基于MPIS VPN实现图书馆多校区网络融合

[摘要]多校区图书馆一般都拥有2―3个以上处于不同地理位置的校区分馆，这些分馆的网络相对独立，其互联往往通过校园网公用信道，与学校的教学、科研和管理等众多业务系统混合并行，极易产生交叉攻击、病毒感染、效率低下等弊端。采用MPLS VPN技术，利用其灵活的动态路由隔离特性、弹性的隧道可扩展性以及良好的安全保障能力，对于消除以上弊端，有效融合多校区图书馆网络，实现图书馆业务专网专用，具有较之传统组网方式更强的优越性。

[关键词]MPLS VPN　专网构建

多校区图书馆　Web2.0

[分类号]G250.7　TP393.1

1　导言

随着高校图书馆数字化建设的不断推进和深入发展，无论是书刊采访、编目典藏、流通借阅、公共查询、馆际互借、期刊处理等业务管理系统，检索各类数字化文献信息的中外文数据库系统，帮助读者网上学习的电子阅览室系统、对外交流的门户网站系统、内部保障的存储备份系统，还是当前着力构建的基于Web2.0技术与图书馆结合的Library2.0服务系统，都对网络质量提出了更高的要求。图书馆越来越趋向于形成一个全方位、立体化、统一融合的网上信息资源服务体系。

面对这样一种趋势，如何保障关键业务运行和提升服务质量?多校区图书馆网络不仅需要与学校的教学、科研、管理等众多其他网络实现安全的隔离与受控的互访，还需要将各自独立、分隔在不同地理位置上的分馆网络从组织架构、系统管理、安全防护等方面融合在一起，不仅实现长距离的主分校区之间一致的网络体验，而且要在增强图书馆开放性的同时，根据用户的需求随时调节和设定不同业务的优先级，并具有灵活扩展的能力。简言之，多校区图书馆业务服务质量的提升迫切需要一个无缝连接的专用网络。如何解决这一难题?VPN技术以其可以利用校园网公用信息通道构建私有专用网络(Virtual Private Network)的独特优势，得到多校区图书馆越来越多的重视，而在所有的VPN技术中，随着MPLS技术和IP VPN技术的日趋成熟，MPLS VPN更以其在实现专网融合方面低成本、高效率、易维护、保证QoS等众多优点，获得最为迅速的发展和广泛研究。

2　现有建网模式分析

如何构建多校区图书馆专网，“隔离”是关键，“融合”是目标。从多校区图书馆的角度，地理位置因素决定了各分馆网络一般都是相对独立的存在，其互联就必须是跨校区的，而校园网线路，特别是校区间连接的线路一般又都是学校内各类网络业务的公用通道，如果不能在这片公共区域中拥有自己独占的信道，图书馆专网的构建就不能实现，多网融合的目的也就不能达成。考察目前多校区图书馆网络互联通常所采用的两种模式，情况却不甚乐观：

其一，通过校园网骨干与校园网中的其他业务混合上行。在这样的一种模式中，各校区馆之间的瓦联通过学校校园网业已形成的校区间骨干通信线路实现。由于光纤芯数、设备条件或线路租用等诸多方面的限制，各校区图书馆业务一股只能通过本校区路由交换设备，汇聚其他类型的业务流量，如多媒体教学、校园一卡通、流媒体点播、学生公寓等统一混合上行。显而易见，这种模式的简单互联特性使得多校区图书馆犹如一个不设防的城中，校园网内任何一方面的突发故障、病毒感染、攻击行为，都有可能对图书馆网络的运行造成致命打击，如图1所示：

其二，利用传统的VPN隧道技术实现互联。目前在图书馆，这种虚拟专网又有两种形式：①专线VPN，利用校园网络，使用专用设备，以虚电路形式连接各图书馆分馆，形成一个叠加式的两层VPN网络；②基于客户端设备的VPN，由运营商的公网为各图书馆分馆提供透明的数据传输。然而无论哪一种形式，为了跨越不可信任的公网区域，都必须采用隧道、加密、认证等办式来防止数据被复制、篡改和丢失，因而投入成奉高、网络拓展性差。在这种模式下，图书馆虽然通过虚拟形式构成了专网，但由于图书馆并不享有自己的传输设备，网络的安全性、保密性和可靠性难以保障，同时加密机制也会对设备的转发性能和网络的拓展产生很大的影响，管理和维护困难。各分馆网络不但要安装专业设备及专门认证工具，还要负责繁杂的带宽管理、隧道维护等VPN维护工作。图书馆对这一网络自主管理行为的缺失、加之传统VPN存带宽扩展等方面的先天不足，不可避免地导致图书馆业务传输速率的缓慢和系统运行的不稳定，如图2所示：

