圖書館廣域網接入高可用架構的技術分析

鄭曉軍

（深圳圖書館，深圳 518036）

隨著現代圖書館對數字資源服務和網絡化應用的要求越來越高，圖書館的各種廣域網服務和業務管理工作越來越依賴于高可用的計算機網絡系統，尤其是廣域網上的各種資源揭示、信息檢索與導航、VOD點播、讀者借閱、館際互聯等服務，在圖書館的應用系統中占據了重要的位置，而完全服務于圖書館內部的應用和管理的系統已所剩無幾。因此，與廣域網保持高速、不間斷通信的重要性不言而喻，廣域網接入發生中斷的事件不僅是讀者不可忍受的，也是圖書館不可接受的。

圖書館廣域網接入高可用模式主要采用雙機熱備或虛擬化的架構，其關鍵在于要構建安全接入設備的冗余、IP地址的復用、多鏈路的網絡連接以及設備資源的整合。

1 圖書館廣域網應用接入架構的模式現狀

互聯網是基于廣域網的最重要應用模式，圖書館在向廣域網運營商申請開通互聯網租用鏈路服務時，都會遇到IP地址資源緊張的問題，大部分運營商默認提供的IP地址為16個，甚至更少，再多就很難申請到了。而提供給讀者和工作人員使用的計算機在區級圖書館約為200臺以內，市級圖書館約為500臺以內，省級圖書館約為1000臺以內，顯然運營商提供的IP地址遠遠不能滿足圖書館的需求。因此，幾乎所有的圖書館計算機網絡系統與互聯網對接都需要安裝網絡地址轉換（NAT）設備，通過網絡地址轉換技術，將圖書館內網IP地址轉換為互聯網的合法地址。網絡地址轉換不僅解決了圖書館互聯網IP地址不足的問題，而且還能夠有效地避免來自互聯網的外部攻擊，隱藏和保護圖書館的計算機，特別是有提供互聯網服務的服務器。

目前用于實現網絡地址轉換的設備主要有防火墻、路由器和代理服務器。代理服務器由于運算成本高、性能效率低，采用的情況越來越少,小型圖書館或社區圖書館采用尚可；路由器雖然性能效率比代理服務器高，但圖書館一般來說不可能采用成本較高的高端路由器來實現網絡地址轉換，即使要用也是采用較低端的路由器，而且路由器的配置命令復雜，基本上都要依靠運營商提供技術支持，這種接入模式也逐漸在減少。因此，目前圖書館的互聯網寬帶接入主要模式是由運營商的高性能邊界路由器端口連接圖書館的防火墻設備，租用帶寬的大小由運營商設定邊界路由器端口進行控制。

不少圖書館出于經費的考慮，會采用單臺防火墻進行網絡地址轉換來實現與外網的互訪，那么所有的內外網之間交互的流量負載都由該設備承擔，這種架構存在單點故障的弊病。一旦網絡地址轉換設備故障發生，將導致圖書館內網的讀者和工作人員無法與外網通信，而互聯網上的讀者和協作機構也無法訪問到圖書館相關的應用服務器，圖書館將成為信息孤島，其后果可想而知。

由此可見，在圖書館內外網關的網絡地址轉換這一重要節點，必須要組建冗余備份的架構。最佳的方案是構建雙機熱備系統，通過部署兩臺網絡地址轉換設備形成實時數據的備份，利用虛擬路由器冗余協議（VRRP）或動態路由協議實施配置鏈路自動切換的機制以及虛擬化技術，實現任一臺設備出現故障時，會自動切換鏈路，讓數據流量順利地通過另一臺備份設備，避免圖書館的業務工作遭遇中斷的風險。

2 網絡地址轉換雙機熱備的機制和架構分析

網絡地址轉換在防火墻雙機熱備的機制建設中包含兩個方面的內容：一是建立防火墻雙機之間的業務內容相互備份機制；二是建立防火墻雙機之間的數據流路徑切換機制。雙機熱備的架構建立與工作方式是：連接兩臺防火墻設備的備份端口，在雙機之間建立備份鏈路；通過備份鏈路，兩臺防火墻設備定時互相發送報文信息，當兩臺防火墻進入同步狀態后，開始相互備份對端防火墻上的業務數據，直至兩臺防火墻設備上的業務狀態完全一致；當雙機之間的一臺防火墻發生故障時，虛擬路由器冗余協議（VRRP）或動態路由協議將業務數據流路徑切換到另一臺設備上，業務數據流將從該對端防火墻設備上通過。

