融入校园网安全认证体系图书馆网络改造实践.docVIP

融入校园网安全认证体系图书馆网络改造实践 　　摘要：文章关注较早开展网络建设的高校图书馆网络改造问题，着重探讨了发起改造的原因，并阐述了新时期这类图书馆网络建设的基本思路，梳理了在改造实践中产生的共性问题。 　　关键词：高校图书馆；图书馆网络；网络改造；校园网 　　中图分类号：G250.7 文献标识码：B 文章编号：1008-0821（2012）07-0024-05 　　随着网络技术的不断发展及图书馆数字化建设的推进，网络己成为数字图书馆的重要基础设施，只有高性能、高带宽、高稳定性的网络服务，才能满足读者方便、快捷的数字资源使用需求。网络建设起步较早的高校图书馆，经过十余年建设，其网络设备逐步进入更新换代期，网络结构形式、带宽分配方式与网络安全管理也不能适应新的网络应用需求，必须着手对网络进行改造和升级，使之能持续、高效、稳定的运行。本文拟以扬州大学图书馆为例，说明图书馆网络改造中所涉及的一些普遍性问题。 　　1、为什么要改造 　　1.1 主力设备亟需更新 　　我国高校图书馆的大规模网络建设约起步于上世纪末本世纪初，这一时期，许多高校图书馆购进路由与交换设备，将原有的非标准的局域网通过校园网联入因特网，实现了网络建设的第一次跨越，形成了校园网中的图书馆子网，拥有了自己的网络核心层、汇聚层、接入层及服务器群，并基于校园网平台，开展自己的资源组织与服务。十余年来。网络技术一直在进步，表现在网络设备上，无论是核心还是接入层，均经过了若干次更新换代，而许多图书馆限于经费体制，上一轮建设中引进的主力设备却一直未能得到更新，超期服役或带病服役的现象较为明显。扬州大学图书馆于2001年主馆落成之际，引进思科6509核心交换机及一批3500系列与2900系列接入交换机，至改造前使用年限已超10年，远远超出电子设备4～8年的使用年限。因此必须对老旧设备进行更新换代，才能保证最基本网络应用。进而促进形成稳定高效的网络使用环境，实现图书馆网络建设的新跨越。 　　1.2 结构形式不适应新的网络应用 　　在校园网中，图书馆子网一般有这样几种结构形式：①依托校园网的开放结构：不同校区图书馆内部所有的工作机、服务器均配置公网IP，图书馆内的用户可以直接访问互联网，图书馆外的用户也可以直接访问内部服务器。该方案未能充分考虑数据安全问题。适合于IP地址需求不大的高校图书馆；②独立子网结构：多个分馆与总馆之间通过光纤直连，自成一个独立子网络，图书馆内部的设备全部配置私网IP，不与校园网有任何物理或逻辑上的连接，提供Web等公共信息服务通过代理服务器和防火墙与校园网连接。适合IP地址需求较大的高校图书馆。③VIAN半开放：通过校网络中心，将不同校区的图书馆用户、对内服务器群与对外服务器群划分在不同的VLAN（虚拟网技术）里，工作机根据需要配有两种IP，或是公网IP，或是私网IP。内部服务器则只配私网IP，外部Web服务器只配公网IP。这样，图书馆内的用户可以访问内部的服务器。也可以直接访问互联网，而图书馆外的用户只能访问外部的Web服务器等。④VPN：仅借助校园网的线路，采用隧道技术以及加密、身份认证等方法，在校园上构建VPN（虚拟专用网）。VPN技术实现了内部信息在外部网络中的传输，就如同在茫茫的广域网中拉一条专线，对于图书馆内部来讲校园网起到了“虚拟专用”的效果。⑤NAT逻辑封闭结构：仅借助校园网的线路，图书馆内的工作机与服务器只配有私网IP，每个校区均安装路由器，通过路由器设置服务器私网IP与公网IP的转发功能，同时在路由器上设置只能让本部门的计算机访问内部专用的服务器。这样，图书馆内的用户通过路由器可以访问内部的服务器，也可以访问互联网；图书馆外的用户只能访问对外的服务器，无法进入内部网络。 　　以上5种结构形式，尽管都解决了图书馆子网联入校园网的问题，但均存在局限性，要么IP需求过多，要么数据安全存在问题。要么受制于隧道与加密技术，要么适用于小型的单校区高校，要么成本过高。其中尤以全面依托校园网结构、VIAN形式、NAT结构应用最广，专线与VPN应用相对较少。5种结构形式的比较如表1。 　　扬州大学图书馆是一个规模较大的合并高校图书馆，现拥有4个馆舍，总面积达9万平米，其中超过3万平米的馆舍有2个，服务学校3万在校师生员工。图书馆子网采用了独立子网结构，并使用VLAN技术将图书馆子网划分为服务器群区、办公功能区、查询功能区、电子阅览功能区等几个虚拟专网；图书馆独立子网有相对独立的核心层、汇聚层及接入层；信息中心分配了1个C类公网地址，供图书馆通过私网与公网IP结合的方法将该馆600多台服务器与工作站全部联入校园网，并提供相应的网络服务。这种形式尽管在较长时间里解决了图书馆网络应用的需求，但存在耗费公网II，多、配置复杂及端口平均带宽低等弊端，在今天建