上述两种互联模式，第一种可以说是“融而不合”图书馆业务往往被淹没在校园网众多其他业务中，第二种则是“合而不融”，徒具专网形式却运行质量不件，均未达到当前多校区图书馆所需要的“安全隔离”与“多网融合”的双重要求。事实上，每个不同的业务系统发展到一定的阶段，都有一个“融合”自身业务，“隔离”其他非自身业务的基本需求，图书馆也不例外。当前数字化大背景下提出的图书馆Web2.0技术，其核心理念就在于要拓展用户与馆员之间的交流渠道与互动范围。这无疑对于图书馆网络的畅通和运行质量的保证提出了更加严格的要求，否则就无从谈起如何及时清晰地了解用户需求，提供用户更具个性化、相应及时的服务。多校区图书馆身处校园网这样一个大环境，不能仅仅为网而网，必须研究如何更好地利用校园网现有基础设施，改造传统的图书馆互联模式，达到既融合各校区图书馆分馆为一体，又隔离非图书馆网络允许行为的目的。

3　基于MPLS VPN的思考

多校区图书馆网融合的核心，就在于实现图书馆业务与非图书馆业务之间良好的流量隔离和各分馆网络之间的完美融合。如何达到这一目的?构建专网是唯一的选择。上述两种模式中，图书馆业务与校园网中的其他业务混合上行，若各校区之M拥有冗余光纤，可通过构建纯粹物理隔离专网的方式来达到，但其不菲的代价显然使得多数高校难以具备这种条件；采用传统的VPN隧道技术，由于可以利用现有信道资源，H前许多高校图书馆专网构建已经采用，然而这一模式日益暴露出的严重缺陷，却又促使我们不得不另觅良策，MPLS技术和IP VPN技术的口趋成熟，止是为我们提供了通过MPLS VPN实现这样一种可能的现实在在。

所谓MPLS(Multi―Protocols Label Switching)即多协议标签交换，属于第三代网络架构，是新一代的IP高速骨干网络交换标准，是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。主要设计来解决现有网络存在的问题，如网络速度、可扩展性、服务质量(QoS)管理以及流量工程，同时也为下一代IP中枢网络解决宽带管理及服务请求等问题。

MPLS VPN则是一种基于MPLS多协议标签交换技术，利用绑定在IP数据包中的标签，在公共IP网络上构建用户自己专用通道的IP虚拟专用网，是一种基

于MPLS技术的lP VPN。其网络结构主要由MPLS核心路由器(P)、MPLS边缘路由器(PE)、用户边缘路由器(CE)构成，如图3所示：

如何应用MPLS VPN技术，实现校园网中多校区图书馆各分馆的融合以及与非图书馆业务的隔离?对上图可作如下分解：其中P(Provider Router)可理解为校园网骨干层的核心路由设备，它并不提供VPN路由，而是完成骨干网的路由和快速转发功能；PE(Pro－rider Edge Router)可理解为在校园网中与P相连的汇聚路由交换设备，用于连接CE并维护VPN成员信息；CE(Custom Edge)可理解为校园网中各校区图书馆与校园网PE设备相连的接入路由交换设备，对VPN完全透明，相当于分散在各校区的分馆网络。

在这样的一个结构中，由P负责图书馆数据外层标签的交换；PE存放图书馆VRF路由表和校园网域内全局路由表；CE是需要加入专网的图书馆各校区分馆网络。其运作过程是利用MPLS VPN的两个关键技术特性：VRF(VPN路由转发实例，VPN Routing＆Forwarding Instance)和MPLS标签转发(Label Switc－hing)。由于VRF可以被看作是一台专用的虚拟路由器，在PE设备上就可以为不同的业务建立不同的VRF，就多校区图书馆而言，就是在校园网上建立隔离于其他业务系统的图书馆VRF，又由于其路由表是与校园网中其他业务的路由表互相独立、隔离的，一旦MPLS标签转发机制被触发，在MPLS标签动态的指引和交换下，各分校区分馆CE之间的联接就将成为专网路由送达，既实现图书馆业务与非图书馆业务之间良好的流量隔离，又实现各校区分馆网络之间的完美融合。

