赵丽萍 曹王强 王聪聪

（温州市图书馆 浙江温州 325000）

摘要 文章以温州市组建共享工程VPN网为例，详细介绍了VPN组网方式、设备选型、网络规划，就文化信息资源共享工程建设提出一些建议与设想，相信对全国文化信息资源共享工程的建设与推广有积极借鉴作用。

关键词 共享工程 VPN虚拟专用网

1.问题的提出

温州位处我国黄金海岸线中部，浙江省东南部，是浙南地区经济、文化、交通中心，全国首批14个沿海开放城市和全国18个港口城市之一。全市辖三区两市六县，陆地总面积11784平方公里，人口750多万。有乡镇文化站289个，县区图书馆、文化馆各11个，基层文化十分活跃。2002年，温州市被浙江省确定为全国文化信息资源共享工程建设的试点市之一。试点工作实施一年多来，开通市级中心、县乡镇基层中心25个。但由于基层中心建设基本采用服务器十存储器的模式，存在问题突出，主要表现为：（1）难以维护。由于基层中心技术力量薄弱，系统维护和正常运行难以保障。（2）共享工程资源不断增加，基层中心投入成本和市级中心对全市的安装维护成本不断增大。（3）更新不及时，不能与市中心资源同步更新。基层中心建设与目标效益难成正比，基层普遍呈抵触状态。由于没人维护，资金投入有限，认识不足，使用不当，几乎是建一个瘫痪一个。如何改变这种被动局面，寻找一条快捷方便、行之有效的建设基层共享工程中心之路，已成为我们关注及需迫切解决的问题。通过论证与调研，我们认为以市图书馆为中心组建温州共享工程VPN网，由市中心向基层中心提供接入与共享工程内容访问服务，是一种经济、安全、快捷、简便的方法。

2.通过VPN建立共享工程基层中心的可行性

2.1什么是VPN

VPN是英文Virtual Private Network的缩写，中文译为虚拟专用网，是一种通过ISP和NSP，在公网如Internet中建立用户私有专用数据的通信网络技术，通过私有隧道在公共数据网上仿真一条点到点的专线。随着Internet在企业领域应用范围的不断扩大与深化，作为一种经济安全的组网方式，VPN越来越受到人们的青睐。

VPN的关键技术是隧道技术与安全技术。隧道技术保证在公网上建立专用的私有通道，它主要遵循以下4种隧道协议:PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议;而VPN安全技术是用于保证数据的安全性和完整性，由加密、认证及密钥交换与管理等技术实现。

2.2VPN分类

VPN从技术角度出发，可以分两大类:一类是基于传统虚电路技术的VPN，用户租用FR、ATM等虚电路建立自己的VPN；另一类是基于IP网络连接的VPN，通常被称为IPVPN。前者是传统的VPN实现方式，它租用网络运营商的帧中继、ATM等虚电路，进行专线组网，其优点是安全性高、性能可靠稳定，但这种VPN组网方式费用高、扩展性差，因此比较集中应用于银行、证券、保险公司等资金实力雄厚、需要高安全和可靠性的行业;后者是近几年发展起来，目前应用比较广泛，深得用户喜爱的一种VPN组网技术。本文介绍的就是后一种VPN技术。

IP VPN又分基于网络的NB-VPN和基于用户设备的CE-VPN。基于网络的VPN由运营商提供，是由一种MPLS（Multiprotocol Label Switching）多协议标记交换技术实现，因此也叫MPLS VPN。MPLS属于第三代网络架构，是新一代的IP高速骨干网络交换标准，它采用集成式的IP Over ATM技术，在Frame Relay及ATM Switch上结合路由功能，数据包通过虚拟电路来传送，并整合了IP选径与第二层标记交换为单一的系统,因此可以解决Internet路由的问题，使数据包传送的延迟时间减短，增加了网络传输的速度。目前网通、电信等运营商都提供MPLSVPN服务，由运营商负责隧道的建立、管理、维护，VPN用户只要交付运营商一定使用费，无需安装VPN设备，直接接入网络即可。

