数字图书馆推广工程虚拟网建设实践
——以宁夏图书馆为例

孙 戈

(宁夏图书馆，宁夏 银川 750001)

1 数字图书馆推广工程虚拟网建设背景

为进一步加快我国公共图书馆在数字图书馆建设的步伐，2011年5月,文化部(现文化和旅游部，下同)、财政部联合下发《财政部、文化部关于实施“数字图书馆推广工程”的通知》文件(以下简称“推广工程”),在“十二五”期间开始实施数字图书馆推广工程，以提高公共图书馆的公共数字文化服务能力和体系建设。2015年推广工程积极推动虚拟专网建设，全国各省级公共图书馆先后接入SDH 155M虚拟专网，实现了与国家图书馆点对点方式的互联。为了形成一个更加完善的网络服务体系扩大公共数字文化服务覆盖面，2016年推广工程开始在全国各省实施基层图书馆互联互通建设，将基层图书馆接入推广工程虚拟专网，从而形成了以国家图书馆为核心、省级图书馆为主要节点、市县级图书馆为接入点的更为完善的网络服务体系。推广工程通过联通遍布全国的强大传输网络，实现数字图书馆间数据的高速传输，打通推广工程资源服务的“最后一公里”，从整体上提升全国公共图书馆的公共数字服务能力。

2 宁夏地区虚拟网建设面临的问题

2.1 宁夏各级公共图书馆网络基础设施建设差异较大

宁夏现有各级公共图书馆26个，其中省级图书馆1个、市级图书馆4个、区县级图书馆21个。宁夏图书馆新馆于2008年建成，网络基础设施经过多年的升级改造，现已建成万兆主干、桌面千兆的星型局域网络，网络出口有300M电信光纤主线路用于馆内办公及部分业务访问互联网，100M电信光纤备线路用于提供主线路的冗余和部分业务访问互联网，300M中国移动光纤线路用于馆内无线访问互联网，所有线路通过链路负载均衡设备实现网络的智能化流量管理，达到最佳的负载均衡需求。网络安全设备有出口防火墙、IPS入侵防御系统、服务器防火墙、WEB应用防护系统、上网行为管理等设备。

全区4个市级馆网络出口带宽多为100M～200M，网络安全防护设备都配备了防火墙及上网行为管理等设备；21个区县级图书馆网络出口带宽多为100M，部分县级图书馆由于经费问题网络与文化局、文化馆等其他单位共用且缺少防火墙等网络安全防护设备。根据调研分析得知，省内各级公共图书馆互联网出口带宽及网络信息安全保障方面有较大差异，软硬件基础设施、网络配置各不相同。

2.2 原有虚拟网实用性较差

2008年宁夏图书馆通过10M电信MPLS VPN与全区21家公共图书馆实现了虚拟网连接，打通了资源共享的渠道，后将电信MPLS提速至50M，2013年宁夏图书馆完成与国家图书馆155M虚拟网的连接。多年来原有MPLS VPN虚拟网线路租赁费用全部由宁夏图书馆承担，经费压力过大，50M MPLS VPN线路网速已无法满足图书馆应用需求，导致很多图书馆不再使用或使用率很低。提速至100M以上速率所需要的经费更加高昂。

此外，虚拟网上传输的数据主要是各类数字资源、应用系统业务数据，特别是数字资源数据格式种类较多，对网络的带宽和稳定性、传输效率等要求较高，尤其是要保证应用系统业务数据在传输过程中的安全性，因此需要一个更加稳定、高效、经济、易于拓展、适应性强的虚拟网环境来代替原来的虚拟网。

2.3 虚拟网技术的复杂多样性

VPN(Virtual Private Network)即虚拟专用网络，是在公共网络上为用户建立点到点的虚拟专用网络技术,具备 Internet 接入的便捷性和专线的安全性，并且价格适中投入产出比较高，已经成为系统安全接入和总部-分支组网方案的最佳选择。目前较为常用的有MPLS VPN、SSL VPN、IPsec VPN。

MPLS VPN技术吸收了ATM交换技术和IP路由技术的优点，利用在网络运营商骨干网与用户节点的路由和交换设备上应用MPLS技术提供类似于虚电路的标签交换业务来实现IP虚拟专用网络。MPLS VPN优点在于隧道传输速度快、IP资源利用率高、具有多种QoS保证措施，适用于传输数据、语音、视频等综合业务。但在安全性方面MPLS VPN主要通过地址、路由隔离，隐藏信息等方式，对网络中存在的欺骗信息进行标记，并抵抗不安全因素的各种攻击，但对传递的数据本身并不提供加密的防护手段。在经济性方面MPLS VPN的线路租赁费较高，相当于租赁了专线。