不仅于此，尽管MPLS VPN与传统VPN都是设法利用现有的公用网络通道(例如校园网骨干线路)构建业务专用网，实现多网融合，但传统的VPN技术是在两个端点之间采用专用设备，配备一条预定义的逻辑的或虚拟的电路，通过标识闭合的用户组，经过数据封包和加密传输，建立一个临时、安全的隧道连接，实现技术复杂，可维护性和扩展性较差；MPLS VPN则是在网络路由和交换设备上应用MPLS标记交换技术，简化核心路由器的路由选择方式，无需在两个端点之间配备一条预定义的逻辑的或虚拟的电路即可建立连接，不同的业务数据在转发时，其私有隧道是动态建立的，摒弃了复杂的二层隧道协议和加密技术，网络路由器只需要判别标记后即可进行转送处理，满足多种灵活的业务需求。

此外，针对多校区高校图书馆网络融合的需要，MPLS VPN还能够在保证实现原有VPN网络所有功能的同时，提供强有力的QoS保障能力，具有可靠性高、安全能力强、控制策略灵活以及管理方便的特点，在增加新的节点时，也不再需要对原有节点配置进行修改，网络具有了更好的可维护性及扩展性，满足用户对信息传输安全性、实时性、宽频带和方便性的需要，图书馆真正具有了完全控制网络的主动权。

综上所述，MPLS VPN以其独具灵活的动态路由隔离特性、强大的隧道可扩展性以及良好的安全保障能力，对于多校区图书馆的网络融合设计具有了更好的选择指标，更适合于组建类似于多校区高校图书馆这样较大规模的复杂的宽带VPN网络。

4　图书馆MPLS VPN专网的实现

南通大学图书馆不仅拥有丰富的纸质文献，而且拥有大量的电子文献，各种馆藏分布于相距8－10公里不等的主校区、启秀校区、文峰校区和钟秀校区4个分馆。形成了由网络数据库、本地数据库和自建数据库构成的功能完善的网上信息资源服务体系。书刊采访、编目、典藏、流通、公共查询、馆际互借、期刊管理等业务均实现自动化处理。然而，在通过校园网互联4校区图书馆网络的过程中，却不断陷入一个个困境：运行不稳定、网速缓慢、效率低下、故障难以排除等现象时常发生，特别是图书馆读者管理系统多次因各种干扰而受到严重影响。原网络结构如图4所示：

经仔细排查和认真分析，发现关键就在于这是一个基于多校区地域分布特点所形成的、业务流量混合运行于校园网络其他应用之中，易受干扰的图书馆网络，由于其数据运行于校园网公用通道上，校园网任一方面的风吹草动，都有可能在图书馆网络得到反映。如何解决这一问题，建设专网应是最佳途径。根据这一思路，近年来主校区、启秀校区、钟秀校区都通过校园网冗余光纤直连构成了专网，总体状况大为改观。但文峰校区由于与主校区之间只有一对光纤，无法进行这种纯物理结构专网的融合，导致文峰校区分馆业务流量仍然无法与其他网络业务流量隔离，继续对整个图书馆网络形成冲击，仍不时发生拥塞攻击等现象。

为此，在考察多种专网构建模式后，南通大学图书馆最终决定采用MPLS VPN技术对此进行彻底改造。改造后的网络结构如图5所示：

其主要实现过程如下：

・在保持文峰校区网络与主校区之间只有一对光纤连接不变的基础上，利用MPLS VPN强大的逻辑隔离能力，在PE、CE路由设备中建立相应的图书馆VRF(从简化设计考虑，本次改造未没置P路由器)，将文峰校区图书馆与其他三个校区图书馆划入专用VPN，通过动态分发的标签实现隧道式转发，进行图书馆业务与其他网络业务的路由隔离。

・利用主校区万兆核心路由交换器RG－8610和文峰校区万兆汇聚路由交换器RG－S7606均具备Multi VRF和MPLS VPN的特性，通过各增加一块lOG性能的MPLS多业务板提供对MPLS的支持，将其在网络中部署为PE设备。原有图书馆汇聚设备(例如RG－6810等路由交换机)直接配置为CE路由器，实现与PE设备路由信息的交换，网络带宽得到极大扩展。

