論文關(guān)鍵詞：共享工網(wǎng)絡(luò)存儲(chǔ)VPN技術(shù)資源共享

論文摘要：本文通過對網(wǎng)絡(luò)存儲(chǔ)技術(shù)、虛擬專網(wǎng)VPN技術(shù)的設(shè)計(jì)原則和關(guān)健技術(shù)的詳細(xì)介紹，全面分析了這兩項(xiàng)技術(shù)的性能特點(diǎn)，以及在“共享工程”天津分中心和18家區(qū)縣支中心的具體實(shí)現(xiàn)方案與發(fā)展設(shè)計(jì)構(gòu)想，闡述了這兩項(xiàng)技術(shù)的發(fā)展前景，及其在全國文化信息資源共享工程得到廣泛應(yīng)用的必然性。

全國文化信息資源共享工程(以下簡稱文化共享工程)是由文化部、財(cái)政部共同組織實(shí)施的一項(xiàng)社會(huì)主義文化建設(shè)標(biāo)志性工程，是新形勢下構(gòu)建我國公共文化服務(wù)體系、惠及千家萬戶的一項(xiàng)重要文化基礎(chǔ)工程。“共享工程”將充分利用現(xiàn)代高新技術(shù)手段，將中華民族幾千年來積淀的各種類型的文化信息資源精華以及貼近大眾生活的現(xiàn)代社會(huì)文化信息資源，進(jìn)行數(shù)字化加工處理與整合;建成互聯(lián)網(wǎng)上的中華文化信息中心和網(wǎng)絡(luò)中心，并通過覆蓋全國所有省、自治區(qū)、直轄市和大部分地(市)、縣(區(qū))以及部分鄉(xiāng)鎮(zhèn)、街道(社區(qū))的文化信息資源網(wǎng)絡(luò)傳輸系統(tǒng)，實(shí)現(xiàn)優(yōu)秀文化信息在全國范圍內(nèi)的共建共享。該工程于2004年4月正式啟動(dòng)實(shí)施。

在中央和地方各級財(cái)政的大力支持下經(jīng)過不斷努力，文化共享工程技術(shù)體系已經(jīng)初步形成:在資源數(shù)字化方面，以數(shù)字圖書館技術(shù)為依托，建成了國家中心和各省級分中心的資源加工管理系統(tǒng);在傳輸建設(shè)方面，形成了以互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)、有線電視及數(shù)字電視網(wǎng)為主要傳輸渠道，光盤、移動(dòng)存儲(chǔ)設(shè)備為輔助傳輸手段的網(wǎng)絡(luò)傳輸體系，實(shí)現(xiàn)了文化信息資源的有效傳遞;在終端服務(wù)上，提供了國家中心網(wǎng)站、省分中心網(wǎng)站、省分中心鏡像站、衛(wèi)星終端服務(wù)系統(tǒng)、文化共享工程基層服務(wù)系統(tǒng)、有線電視、數(shù)字電視、光盤、移動(dòng)硬盤等手段，方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。

本文從動(dòng)態(tài)發(fā)展的角度，以現(xiàn)有的技術(shù)體系為基礎(chǔ)，簡要對網(wǎng)絡(luò)存儲(chǔ)技術(shù)與虛擬專網(wǎng)VPN技術(shù)在“文化共享工程”中應(yīng)用加以論述。

1網(wǎng)絡(luò)存儲(chǔ)技術(shù)

文化共享工程以加工整合各類優(yōu)秀文獻(xiàn)信息資源為重點(diǎn)，建成了具有一定規(guī)模的文獻(xiàn)信息資源庫群。截至2007年6月，數(shù)字資源的總量己達(dá)到60TB。資源的存儲(chǔ)成為了各級分中心核心建設(shè)的重中之重。

1.1存儲(chǔ)系統(tǒng)設(shè)計(jì)原則

存儲(chǔ)系統(tǒng)的設(shè)計(jì)要遵循以下原則:

先進(jìn)性和實(shí)用性:在方案總體設(shè)計(jì)規(guī)劃時(shí)不僅要滿足當(dāng)時(shí)業(yè)務(wù)需求，而且充分考慮未來的需求可能。保證硬件環(huán)境的先進(jìn)性，盡可能采用業(yè)界領(lǐng)先的技術(shù)。軟件環(huán)境的先進(jìn)性，要從軟件平臺，設(shè)計(jì)思想、系統(tǒng)結(jié)構(gòu)等方面考慮，選擇先進(jìn)、可靠的應(yīng)用平臺。

安全可靠性:存儲(chǔ)系統(tǒng)要保證365 X 24小時(shí)的不間斷穩(wěn)定運(yùn)行，具有災(zāi)難恢復(fù)能力。

靈活性與可擴(kuò)展性:網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng)，所以它具有良好的擴(kuò)展性，方便的擴(kuò)大容量和提高層次的功能，支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。

開放性/互聯(lián)性:具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互聯(lián)互通的特性，確保網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)基礎(chǔ)設(shè)施的作用可以充分發(fā)揮。

經(jīng)濟(jì)性/投資保護(hù):以較高的性能價(jià)格構(gòu)建網(wǎng)絡(luò)系統(tǒng)，充分利用以往在資金與技術(shù)方面的投人。

可管理性:采用智能化，可管理的設(shè)備，先進(jìn)的管理軟件，實(shí)現(xiàn)先進(jìn)的分布式管理。實(shí)現(xiàn)監(jiān)控、監(jiān)測整個(gè)系統(tǒng)的運(yùn)行狀況，合理分配資源、動(dòng)態(tài)配置負(fù)載等等。

綜上所述，存儲(chǔ)設(shè)備的選擇可按需定制，根據(jù)不同預(yù)算情況，不僅滿足當(dāng)前需求，還要兼顧將來的升級維護(hù)。

1. 2存儲(chǔ)系統(tǒng)解決方案

1.2.1省級分中心的存儲(chǔ)解決方案

天津圖書館作為“共享工程”的省級分中心，以其存儲(chǔ)系統(tǒng)為例:存儲(chǔ)設(shè)備采用的是EMC CLARi-iON CX500存儲(chǔ)系統(tǒng)。CX500提供了一種沒有任何單點(diǎn)故障的可擴(kuò)展、高可用性體系結(jié)構(gòu)，采用了通用的硬件體系結(jié)構(gòu)和軟件應(yīng)用程序套件，通過EMCNavisphere進(jìn)行集中管理并支持基于存儲(chǔ)的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)功能，保證了數(shù)據(jù)的完整性和高可用性。具有了全局熱備功能，冗余電源和冷卻，通向光纖通道和ATA磁盤驅(qū)動(dòng)器的四條通路，雙活動(dòng)存儲(chǔ)處理器，整個(gè)陣列內(nèi)的數(shù)據(jù)通路奇偶校驗(yàn)等許多特性。

在性能方面，CX500配有4個(gè)用于SAN連接的2Gb前端光纖通道端口和4個(gè)光纖通道和ATA磁盤驅(qū)動(dòng)器的2Gb后端光纖通道通路，可以有效地支持多達(dá)120個(gè)驅(qū)動(dòng)器而不會(huì)出現(xiàn)性能降級。CX500同時(shí)支持高性能光纖通道驅(qū)動(dòng)器和高容量ATA驅(qū)動(dòng)器，所以提供了最好的部署靈活性。鑒于共享工程資源存儲(chǔ)的需求，天津圖書館的CX500共配置了3個(gè)光纖磁盤柜共15TB的存儲(chǔ)空間，其中包括7. 5TB的光纖硬盤和7. 5TB的SATA硬盤。

