基于無線身份認(rèn)證的大型圖書館網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

張新吉

(西安培華學(xué)院 圖書館， 陜西 西安 710125)

0 引言

隨著現(xiàn)代科技的進(jìn)步，傳統(tǒng)的大型紙質(zhì)藏書圖書館向數(shù)字化圖書館進(jìn)化的趨勢已成必然。數(shù)字化圖書館能夠?qū)崿F(xiàn)讀者的網(wǎng)絡(luò)閱讀、多媒體瀏覽、線上借書等多種需求，同時還可以通過網(wǎng)絡(luò)進(jìn)行多館互通，實(shí)現(xiàn)在線資源最大化，以及提高圖書館自身管理能力，極大地提高圖書館的服務(wù)效率[1]。

1 需求分析

未來建成的數(shù)字化圖書館必須能夠?qū)崿F(xiàn)以下功能：突破傳統(tǒng)圖書館的地域限制，擴(kuò)大讀者的活動空間使其借還書操作更加便捷；通過假設(shè)無線網(wǎng)絡(luò)使讀者能夠在線閱讀電子版圖書，觀看或收聽多媒體影像資料等；在圖書館內(nèi)的有線和無線網(wǎng)絡(luò)滿足日常應(yīng)用的同時，必須保證其穩(wěn)定性和安全性[2]。

打破地域限制，形成一個整體的開放式空間，不再將讀者限制在某個區(qū)域內(nèi)，通過設(shè)置多個網(wǎng)絡(luò)終端，讓其隨時隨地能夠進(jìn)行圖書的檢索、借閱和歸還，借助VLAN將各個終端連接成網(wǎng)絡(luò)，以終端設(shè)備的功能來定義館內(nèi)不同的區(qū)域。同時，考慮到隨著技術(shù)的發(fā)展隨時可能進(jìn)行的終端換代或網(wǎng)絡(luò)擴(kuò)展，館內(nèi)網(wǎng)絡(luò)需采用扁平化結(jié)構(gòu)，通過核心交換機(jī)實(shí)現(xiàn)對三層網(wǎng)關(guān)的控制。

無線網(wǎng)絡(luò)是數(shù)字化應(yīng)用的重要特征，在圖書館內(nèi)覆蓋無線網(wǎng)絡(luò)，能夠使通過注冊認(rèn)證的讀者以在線瀏覽的方式閱讀電子版圖書或觀看多媒體影像資料。無線網(wǎng)絡(luò)更加深層次地簡化了借閱流程，為讀者節(jié)約了大量的時間，能夠極大地提高其閱讀體驗(yàn)[3]。

在通過架設(shè)通信網(wǎng)絡(luò)和覆蓋無線網(wǎng)絡(luò)的同時，必須采取相應(yīng)的技術(shù)手段來保證網(wǎng)絡(luò)的安全運(yùn)行，防止惡意的入侵和資源盜用等行為。

2 數(shù)字化圖書館網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

2.1 總體設(shè)計(jì)

通過VLAN結(jié)構(gòu)下的扁平式局域網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各種功能數(shù)字終端的網(wǎng)絡(luò)互聯(lián)，而對于大規(guī)模局域網(wǎng)，為保證其運(yùn)行可靠性，必須采用雙冗余式核心交換機(jī)結(jié)構(gòu)以及帶有備份鏈路的路由器和功能交換機(jī)結(jié)構(gòu)，網(wǎng)絡(luò)總圖結(jié)構(gòu)形式,如圖1所示。

2.2 配置及策略

2.2.1 交換機(jī)配置

(1) VLAN設(shè)計(jì)

在扁平式VLAN網(wǎng)絡(luò)結(jié)構(gòu)下，圖書館內(nèi)不同樓層、不同位置的終端設(shè)備應(yīng)當(dāng)不受網(wǎng)絡(luò)匯聚層分層限制，實(shí)現(xiàn)隨意互訪(如圖1)。每個樓層讀者能夠自由活動的空間都設(shè)置有紙質(zhì)書借還終端、電子讀物閱覽終端、電子檢索終端以及人工咨詢服務(wù)臺。每個樓層均設(shè)置A、B、C三個不同功能的區(qū)域，各區(qū)內(nèi)放置能夠滿足需求數(shù)量的終端設(shè)備。

各樓層VLAN依據(jù)以下規(guī)則進(jìn)行劃分：以樓層號+區(qū)域號的形式進(jìn)行區(qū)域VLAN命名，如[1A]、[2A]、[3A]。若因?qū)嶋H需求未進(jìn)行功能區(qū)分，則可將VLAN合并，且命名為[1AB]、[1BC]等；依據(jù)服務(wù)方式和終端設(shè)備功能的不同，將所有提供人工服務(wù)的終端設(shè)備劃分到同一個VLAN，該VLAN名為[TK],將所有智能服務(wù)終端設(shè)備劃分到同一個VLAN，VLAN名為[JS]，此外，圖書館內(nèi)部各工作區(qū)域的VLAN命名為[SK]。由于每個區(qū)域都設(shè)置有電子瀏覽終端且數(shù)量不多，因此可以不必按區(qū)域劃分VLAN層，可以將多個樓層的瀏覽終端劃分到同一個VLAN下，如[R12]、[R34]等。圖書館無線網(wǎng)絡(luò)與連接到WIFI的客戶端建立一個獨(dú)立的VLAN，命名為[WIFI]。

