劉　渝

〔摘 要〕越來越多的讀者希望通過網(wǎng)絡訪問電子資源,利用VPN(虛擬專用網(wǎng)絡)技術實現(xiàn)讀者在信息資源的遠程訪問,就是一種安全可靠、切實可行的解決方案。本文介紹了VPN技術的基本原理、實現(xiàn)方式和VPN的幾種關鍵技術,并對數(shù)字圖書館建設中常用的幾種VPN技術作了一些探討。

〔關鍵詞〕虛擬專用網(wǎng)(VPN);數(shù)字圖書館;模式

〔中圖分類號〕G250.76 〔文獻標識碼〕B 〔文章編號〕1008-0821(2009)09-0088-03

Application of VPN Technology in Digital LibraryLiu yu

(Hebei University and College Library and Information Work Committee,Baoding 071002,China)

〔Abstract〕More and more readers hope to use electronic resource by internet.It was a safe and practical solution that was found to remote access to the digital resource of university library by using VPN technology.This article introduced the basic principle and realizing method of VPN technology,as well as the important technology of VPN,the arctical also probed into several common use of VPN technology in digital library.

〔Key words〕virtual private network(VPN);digital library;remote access

近年來,隨著網(wǎng)絡技術和網(wǎng)絡應用的迅猛發(fā)展,用戶對專用網(wǎng)絡的需求越來越大,同時面對業(yè)務數(shù)據(jù)流量的不斷增長,用戶對網(wǎng)絡的高性能、高可靠性、靈活性、安全性、經(jīng)濟性和可擴展性等方面提出了更高的要求,使得傳統(tǒng)的基于固定地點的租用專線(DDN、ATM/幀中繼)聯(lián)網(wǎng)方式已難以適應現(xiàn)代業(yè)務對專用網(wǎng)絡的需求,尤其對一些特殊應用更加難以實現(xiàn),如:異地辦公和外出人員訪問內(nèi)部網(wǎng)絡資源等。利用公網(wǎng)的資源來組建虛擬專用網(wǎng)絡(VPN)已成為一種新的選擇,VPN是利用公共網(wǎng)絡建立的一個臨時連接,是對企業(yè)內(nèi)部網(wǎng)的擴展。VPN利用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)僅指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的專用性和安全性。另外VPN可以按照優(yōu)先級分配帶資源,實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預防阻塞的發(fā)生;VPN能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,支持多種類型的傳輸媒介,滿足同時傳輸語音、圖像等應用對高質(zhì)量傳輸以及帶寬增加的需求。

1 VPN技術概述

1.1 VPN的概念

VPN(Virtual Private Network)[1]是一種通過ISP和其它NSP在公網(wǎng)中建立用戶私有專用網(wǎng),通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點到點的專線網(wǎng)絡技術。利用VPN,用戶無需擁有實際的長途數(shù)據(jù)線路,通過Internet公眾數(shù)據(jù)網(wǎng)絡就可虛擬地構(gòu)建一個符合自己需求的專用網(wǎng)絡。

1.2 VPN的工作原理

以Access VPN為例[2],VPN是C/S(客戶端/服務端)模式的結(jié)構(gòu),要實現(xiàn)VPN連接,單位內(nèi)部網(wǎng)絡中須配置一臺基于Windows/NT2000 Server或Windows2003 Server的VPN服務器,VPN服務器內(nèi)置兩塊網(wǎng)卡,一端連接單位內(nèi)部專用網(wǎng)絡,另一端連接到Internet,也就是說VPN服務器必須擁有一個公網(wǎng)IP地址。當客戶機要連接專用網(wǎng)時,首先與ISP的PPP服務器建立連接,PPP服務器再將所有的數(shù)據(jù)傳送到VPN服務器,然后再由VPN服務器進行身份驗證,最后將所有的數(shù)據(jù)傳送到目標計算機。

VPN使用3個方面的技術保證了通信的安全性:隧道協(xié)議、身份驗證和數(shù)據(jù)加密?？蛻魴C向VPN服務器發(fā)出請求,VPN服務器響應請求并向客戶機發(fā)出身份質(zhì)詢,客戶機將加密的響應信息發(fā)送到VPN服務器,VPN服務器根據(jù)用戶數(shù)據(jù)庫檢查該響應。如果賬戶有效,VPN服務器將檢查該用戶是否具有遠程訪問權(quán)限,如果有,VPN服務器接受此連接。在身份驗證過程中產(chǎn)生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密。

