董一爽

摘要：圖書館是現(xiàn)代學(xué)校的重要組成部分，有效管理學(xué)校圖書館，可使其為全校師生提供更好的服務(wù)，從而提高教學(xué)效果，為此，需構(gòu)建較好的圖書館資源遠(yuǎn)程訪問系統(tǒng)。文章分析了高校圖書館資源遠(yuǎn)程訪問系統(tǒng)的建設(shè)需求，設(shè)計(jì)了基于多出口校園網(wǎng)的高校圖書館資源遠(yuǎn)程訪問系統(tǒng)，系統(tǒng)為存儲(chǔ)-轉(zhuǎn)發(fā)方式，其中背板寬帶32 Tbps/64 Tbps、包轉(zhuǎn)發(fā)率57 600 Mpps、模塊數(shù)量為10個(gè)的交換機(jī)，為進(jìn)一步提升高校圖書館管理效果提供了支持。

關(guān)鍵詞：多出口校園網(wǎng)；高校圖書館；資源遠(yuǎn)程訪問系統(tǒng)

中圖分類號：TP311 ?文獻(xiàn)標(biāo)志碼：A

0 引言

科學(xué)技術(shù)迅猛發(fā)展的今天，各高校紛紛建設(shè)了數(shù)字圖書館。數(shù)字圖書館的所有數(shù)字圖書有一定的權(quán)限要求，限制了數(shù)字圖書館的使用范圍，要求是處于校園網(wǎng)內(nèi)的用戶，而處于校園網(wǎng)外的用戶登錄系統(tǒng)時(shí)會(huì)收到“未授權(quán)”的提示［1］。當(dāng)學(xué)生與教師不在校園時(shí)，例如節(jié)假日，則無法順利進(jìn)入校園數(shù)字圖書館，難以獲取圖書館中的資料與信息。為解決這一問題，學(xué)校要以多出口校園網(wǎng)為核心，開發(fā)性能良好且功能健全的圖書館資源遠(yuǎn)程訪問系統(tǒng)，確保學(xué)生或教師可以在校外登錄數(shù)字圖書館以獲得需要的資料信息，為更好地進(jìn)行自主學(xué)習(xí)打下良好基礎(chǔ)［2］。因此，研究多出口校園網(wǎng)的高校圖書館資源遠(yuǎn)程訪問系統(tǒng)具有重要的意義，促使現(xiàn)代學(xué)校數(shù)字圖書館為學(xué)生與教師提供更好的遠(yuǎn)程服務(wù)。

1 虛擬專用網(wǎng)絡(luò)

現(xiàn)代社會(huì)迅猛發(fā)展的今天，組網(wǎng)技術(shù)更加成熟與完善，逐漸出現(xiàn)了更加先進(jìn)的組網(wǎng)技術(shù)。虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）是其中應(yīng)用較為廣泛的一種，通過共享通信基礎(chǔ)設(shè)施為用戶提供指定的網(wǎng)絡(luò)連接，本質(zhì)上可將其看成從公共網(wǎng)絡(luò)中將私有與專用網(wǎng)絡(luò)進(jìn)行隔離的模式。智慧校園圖書館建設(shè)時(shí)，通過VPN的應(yīng)用，能夠構(gòu)建一條校內(nèi)網(wǎng)與校外網(wǎng)的連接通道，在保證校外用戶正常登錄系統(tǒng)的同時(shí)，可以有效提升校園內(nèi)部網(wǎng)絡(luò)的安全性，防止校園網(wǎng)數(shù)據(jù)信息的泄露，從而對學(xué)校及師生造成不好的影響。現(xiàn)代通信領(lǐng)域，VPN通常包含3種連接方式，分別為遠(yuǎn)程接入VPN、內(nèi)聯(lián)網(wǎng)VPN與外聯(lián)網(wǎng)VPN。智慧校園圖書館建設(shè)采用的是遠(yuǎn)程接入VPN，其主要原理為：智慧校園圖書館內(nèi)設(shè)置了相應(yīng)的共享策略，用戶在校外申請登錄智慧校園圖書館時(shí)，可自動(dòng)向智慧校園圖書館提供共享策略，通過驗(yàn)證后會(huì)自動(dòng)形成一條安全隧道，使校外用戶可以隨時(shí)隨地通過Modem，ISDN，ADSL等途徑自動(dòng)登錄智慧校園圖書館，并隨意獲取圖書資料。

