多出口校园网的高校图书馆资源远程访问构建研究

缪元照 刘基昌 刘志南

摘  要： 利用锐捷EG2000多功能出口网关作为VPN设备，采用SSL VPN技术，在天津美术学院完成了连接CERNET、联通、电信、移动等四家运营商的多出口校园网络，实现统一身份认证的图书馆资源远程访问系统，使用户在校内、校外享有同样的访问权限，提高了图书馆电子资源利用效率。

关键词： VPN; 远程访问; 校园网; SSL VPN; EG2000出口网关

Abstract： Using Ruijie EG2000 multi-functional export gateway as the VPN device， with SSL VPN technology， a multi-export campus network connecting to four operators of CERNET， Unicom， China Telecom and China Mobile etc. are completed in Tianjin Academy of fine arts， and the library resource remote access system with unified identity authentication is realized. In the network， the users inside and/or outside the school have the same access rights， which improves the utilization efficiency of library electronic resources.

Key words： VPN; remote access; campus network; SSL VPN; EG2000 export gateway

0 引言

由于数字图书馆是有版权保护的，高校图书馆所购买的电子资源一般限制访问的IP地址范围，仅限校园网可以访问。读者在校园网外访问图书馆购买的电子资源，会出现未授权无法访问的问题。

为了解决图书馆电子资源远程访问的问题，VPN技术在图书馆被广泛使用，华南师范大学2007年就使用Sinfor M5100专业VPN，与图书集成系统进行集成[1]。图书馆电子资源远程访问也尝试过很多使用开源系统或者操作系统自带VPN的解决方案[2-5]。天津图书馆使用以IPsec VPN组建多级节点虚拟专网实现图书馆数字资源异地共享应用[6]，天津理工大学采用Web Driver技术对图书馆VPN账号进行自动审核[7]，VPN在图书馆电子资源远程访问的探索与实践一直在深入进行。

本文就多出口校园网环境下的高校图书馆资源远程访问系统的构建和实施进行了探讨，以解决远程访问速度慢、体验差的问题。

1 多出口网络环境下的高校图书馆资源远程访问建设需求

天津市高等教育文献信息中心采用江苏易安联的ENLINK建设了专业VPN系统， 2010年开始为天津市高校用户提供服务，提供教育网和电信网接入。但是教育网、电信和其他ISP的互联存在瓶颈，可能严重影响用户使用体验。全国美院只有天津美术学院和广州美术学院分别利用ENLINK和RasDL系统，实现了电子资源的校外访问[8]。

为了满足师生在校外访问、下载CNKI论文，天津美术学院图书馆提供了临时的用户名、密码方式CNKI网站下载资源的方式，但仅限于CNKI资源，且用户名、密码方式存在泄露风险和并发用户量的限制。

美术院校师生美术作品创作的要求高于科研的要求，自建的特色数据库在师生的美术创作中显得格外重要，自建的特色数据库资源来自于馆藏的精品画、精品复制画、古籍、拓片、名师作品等，其出版著作权的问题极为敏感[8]。天津美术学院图书馆拥有馆藏古籍资料、美术作品、精品素材等自建数据资源，拥有以雅昌艺术书城、皮影数字博物馆、安博视频资源、美术类区域图书馆等为代表的本校资源，即使登录ENLINK系统后，在正常使用中也會存在问题。

多出口校园网环境下，图书馆电子资源远程访问系统构建应该实现以下目标。

⑴ 读者在校外能够流畅使用图书馆电子资源，特别是高清图片、音视频数字资源，多出口校园网环境下，应该在各ISP线路中均能够提供远程访问。

⑵ 用户在校外使用远程访问系统，应该遵循最小干预原则，就目前来说SSL VPN技术是首选。

⑶ 用户在校外使用远程访问系统能够获取在校内相同的资源使用权限，用户使用与在校园网类似的认证方式来登录远程访问系统。

⑷ 远程访问系统应该在校园网和图书馆的整体安全防护策略之内，系统本身要有抵御来校园网内外攻击的能力，应该具有高并发连接处理能力，能够提供足够的并发用户数。

⑸ 远程访问系统应该能够查询登录日志，回溯上网日志。需要预留短信和用户名、密码双因子认证的能力，满足系统等级保护的基本要求，用户认证使用的数据库避免用户隐私泄露，通过校园网认证系统或者是图书馆集成系统进行认证为佳。多运营商联合运营模式下，多采用BARS认证模式[9]，远程访问系统认证需要能够和各运营商BARS设备无缝整合。

2 校园网多出口网络环境下的高校图书馆资源远程访问架构

天津美术学院校园网使用两台锐捷RG-N18010交换机虚拟核心交换机，山石SG6000-T-5防火墙作为边界安全及路由设备，出口拥有CERNET、联通、电信、移动四个运营商的网络连接。

原校园网出口边界路由设备锐捷EG2000多功能出口网关作为VPN设备，将EG2000部署为VPN网关，和锐捷RG-N18010交换机使用端口聚合连接，用户认证使用校园网用户认证系统，锐捷的SAM+系统完成，用户名和密码与在校园网上网时使用的用户名和密码完全一致，VPN网关需要在CERNET、联通、电信、移动四个运营商的线路上发布服务，本系统利用校园网现有设备和资源来建设。设备连接如图1所示，为了方便表述，简化为一台核心交换机，省略了数据中心交换机。所有公网的IP地址一律用192.168.地址代表，配置如下：

2.1 山石SG6000-T-5防火墙相关配置[10]

SSL VPN启用SSL端口复用使用TCP 443端口，启用端口复用配置。在出口防火墙将EG2000的地址10.2.1.1分别转换为CERNET、联通、电信、移动的远程访问地址，配置如下，策略4、5、6、7分别对应CERNET、联通、电信、移动出口策略：