圖1 數(shù)字化圖書館網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

(2) 核心交換機(jī)配置

為了保證整個網(wǎng)絡(luò)的運(yùn)行可靠性，核心交換機(jī)應(yīng)通過虛擬技術(shù)進(jìn)行同步數(shù)據(jù)備份，因此需進(jìn)行如下配置。

步驟一：根據(jù)業(yè)務(wù)功能創(chuàng)立各VLAN，并為每個VLAN分配IP。

步驟二：上述各VLAN連接到一起，并與核心交換機(jī)、下屬交換機(jī)以及路由器實(shí)現(xiàn)互相連接。為下屬第一級各交換機(jī)設(shè)置數(shù)據(jù)端口組，端口數(shù)據(jù)集合指令框圖,如圖2所示。

圖2 端口數(shù)據(jù)集合指令框圖

步驟三：為每個鏈路創(chuàng)建備份并與核心交換機(jī)相連，保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定性。

步驟四：通過DHCP為無線網(wǎng)絡(luò)提供服務(wù)，同時為無線網(wǎng)絡(luò)分配IP地址段，指令框圖,如圖3所示。

圖3 為無線網(wǎng)絡(luò)分配IP地址段框圖

步驟五：創(chuàng)建OSPF區(qū)域服務(wù)。

步驟六：為分散到下屬第一級的數(shù)據(jù)分配路由器的靜態(tài)地址。

(3) 接入交換機(jī)配置

在所有的配置工作中，接入交換機(jī)的配置工作最為繁瑣，配置前必須將配置方案繪制成描述對應(yīng)關(guān)系的圖紙，并在其中詳盡地體現(xiàn)接線點(diǎn)編號與接入交換機(jī)端口的一一對應(yīng)，同時按照圖紙對每臺交換機(jī)的端口進(jìn)行VLAN配置，配置方式,如圖4所示。

圖4 接入交換機(jī)端口配置方法示意圖

網(wǎng)絡(luò)投入使用后日常的維護(hù)和管理工作較為繁重，為了減少其工作量，配置接入交換機(jī)端口時可以為每個堆疊組設(shè)置一個管理端口并賦予其固定IP地址，一旦網(wǎng)絡(luò)運(yùn)行過程中需要調(diào)整早期配置則可以通過任意一個管理端口來接入指定的交換機(jī)[4]。

2.2.2 路由配置

根據(jù)圖1，路由器為每條單獨(dú)的鏈路分配IP地址，另一端則與核心交換機(jī)相連，線路備份由連接防火墻的鏈路來實(shí)現(xiàn)。在OSPF網(wǎng)絡(luò)模式下對路由器進(jìn)行配置，實(shí)際上就是簡單的互聯(lián)IP地址分配，加入各OSPF域中去。配置流程,如圖5所示。

圖5 路由配置流程框圖

2.2.3 防火墻配置

防火墻在網(wǎng)絡(luò)中的主要作用是保護(hù)連接外網(wǎng)的線路并轉(zhuǎn)換提供數(shù)據(jù)的IP地址。首先，為VLAN互聯(lián)分配IP以及OSPF域的分配；其次，限定ACL訪問控制方式，接受ICMP數(shù)據(jù)交互、允許特定VLAN連接互聯(lián)網(wǎng)；最后，為ISP互聯(lián)分配地址、創(chuàng)建IP地址集、將局域網(wǎng)IP地址轉(zhuǎn)換為net訪問格式。

2.2.4 跨樓互聯(lián)配置

將兩棟不同建筑物之間的網(wǎng)絡(luò)互聯(lián)在技術(shù)上,實(shí)際上是將兩個局域網(wǎng)的核心交換機(jī)進(jìn)行互聯(lián)，即通過光纖實(shí)現(xiàn)鏈路聚合并做出對應(yīng)的配置,如圖6所示。

圖6 跨樓網(wǎng)絡(luò)連接方式示意圖

3 無線接入與身份認(rèn)證

在圖書館內(nèi)覆蓋無線網(wǎng)絡(luò)，能夠使通過注冊認(rèn)證的讀者以在線瀏覽的方式閱讀電子版圖書或觀看多媒體影像資料，極大地提高了讀者的閱讀體驗(yàn)。

3.1 控制器與AP配置

在無線網(wǎng)絡(luò)中，通過多個AP終端提供WIFI信號并進(jìn)行SSID的廣播[5]。由于核心交換機(jī)已經(jīng)為無線VLAN提供了DHCP服務(wù)，因此所有AP與無線控制器應(yīng)同處于一個VLAN域中。控制器配置主要包括兩方面的內(nèi)容，一是進(jìn)行SSID的創(chuàng)建和廣播；二是完成每天的AP自啟。