2 基于多出口校園網(wǎng)的高校圖書館資源遠(yuǎn)程訪問系統(tǒng)的需求分析

2.1 某高校數(shù)字圖書館建設(shè)現(xiàn)狀

某高校很早就重視數(shù)字圖書館的建設(shè)，并利用VPN技術(shù)等原理開發(fā)了功能相對較為健全的數(shù)字圖書館，學(xué)生可通過學(xué)生證編號及相應(yīng)的密碼登錄到該系統(tǒng)內(nèi)，以獲得所需要的資料信息。同時(shí)，為了使數(shù)字圖書館為師生提供更好的服務(wù)，確保師生即使處于校園網(wǎng)外，依然可登錄數(shù)字圖書館，并下載圖書館中的資料文獻(xiàn)，還提供了臨時(shí)的用戶名與密碼。但對該方式進(jìn)行深入研究發(fā)現(xiàn)，其中依然存在明顯的缺陷，主要體現(xiàn)在兩個(gè)方面，一方面是臨時(shí)用戶名與密碼的安全性較低，很容易出現(xiàn)泄露的風(fēng)險(xiǎn)；另一方面，同一個(gè)臨時(shí)用戶名無法由多名師生同時(shí)共同使用，這對數(shù)字圖書館的使用造成了干擾，難以向師生提供最佳的資源遠(yuǎn)程訪問服務(wù)。為了改變這種情況，某高校必須構(gòu)建更加完善的圖書館資源遠(yuǎn)程訪問系統(tǒng)。

2.2 需求分析

以多出口校園網(wǎng)為核心，高校圖書館數(shù)字資源遠(yuǎn)程訪問系統(tǒng)的開發(fā)需要滿足以下幾個(gè)要求：（1）若學(xué)生或教師未處于校園網(wǎng)覆蓋范圍內(nèi)，依然可以正常登錄數(shù)字圖書館，瀏覽、下載其中存儲(chǔ)的文獻(xiàn)、資料；（2）在校園網(wǎng)覆蓋范圍外，師生遠(yuǎn)程訪問系統(tǒng)時(shí)，應(yīng)對系統(tǒng)產(chǎn)生最小的干預(yù)，就此，應(yīng)采用SSL VPN技術(shù)［3］；（3）校園網(wǎng)覆蓋范圍外登錄系統(tǒng)時(shí)，應(yīng)與校園網(wǎng)內(nèi)部的登錄方式、原理等基本相同，每名師生具有唯一的用戶名與密碼，這樣可具有較高的安全性；（4）資源遠(yuǎn)程訪問系統(tǒng)應(yīng)時(shí)刻處于安全防護(hù)策略中，當(dāng)系統(tǒng)受到外界惡意攻擊時(shí)，能有效地進(jìn)行抵御，避免惡意攻擊影響系統(tǒng)的正常運(yùn)行。同時(shí)，系統(tǒng)應(yīng)具備良好的并發(fā)性，當(dāng)大量用戶同時(shí)登錄時(shí)，系統(tǒng)依然可順暢運(yùn)行［4］；（5）可瀏覽歷史登錄日志，查詢過去一段時(shí)間的上網(wǎng)日志。具備預(yù)留短信與用戶名、密碼雙因子認(rèn)證的功能，確保用戶登錄認(rèn)證時(shí)，不會(huì)出現(xiàn)隱私泄露的問題，針對這一情況，可選擇校園網(wǎng)認(rèn)證，也可采用圖書館集成系統(tǒng)［5-6］；（6）為高校提供網(wǎng)絡(luò)通信服務(wù)的通信運(yùn)營商可能有多個(gè)，設(shè)計(jì)遠(yuǎn)程訪問系統(tǒng)時(shí)，應(yīng)選擇BARS認(rèn)證模式，以確保校園網(wǎng)與所有運(yùn)營商的通信網(wǎng)絡(luò)有效連接到一起［7］。

3 基于多出口校園網(wǎng)的高校圖書館資源遠(yuǎn)程訪問系統(tǒng)的設(shè)計(jì)

3.1 總體設(shè)計(jì)

某高校針對現(xiàn)有數(shù)字圖書館存在的缺陷，結(jié)合多出口校園網(wǎng)的支持，設(shè)計(jì)并開發(fā)了圖書館資源遠(yuǎn)程訪問系統(tǒng)。其中，在多出口校園網(wǎng)方面，選擇的是由銳捷科技生產(chǎn)的型號為RG-NI8010的交換機(jī)，用于數(shù)據(jù)的轉(zhuǎn)換與傳輸，共兩臺，一臺為核心交換機(jī)，另一臺為數(shù)據(jù)交換機(jī)，其參數(shù)如表1所示；選擇了由山石科技生產(chǎn)的型號為SG6000-T-5的防火墻，用于校園網(wǎng)的安全防護(hù)；同時(shí)配置了相應(yīng)的路由設(shè)備。在校園網(wǎng)的出口端，共有4條通信總線，分別與教育網(wǎng)、聯(lián)通網(wǎng)絡(luò)、電信網(wǎng)絡(luò)及移動(dòng)網(wǎng)絡(luò)連接到一起。

