王广泽+汪鹏+罗智勇+刘嘉辉
摘 要:针对大部分“院校合并”的高校都存在校区分散,原有的图书馆教育资源网络具有整合困难以及外出师生使用教学资源不方便等问题,本文提出了使用多协议标签交换虚拟专用网(MPLS VPN)技术来整合多校区图书馆教育资源网的方法。通过在图书馆教育子网之间建立安全隧道,MPLS VPN保证了数据的安全传输,从而达到资源整合、优化与共享的目的,实现了图书馆电子教学业务的专网专用。实验数据表明,这种模型具有较传统VPN组网方式更强的优越性。
关键词:多协议标签交换虚拟专用网;远程访问;专网构建;多校区;图书馆
DOI:10.15938/j.jhust.2017.03.006
中图分类号: TP393.1
文献标志码: A
文章编号: 1007-2683(2017)03-0031-05
Abstract:For the problems of most merged schools that it is difficulty to integrate the original library education resources network due to scattered campus, and it is inconvenient to use teaching resources for outwork teachers and students, this paper puts forward the technology of using multi-protocol label switching virtual private network (MPLS VPN) to integrate education resources in multi-campus library. Through setting up security tunnel between the library education subnet, MPLS VPN ensure the safety of data transmission, so as achieve the goal of resource integration, optimization and share, implements the exclusive use for the electronic teaching business of library. Experimental data show that this model has advantages compared with traditional VPN networking.
Keywords:MPLS VPN;remote access;special network construction;multicampus;library
0 引 言
多校区高校图书馆电子资源教育具部门分散、教学科研资源种类繁多和资源使用者层次及数量众多等特点[1]。如何保证多校区高校图书馆电子资源教育顺利开展,是整合现有多校区图书馆电子资源教育网需考虑的核心需求。网络技术的飞速发展产生了许多网络接入技术,虚拟专用网(VPN)技术[2]也是其中的一种,尤其是近些年出现的MPLS VPN技术,更为整合多校区图书馆电子资源教育网提供了参考。所谓VPN(虚拟专用网)是一种通过加密、认证、隧道协议等技术,在公用網络上实现安全专用通信的网络。将VPN技术应用到高校多校区图书馆电子资源教育网的整合中,既可实现连网的核心需求,又可保证通信安全和降低用户的访问费用,拓展了教育网的使用范围。然而,传统的VPN网络存在组网复杂、管理维护繁琐和不宜扩展等问题,将先进的多协议标签交换 (MPLS)技术应用于现有的VPN网络中便可以解决这些问题,更好地实现了多校区图书馆电子资源教育资源网的融合,这也必将在图书馆电子资源教育中发挥重要的作用[3]。
1 现有多校区图书馆教育资源网组建模型分析
实现多校区图书馆电子资源教育网整合大多采用两种传统的实现模型,然而这两种模型存在很多问题,无法真正实现电子资源教育网的真正整合[4]:
1)使用IPSec VPN(IP安全策略虚拟专用网)技术实现多校区图书馆电子资源教育网互联,如图1所示。采用这种形式的网络互联,为了穿越不可信任的Internet网就必须采用数据加密、隧道和身份认证等方式来防止传输的数据被篡改、丢失和假冒,因而会产生组网成本高、可拓展性差等缺点[5]。使用IPSec VPN构建的多校区图书馆电子资源教育网虽然通过隧道技术形成专网从而实现了网络隔离,但由于图书馆电子资源教育专网并不拥有自己的网络设备,因此这样的网络保密性、安全性和可靠性都很难保证,同时还会带来维护和管理困难等问题[6]。另外,各分教学部不但要安装专用网络设备及认证软件,还要负责繁琐的IPSec VPN维护工作。这些都不可避免地导致学员教育业务传输速率的缓慢,无法提供高质量的网络教学服务[7]。