基于用户设备的CE-VPN主要采用IPSec技术，通过在用户端安装和设置VPN路由器、防火墙来实现，VPN隧道的起始点和终止点都位于VPN用户端，VPN隧道的建立、管理、维护由用户负责，运营商只提供网络通信线路，不承担建立隧道的业务。IPSec VPN的一些主要功能都经CE路由器通过IP隧道实施，其优点是安全性高、综合成本较低。

图书馆组建VPN网时，选择何种VPN，主要根据需求和应用而定。由于MPLSVPN是近4年才发展起来的，有些技术相应还不成熟，如Q0S问题、安全问题等;更主要的是温州市图书馆要组建的VPN网主要是供基层共享工程使用，而很多乡镇、边远地区还没有被MPLS VPN运营商的网络所覆盖，所以我们选用CE VPN对共享工程进行组网，以后逐步发展到MPLS VPN。这是一个比较现实的解决基层共享工程VPN组网的方案。

2.3 VPN应用现状

IPVPN能够利用现有的网络资源，提供经济灵活的联网方式，可以为用户节约设备、人员、管理等费用的投入，因此近几年得到迅猛发展和广泛应用。有专家预测，VPN将是21世纪发展速度最快的应用之一，并预测到2004年，北美的VPN业务收入将达到88亿美兀。市场研究公司Yankee Group称，到2006年，中国IPVPN市场规模将达到10亿美元。由此可见VPN应用的广泛性和公众接受程度。在国外网络通信发达的国家，VPN应用更加普及。据统计，目前全球30.4%企业已在使用IPVPN，33.6%的企业正在有计划部署IPVPN。国内的VPN应用是2002年开始加速启动的，目前主要应用于以下4类:一是内部用户和分支机构分布范围广、距离远的企业，需要扩展企业网的公司，如跨国、跨地区公司;二是分支机构、远程用户、合作伙伴多的公司，需要组建公司专用网;三是关键业务多，对通信线路保密和可用性要求高的用户，如银行、证券公司、保险公司等;四是用于网络备份。

从以上分析可知，VPN不仅可以保障文化信息资源安全，而且还可以满足共享工程中的音视频资源对带宽与传输速度的要求。因此我们认为:我们不仅完全可以利用VPN技术来实现市级中心与基层中心共享工程的互连互通，而且还可以利用VPN技术建立与分馆之间的数据通信，利用VPN进行远程备份和视频会议等。可以预见，VPN技术在图书馆的应用将有广阔的前途。

3.组建温州市共享工程VPN网

我们首先在温州市图书馆建立VPN共享工程市级中心，以温州市图书馆为中心向各乡镇基层中心提供VPN接入和内容输送服务。市级中心通过100MLAN宽带接入Internet，基层中心通过2M以上的ADSL接入Internet。VPN设备选用美国NETGEAR公司产品，市级中心选用FVL328，下级中心采用FVS318。选择美国NETGEAR的VPN设备，主要考虑的是其性能稳定可靠，技术成熟，性价比高，其独特的DDNS动态域名解析技术支持VPN网络的任意一基层中心基于ADSL动态地址来组建VPN网络，从而降低基层中心运行成本和维护管理成本，最大程度地提高网络的安全性。利用NETGEAR公司FVS318方案能确保实现以下功能：

（1）FVS318具有支持动态IP组建VPN网络的功能。

（2）使用方便、维护简单、费用低廉、连接快速。

（3）市图书馆和各基层中心的Internet接入安全，保护市中心和各基层中心的内、外网安全。

（4）确保市中心和各基层中心的数据在Internet上传输时,能够实现机密性、完整性和可用性。

（5）确保网络连接和VPN通路的稳定、高效，便于维护和管理。

VPN系统建设的重点要保证市中心和各基层中心数据传输的安全，确保市中心和各基层中心不受攻击。因此，本方案全部选择NETGEAR产品，构建VPN共享工程网。

3.1温州市共享工程VPN网络规划

FVL328具有较强的VPN功能，它能提供高达100路IPSec VPN隧道，支持Client-to-Site和Site-to-Site两种VPN连接方式、IPSec认证和用户识别，FVS318提供8路VPN隧道和8个10M/100M交换机端口。