1.3 VPN的實現(xiàn)方式

VPN連接方式一般可分為兩類:一是撥號VPN為移動用戶和遠程辦公用戶提供對單位內(nèi)部網(wǎng)的遠程訪問,主要基于PPTP和L2F協(xié)議。這種VPN連接方式先通過普通的撥號(如Modem、ISDN、X?25、虛擬ADSL等)與公用網(wǎng)進行連接,然后再通過VPN專用網(wǎng)絡連接項,輸入目標網(wǎng)絡的IP地址或域名進行連接。二是專線VPN是指企業(yè)已通過專線方式與公網(wǎng)建立了連接,這種連接方式一般都需要有靜態(tài)的IP地址[3]。

無論何種連接方式,都要通過硬件VPN或軟件VPN來實現(xiàn)。硬件VPN可以是具有VPN連接功能的路由器、防火墻、或是專用VPN交換機,如Cisco的VPN Concentrator 3000,北電的Contivity等。軟件VPN是安裝專門VPN軟件或用Microsoft提供的Windows 2000 server自帶的VPN包。

2 數(shù)字圖書館建設中常用的VPN模式

2.1 IPSec VPN模式

IPSec包括安全協(xié)議,及為這些安全協(xié)議協(xié)商安全參數(shù)的密鑰管理協(xié)議。IPSec提供訪問控制、數(shù)據(jù)完整性、身份認證、重放保護、加密以及數(shù)據(jù)流分類加密等服務。IPSec在IP層提供安全服務,它包括兩個安全協(xié)議:AH(報文驗證頭協(xié)議)和ESP(報文安全封裝協(xié)議)。目前國內(nèi)已經(jīng)有不少圖書館采用了或者正嘗試使用VPN技術來解決這個問題,而且大多是采用IPSec VPN技術[4]。利用IPSec技術,校外用戶在本機安裝一個VPN客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡,IPSec VPN中心端會給每個遠程用戶分配一個校園網(wǎng)IP地址,從而實現(xiàn)遠程用戶以校園網(wǎng)用戶身份訪問電子資源。

2.2 SSL VPN模式

IPSec VPN模式[5]有很多優(yōu)點,技術相對成熟與穩(wěn)定,安全性能較好。但也存在一些不足,例如用戶配置比較繁雜、網(wǎng)絡的兼容性較差。相比IPSecVPN來說,SSL VPN模式在以下幾方面做了改進。首先SSL VPN模式操作簡單,它不需要配置,可以立即安裝,立即生效;其次是客戶端不需要安裝,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行;最后是SSL VPN對網(wǎng)絡性能要求較低,兼容性好,適用任何終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館即可。SSL VPN技術采用了一種類似代理性質(zhì)的技術,所有的訪問都是以SSL VPN設備的LAN口的名義發(fā)起的,所以只要SSL VPN設備的LAN IP是一個合法的校園網(wǎng)IP,所有成功接入SSL的校外用戶都可以成功訪問這個SSL VPN設備LAN口所能訪問的資源。IPSec VPN是在兩個局域網(wǎng)之間通過Internet建立的安全連接,保護的是點對點之間的通信。并且,IPSec工作于網(wǎng)絡層,不局限于Web應用。相比IPSec VPN來說,SSL VPN考慮的是應用軟件的安全性,更多應用在Web的遠程安全接入方面;它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡,對終端站點間所有傳輸數(shù)據(jù)進行保護,在安全方面和應用的擴展性方面做得更好。

