摘要：针对我校图书馆网络改造方案，通过理论技术研究，根据实际工作情况制定了详细的需求分析后，对原有的网络拓扑结构进行升级和改造。我们以高流畅性，高稳定性，高安全性作为原则，制定了合理的整改方案。最后对新老网络系统进行设备的对接和安装调试，对前期设计所有功能进行逐项测试，测试结果都达到了预期要求，能够满足我馆日常业务使用需求。

关键词：数字图书馆；网络拓扑；拓扑设计；网络安全

1.图书馆网络设计技术研究

1.1 图书馆路由技术

路由技术是指通过相互连接的网络把数据信息从原地址转发到目的地址的过程。路由转发数据是在OSI模型的网络层进行的。路由器虽然支持多种协议，但是在图书馆网络结构中主要运行的还是TCP/IP协议。路由器每个接口都直连不同网段，通过解封装查看数据包中的目的地址，由此来匹配路由表，决定下一跳地址，并确定从哪一个接口转发。同时把数据报文的网络层、数据链路层重新进行封装，再从相应端口转发。路由器可以动态自适应维护路由表，它可以反映出图书馆的网络拓扑结构。路由器最重要的两个功能是运行常见的路由协议，并把数据按照相应的协议从正确的端口转发出去。

图书馆用到的路由协议有动态路由协议、直连路由协议、静态路由协议。因为图书馆的网络建成后，大部分网段都是固定的，不会像广域网经常出现变化，所以图书馆网络用的最多的就是静态路由协议。

1.2 图书馆防火墙技术

图书馆防火墙是一个由硬件和软件组合而成的网络设备，位于图书馆内网和外网的交界处，建立起一个安全网关，形成一道隔离的保护屏障，保护内网用户的网络安全，使其免受非法用户的入侵。还可以限制网络互访，防止黑客攻击，实现对网络的安全保护。防火墙是实现图书馆网络信息安全的最重要的硬件设备。

由于防火墙对内外网络进出数据的处理方式不同，所以防火墙技术分为三种，分别是包过滤防火墙、状态监测防火墙、应用层代理防火墙。

1.3 图书馆地址转换技术NAT

由于互联网这些年的飞速发展，接入互联网的设备越来越多，除了电脑，笔记本，各种智能移动终端都接入了互联网这个大家庭，这就导致现在的IPV4地址已经面临枯竭，现在公网IP地址已经所剩不多，为了缓解IP地址严重匮乏的情况，NAT网络地址转换技术应运而生，它允许图书馆内部网络使用私网IP，这些源IP地址在校园网出口处再转换成公网IP，这样就极大的减少了内网用户对公网IP的需求量，也对图书馆内网用户起到了一定的保护作用。

NAT技术的作用是让更多的配有私网IP的用户可以访问互联网，这些数据包的源地址在出口都被转换成公网地址。这种技术最初只有在硬件防火墙上才能应用，不过现在高端的路由器、三层交换机也都具备了NAT转换的功能。

1.4 图书馆交换技术

图书馆交换机工作在数据链路层，它能识别数据包中的MAC地址，将MAC地址和连接的端口进行记录，形成一张MAC地址表，根据这张表对数据进行转发的网络设备。交换机主要分为傻瓜式交换机，可网管交换机。交换机是构成图书馆网络结构的主要设备，整个网络的访问速度、稳定性能好坏，都取决于交换机的性能。随着交换机技术的不断延伸拓展，也衍生出很多其他服务。

1.4.1图书馆VLAN技术

在校园网络结构中，应用最广泛的就是以太网，随着上网人数的日益增加，以太网的规模也越来越大，网络拓扑更加复杂，增加了管理网络的难度。如果所有的节点都在一个冲突域内，一个终端发出的广播信息会被同一网段的其他终端所接收，有限的带宽被广播信息占用，造成网络通信不流畅，经常掉线。虽然交换机解决了冲突域的问题，但还是不能处理广播所带来的负面影响。如果有一个ARP广播信息被交换机的一个端口收到，那么同网段的其他终端都会收到这个广播信息，形成广播风暴，造成图书馆网络瘫痪。VLAN技术的出现有效的解决了广播风暴的问题。来自任何一个VLAN发送的数据帧都带有一个TAG标识，交换机接受数据之后，通过检测自身携带的TAG标识，把它转发到相应的VLAN中。运用VLAN技术可以在提升网络的性能，主要体现在可以控制网络风暴，提高了网络的安全性，使网络管理更加有效。