・在校园网PE VRF中设置相同的图书馆Target属性，实现文峰校区分馆与其他三个校区分馆之间的互访；将PE路由器与各校区分馆CE相连，保证PE路由器包含对应的各分馆VPN的VRF；为每个分馆VRF分别配置路由区分符RD，以便接收方PE区分来自不同分馆VRF的路由信息，各校区分馆无缝融为一体。

・在校园网PE上部署MPLS及MBGP协议，以实现虚拟专网动态隧道的建立与路由的管理，同时利用BGP边界网关协议扩展共同体路由目标RT，配置导入导出策略，从而实现各网络问的互访控制。南通大学图书馆在各校区分馆都使用了相同的路由目标RT，导入这些路由就意味着各分馆网络都包含了其他分馆网络的路由，稳定快速地实现了各分馆网络之间的互访。

・分配lP地址，确定图书馆网络内部地址的分配使用，并在校园网PE和各分馆CE上配置路由。在本次改造中，南通大学图书馆在MPLS骨干域采用了，OS－PF动态路由，PE和CE之间则采用了静态路由。需要说明的是，如果需要在各分馆融合的基础上进一步隔离图书馆多个不同的业务系统，在这台CE设备上对

不同业务VPN的路由进行隔离就需要Multi VRF功能，为每个VPN创建和维护独立的路由转发表，才能更好地提供不同业务的安全隔离。

・决定部署模式。MPLS VPN网络可有全局和渐进两种部署模式。这使得我们在利用MPLS VPN进行图书馆专网构建时，根据不同图书馆的不同要求，既可采用全局模式，对图书馆所有业务一次性进行细分，为每个业务划分不同的VPN，进行不同级别深度的精细化管理；也可选用渐进模式，即首先将各校区分馆统一整合为一个与校园网其他业务隔离的上层VRF专网，然后再根据需要逐步建立相关的下层VRF子网，如文献检索VRF、电子阅览室VRF、采编管理VRF、异地备份VRF等，全面满足图书馆的各项网络需求。在本次改造中，南通大学图书馆采用的是渐进模式。

5　结语

随着MPLS技术和IP VPN技术的日趋成熟，MPLSVPN以其灵活的动态路由隔离特性、弹性的隧道可扩展性、良好的安全保障能力以及可以根据用户的需求灵活的调节和设定不同业务的优先级，具有低成本、高效率、易维护等诸多优点，正在被人们广泛研究和接受。尽管目前在多校区图书馆实际应用还不多，但它代表了未来多校区图书馆构建VPN专网的技术发展方向。南通大学图书馆MPLS VPN专网改造，在未增加任何VPN专用设备的情况下，通过校园网设备能力的充分利用，较好地融合了四校区图书馆网络，安全地隔离了非图书馆允许访问，同时具备了今后灵活扩展的能力，这种明显的效果是传统VPN方式所无可比拟的。可以预见，当MPLS VPN技术广泛应用于多校区图书馆之时，不仅图书馆面临的各种亟需解决的网络传输和应用问题将得以纾缓，诸如RSS、Blog、Tag、WIKI等对网络质量敏感的个性化服务也必将拥有更为广阔的发展天地。多校区图书馆综合应用web2.0技术，推进以用户为中心的LibralT2.0互动服务模式，也就有了更为坚实的基础。

参考文献：

[1]丁宁，VPN技术在公共图书馆总分馆体系网络互联中的应用图书馆建设，2008(3)：9－11

[2]应浩，赵亮城市中心图书馆向社区基层延伸的系统与网络架构实践探索图书情报工作，2006，50(3)：16－19

[3]王云峰，陈雅图书馆2.0：以用户为中心的互动模式，图书与情报，2007(1)：73－76

[4]徐建初多协议标记交换技术在高教园区图书馆群中的应用，图书与情报，2006，50(3)：89－92

[5]唐磊，卓琳，基于MPLS的VPN系统在高校校园网中的应用与实现，闽江学院学报，2007(10)：47－51

[6]谭伟多网融合MPLS VPN――西南交大一改校园多业务系统各自为政的局面，中国教育网络，2009(7)：54－55

[7]徐方，周志红，邓敏[ViPLS VPN技术及其在校园网中的应用，中南大学学报(自然科学版)，2010，41(10)：137－141