多出口校園網的高校圖書館資源遠程訪問構建研究

繆元照 劉基昌 劉志南

摘? 要： 利用銳捷EG2000多功能出口網關作為VPN設備，采用SSL VPN技術，在天津美術學院完成了連接CERNET、聯通、電信、移動等四家運營商的多出口校園網絡，實現統一身份認證的圖書館資源遠程訪問系統，使用戶在校內、校外享有同樣的訪問權限，提高了圖書館電子資源利用效率。

關鍵詞： VPN; 遠程訪問; 校園網; SSL VPN; EG2000出口網關

Abstract： Using Ruijie EG2000 multi-functional export gateway as the VPN device， with SSL VPN technology， a multi-export campus network connecting to four operators of CERNET， Unicom， China Telecom and China Mobile etc. are completed in Tianjin Academy of fine arts， and the library resource remote access system with unified identity authentication is realized. In the network， the users inside and/or outside the school have the same access rights， which improves the utilization efficiency of library electronic resources.

Key words： VPN; remote access; campus network; SSL VPN; EG2000 export gateway

0 引言

由于數字圖書館是有版權保護的，高校圖書館所購買的電子資源一般限制訪問的IP地址范圍，僅限校園網可以訪問。讀者在校園網外訪問圖書館購買的電子資源，會出現未授權無法訪問的問題。

為了解決圖書館電子資源遠程訪問的問題，VPN技術在圖書館被廣泛使用，華南師范大學2007年就使用Sinfor M5100專業VPN，與圖書集成系統進行集成[1]。圖書館電子資源遠程訪問也嘗試過很多使用開源系統或者操作系統自帶VPN的解決方案[2-5]。天津圖書館使用以IPsec VPN組建多級節點虛擬專網實現圖書館數字資源異地共享應用[6]，天津理工大學采用Web Driver技術對圖書館VPN賬號進行自動審核[7]，VPN在圖書館電子資源遠程訪問的探索與實踐一直在深入進行。

本文就多出口校園網環境下的高校圖書館資源遠程訪問系統的構建和實施進行了探討，以解決遠程訪問速度慢、體驗差的問題。

1 多出口網絡環境下的高校圖書館資源遠程訪問建設需求

天津市高等教育文獻信息中心采用江蘇易安聯的ENLINK建設了專業VPN系統， 2010年開始為天津市高校用戶提供服務，提供教育網和電信網接入。但是教育網、電信和其他ISP的互聯存在瓶頸，可能嚴重影響用戶使用體驗。全國美院只有天津美術學院和廣州美術學院分別利用ENLINK和RasDL系統，實現了電子資源的校外訪問[8]。

為了滿足師生在校外訪問、下載CNKI論文，天津美術學院圖書館提供了臨時的用戶名、密碼方式CNKI網站下載資源的方式，但僅限于CNKI資源，且用戶名、密碼方式存在泄露風險和并發用戶量的限制。

美術院校師生美術作品創作的要求高于科研的要求，自建的特色數據庫在師生的美術創作中顯得格外重要，自建的特色數據庫資源來自于館藏的精品畫、精品復制畫、古籍、拓片、名師作品等，其出版著作權的問題極為敏感[8]。天津美術學院圖書館擁有館藏古籍資料、美術作品、精品素材等自建數據資源，擁有以雅昌藝術書城、皮影數字博物館、安博視頻資源、美術類區域圖書館等為代表的本校資源，即使登錄ENLINK系統后，在正常使用中也會存在問題。