防火墻雙機熱備運行的工作模式分為兩種，即主備工作模式和互備工作模式。在主備工作模式中，一臺防火墻作為主設備，另一臺防火墻作為備份設備；主設備處理所有的業務，并將網絡地址轉換產生的會話信息（包括源IP、源端口、目的IP、目的端口等信息）傳送到備份設備進行備份，而備份設備不處理業務，只用做備份。主備工作模式從設備利用角度來說效率不高，不夠經濟，在圖書館應用實例中并不多見。在互備工作模式中，兩臺防火墻設備均為主設備，按照路由表的配置承擔各自的應用任務，都在處理相應業務的數據流量，同時又作為另一臺防火墻設備的備份設備，備份對端設備的會話信息，如圖1所示。兩臺防火墻設備互為備份，一旦一臺防火墻通過心跳線偵測到對端設備出現故障，就立即啟動備份業務信息，接管故障設備的任務，以使業務工作延續，如圖2所示。互備模式不僅容錯能力強，能夠保證業務應用的持續性，而且設備利用效率高，投資經費相對節約，因此，在圖書館應用最多最普遍。

圖1 防火墻無故障時的數據流量模型

圖2 防火墻A故障后的數據流量模型

3 雙機熱備工作模式中網絡地址轉換沖突問題的解決

3.1 網絡地址轉換表項的沖突

當雙機熱備的互備工作模式中兩臺防火墻設備在網絡通信中需要完成網絡地址轉換功能時，兩臺防火墻上配置的網絡地址轉換池的地址空間必須完全一樣，才能保證在一臺防火墻發生故障時，另一臺防火墻能夠接替故障設備，讓業務應用的運行持續。然而，如果兩臺防火墻在做地址轉換時，分別從各自的地址池中選用了相同的IP地址，且分配了相同的端口號，則會導致兩臺防火墻設備上的反向會話信息完全一樣，無法進行會話數據的互為備份。

為解決該問題，必須采用網絡地址轉換池高低優先級屬性的技術，在互備模式的兩臺防火墻上配置網絡地址轉換空間相同但優先級不同的IP地址池。例如：在兩臺防火墻設備上均配置有兩個地址池58.60.2.0～58.60.2.31和58.60.2.32～58.60.2.61。其中防火墻A設備上的58.60.2.0～58.60.2.31地址池定義為高優先級，58.60.2.32～58.60.2.61地址池定義為低優先級。而另一臺防火墻B則相反，將58.60.2.0～58.60.2.31地址池定義為低優先級，58.60.2.32～58.60.2.61地址池定義為高優先級。那么，在兩臺防火墻均正常工作時，路由配置表定義的數據流路徑指向防火墻A時，網絡地址轉換則在58.60.2.0～58.60.2.31地址池里完成轉換；而路由配置表定義的數據流路徑指向防火墻B時，網絡地址轉換則在58.60.2.32～58.60.2.61地址池里完成轉換。但當防火墻A出現故障時，由于防火墻B中的會話表項與防火墻A完全一致，防火墻B全面接管防火墻A的工作任務，兩段地址池同時有效地按照路由表的策略定義進行地址轉換。反之，防火墻B出現故障，則防火墻A同樣全面接管防火墻B的工作任務。

雖然互備模式的兩臺防火墻使用相同的網絡地址轉換池中的地址，但是由于地址池定義的優先級別不同，網絡地址轉換后互聯網IP和互聯網端口不會出現完全相同的情況，在相互備份會話數據時不會發生沖突。

3.2 地址解析協議（ARP）響應的沖突

在上述的圖書館互聯網接入架構中，兩臺互備模式的防火墻設備還會發生地址解析協議響應沖突的情況。由于兩臺防火墻上均配置了相同的網絡地址轉換池58.60.2.0～58.60.2.31和58.60.2.32～58.60.2.61。當路由發出地址解析請求，查詢這兩個地址池中的某個地址，兩臺防火墻都會收到這個地址解析請求，并識別出這是自己地址轉換池中的地址。這樣，兩臺防火墻都會回復響應，導致地址解析響應沖突。

為避免地址解析響應的沖突，必須在兩臺防火墻中建立不同級別的地址轉換池解析響應機制，可以設置高優先級的地址轉換池在防火墻互備工作模式處于同步狀態時優先響應地址解析協議的請求，而低優先級的地址轉換池則不響應地址協議的請求，如此就能保證不會出現地址解析協議響應的沖突。

4 防火墻雙機互備方案的構建

4.1 利用虛擬路由冗余協議VRRP實現防火墻的流量切換

虛擬路由冗余協議VRRP（Virtual Router Redundancy Protocol）是一種容錯協議，應用于具有多組播或廣播能力的局域網。通常，一個圖書館局域網內的所有主機都設置一條缺省路由，館內的計算機或服務器訪問的目的地址如不在本網段內，將被通過缺省路由發往配置路由模式的防火器A，從而實現與外部網絡的通信。當防火墻A故障時，本網段內所有以防火墻A為缺省路由下聯的主機將斷掉與外部的通信，就此產生了單點故障。VRRP協議應用于圖書館時，通常將局域網的兩臺核心防火墻配置成路由模式，組成一個虛擬路由設備。整合后兩臺配置路由模式的防火墻擁有一個獨立的虛IP地址，這個虛IP地址不同于兩臺核心防火墻的路由地址。圖書館局域網內的計算機或服務器均缺省指向這個虛擬路由設備的虛IP地址，并不指向具體的兩臺核心防火墻的路由IP地址，網絡內的計算機就通過這個虛IP來與互聯網或由防火墻隔離的其它外網進行信息通信。如果核心防火墻A由于故障停止工作，那么將會通過策略自動由另一臺防火墻B繼續向館內的計算機提供路由轉發，實現圖書館局域網內的計算機或服務器不間斷地與互聯網等外網進行通信。