3.2 身份認(rèn)證策略

在圖書館內(nèi)覆蓋一個免費(fèi)的無線WIFI網(wǎng)絡(luò)，實(shí)際上就是通過控制器向接入者發(fā)送WIFI密碼，為了保證這種方式下網(wǎng)絡(luò)的安全運(yùn)行，就必須對讀者的身份進(jìn)行二次認(rèn)證，按照公共場所無線網(wǎng)絡(luò)運(yùn)行通則，二次認(rèn)證以WEB/Portal的方式進(jìn)行，在應(yīng)用策略上，采用IMC平臺持續(xù)搜索Portal服務(wù)器。

3.3 身份認(rèn)證流程與設(shè)備配置

在上述認(rèn)證模式下，具體的認(rèn)證工作主要是通過核心交換機(jī)來完成的，無線控制器并不參與認(rèn)證。核心交換機(jī)中的認(rèn)證配置主要內(nèi)容是與IMC服務(wù)器互聯(lián)和啟用Portal進(jìn)行身份驗(yàn)證，同時在無線VLAN中應(yīng)用Portal功能。為IMC服務(wù)器提供了IP地址，Portal Web頁面的地址則按照ur1后的指令進(jìn)行自定義。指令的具體工作流程,如圖7所示。

圖7 身份認(rèn)證流程

4 功能驗(yàn)證

網(wǎng)絡(luò)架設(shè)與配置工作完成后，應(yīng)對網(wǎng)絡(luò)所具備的功能逐項(xiàng)進(jìn)行測試，以保證網(wǎng)絡(luò)終端、VLAN各層級以及整體網(wǎng)絡(luò)運(yùn)行的可靠性和穩(wěn)定性。功能驗(yàn)證的具體工作內(nèi)容包括以下幾個方面。

(1) 內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。通過可移動設(shè)備測試各信息點(diǎn)的網(wǎng)絡(luò)信號，通過Ping操作在各終端設(shè)備的接口訪問所屬VLAN網(wǎng)關(guān)，若信號延遲未出現(xiàn)波動，則判定信息點(diǎn)接口到交換機(jī)的網(wǎng)絡(luò)連接無異常，從而確保其能夠持續(xù)穩(wěn)定地接收網(wǎng)絡(luò)數(shù)據(jù)。

(2) 互聯(lián)網(wǎng)訪問的可用性與安全性。通過終端接口重復(fù)訪問多個互聯(lián)網(wǎng)站點(diǎn)，以驗(yàn)證核心交換機(jī)與路由器、防火墻互聯(lián)的OSPF配置是否正確，同時測試NAT防火墻的工作可靠性。

(3) 跨樓互訪網(wǎng)絡(luò)的可用性。通過圖書館任意建筑物中的網(wǎng)絡(luò)終端設(shè)備對其它建筑物中的服務(wù)器進(jìn)行訪問，檢查是否能夠從目標(biāo)服務(wù)器中讀取數(shù)據(jù)，以確認(rèn)是否能夠正常訪問其他建筑物中的VLAN網(wǎng)絡(luò)。

(4) 無線網(wǎng)絡(luò)身份認(rèn)證功能可用性。在圖書館無線網(wǎng)絡(luò)所覆蓋的范圍內(nèi)搜索SSID并與其連接，建立連接后打開瀏覽器，檢查系統(tǒng)是否啟動Portal認(rèn)證程序，測試讀者賬號驗(yàn)證身份認(rèn)證功能，同時檢查認(rèn)證通過后能夠進(jìn)行所需的網(wǎng)絡(luò)瀏覽。

在上述單項(xiàng)功能可實(shí)現(xiàn)性驗(yàn)證全部通過后，選取某市級圖書館依據(jù)本文所設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)改造，工程結(jié)束后進(jìn)行為期一個月的網(wǎng)絡(luò)試運(yùn)行，得到網(wǎng)絡(luò)投入運(yùn)行前后圖書館業(yè)務(wù)數(shù)據(jù),如表1所示。

表1 網(wǎng)絡(luò)試運(yùn)行前后圖書館業(yè)務(wù)數(shù)據(jù)對比表

由表1可見，網(wǎng)絡(luò)結(jié)構(gòu)的改進(jìn)極大地提高了圖書館網(wǎng)絡(luò)的運(yùn)行能力，從而促進(jìn)了業(yè)務(wù)處理效率的大幅提升。同時，無線網(wǎng)絡(luò)的覆蓋增強(qiáng)了圖書館的信息輸出能力，也為圖書館吸引了更多的持卡讀者。

5 總結(jié)

本文制定了完整的傳統(tǒng)圖書館數(shù)字化改造方案，提出了數(shù)字化圖書館的網(wǎng)絡(luò)架構(gòu)方式，重點(diǎn)研究了數(shù)字化網(wǎng)絡(luò)中各級交換機(jī)、路由器、網(wǎng)絡(luò)防火墻的配置策略，以及無線網(wǎng)絡(luò)的覆蓋方法和安全認(rèn)證方式，為傳統(tǒng)圖書館數(shù)字化改造工作提供了詳盡可行的技術(shù)方案。