在軟件支持方面，CX500在設(shè)計(jì)上可同時(shí)支持多達(dá)128部服務(wù)器，大大簡化存儲(chǔ)設(shè)施的整合過程。它符合絕大多數(shù)常用服務(wù)器操作環(huán)境的要求，其中包括Microsoft Windows， Sun Solaris， UNIX， Linux和NetWare平臺等，而且在SAN，NAS和DAS環(huán)境中運(yùn)行時(shí)具有高度的靈活性。采用Navisphere管理框架，該系統(tǒng)是一套簡單易用的基于圖形用戶界面

1.2.2區(qū)縣支中心的存儲(chǔ)解決方案

以天津市的十八家區(qū)縣支中心為例:

存儲(chǔ)設(shè)備統(tǒng)一采用H3C的EX1000存儲(chǔ)磁盤陣列柜。該設(shè)備為基于成熟的IP協(xié)議傳輸?shù)拇鎯?chǔ)設(shè)備，使用更靈活，配置更方便。可以在簡單配置后為網(wǎng)絡(luò)中的各種服務(wù)器提供海量存儲(chǔ)空間，同時(shí)也具備極大的擴(kuò)展性和靈活的升級。此存儲(chǔ)配置了4. 5T的存儲(chǔ)空間(共9塊5006盤)，其中一塊硬盤做為全局熱備盤，在最大程度上保證了磁盤的冗余，確保數(shù)據(jù)的安全。在數(shù)據(jù)傳輸上將4個(gè)1000M數(shù)據(jù)端口進(jìn)行連路聚合，既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除，同時(shí)也對數(shù)據(jù)的鏈路提供了必要的保護(hù)，同時(shí)4條鏈路的存在即意味著可以承受75%的故障率，所以，這樣的技術(shù)保證是完善的安全運(yùn)行應(yīng)用的保證。

2 VPN技術(shù)

互聯(lián)網(wǎng)作為“共享工程”的文化信息資源的主要傳輸渠道，所有信息服務(wù)都暴露在Internet上，很容易被入侵者竊取和篡改，安全性不夠。如果改用專線方式，一方面造價(jià)較高，維護(hù)也較困難;另一方面升級和擴(kuò)展也受限制。因此尋找一種比較經(jīng)濟(jì)，對數(shù)據(jù)的安全又較有保障，而且又有利用網(wǎng)絡(luò)的升級和擴(kuò)展的組網(wǎng)方式顯得異常的重要，而VPN技術(shù)恰恰能滿足這方面的需要。

VPN(Virtual Private Network)中文譯為虛擬專用網(wǎng)，它是一種通過ISP和其它NSP，在公網(wǎng)中建立用戶私有專用網(wǎng)的數(shù)據(jù)通信技術(shù)，是一種通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。是對專用網(wǎng)絡(luò)的擴(kuò)展，它是指共享或公共網(wǎng)絡(luò)上經(jīng)封裝，加密和身份驗(yàn)證的鏈路。VPN模仿專用網(wǎng)的一些屬性;它允許數(shù)據(jù)通過諸如Internet的網(wǎng)絡(luò)在兩臺計(jì)算機(jī)間傳遞;通過隧道技術(shù)模仿點(diǎn)對點(diǎn)的連接。

2. 1核心技術(shù)

①隧道技術(shù):隧道技術(shù)是VPN的基本技術(shù)類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F， PPTP， L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝人隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP，IPSec等。IPSec(IP Securi-ty)是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。 ②加解密技術(shù):加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

③密鑰管理技術(shù):密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAK-LEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMI〕中，雙方都有兩把密鑰，分別用于公用、私用。

④使用者與設(shè)備身份認(rèn)證技術(shù):使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