原校園網(wǎng)出口邊界路由設(shè)備銳捷EG2000多功能出口網(wǎng)關(guān)當(dāng)作VPN設(shè)備，通過對EG2000的調(diào)節(jié)與設(shè)置，以此當(dāng)作系統(tǒng)的VPN網(wǎng)關(guān)，并通過端口聚合的方式，將其與RG-N18010交換機(jī)連接到一起。通過校園網(wǎng)內(nèi)設(shè)計(jì)的用戶認(rèn)證系統(tǒng)，對用戶身份信息予以驗(yàn)證。用戶登錄系統(tǒng)時(shí)，使用相同的用戶名與密碼，不論是在校園網(wǎng)內(nèi)，還是在校園網(wǎng)覆蓋范圍外，均可正常登錄系統(tǒng)。VPN網(wǎng)關(guān)運(yùn)行時(shí)，能同時(shí)在教育網(wǎng)、聯(lián)通網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)及電信網(wǎng)絡(luò)線路傳輸服務(wù)信息［8］。遠(yuǎn)程訪問系統(tǒng)的設(shè)計(jì)，是在校園網(wǎng)已有資源的基礎(chǔ)上完成的，系統(tǒng)結(jié)構(gòu)如圖1所示，為了便于論述，本文忽略了數(shù)據(jù)交換機(jī)，僅將核心交換機(jī)作為研究對象，公網(wǎng)地址均選擇“192.168.”的常見地址。

3.2 防火墻設(shè)計(jì)

在SSL VPN內(nèi)，以TCP443端口為未接，將SSL端口啟用，并設(shè)定相應(yīng)的配置。以防火墻為主要工具，對EG2000地址10.2.1.1予以轉(zhuǎn)化，使其能夠與四大通信網(wǎng)絡(luò)連接，具體如下。

ip vrouter "trust-vr"

bind pbr-policy"出口路由"

dnatrule id 4 from "Any" to "192.168.216.51"

service "443" trans-to "10.2.1.1" port 443 log

dnatrule id 5 from "Any" to "192.168.10.51"

service "443" trans-to "10.2.1.1" port 443 log

dnatrule id 6 from "Any" to "192.168.148.60"

service "443" trans-to "10.2.1.1" port 443 log

dnatrule id 7 from "Any" to "192.168.56.220"

service "443" trans-to "10.2.1.1" port 443 log

上述代碼中，“4”代表教育網(wǎng)，“5”代表聯(lián)通網(wǎng)絡(luò)，“6”代表電信網(wǎng)絡(luò)，“7”代表移動(dòng)網(wǎng)絡(luò)。

3.3 交換機(jī)設(shè)計(jì)

在交換機(jī)處，一端通過兩條10 000 M的光口作為媒介，與防火墻連接到一起，另一端與EG2000相連，以完成防火墻與EG2000間數(shù)據(jù)的傳輸與共享［9］。為了實(shí)現(xiàn)這一功能，需要進(jìn)行下述配置。

interface TenGigabitEthernet 1/1/2

no switchport

description TO-HillsTOne

port-group 11

interface TenGigabitEthernet 2/1/2

no switchport

description TO-HillsTOne

port-group 11

interface AggregatePort 11

no switchport

description TO-HillsTOne

ip address 10.5.1.6 255.255.255.252

3.4 多功能出口網(wǎng)關(guān)設(shè)計(jì)

在網(wǎng)關(guān)方面，采用的是SSL VPN網(wǎng)關(guān)，為了確保其有效運(yùn)行，需要設(shè)定以下配置。

啟用SSL-VPN

sslvpn gateway sslvpn

ip address any

title SSL VPN Service

max-ssl-eeor-persec 5

name-server 114.114.114.114

用戶訪問時(shí)，若錄入信息連續(xù)錯(cuò)誤5次，這一賬號的權(quán)限將鎖定，5 min后才可繼續(xù)使用，以此提升系統(tǒng)的安全性。這一功能的實(shí)現(xiàn)配置如下。

aaa new-model

aaa accounting network sslvpnRadius start-stop group radius

aaa authentication sslvpn sslvpnLocal subs

aaa authentication sslvpn sslvpnRadius group radius

aaa queue-limit account-request 20480

radius-server host 10.3.1.2

radius-server key 123456

ip http port 80

ip http secure-port 4430

enable service web-server all

enable service web-server http

enable service web-server https

3.5 計(jì)費(fèi)系統(tǒng)設(shè)計(jì)