在远程访问系统的网页中，需要检测访问者来源IP地址，并且根据IP来源的ISP给出建议选择的地址链接，以方便读者在校外选择最适当的地址拨入访问EG2000的VPN系统。

2.2 锐捷RG-N18010核心交换机相关配置[11]

两台锐捷RG-N18010交换机做虚拟化，核心交换机与防火墙之间用两路万兆光口做端口聚合连接，核心交换机与EG2000之间也做端口聚合连接，以核心交换机与校园网边界防火墙之间的连接配置为例，说明如下：

RG-N18010交换机还需要进行VPN用户相关VLAN与IP地址的设置，并且启用安全配置，校园网内部有线及无线用户将不能访问EG2000的VPN接口，EG2000的VPN仅提供校外用户使用。

2.3 锐捷EG2000多功能出口网关相关配置[12]

按照图1所示拓扑结构，启用EG2000为SSL VPN网关，最主要的是配置SSL VPN通道和Radius认证服务器指向，配置如下：

配置了如果用户连续输入同个账户的密码错误5次后，该账号会暂时被锁定5分钟的功能，提高了安全性。EG2000支持做短信和用户名、密码双因子认证，由于短信包的费用问题，暂未启用。

在EG2000配置Radius认证服务器指向，本文Radius服务器为校园网认证计费的SAM+系统，启用EG2000的radius认证配置如下：

天津美术学院SAM+开户不足6000账户，EG2000设置并发账户请求是20480，这个配置完全能够满足SSL VPN校外拨入需求。

2.4 锐捷SAM+相关配置[13]

天津美术学院校园网采用锐捷SAM+作为认证计费系统，校园网有线、无线以及远程访问SSL VPN系统均使用SAM+作为Radius认证服务器。SAM+系统由PORTAL服务器提供PORTAL自助服务系统。SAM+用户按照身份进行分组，享有不同的权限。SAM+支持作为Radius认证服务器与主流BARS设备集成以及实现网络扁平化，简化运维。

3 结果与讨论

采用原校园网边界路由锐捷EG2000多功能出口网关作为VPN设备，构建了面向CERNET、联通、电信、移动四个运营商的网络线路的远程访问系统。用户可以根据提示或者明确自己的网络ISP来选择拨入IP地址，用户在校外网络认证与使用校园网认证的用户名和密码完全一致，SAM+记录所有认证的日志并备查。本文所述的电子资源远程访问系统比传统的远程访问系统明显提高了访问速度，同时与校园网完全一致的认证方式和访问权限，也提升了读者用户的使用效果和感受。

部分高校的学生宿舍区会采用网络开放给运营商去运营的模式，如果选择支持代拨功能的网络设备作为BARS设备，在BRAC模式中，用户认证依旧可以在SAM+完成[14]。

本文基于CERNET、联通、电信、移动四个运营商的校园网线路的电子资源远程访问系统，预留了BARS设备认证的能力，也可以做短信和用户名、密码双因子认证，这个尝试对于中小型高校图书馆建设具有一定的普遍性意义。，图书馆电子资源如何与智慧校园深入融合，远程访问系统如何与智慧校园的安全性和可用性进行完美结合，还有待实践与探索。

参考文献（References）：

[1] 曾巧红，徐文贤，林绮屏.基于SSL VPN的图书馆远程访问系统的构建[J].情报科学，2007.10：1520-1524

[2] 刘卫国，楼佳.VPN技术在高校图书馆的应用[J].图书馆工作与研究，2007.6：39-41

[3] 王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].图书馆学研究，2006.5：30-32

[4] 叶新明，陈光锋.校外访问代理软件的分析与比资源技术综较[J].现代图书情报技术，2006.1：83-85

[5] 徐忻.利用开源软件实现基于SSL VPN的图书馆远程访问[J].现代情报，2009.29（4）：160-163

[6] 张强.IPsec VPN技术在数字图书馆推广工程建设中的应用——以天津图书馆为例[J].图书馆工作与研究，2015.11：41-44

[7] 侯志江.借助WebDriver技术实现图书馆Web业务操作自动化——以VPN账号申请的自动审核为例[J].新世纪图书馆，2018.2：62-64，93

[8] 孔凡敏.美术院校图书馆数字资源校外访问方式的研究[J].湖北美术学院学报，2017.2：78-81

[9] 杨传斌，陈龙飞，谭晓晓.多出口校园网中图书馆数字资源访问统一出口的方法[J].图书馆学研究，2019.15：9-13

[10] 北京山石网科.Stone OS手册5.5R7[EB/OL].https：//docs.hillstonenet.com/cn/Content/PDF%20Downloads.htm#T.2019-11-04.

[11] 北京星網锐捷网络技术有限公司.RG-N18000系列交换机RGOS11.0（4）B103版本命令手册（V1.0）[EB/OL].http：//www.ruijie.com.cn/fw/wd/84462/，2019-11-04.

[12] 北京星网锐捷网络技术有限公司.锐捷网关EG2000及EG3000系列产品实施一本通（V6.6）[EB/OL].http：//www.ruijie.com.cn/fw/qdwd/57766/，2019-11-04.

[13] 北京星网锐捷网络技术有限公司RG-SAM+安全计费管理系统产品实施一本通（V5.3）[EB/OL].http：//www.ruijie.com.cn/fw/qdwd/57562/，2019-11-04.

[14]  北京星网锐捷网络技术有限公司. RG-RSR77-X&RSR-M系列路由器RGOS 10.4（3b96）版本命令手册（V1.3）[EB/OL].http：//www.ruijie.com.cn/fw/wd/82186/，2019-11-04.