SSL VPN采用应用层协议即第四层隧道协议中典型的SSL协议，它利用公用网络将应用层的数据经过严格的控制、加密、封装后再通过传输层进行运输。SSL VPN连接需要通过认定的口令密码进行认证，提供本地认证、服务端认证、证书挑战等多种身份认证方式，使用者通过客户端认定的口令密码进行认证建立的SSL连接，通过web浏览器客户端访问内网的资源，安全性较好。SSL VPN 组网方式比较简单，只需要在网络中心节点配置一台SSL VPN网关设备即可实现远程接入访问。虽然SSLVPN经济性、安全性较好，但是在响应速度上无法满足高效运行要求，网络质量难以保证，同时对Windows应用及新的或功能复杂的Web浏览器只能提供有限的技术支持。

IPsec VPN采用IPsec协议三层隧道加密技术建立网络层的VPN，IPsec的核心是在IP层对原始数据包添加IPsec头部来实现对原始数据包的加密、完整性和源IP认证，可实现隧道模式和传输模式两种传输模式并且提供线路冗余机制，可以说IPsec协议是目前最为安全的VPN协议。此外IPsec对IP协议支持的比较全面，对基础网络的要求低，部署IPsec VPN 网络简单易实现且建网费用低，只需要在两个网络的出口位置部署具有IPsec VPN功能的设备即可，但在组网中需要解决好穿越防火墙及IP地址冲突的问题。

3 虚拟网组网构建

3.1 VPN技术选择

从VPN技术类型分析可以看出，SSL VPN主要是面向个人到站点的远程接入技术，仅限于B/S结构(浏览器/服务器)的Web浏览器应用，对C/S结构(客户/服务器)非Web页面的支持不够，很多非Web页面文件访问往往要借助于应用转换才能实现，且对应用的响应速度较慢，这些都导致其不适合组网需求；MPLS VPN虽然能满足中心到分支节点的连接，并且可以提供QoS保证，但是MPLS VPN往往受到单一网络运营商的限制，跨运营商连接效果不好，用户配置网络不够灵活，线路租赁费用较高，从长远角度经济实用性上不适用于组网要求；IPsec作为当前主流的VPN协议，技术比较完善、系统稳定性较高，在保证数据安全的同时可提供链路冗余机制保障链路和设备的可靠性，经济性上只需要在各图书馆原有网络中部署一台具有IPsec VPN功能的设备即可建立点到点的虚拟网，接入方式灵活多样，网络可管理性强，尤其是对技术力量薄弱的基层图书馆可实现设备“零管理”。只要解决好防火墙穿越技术问题规划好IP地址便可完成整体虚拟网的组建，使其成为搭建虚拟网的最佳技术选择。

3.2 虚拟网络架构

利用各图书馆原有互联网链路，通过在网络出口部署具有IPsec VPN功能的防火墙设备组建各个基层图书馆到宁夏图书馆及国家图书馆的虚拟网络，国家图书馆作为总部节点，宁夏图书馆作为省级网络中心节点，各基层图书馆作为分支节点。同时防火墙可提供对病毒、木马、终端漏洞、Web入侵等各种L2-L7层威胁的检测、防护全面提升网络安全性。虚拟网络构架如图1所示。

3.3 IP地址规划及NAT转换

国家图书馆对全国省级图书馆的虚拟网IP地址进行了规划，为避免地址段冲突以及保证每个馆有足够IP数量，虚拟专网地址段使用10. 100. 0. 0 /16 - 10. 254. 0. 0 /16的地址段，其中每个省级馆分配10. 100. 0. 0 /16 - 10. 134. 0. 0 /16中的一个B类地址段，宁夏图书馆IP地址段为10.131.0.0/24。宁夏图书馆规划本地区的IP地址段为：宁夏图书馆使用192.168.0.0-192.168.99.254地址段，市县区级馆IP地址段设定为192.168.100.0-192.168.140.254中的一个C类地址。