4.2 利用動態路由實現流量切換

在雙機互備工作模式中，兩臺防火墻同時啟用BGP、OSPF、RIP等動態路由協議，當默認的路由鏈路出現故障而斷開時，路由表中的備份鏈路將自動啟動生效，產生的路由鏈路切換不會導致任何的時間延遲。

與VRRP協議實現流量切換相比，動態路由協議方式更適用多路徑的網絡環境。比如說，圖書館局域網中的某臺PC電腦，一般與訪問的服務器存在不同的網段中，無論服務器在局域網中還是在廣域網上，在PC電腦和服務器之間配置有多條路由通路，動態路由協議會計算出PC電腦到服務器的最優路徑作為缺省的路由。當這條路徑出現故障而斷開后，動態路由協議會重新計算，從配置表上再選擇一條最優的路徑作為新的路由。如果故障防火墻恢復正常，則會重新使用原來的缺省路由，也可以說動態路由協議是用動態的方式的保證網絡設備之間的實時連通。

5 防火墻虛擬化架構的應用

網關防火墻安裝在圖書館的內網與外網之間，數字圖書館的應用大多數是廣域網的應用，換句話說圖書館的應用信息流需要通過防火墻的匯聚和轉換實現與外網的通信，因此圖書館對防火墻的性能和可靠性要求極高。防火墻是網絡攻擊的主要對象，如果攻擊的流量達到飽和，那么在網關防火墻就會形成流量堵塞，網絡性能急劇下降，效果如同圖書館整個網絡中斷。為了降低網絡瓶頸對圖書館可能造成的負面影響，圖書館可選擇利用防火墻虛擬化架構來提升網絡的高可用性。

圖書館的廣域網應用眾多，以深圳圖書館為例，擁有的局域網與廣域網連接的網絡出口鏈路多達6條，包括互聯網應用的光纖城域網接入、短信系統的光纖接入、政務內外網的光纖接入、深圳館際云服務平臺的MPLS-VPN光纖接入等。理論上說，安裝與網絡出口鏈路相同數量的防火墻設備就能解決問題，然而高額的采購費用和維護費用，又是大多數圖書館無法承受的。如此眾多的外網鏈路都必須安裝安全網關防火墻，采用虛擬化技術的架構是必然的選擇。

虛擬化技術架構的實質在于一臺網絡設備可以模擬為多臺性能適用的網絡設備，即“一虛多”模式；或者多臺網絡設備模擬為一臺性能更為強大的網絡設備，即“多虛一”模式。采用虛擬化技術，允許圖書館將不同外網出口鏈路針對不同的“虛擬防火墻”部署到各自的網絡分區或應用組，分割后的邏輯網絡內部有獨立的數據通道，對網絡安全資源進行更加細致的劃分，根據業務特征在邏輯網絡內進行靈活的安全策略的部署和匹配。如虛擬防火墻被攻擊或性能重新調整等原因需要遷移，對應的安全策略也隨之動態遷移，以達到多臺防火墻集群的效果。也可以將多臺性能一般的防火墻整合為一臺性能強大的虛擬防火墻，整合虛擬環境下動態的安全策略部署。例如，深圳圖書館在2013年6月進行的核心系統升級改造中，就采用“多虛一”的模式將2臺物理防火墻通過虛擬化技術合并為一臺性能強大的防火墻，所有局域網和廣域網的連接均為雙鏈路至網絡虛擬防火墻，通過統一平臺實現對防虛擬火墻的端口、策略、性能等進行集中的監控、整合、配置和管理。總之，虛擬化技術優化了網絡資源的使用，動態地調整和遷移虛擬防火墻的資源，使圖書館能夠利用虛擬化的架構和統一的管理平臺，應對數字圖書館核心應用日益增長的變化。

6 結束語

廣域網接入設備高效的、安全的架構是圖書館自動化、網絡化的可靠保證。在現代圖書館開始采用云計算技術、云服務模式漸漸走入云圖書館的時代，利用集群、冗余、熱備、虛擬化等成熟、穩定的高新技術是圖書館計算機網絡應用堅實的基礎。

[1] 杭州華三通信技術有限公司.新一代網絡建設理論與實踐[M].北京:電子工業出版社,2012.

[2] 吳秀梅.防火器技術及應用教程[M].北京:清華大學出版社，2012.

[3] 范九倫等.網絡安全：現狀與展望[M].北京:科學出版社，2010.

[4] 劉鵬.云計算[M].北京:電子工業出版社，2010.