多出口校園網環境下，圖書館電子資源遠程訪問系統構建應該實現以下目標。

⑴ 讀者在校外能夠流暢使用圖書館電子資源，特別是高清圖片、音視頻數字資源，多出口校園網環境下，應該在各ISP線路中均能夠提供遠程訪問。

⑵ 用戶在校外使用遠程訪問系統，應該遵循最小干預原則，就目前來說SSL VPN技術是首選。

⑶ 用戶在校外使用遠程訪問系統能夠獲取在校內相同的資源使用權限，用戶使用與在校園網類似的認證方式來登錄遠程訪問系統。

⑷ 遠程訪問系統應該在校園網和圖書館的整體安全防護策略之內，系統本身要有抵御來校園網內外攻擊的能力，應該具有高并發連接處理能力，能夠提供足夠的并發用戶數。

⑸ 遠程訪問系統應該能夠查詢登錄日志，回溯上網日志。需要預留短信和用戶名、密碼雙因子認證的能力，滿足系統等級保護的基本要求，用戶認證使用的數據庫避免用戶隱私泄露，通過校園網認證系統或者是圖書館集成系統進行認證為佳。多運營商聯合運營模式下，多采用BARS認證模式[9]，遠程訪問系統認證需要能夠和各運營商BARS設備無縫整合。

2 校園網多出口網絡環境下的高校圖書館資源遠程訪問架構

天津美術學院校園網使用兩臺銳捷RG-N18010交換機虛擬核心交換機，山石SG6000-T-5防火墻作為邊界安全及路由設備，出口擁有CERNET、聯通、電信、移動四個運營商的網絡連接。

原校園網出口邊界路由設備銳捷EG2000多功能出口網關作為VPN設備，將EG2000部署為VPN網關，和銳捷RG-N18010交換機使用端口聚合連接，用戶認證使用校園網用戶認證系統，銳捷的SAM+系統完成，用戶名和密碼與在校園網上網時使用的用戶名和密碼完全一致，VPN網關需要在CERNET、聯通、電信、移動四個運營商的線路上發布服務，本系統利用校園網現有設備和資源來建設。設備連接如圖1所示，為了方便表述，簡化為一臺核心交換機，省略了數據中心交換機。所有公網的IP地址一律用192.168.地址代表，配置如下：

2.1 山石SG6000-T-5防火墻相關配置[10]

SSL VPN啟用SSL端口復用使用TCP 443端口，啟用端口復用配置。在出口防火墻將EG2000的地址10.2.1.1分別轉換為CERNET、聯通、電信、移動的遠程訪問地址，配置如下，策略4、5、6、7分別對應CERNET、聯通、電信、移動出口策略：

在遠程訪問系統的網頁中，需要檢測訪問者來源IP地址，并且根據IP來源的ISP給出建議選擇的地址鏈接，以方便讀者在校外選擇最適當的地址撥入訪問EG2000的VPN系統。

2.2 銳捷RG-N18010核心交換機相關配置[11]

兩臺銳捷RG-N18010交換機做虛擬化，核心交換機與防火墻之間用兩路萬兆光口做端口聚合連接，核心交換機與EG2000之間也做端口聚合連接，以核心交換機與校園網邊界防火墻之間的連接配置為例，說明如下：

RG-N18010交換機還需要進行VPN用戶相關VLAN與IP地址的設置，并且啟用安全配置，校園網內部有線及無線用戶將不能訪問EG2000的VPN接口，EG2000的VPN僅提供校外用戶使用。

2.3 銳捷EG2000多功能出口網關相關配置[12]

按照圖1所示拓撲結構，啟用EG2000為SSL VPN網關，最主要的是配置SSL VPN通道和Radius認證服務器指向，配置如下：

配置了如果用戶連續輸入同個賬戶的密碼錯誤5次后，該賬號會暫時被鎖定5分鐘的功能，提高了安全性。EG2000支持做短信和用戶名、密碼雙因子認證，由于短信包的費用問題，暫未啟用。

在EG2000配置Radius認證服務器指向，本文Radius服務器為校園網認證計費的SAM+系統，啟用EG2000的radius認證配置如下：

天津美術學院SAM+開戶不足6000賬戶，EG2000設置并發賬戶請求是20480，這個配置完全能夠滿足SSL VPN校外撥入需求。

2.4 銳捷SAM+相關配置[13]

天津美術學院校園網采用銳捷SAM+作為認證計費系統，校園網有線、無線以及遠程訪問SSL VPN系統均使用SAM+作為Radius認證服務器。SAM+系統由PORTAL服務器提供PORTAL自助服務系統。SAM+用戶按照身份進行分組，享有不同的權限。SAM+支持作為Radius認證服務器與主流BARS設備集成以及實現網絡扁平化，簡化運維。