温州市共享工程VPN网络是一种基于设备的VPN连接，对共享工程VPN网进行初期规划是保证共享工程VPN网今后运行稳定、降低维护管理成本的关键。我们的工作重点是IP规范、访问控制、防火墙策略设置等3个方面。FVL328和FVS318防火墙采用分区保护技术，依次分为对外活动区、DMZ（停火区）和军事保护区3个区域，在此不作深入介绍。

（1）IP地址规划。本案基层中心采用192.XXX.XXX.0网段，子网掩码统一为：255.255.255.0，每个网段的192.XXX.XXX.1为FVS318内置IP，端口号统一为：1539。如洞头县为192.12.0.0网段，洞头县下面的其他乡镇将分别采用192.12.1.0、192.12.2.0，以此类推。对于其他县，我们用192.1.0.0、192.    0.0……192.19.0.0等网段。

（2）动态域名规划。由于各县基层中心基本上采用ADSL上网方式，没有固定的合法IP地址，所以我们采用美国网件公司所独有的“花生壳”技术进行动态域名解析。如:洞头县的动态域名为dongtou.ng.iego.net，其乡镇依次为dongtou01.ng.iego.net、dongtou02.ng.iego.net"。对于其他县，我们都以名称来命名，比如文成县为wencheng.ng.iego.net等。

3.2温州市共享工程VPN网络连接3.2VPN模式与服务器模式比较(www.daowen.com)

利用VPN组网，基层中心取消了以往服务器十存储器的模式，两者相比，VPN模式具有以下优点：

（1）低成本。基层中心只要一次性投入VPN设备，不需要购买服务器及相应的存储设备。

（2）免维护。基层中心不需要对共享工程资源和系统进行维护和更新。

（3）资源新，内容丰富。基层中心除了能共享到全国文化信息资源外，还能访问温州市图书馆最新的数字化资源，如温图影院500多部最新影片、3000多种当年电子期刊等。

（4）使用方便。基层中心无需拨号，打开VPN设备和电脑就可以进入市中心。

（5）减少工作量。按目前市中心500G资源量计算，安装一家基层中心需2天时间，而利用VPN模式，市中心只要维护好中心的资源即可，基层中心设备由IT服务商进行安装与维护。

（6）扩展性好。FVL328能提供100路IPSec VPN隧道，当需要开通基层中心时，只需在FVL328上进行适当配置，把基层中心的FVS318设备挂到共享工程其中的一条VPN隧道即可。

这种模式不足之处是占用市中心网络带宽，而且目前共享工程音、视频资源占85%以上，如果基层中心开通数量多，市中心网络带宽负载加重，可能难以满足要求。其解决方法是：

（1）向财政申请专款，市中心再拉一条100M  LAN宽带专供共享工程使用。

（2）向市文化局建议对共享工程基层中心重新规划，建立共享工程区域中心。如在瑞安图书馆、乐清图书馆等经济比较发达的市建立VPN共享工程内容镜像中心，让该中心向区域内的基层中心提供接通服务。

（3）当基层中心达到一定数量时，将现有的IPSec VPN扩展升级至ljMPLS VPN。

温州市共享工程VPN网络建成后，逻辑上使物理位置不同的各基层中心网络形成统一的内部局域网，由市中心提供统一的信息数据共享服务。市中心在共享工程的基础上，把本馆的部分数字资源，如温图影院的视频资源、电子期刊、温州南戏、鞋革资源库、外地媒体看温州等在共享工程网站上作链接，以本地资源带动共享工程资源的使用，收到了很好效果。