2)多校区各部门子网与校园骨干网直联,如图2所示。由于受到原有网络设备和传输介质等多方面的限制,各校区图书馆教学部门的业务大多与非教学活动业务数据共享网络资源[8]。显然,这种直接联网模式使得多校区图书馆电子资源教育网如同一个缺乏安全管理的公用网,时常发生网络攻击、病毒泛滥、QoS效果差、P2P软件占用带宽等故障[9],这些都有可能对图书馆电子资源教育网的运营造成致命打击。
传统实现多校区图书馆电子资源教育网整合的技术都有缺点[10]:图1所示的隧道联网技术只是简单的扩展了网络范围,无法真正做到准确的区分图书馆电子资源教育业务;图2所示的直接联网模式虽然能整合各校区图书馆为一个统一的电子资源教育网,但无法做到各类业务数据的安全访问。因此,传统技术的联网模式均未能实现多校区图书馆电子资源教育网所要求的“多网整合”和“安全隔离”的需求[11-12]。
2 MPLS VPN在多校区图书馆电子资源教育网中的应用
MPLS VPN的网络结构模型如图3所示,它是一种结合MPLS的第二层和第三层交换技术,并通过在IP数据包中指定的标签,从而在公网中组建用户自己的虚拟专用网[13-14]。在MPLS VPN网络中,路由器主要有三种:CR核心路由器、PER服务提供商边缘路由器、ER用户边缘路由器。路由器CR主要负责VPN分组外层标签的数据交换;路由器PER主要负责绑定或去除VPN用户数据包中的标记;路由器ER主要负责将收到的数据包转发给客户端和将客户端的数据发送给路由器PER。
如何实现基于MPLS VPN技术的多校区图书馆电子资源教育网各分网的融合以及与非图书馆教育业务的隔离,是本文主要考虑的重点。对图3,课题组作如下规划:令路由器CR为校园骨干网的核心设备,该设备不提供VPN路由功能,而是负责骨干网业务的路由和数据的快速转发;令路由器PER为与校园骨干网路由器CR相连接的中间网汇聚路由交换设备,主要负责完成与子网ER路由器的连接,并维护各图书馆教育点VPN分网的用户信息;令路由器ER为各校区图书馆电子资源教育网与校园网中间网路由器PER相连的网络设备,该网络设备分散在各图书馆电子资源教育网络中,对于VPN网络而言,ER是完全透明的。通过上述规划,课题组建立了一个组建多校区图书馆电子资源教育網融合的结构模型。
在该结构模型中,由路由器CR完成对图书馆电子资源教育网最外层数据标签的交换工作;由路由器PER负责存放图书馆电子资源教育网的VRF路由表和骨干网的全局路由表;由路由器ER负责连接需要加入MPLS VPN专网的各校区图书馆电子资源教育子网。该模型的运营主要是使用了MPLS VPN的VRF和MPLS这两个关键技术,其中VRF技术确保了虚拟专用网的建立,而标签转发MPLS技术确保了各虚拟专网数据的路由送达。就多校区图书馆电子资源教育网而言,通过设置不同的图书馆电子资源教育部门VRF,即可实现在路由器PER上传输隔离于其他业务系统的数据。另一方面,随着图书馆电子资源教育业务数据的到达,校园骨干网路由器CR将在MPLS标签的引导和交换下,实现各分校区图书馆电子资源教育子网ER设备之间的连接,从而构成专网路由并完成数据的相互送达。这样,该组网模型既实现了图书馆电子资源教育业务与非图书馆电子资源教育业务之间的数据隔离,又实现了各校区图书馆电子资源教育子网之间的融合。
3 多校区图书馆电子资源教育MPLS VPN网模型实现
课题组所在大学的图书馆不仅拥有丰富的电子教学文档和课件,而且还拥有大量的教学视频资源,各分图书馆部门分别坐落于相距9km~20km的主校区(西区)、南岗校区(南区)、香坊校区(东区)和江北校区(北区)4个哈尔滨市教学点[15][16]。此外,学校还于2004年左右兴办了山东荣成分校区,增加了该校区的图书馆部门。目前,学校图书馆电子资源教育网有其独立的信息资源服务体系,其数据库主要由自建数据库、本地数据库和远程数据库组成[17]。访问学校图书馆的各类业务很多,包括:传统的图书管理系统、办公自动化系统、科研成果管理系统和电子资源教学系统等。这些业务的数据包混合在一起,共享学校各校区的电子资源教育网。然而,将5个校区图书馆电子资源教育子网采用传统的IP Sec VPN和SSL VPN方式的技术整合成一个专网后,却时常出现网络运行不稳定、数据传输效率低且速度等现象,尤其是使用图书馆电子资源教育网的学生数过多的时候,系统的服务质量严重降低。改造前学校图书馆电子资源教育网结构模型如图4所示:
通过研究发现,图4所示的图书馆电子资源教育网是一个多校区分布且各种数据业务混合通过的虚拟校园网。这样的网络各种数据易受干扰,且任何一个网络设备发生故障都会导致整个网络的崩溃。因此,构建新型的虚拟专用网是解决这些问题的最佳途径[18]。
在经过多方面调查研究后,学校图书馆电子资源教育网采用了MPLS VPN进行改造和组建。改造后学校图书馆电子资源教育网模型如图5所示:
图5所示整合后的图书馆电子资源教育网各核心路由器的型号为ZXP 10 T40G以上,都支持MPLS、MPBGP和OSPF协议,它们与核心路由器CR一起构成虚拟专用网的骨干路由,负责各校区图书馆电子资源教育业务的交换工作;各分校区图书馆的各个部门通过用户边缘路由器ER与他们的核心路由器PER相连,完成具体教育资源业务的交换工作。
在各类路由器的配置中,为确保各分校区图书馆电子资源教育业务的相互交换,应正确配置服务提供商边缘路由器PER中的VRF表,每个VRP表中RT属性应根据各校区在整个虚拟专用网的位置特点进行制定[19-20]。将5个PER路由器与各校区的VPN客户端相连,确保了该路由器包含它们所对应的VRF表。
1)各核心路由器PER之间策略的设置。由于路由器PER在网络拓扑结构中的位置,导致这些路由器必须支持运行MPBGP协议。又由于这些核心路由器应支持MPLS VPN技术,所以PER路由器还应支持MPLS协议。路由器PER应完成将ER路由器传来的数据进行MPLS协议的格式标签的封装和转换,使各分校区图书馆各类业务顺利的通过因特网。
2)核心路由器PER和边缘路由器ER之间策略的设置。由于两类路由器都负责不同的功能,因此它们的策略应既要考虑各校区图书馆具体的工作情况,又要考虑如何在因特网中建立虚拟专用网的实现情况。为此,要求边缘路由器ER既要运行外部网关协议MPBGP协议进行外网静态策略的路由,又要运行内部网关RIP协议或OSPF协议进行内网动态策略的路由。此外,为支持MPLS VPN技术,边缘路由器ER还应运行MPLS协议。
3)图书馆电子资源教育网各类数据业务区分策略的设置。根据学校图书馆业务特点,将它们分为:图书管理业务、科研成果管理业务、办公管理业务、电子资源教学业务和其它业务5类。每类业务被赋予不同的MPLS VPN名称,根据ISP提供的独立系统号200设置相应的RD值,命名各路由中VRF表名和RT属性值,其具体参数设置如表1所示,其中import命令用于策略的导入,export命令用于策略的导出。
4)各类路由器VRF属性参数策略的设置。各类路由器VRF表中的RT属性值应根据路由器自身的特点进行设定,通过import命令导入到相应路由器成为路由策略。可根据表1所示的图书馆电子资源教育网各参数的特点进行制定RT属性值。
4 MPLS VPN网络性能测试
在完成各个校区图书馆的网络融合之后,课题组对融合后的教育资源网做了如下测试。
1)MPLS VPN网络连接数测试:课题组选用了软件测试工具Loadrunner,并在1秒钟内以测试10次为一个周期,得出组建的MPLS VPN网络模型的最大连接数规律如图6所示。
经分析,融合后的MPLS VPN图书馆教育资源网最大连接数约为600,可满足应用需求。
2)MPLS VPN网络吞吐量测试:课题组选用Windows XP操作系统的PC机,并选用通信速率为10MB/S的普通网卡,测试数据块的大小为110088018Byte,对多校区图书馆教育资源网在改造前传统的IPSec VPN和SSL VPN模式下和改造后MPLS VPN网络的吞吐量进行了测试,测试结果如图7所示。
结合图7所示的实验结果可知,传输测试数据所用的平均时间传统SSL VPN用了270.8秒,傳统IPSec VPN用了174.8秒,改造后MPLS VPN用了144秒。因此,传统SSL VPN的吞吐量是397KB/s;传统IPSec VPN的吞吐量是615.03KB/s;改造后MPLS VPN的吞吐量是746.58KB/s;可满足多校区图书馆教育资源网通信的需求。
5 结 语
MPLS VPN技术以其独有的优势,特别适合多校区图书馆教学资源网络的整合,尤其是高校图书馆教育资源网的融合。我校图书馆教学资源网的改造,在没有增加额外的VPN设备的前提下,通过充分发挥现有网络设备的性能,很好的实现了四个校区图书馆子网的融合,并成功的隔离了非图书馆业务的访问,同时这种网络具有更强的可扩充性。可以预见,MPLS VPN技术必将广泛地用于多网融合,也必将拥有更为广阔的发展空间。
参 考 文 献:
[1] 罗智勇,秦兆伟,孙广路,孙永倩. VPN技术在多校区成人教育平台中的应用[J]. 实验技术与管理,2014, 31(9):129-134.