1.4.2图书馆网络交换机分类

以交换机的使用规模，图书馆交换机从上到下分为核心交换机、汇聚交换机、接入层交换机。主流品牌包括思科、H3C、锐捷、神州数码。

接入层交换机也叫做底层工作交换机，一般都是功能简单的二层交换机，只有基本的网络功能。拥有一定数量的百兆端口用来连接终端电脑，与此同时还配备1、2个千兆接口，用来连接上行汇聚层交换机。接入层交换机又分为可以进行配置的可网管交换机和不能进行管理的普通交换机。

汇聚层交换机处于图书馆网络结构的中间位置，它的作用是把所有接入层交换机的流量汇聚到一起，传输给核心交换机。汇聚层交换机的硬件配置可以根据需要进行更换，通过热插拔模块可以增加端口的数量改变端口的类型。它的大部分接口都是千兆电口或光纤接口，可以支持基于端口的VLAN划分，可以对每一个端口进行流控。

核心交换机是图书馆最高层的交换机，核心交换机没有标准配置，都是根据用户的实际需要来配置相应的功能模块，所有的功能模块都可以插拔，它是图书馆网络中最重要的设备之一，它的性能直接影响到图书馆网络通信的流畅性。对于大型复杂网络，核心交换机不仅能转发庞大的数据流，还可以提供硬件冗余，软件扩展，保证图书馆网络安全高效运行。

1.5 图书馆无线网络认证技术

无线网络安全是无线局域网中一直都在研究的问题。在我们熟悉的传统有线网络中，一个人如果想要入侵网络，必须要与交换机、路由器有物理连接才行。只要对图书馆的网络设备加以监控，就能有效防止非法入侵。而在无线网络环境中，入侵者不需要跟任何设备有物理连接。为了解决这个问题，必须对接入无线网络的用户进行强制身份安全认证。

IEEE802.1X协议是一种对端口进行访问控制协议，它不仅能提供访问控制的功能，还能对用户提供认证、计费功能，在有线网络中也可以用到这种协议。

2.图书馆网络建设需求分析

数字化图书馆网络要支持图书馆各分馆之间、电子数据库、师生之间的各种信息互访，它是计算机系统集成与图书馆办公自动化的高度结合。它不仅是传统的物理网络拓扑图，也是一张人际网络。图书馆彼此相互合作，并实现资源的共享。各高校图书馆都有自己内部的局域网，每个局域网高度集成化的整体环境都构成了数字化图书馆的一个网点。

2.1 数字图书馆网络建设设计目标

建设目标应该以图书馆的需求、作用、功能为中心。对数字化图书馆的网络技术和今后的发展有正确的预期，合理的定位数字图书馆在学校教学科研中的作用，并进行正确的网络建设。要根据图书馆的实际需求选择适当的网络技术和设备，制定出前期规划、网络拓扑、数据走向、同时还要确保网络的高速性、稳定性和安全性。一定要用当前的主流技术和设备，并留出一定余量，用于今后的网络拓展，能满足五年内读者对网络升级的需求。网络建设包括以下几点：

通过适当的设备、进行结构化布线，构建一个能覆盖全图书馆的安全、高效、稳定的现代化网络。满足跨校区的服务能够正常通信。根据图书馆实际情况划分各网段地址、访问带宽、安全策略。能访问校园网内网、外网的资源，为学校的教学与科研提供服务。

2.2 图书馆网络建设需求分析

目前我校图书馆有四个网络出口，分别是电信、联通、移动、教育网出口。核心机房设置在图书馆技术部。三大运营商出口各有几个公网IP，教育网有一个C类公网IP。图书馆所有服务器都是教育网公网IP地址，经校园网出口访问外网。信息、技术、采编、读者服务四个业务部各分配一个私网地址段，在图书馆出口进行地址转换，访问外网。流通、阅览两个部门设置一个私网IP段，只能访问校内资源。电子阅览室单独设置一个网段，服务器所有通信数据走教育网出口，其他部门访问外网通过网络负载均衡分配到相应的出口。

2.3 网络安全需求

信息数据是图书馆的命脉，图书馆提供的服务虽然很少受到黑客的关注，但我们也不能掉以轻心。图书馆是面向全校师生的开放性场所，用户数量庞大，由此带来了很大的网络安全隐患。我们要通过从信息安全、数据传输安全、系统运行安全这三方面做好相应的防范。

图书馆技术人员应该提高网络安全意识，平时不常用到的端口应该关闭，不需要的服务设置为禁用，将客户端的MAC、IP地址进行绑定，防止ARP等常见病毒爆发。当然这些只是最常规的防范策略，网络安全技术发展的同时，黑客的攻击手段也是层出不穷，所以我们必须与时俱进。