4.对文化信息资源共享工程建设的几点思考

共享工程温州市级中心开通已一年多。从我们一年实践来看，共享工程是一个经过人工挖掘和整理的知识库，其内容与资源在不断充实和丰富，但有些方面还需进一步完善。

4.1共享工程潜在读者分析

共享工程的资源是数字化资源，它需要借助计算机与网络才能阅读。也就是说阅读共享工程资源要具备一定的计算机操作能力，善于在网上寻找信息与知识。中国现有网民6800万，如果共享工程潜在读者有100万，那么，基本上也是潜藏在这6800万网民中，如果他们对共享工程中某方面的资料有需求，也已习惯于在网上搜索、查找，我们把共享工程阅读局限于图书馆、文化站等狭小的地方，无异于是守株待兔。从资源利用角度看，共享工程应建立区域镜像中心，通过Internet提供服务。

4.2共享工程运作模式的思考

（1）建立共享工程质量测评体系。共享工程数字资源是一种数字化产品。既然是一种产品，就有其性能指标参数，如资源的错误率、内容充实度、共享工程网站死链接率等，就有QOS服务质量保证。共享工程启动初期，很显然，其资源及系统存在着很多不尽如人意之处，如网站死链接率过高、资源内容不够充实、系统安装过于复杂、很多视频打不开等，为以后成熟的共享工程推广应用增加了难点。这是共享工程实施中应该解决的问题。

（2）改目前政府布点方式为社会按需布点。共享工程的资源决定了其实用价值和社会需求，但如果像现在这样硬性摊派，特别是在一些并不发达、还处于温饱状态的县乡镇建立基层中心，无疑是拔苗助长，带来了很多副作用。首先，这些地方人们对文化的需求仍处于来自于图书、舞台演出等方式的状态，还没有借助计算机从网上获取知识享受文化的需求。其次，这些地方容易接受新事物的年轻人大部分出去打工了，在家的都是一些妇女、老人、孩子,可想而知这些人对共享工程需求程度如何。第三，人们普遍有一种心理，感觉送上门的东西不是好东西，不是他们需求的，反而易被忽略、放弃，甚至拒绝接受。所以即使是在一些比较发达的文化站，站点设施可以说是一流的，既有图书室、各种面向青少年的培训室，又有在城市也可以说是一流的配有各种健身器材、面积达几百平方米的体育健身中心、羽毛球馆，但即使这样，共享工程在那里也只是一种摆设和应付上级检查的道具。

按需布点，是按社会需要，按人们需求布点。以这种方式，虽然共享工程中心的建设在近几年内达不到国家规定发展的数量,但这些中心一旦建立，都将有极强的生命力和推动力，从长远看对推动共享工程发展极其有利。

（3）建立共享工程服务推广中心，实行共享工程资源有偿服务。共享工程资源既然是一种产品，就要变成商品，而任何商品都含有其使用价值和交换价值，从商品的属性来说，共享工程资源有偿使用无可厚非。如果按需建立各级共享工程中心，要求其每年向共享工程总部交付几万元的资源使用费应不是难事。这部分资金一可用来解决共享工程中的版权问题，二可用于推广中心费用支出，从而保证国家财政下拨的资金专门用于共享工程资源建设、数字资源版权保护、系统研发等。

（4）定期更新，增加资源的新颖性。资源统一为DVD更新,实行推广中心一条线到各下级中心更新方式。共享工程中的音、视频资源都是一些大容量文件，通过网络、卫星下载不现实，不如采用更加简便的DVD光盘更新。一张DVD光盘能存储47G左右的内容，价格也只在15元左右，一个月更新一次，既经济又实惠。

5.结束语

通过VPN技术对共享工程进行组网，使共享工程基层中心建设变得更加容易和现实。基层中心的建设成本明显降低，同时也减少了市中心的管理维护成本。经过一个阶段的运行，这种构建基层中心的模式普遍受到全市共享工程建设单位的欢迎。

参考文献：

1.VPN技术专题.http://www.chinaitlab.com/www/special/vpn.asp

2.谷雷，黄想亮.VPN技术演绎.http：//www.ccidnet.com

3.夏可为.MPLS VPN技术原理.http：//www.chinatelecom.com.cn

4.徐昊，俊娜.Windows 2000的VPN技术为电子商务架桥.http://www.ccw.com.cn/htm/net/seminar/01_2_26_5.asp

（原载2004年第1期）