[2] 罗智勇,多智华,乔佩利. VPN网络中IPSec安全策略的形式化描述[J]. 华中科技大学学报(自然科学版), 2011,39(4): 65-68.
[3] 梁海英,罗琳,于晓鹏. 基于BGP/MPLS VPN技术的跨域校园网仿真分析[J]. 吉林大学学报(信息科学版),2013,2:177-182.
[4] 罗智勇,尤波,苏洁. 基于VPN网络的高校数字化图书馆组建模型研究[J]. 图书馆学研究,2013,1:52-59,35.
[5] 徐聚星. MPLS VPN 技术在高校数字图书馆中的运用[J]. 实验室研究与探索,2012,4:72-75.
[6] 陈家益. MPLS VPN端到端QoS解决方案的应用研究[J]. 计算机科学,2011,10:389-391.
[7] 董元和. 基于MPLS VPN的安全一卡通网络的研究与设计[J]. 湖北师范学院学报(自然科学版),2011, 1:36-39.
[8] 冯国平. MPLS VPN在高校网络中的应用研究[J]. 山西广播电视大学学报,2010,78(9):12-14.
[9] 孙文胜,赵问吉. 基于MPLS VPN的IP承载网保障措施的研究[J]. 杭州电子科技大学学报,2012, 5:120-123.
[10]赵辉,赵璐.多级模糊综合评判在招聘幼儿教师中的应用[J].哈尔滨理工大学学报,2017,(02):90-94.
[11]于翔,李艳波,林连冬等. 一种基于网格的数据流孤立点检测算法[J]. 黑龙江大学自然科学学报,2015, 32(2):276-280.
[12]于翔,印桂生,许宪东等.一种基于区域划分的数据流子空间聚类方法[J]. 计算机研究与发展,2014, 51(1):88-95.
[13]苏洁,刘帅,孙广路,罗智勇.基于信息损失量估计的匿名图构造方法[J].通信学报, 2016, 37(6):56-64.
[14]苏洁,董伟伟,许璇等. 基于DempsterShafer理论的GHSOM入侵检测方法[J]. 通信学报, 2015,36(z1) :60-64.
[15]宋蕾,陈德运,姚玉梅,等.Elman神经网络在ECT系统流型辨识中的应用[J].哈尔滨理工大学学报,2014,(05):103-108.
[16]荣盘祥,曾凡永,黄金杰.数据挖掘中特征选择算法研究[J].哈尔滨理工大学学报,2016,(01):106-109.
[17]张兰勇,耿文杰,刘胜. 基于蚁群算法的多连接查询优化问题研究[J]. 兵器装备工程学报,2016, 37(10):72-79.
[18]方钦. MPLS VPN技术在高校图书馆馆际互联中的研究和应用[J]. 新世纪图书馆,2011,9:76-79.
[19]郭立卿,巫正中,包泽荣. 军事物联网中RFID身份认证协议的设计和仿真[J]. 兵器装备工程学报,2016, 37(11):78-82,86.
[20]杨明,胡冠宇,刘倩.CMAES算法优化网络安全态势预测模型[J].哈尔滨理工大学学报,2017,(02):140-144.
(编辑:王 萍)