3  网络系统方案设计与实现

3.1 我馆原有网络情况

我校有3个校区，每个校区各有一个分馆。西区分馆作为主馆，电信、联通、移动、教育网，四网同时接入。南区分馆通过光纤与西区主馆直连，办公电脑、电子阅览室通信数据由南区转到西区，走西区校园网出口。需要对外进行信息发布的服务器数据走教育网出口。荣成分馆是独立存在的，荣成分馆出口为联通网络。如需访问主校的校内资源，通过VPN接入西区总馆，如果访问外网，数据走荣成分馆出口。

3.2 图书馆原有网络存在的问题

设备陈旧，维护困难。图书馆核心交换机、路由器运行时间已经长达16年，对虚拟化、IPV6等新兴技术并不支持，这些设备无法进行扩展，也无法提供新的技术支持。

随着网络技术的不断发展，各类服务平台、数据库、应用软件不断出现，图书馆用户数量和所需的网络流量也成倍增长，这就需要对流量进行合理的使用与规划，保证图书馆的提供的各项业务服务和访问外网都能正常运行。随着智能终端的不断发展，各种性能强大的电子设备出现在我们的生活中，大家办公也趋于移动化，这就让移动图书馆有了自己的发展空间。凭借移动图书馆不受物理位置限制的优势，读者可以在校园网内的任何地点获取馆内资源。

图书馆原有的网络安全防范技术不足，只能通过访问控制技术、VPN技术防止非法用户的入侵，没有配备专业的防火墙设备，网络安全主要依赖于操作系统和网络架构，这对于数字、移动图书馆来说是很大的安全隐患。

3.3 总体设计

图书馆的网络主要分为三层，它们分别是核心层、汇聚层、接入层。接入层的作用是将图书馆客户机接入到内部网络。汇聚层是承上启下，连接接入层设备与核心设备。核心层是将图书馆的所有数据转发给校园网上层交换机，实现与外网的通信。图书馆的核心交换机、路由器、防火墙放在中心机房，接入、汇聚交换机放在不同楼层的配线间，通过光纤直连。

3.4 核心设备选择

图书馆网络设备选择锐捷RG-S7808C作为核心交换机，双电源实现冗余备份，配1块24光口交换背板，1块48电口交换背板连接其他网络设备，必须保留原来的接入交换机，流量控制设备和VPN设备。锐捷RG-S7808C是锐捷面向复杂融合网络的高端多业务核心交换机，可以从管理、控制、转发三平台全面保证网络安全。

4.图书馆网络安全系统的建设

图书馆除了工作人员外，主要的上网用户是学生群体，绝大部分学生对计算机网络知识并不了解，很少进行电脑系统的维护和病毒查杀，长期不规范的上网操作，很容易让电子阅览室这种大型局域网内出现ARP病毒，现在的APR攻击一般都绑定木马病毒。所以作为网管人员，必须高度重视这些常见病毒对图书馆网络安全造成的威胁。

防范馆内APR病毒的常用方法有：vlan的端口与交换机端口绑定，双向IP-MAC绑定，PPPOE认证系统，安装ARP防火墙。图书馆内部网络除了arp攻击以外，经常见到的网络攻击还有ICMP、SYN、UDP泛洪攻击，这些常见的攻击都是钻了网络协议中的漏洞，制造大量无用的网络垃圾信息和连接请求，占用服务器处理器等硬件资源，导致系统瘫痪。

5.结语

图书馆是大学校园的资源中心，这些资源只有被广大师生充分使用才能体现出其购买价值，想要让这些资源被高效的利用，则需要一个安全可靠的网络环境。因此、网络是实现资源有效传播的重要平台。图书馆的网络系统集成融合了多种技术，我们在前期设计、后期建设过程中，力图建设一个高效、稳定、安全的高性能网络。

参考文献

[1]王宇杰.基于ARP攻击的网络犯罪与防范研究[J].网络信息安全，2009（6）：67-68.

[2]张艳丽.信息化时代下的图书馆转型[J].图书情报，2014（5）：115.

[3]黄幼飞.泛在知识环境下数字图书馆的发展趋势[J].图书馆工作与研究，2011（118）：23.

[4]王晓峰.计算机可靠性的方法研究[J].计算机工程与设计，2010（31）：990.

[5]李秋锐.计算机网络安全扫描技术研究网络安全技术与应用[J].网络安全与应用，2012（1）：23-25.

[6]何琳.我国数字图书馆联盟研究[J].新世纪图书馆，2010（5）：15.

作者简介

谭鋆（1982.11-）男，汉族，黑龙江哈尔滨，硕士，中级，研究方向：图书馆图书情报。