2.3 L2TP VPN模式

L2TP協(xié)議不僅支持已注冊IP地址,也支持私有IP地址以及IPX,X2.5等多協(xié)議傳輸。L2TP將PPP分組進行隧道封裝并在不同的傳輸媒體上傳輸。這種技術允許不同的網(wǎng)絡場所共享如調(diào)制解調(diào)器、訪問服務器、ISDN路由器等基礎設施。從而將用戶直接撥號訪問服務器與PPP會話的邏輯終點的物理位置分隔。這使得異地訪問和存取數(shù)據(jù)變得極為方便和安全。L2TP定義了一種將PPP分組封裝傳輸?shù)膮f(xié)議。它能邏輯地延伸PPP鏈接,將PPP鏈接的物理終點和邏輯終點相分離,從而使用戶的遠程訪問能利用PPP成熟的鑒別、授權(quán)和審計等功能,但L2TP的安全性較差。而IPSec VPN模式則有一套強而靈活的IP層安全機制,能對IP數(shù)據(jù)流進行完整性、機密性、防重放攻擊等的保護,也能靈活地提供控制的連接級、數(shù)據(jù)的分組級源鑒別。但是IPSec VPN仍然存在一些需要解決的問題,如多協(xié)議封裝、用戶級身份鑒別等。數(shù)字圖書館在使用VPN過程中,也可以將L2TP和IPSec相結(jié)合使用,利用IPSec彌補L2TP的安全方面的不足,同時又利用L2TP來彌補IPSec在多協(xié)議封裝、用戶級身份鑒別、授權(quán)等方面的不足。

2.4 MPLS VPN模式

MPLS(Multiprotocol Label Switch,多協(xié)議標簽交換),集成了IP路由技術的靈活性和二層交換的簡捷性,在面向無連接的IP網(wǎng)絡中增加了MPLS這種面向連接的屬性。MPLS可以看做是一種面向連接的技術。MPLS VPN是一種基于MPLS技術的VPN,是在網(wǎng)絡路由和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(IPVPN)。在MPLS VPN模式中,根據(jù)PE(Provider Edge)設備是否參與VPN路由又可分為二層VPN和三層VPN。從整體來說MPLS VPN還是在發(fā)展和成型階段[6]。其中三層MPLS BGP VPN相對來說比較成熟。在數(shù)字圖書館建設中,MPLS VPN具有很多優(yōu)點,例如組建網(wǎng)絡簡單易行、管理和維護成本低、用戶點多、速度快。通過MPLS VPN模式,用戶端設備可以采用普通路由器,甚至是帶簡單路由功能的交換機,然后租用運營商相應速率的VPN端口,就可享用互聯(lián)網(wǎng)巨大的帶寬和高速轉(zhuǎn)發(fā)能力。它以較低的價格,充分利用路由器的快速轉(zhuǎn)發(fā)能力和巨大的傳輸帶寬,滿足用戶較高帶寬的應用要求,如視頻、話音與數(shù)據(jù)的一體化傳輸。

3 組建圖書館VPN

校園網(wǎng)內(nèi)用戶可直接訪問圖書館局域網(wǎng)內(nèi)的各種數(shù)字資源,為使校園網(wǎng)用戶在校外也能方便地檢索到圖書館數(shù)字資源,需在校園網(wǎng)內(nèi)建立一個VPN服務器,授權(quán)用戶可通過它從校外訪問圖書館內(nèi)部資源,并通過適當?shù)脑L問策略配置,以保證網(wǎng)絡安全。以使用WindowsXP建立VPN服務器為例[7]。

3.1 配置VPN服務器

首先點擊“開始”→“程序”→“附件”→“通訊”→新建連接向?qū)Ш?選擇“設置高級連接”。在隨后彈出的對話框中選擇“接受傳入的連接”。接著系統(tǒng)會詢問是否使用并口設備,此時應當選擇跳過,因為我們并非通過并口直連這種落后的慢速方式。下一步是最關鍵的部分,此時須選擇“允許虛擬專用連接”。如果未選擇這一步,整個VPN配置將會被取消。接下來直接按“下一步”,完成撥入連接的創(chuàng)建,其它具體的設置可在創(chuàng)建工作完成后進行。當上述的步驟順利完成之后,WindowsXP系統(tǒng)中就會生成一個遠程控制報務器虛擬網(wǎng)絡適配器,在“網(wǎng)絡鄰居”的屬性中有一個“傳入的連接”,它用于處理VPN的連接和IP地址的分配。在“傳入的連接”屬性中有“常規(guī)”、“用戶”和“網(wǎng)絡”3個選項卡?！俺Ｒ?guī)”選項卡中可設置這臺服務器在VPN服務中擔當?shù)慕巧?只按默認即可。在“用戶”選項卡中,管理員可以對使用VPN的用戶進行權(quán)限的分配和相應的設置,用戶可根據(jù)具體的實際使用情況來選擇。在“網(wǎng)絡”選項卡的“Internet協(xié)議(TCP/IP)”的屬性中可設置服務器分配給遠程客戶的IP地址,如選擇“用DHCP自動指派TCP/IP地址”,則遠程客戶的IP地址由服務器的DHCP服務自動分配,但要求服務器已安裝了DHCP服務。