計(jì)費(fèi)系統(tǒng)選擇由銳捷科技生產(chǎn)的型號為SAM+的認(rèn)證計(jì)費(fèi)系統(tǒng)，不論是校園網(wǎng)絡(luò)，還是遠(yuǎn)程訪問SSL VPN系統(tǒng)，都將SAM+系統(tǒng)當(dāng)作媒介，對用戶信息予以驗(yàn)證。SAM+系統(tǒng)運(yùn)行時(shí)，以PORTAL服務(wù)器為主要工具，向系統(tǒng)提供自助服務(wù)。在該系統(tǒng)內(nèi)，根據(jù)用戶身份情況，可將其劃分成不同小組，并賦予不同的權(quán)限［10］。

4 結(jié)語

綜上所述，本文以多出口校園網(wǎng)為基礎(chǔ)設(shè)計(jì)開發(fā)了圖書資源遠(yuǎn)程訪問系統(tǒng)，通過該系統(tǒng)的應(yīng)用，大大改善了傳統(tǒng)高校數(shù)字圖書館遠(yuǎn)程訪問的缺陷，可為高校師生提供更好的服務(wù)，為師生自主學(xué)習(xí)打下更好的基礎(chǔ)。

參考文獻(xiàn)

［1］謝秀芳，牛莉麗，于寧.高校圖書館遠(yuǎn)程訪問服務(wù)現(xiàn)狀與優(yōu)化建議［J］.數(shù)字圖書館論壇，2022（9）：42-47.

［2］陳彬，杜陳艷，陳建兵.基于IPsec VPN的遠(yuǎn)程訪問服務(wù)——云南師范大學(xué)與云南省疾控中心隧道連接的建立［J］.云南師范大學(xué)學(xué)報(bào)，2021（6）：25-27.

［3］李國禧，周璐，孫超.VPN和CARSI在遠(yuǎn)程訪問校內(nèi)資源中的應(yīng)用以及風(fēng)險(xiǎn)防控［J］.電腦知識與技術(shù)，2021（31）：55-56，64.

［4］丁愛萍，曾赟.基于并行調(diào)度算法的高校協(xié)同資源遠(yuǎn)程訪問模型［J］.微型電腦應(yīng)用，2021（9）：11-13.

［5］顧純，顧建榮.利用WebVPN實(shí)現(xiàn)高校內(nèi)網(wǎng)資源遠(yuǎn)程訪問［J］.信息記錄材料，2021（8）：209-211.

［6］盧鳳玲.疫情背景下學(xué)術(shù)圖書館數(shù)字資源遠(yuǎn)程服務(wù)實(shí)踐研究——以上海市委黨校圖書館為例［J］.圖書情報(bào)導(dǎo)刊，2021（4）：1-6.

［7］孫光懿，賈英霞.多出口校園網(wǎng)仿真設(shè)計(jì)與實(shí)現(xiàn)［J］.首都師范大學(xué)學(xué)報(bào)，2020（6）：6-13.

［8］羅孟儒，熊擁軍，袁小一，等.電子資源遠(yuǎn)程服務(wù)讀者咨詢常見問題的分析與啟示——以中南大學(xué)圖書館為例［J］.資源信息與工程，2020（5）：148-152.

［9］金志敏.基于VPN技術(shù)實(shí)現(xiàn)高校圖書館數(shù)字資源的遠(yuǎn)程訪問［J］.辦公自動(dòng)化，2020（15）：27-29，53.

［10］疫情之下，如何更安全地遠(yuǎn)程辦公——金融業(yè)VPN遠(yuǎn)程訪問的終端安全加固方案［J］.中國金融電腦，2020（3）：87-88.

（編輯 沈 強(qiáng)）

Design of remote access system of university library resources based on multi-export campus network

Dong? Yishuang

（Library， Sanya University， Sanya 572022， China）

Abstract：? The library is an important component of modern schools. Effective management of the school library can provide better services for all teachers and students， thereby improving teaching effectiveness. Therefore， it is necessary to build a good remote access system for library resources. The article analyzes the construction requirements of a remote access system for university library resources， and designs a remote access system for university library resources based on a multi outlet campus network. The system adopts a storage and forwarding method， with a backplane broadband of 32 Tbps/64 Tbps， a packet forwarding rate of 57 600 Mpps， and a switch with 10 modules， providing support for further improving the management effectiveness of university libraries.

Key words： multi-export campus network; university library; resource remote access system