了最小程度影响现有业务运行，可以通过使用两次NAT方式接入省级分支节点。

图2　两次源地址NAT访问分支节点

4.3采用子接口地址方式

对于某些规模不大，主干核心网络环境又不能够改变的接入端，在设备支持子接口配置的条件下，可以按图3所示采用一种全新的配置方法——使用子接口配置。在网络设备接口上创建子接口并配置规划好的IP地址，同时更改本地接入终端上的IP地址。由于使用子接口方式仅需在网络设备上添加子接口配置，对主干网络环境不会产生影响。

图3　子接口方式访问分支节点

5　江苏省公共图书馆虚拟网的统一管理与应用

5.1制定统一的规划和实施标准

江苏省公共图书馆虚拟网络建设由南京图书馆作为省级分支节点，对全省虚拟网接入制定统一的规划和实施标准。结合江苏省公共图书馆信息化系统运行的现有状况，搭建虚拟网络在保证安全、稳定、高效运行同时，需要有一定的兼容性及前瞻性，全省虚拟网络搭建确定使用私有VPN协议与IPSecVPN协议共同部署的模式，将国家中心分配的10.111.0.0/16地址进行统一规划，为各市县图书馆分配对应IP地址，同时为连接加密方式及密钥规则制定统一标准，并充分考虑IPV4向IPV6平滑过渡中的兼容性问题[8]。各市县图书馆接入端均可根据自身实际情况，结合以上提出的几种连接方式，选择既能满足自身需求，又减少对现有网络环境影响与省级分支节点进行虚拟网环境搭建。

5.2通过虚拟网实现内部资源访问

由于数字资源厂商对自身的保护以及版权问题，读者仅能通过办理借阅证在当地图书馆的局域网内部获取免费资源，然而许多中小型公共图书馆由于经费制约，在数字资源的采购量上也远不及国家中心、省级分支节点，同时各地区在数字资源采购上存在着重复购买的现状，通过虚拟网的建设有效解决了数字资源的访问局限性、资源局限性、购买重复性。普通读者可以在公共电子阅览室终端通过虚拟网络，实现对国家中心、省级分支节点内部数字资源的直接访问，极大地提高了各地区公共图书馆对数字资源访问范围，并可以对全省数字资源进行整合，使各公共图书馆在数字资源采购时避免重复建设。同时在未来通过统一用户认证方式，为读者实现任何场合、任何地点、任何时间访问公共图书馆内部资源提供良好的基础平台。

5.3通过虚拟网实现全省资源共建共享

全省虚拟网平台的搭建，极大地增加了各地区图书馆之间的交互性，为全省范围内信息化服务提供了多样性、安全性、可靠性保证。以全省虚拟网为平台，各接入端可以实现资源互相交流、共建资源。全省公共图书馆共同建立特色数据库、地方文献数据库等数字资源共建，并且在数字资源加工、统一元数据标引，以及数字资源分发平台特别是流媒体资源在虚拟网中的调度有很大意义[9]。同时虚拟网可以实现省级中心节点硬件资源共享，对传输速率延时较低的云服务，相比通过传统的互联网实现而言，虚拟网通过传输中的数据加密，在安全性上提供有强力保障。对省级中心节点硬件设备虚拟化，可以为接入端公共图书馆提供服务器虚拟化、存储虚拟化云服务，既对接入端提供了对硬件设备不足的需求，又保证了数据传输的安全性，同时接入端在各地区做相互数据灾备，为本地数据资源恢复提供可靠保障。

6　结语

江苏省公共图书馆虚拟网是在“数字图书馆推广工程”、江苏省公共数字文化工程背景下，以南京图书馆为省级分支节点，全省各地公共图书馆共同参与建设。在现有网络环境下搭建覆盖全省范围的虚拟网络环境，需要考虑到系统的兼容性、安全性、可操作性、稳定性、扩展性等各方面内容，选择单独划分VPN区域独立于南京图书馆信息化网络之外，也是基于上面几个方面的考虑。与市县馆实施连接时最大的难点在于对现有网络结构的调整，既要保证与省中心连接，又要保持现有网络结构，本文给出了私有协议加IpsecVPN标准协议相结合，对采用IpsecVPN协议的接入端根据实际情况选择重新配置规划地址、两次NAT转换、使用子接口方式，以最大程度地减少项目实施的复杂程度达到最佳效果。虚拟网部署是江苏公共数字文化服务体系的重要基础支撑，对构建内容丰富、形式多样、覆盖城乡、传播快捷的公共文化数字资源建设工作具有十分重要的意义。

参考文献：

[1]周和平．加快实施推广工程建设覆盖全国的数字图书馆服务体系：在数字图书馆推广工程馆长培训班上的讲话[J]．国家图书馆学刊，2012（5）：5-13．

[2]谷峰．江苏公共图书馆事业“十二·五”发展规划编制研究[J]．新世纪图书馆，2010（4）:58-59．

[3]刘伟．利用VPN技术加强公共图书馆基层数字分馆建设[J]．图书馆学刊，2011（8）：117-118．

[4]周群．VPN技术应用于图书馆研究综述[J]．图书馆学刊，2010（3）：100-102．

[5]王宏群．GRE over IPSec VPN技术在多校区校园网中的应用[J]．大众科技，2013（2）：11-13．

[6]冯程程，宋君蕾．谈高校数字图书馆信息安全[J]．中国环境管理干部学院学报，2014（2）：89-91．

[7]陆敏锋，平玲娣，李卓．基于IPSec网络协议的VPN测试系统[J]．计算机工程，2010（3）：157-161．

[8]邹晴枫．图书馆网络安全防御体系的研究与构建：以温州大学图书馆网络系统为例[J]．图书馆理论与实践，2012（7）：81-84．

[9]张剑锋．浅析广州地区公共图书馆通借通还服务[J]．科技情报开发与经济，2013（4）：97-99．

倪劼南京图书馆信息技术应用部副主任、馆员。江苏南京，210018。

收稿日期：（2014-12-09编校：刘勇定）