3 結果與討論

采用原校園網邊界路由銳捷EG2000多功能出口網關作為VPN設備，構建了面向CERNET、聯通、電信、移動四個運營商的網絡線路的遠程訪問系統。用戶可以根據提示或者明確自己的網絡ISP來選擇撥入IP地址，用戶在校外網絡認證與使用校園網認證的用戶名和密碼完全一致，SAM+記錄所有認證的日志并備查。本文所述的電子資源遠程訪問系統比傳統的遠程訪問系統明顯提高了訪問速度，同時與校園網完全一致的認證方式和訪問權限，也提升了讀者用戶的使用效果和感受。

部分高校的學生宿舍區會采用網絡開放給運營商去運營的模式，如果選擇支持代撥功能的網絡設備作為BARS設備，在BRAC模式中，用戶認證依舊可以在SAM+完成[14]。

本文基于CERNET、聯通、電信、移動四個運營商的校園網線路的電子資源遠程訪問系統，預留了BARS設備認證的能力，也可以做短信和用戶名、密碼雙因子認證，這個嘗試對于中小型高校圖書館建設具有一定的普遍性意義。，圖書館電子資源如何與智慧校園深入融合，遠程訪問系統如何與智慧校園的安全性和可用性進行完美結合，還有待實踐與探索。

參考文獻（References）：

[1] 曾巧紅，徐文賢，林綺屏.基于SSL VPN的圖書館遠程訪問系統的構建[J].情報科學，2007.10：1520-1524

[2] 劉衛國，樓佳.VPN技術在高校圖書館的應用[J].圖書館工作與研究，2007.6：39-41

[3] 王健.利用VPN技術實現高校圖書館數字資源的遠程訪問[J].圖書館學研究，2006.5：30-32

[4] 葉新明，陳光鋒.校外訪問代理軟件的分析與比資源技術綜較[J].現代圖書情報技術，2006.1：83-85

[5] 徐忻.利用開源軟件實現基于SSL VPN的圖書館遠程訪問[J].現代情報，2009.29（4）：160-163

[6] 張強.IPsec VPN技術在數字圖書館推廣工程建設中的應用——以天津圖書館為例[J].圖書館工作與研究，2015.11：41-44

[7] 侯志江.借助WebDriver技術實現圖書館Web業務操作自動化——以VPN賬號申請的自動審核為例[J].新世紀圖書館，2018.2：62-64，93

[8] 孔凡敏.美術院校圖書館數字資源校外訪問方式的研究[J].湖北美術學院學報，2017.2：78-81

[9] 楊傳斌，陳龍飛，譚曉曉.多出口校園網中圖書館數字資源訪問統一出口的方法[J].圖書館學研究，2019.15：9-13

[10] 北京山石網科.Stone OS手冊5.5R7[EB/OL].https：//docs.hillstonenet.com/cn/Content/PDF%20Downloads.htm#T.2019-11-04.

[11] 北京星網銳捷網絡技術有限公司.RG-N18000系列交換機RGOS11.0（4）B103版本命令手冊（V1.0）[EB/OL].http：//www.ruijie.com.cn/fw/wd/84462/，2019-11-04.

[12] 北京星網銳捷網絡技術有限公司.銳捷網關EG2000及EG3000系列產品實施一本通（V6.6）[EB/OL].http：//www.ruijie.com.cn/fw/qdwd/57766/，2019-11-04.

[13] 北京星網銳捷網絡技術有限公司RG-SAM+安全計費管理系統產品實施一本通（V5.3）[EB/OL].http：//www.ruijie.com.cn/fw/qdwd/57562/，2019-11-04.

[14]? 北京星網銳捷網絡技術有限公司. RG-RSR77-X&RSR-M系列路由器RGOS 10.4（3b96）版本命令手冊（V1.3）[EB/OL].http：//www.ruijie.com.cn/fw/wd/82186/，2019-11-04.