NAT(Network Address Translation)中文意思“网络地址转换”，它是一种把内部私有网络地址翻译成合法网络IP地址的技术。为了正常访问虚拟网上的资源，需要把宁夏图书馆内网IP 地址通过NAT转换为所分配的虚拟网地址。进行NAT地址转换的设备为宁夏图书馆与国家图书馆虚拟网连接设备华为AR2220路由器，具体方法为：①配置NAT地址池：nat address-group 1 10.131.1.10 10.131.1.30 ；②配置ACL：acl number 3001， rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255；③在路由出口应用ACL：nat outbound 3001 address-group 1，即可实现192.168.0.0/16的源地址通过NAT地址池中的地址进行动态转换。

4 虚拟网组网实践

4.1 基层图书馆与宁夏图书馆的VPN连接

宁夏图书馆与基层图书馆在网络出口处各部署一台具有IPsec VPN功能的防火墙，均采用网关模式进行网络互联。本次实例中宁夏图书馆使用的设备为深信服VPN-6050网关，基层图书馆使用的设备为深信服AF-1000-c600防火墙，配置界面均采用WEB界面，具体配置信息如下。

4.1.1 配置基层图书馆防火墙IPsec功能

①配置新建连接，输入总部IPsec主隧道链接地址119.60.8.226:4009和备用隧道链接地址120.253.25.214:4009。②输入总部分配的用户账号信息xqxx和密码XXX，传输协议选择TCP，加密算法采用AES。③配置VPN接口，使用系统自动分配的VPN接口虚拟IP地址：143.255.18.138/32。④配置本地子网，添加宁夏图书馆为该基层图书馆规划的虚拟网地址段：192.168.130.0/24。

4.1.2 配置宁夏图书馆IPsec网关设备

①配置IPsec主隧道链接地址119.60.8.226:4009和备用隧道链接地址120.253.25.214:4009。②建立该基层图书馆的连接账号xqxx和连接密码xxx。③配置VPN接口，使用系统自动分配的VPN接口虚拟IP地址：55.50.84.171/32。④配置容许该基层图书馆访问的地址段如：宁夏图书馆服务器网段(192.168.x.0/24),国家图书馆网段(10.100.x.0/16)。⑤查看IPsec运行状态显示已有数据流量，说明IPsec隧道连接成功。

4.2 宁夏图书馆与国家图书馆的VPN连接

宁夏图书馆通过一台华为AR2220路由器与国家图书馆进行虚拟网互联。配置举例如下。

4.2.1 配置访问控制列表

acl number 3001

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255

4.2.2 配置NAT地址池

nat address-group 1 10.131.1.10 10.131.1.30

4.2.3 配置acl策略应用到路由器出口

interface Pos6/0/0

link-protocol ppp

ip address 11.0.0.38 255.255.255.252

nat outbound 3001 address-group 1

4.2.4 配置路由

ip route-static 0.0.0.0 0.0.0.0 11.0.0.37//缺省路由指向国家图书馆

ip route-static 192.168.0.0 255.255.0.0 10.131.254.253//路由指向下连宁夏图书馆网络设备

4.3 连通效果

4.3.1 基层图书馆网络连通性测试

从基层图书馆PC(192.168.130.1)ping宁夏图书馆内部服务器地址(192.168.1.17)可ping通，ping国家图书馆资源服务器地址(10.100.2.2)可ping通，tracert两个服务器地址路由结果正常。

4.3.2 宁夏图书馆到国家图书馆网络连通性测试

从宁夏图书馆pc(192.168.10.1)ping国家图书馆资源服务器地址(10.100.2.2)可ping通,tracert服务器地址路由结果正常。

4.3.3 对数字资源的访问测试

从基层图书馆及宁夏图书馆任意pc访问推广工程资源库群中的资源，访问链http://10.100.2.2:82/refbook/可直接访问使用，同时基层图书馆任意PC也可直接访问使用宁夏图书馆数字资源，访问链http://192.168.1.25:8080/，达到了虚拟网的使用效果。

5 结束语

由于MPLS VPN高额的线路租赁费，近年来宁夏图书馆借助推广工程基层图书馆互连互通项目的实施逐步将原有MPLS VPN替换为IPsec VPN。总之，虚拟网建设是推广工程基础性建设之一，通过虚拟网促进了图书馆间资源与服务的全面共建共享，促进了图书馆数字资源建设和服务模式的多样化发展，使得读者能享受到更加方便、快捷的数字图书馆服务。