3.2 賦予用戶權(quán)限

在默認狀態(tài)下,任何用戶都會被拒絕撥入到VPN服務器,因此,在設置好VPN服務器后還必須進行賦權(quán)操作,通過遠程訪問策略的設定,可根據(jù)用戶的不同特征分配不同的權(quán)限。如果要給一個用戶賦予撥入到此服務器的權(quán)限,只需在用戶管理器中,選中所要的用戶后,單擊右鍵→屬性,在該用戶屬性窗口中選擇“撥入”項,然后點擊“允許訪問”項,再確定,即可完成賦予此用戶撥入權(quán)限的工作。

3.3 設置VPN客戶端

遠程用戶在與VPN服務器連接之前,需先對VPN客戶端軟件進行配置。對于Window2000/xp,首先進入“新建連接”的界面,在“網(wǎng)絡類型選擇”中選擇“連接到我的工作場所的網(wǎng)絡”或“通過Internet連接到專用網(wǎng)絡”,隨后選擇“虛擬私人網(wǎng)絡連接”,在出現(xiàn)的登錄界面或“目標地址”中輸入VPN服務器的公網(wǎng)IP地址,并為該連接取個易理解的名稱,至此,客戶端的配置就已完成。

3.4 通過VPN連接訪問圖書館

建立VPN連接后,就相當于在Internet建立了一個雙方專用的虛擬通道。遠程用戶首先連入Internet,再用前面創(chuàng)建的連接進行連接,連接時用到的用戶名、密碼和撥入屬性就是VPN服務器上事先設置的內(nèi)容。連接成功后,遠程用戶被分配到校內(nèi)圖書館私有IP地址,也就相當于遠程用戶成了圖書館專用網(wǎng)里的用戶,可像在校內(nèi)一樣訪問圖書館的各項電子資源,這樣的訪問是雙方專用的,且具有很好的保密性能。

VPN技術代表了當今網(wǎng)絡發(fā)展的最新趨勢,它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡性能的優(yōu)點(安全和QOS)和共享數(shù)據(jù)網(wǎng)絡結(jié)構(gòu)的優(yōu)點(簡單和低成本),能夠提供遠程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設與維護費用比專線網(wǎng)絡要低得多。而且,VPN在降低成本的同時滿足了對網(wǎng)絡帶寬、接入和服務不斷增加的需求。根據(jù)Infonetice Research公司調(diào)查數(shù)據(jù)表明,用VPN替代租用線路來連接遠程站點可節(jié)約20%~47%的開支,這種經(jīng)濟、安全和靈活的技術,在國外圖書館已經(jīng)逐步普及。在國內(nèi),一些高校圖書館也開始應用VPN技術實現(xiàn)多校區(qū)圖書館互聯(lián)和開展一些遠程文獻信息服務。VPN技術在高校圖書館的應用,必將提高圖書館利用效率,為圖書館的遠程文獻信息服務打開新局面,尤其為多校區(qū)圖書館之間資源的共享提供安全、高效、經(jīng)濟的網(wǎng)絡傳輸和數(shù)據(jù)訪問途徑。隨著VPN技術的日益成熟,它將在圖書館得到更為廣泛的應用。

參考文獻

[1]江先斌.VPN技術在圖書館中的應用[J].福建電腦,2004,(9):28.

[2]曾巧紅.VPN技術在高校圖書館的應用[J].情報學報,2005,(6):53.

[3]魏華.VPN技術在圖書館遠程訪問中的應用[J].現(xiàn)代情報,2006,(1):41.

[4]王朗.利用VPN技術實現(xiàn)合并圖書館分館互聯(lián)[J].現(xiàn)代圖書情報技術,2004,(5):24.

[5]趙麗萍.虛擬專用網(wǎng)VPN在圖書館資源共享中的應用[J].現(xiàn)代圖書情報技術,2005,(2):38.

[6]周喜,等.VPN現(xiàn)狀與在網(wǎng)區(qū)中的部署分析[J].計算機應用研究,2003,(2):105.

[7]石百千.基于WinXP系統(tǒng)的VPN技術在圖書館中的應用[J].大學圖書情報學刊,2006,(4):37.