2. 2 VPN技術(shù)在“共享工程”中應(yīng)用的必要性與實(shí)現(xiàn)方法

“共享工程”在資源數(shù)字化方面，以數(shù)字圖書館技術(shù)為依托，建成了國家中心和各省級分中心的資源加工管理系統(tǒng)。

天津圖書館作為天津市“共享工程”的省分中心，數(shù)字資源經(jīng)過多年建設(shè)已初具規(guī)模，數(shù)字資源近5T。內(nèi)容涉及電子圖書、數(shù)字化期刊、津門曲藝庫、津門群星庫，以及與本地經(jīng)濟(jì)、文化發(fā)展息息相關(guān)的各種特色資源庫。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用，能夠在合理范圍內(nèi)為各區(qū)縣支中心、共享工程基層服務(wù)中心進(jìn)行有效共享。可以利用VPN技術(shù)來實(shí)現(xiàn)，首先建立VPN數(shù)字資源中心，向各區(qū)縣支中心、共享工程基層服務(wù)中心等基層單位提供VPN接人和數(shù)據(jù)資源內(nèi)容的提供服務(wù)。

2. 2. 1 VPN技術(shù)的實(shí)現(xiàn)方式

構(gòu)建VPN網(wǎng)絡(luò)可分為硬件、TPN和軟件、’PN兩種形式:軟件、’PN的建立成本低，硬件VPN在系統(tǒng)防御上要穩(wěn)定，軟件VPN維護(hù)起來相當(dāng)麻煩，網(wǎng)絡(luò)管理員不但要維護(hù)VPN軟件，還需要考慮病毒、惡意攻擊及相關(guān)設(shè)備的軟、硬件沖突導(dǎo)致系統(tǒng)平臺運(yùn)行不穩(wěn)定的因素出現(xiàn)，而硬件VPN一般采用專用硬件，維護(hù)量相對減少很多。

2. 2. 2實(shí)現(xiàn)VPN技術(shù)的方案

主要有三種:硬件平臺VPN、軟件平臺VPN和輔助硬件平臺VPNa

(1)軟件平臺VPN

利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實(shí)現(xiàn)簡單VPN的功能，甚至可以不需要另外購置軟件，僅依靠微軟的Windows操作系統(tǒng)就可實(shí)現(xiàn)純軟件平臺的VPN。特別從Windows2000系統(tǒng)開始對傳統(tǒng)的Ipsec VPN方案提供了全面支持，不僅可以提供原來PPTP隧道協(xié)議VPN的方案支持，而且還提出了新的L2TP隧道協(xié)議VPN方案，使VPN的應(yīng)用得到前所未有的推進(jìn)。

(2)硬件平臺VPN

使用硬件平臺的VPN設(shè)備可以滿足不同用戶對高數(shù)據(jù)安全及通信性能的需求，特別是加密及數(shù)據(jù)亂碼等對CPU處理能力需求很高的功能。能提供這些平臺的硬件廠商較多，如Cisco， 3Com、華為、聯(lián)想等，這類VPN平臺投資了大量的硬件設(shè)備，投資成本較高。

(3)輔助硬件平臺VPN

輔助硬件平臺VPN作為最常見的VPN平臺，介于軟件平臺和硬件平臺之間，主要是以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)腣PN軟件以實(shí)現(xiàn)VPN的功能。但通常這種平臺中的硬件也不能完全由原來的網(wǎng)絡(luò)硬件來完成，必要時(shí)還要添加專業(yè)的VPN設(shè)備，如VPN交換機(jī)、VPN網(wǎng)關(guān)或路由器等。

2.2.3構(gòu)建VPN專網(wǎng)的關(guān)鍵問題

由于“共享工程”天津分中心與各區(qū)縣支中心都已建成了自己的局域網(wǎng)，那么VPN設(shè)備與防火墻的安裝方式，成為構(gòu)建VPN專網(wǎng)的關(guān)鍵問題。

現(xiàn)在最普遍采用的方式:是將、’PN設(shè)備與防火墻平行安裝，它不需要改變防火墻目前的結(jié)構(gòu)體系，但也意味著進(jìn)人內(nèi)部網(wǎng)絡(luò)將有兩個(gè)人口。在大部分VPN設(shè)備上，檢查進(jìn)人的數(shù)據(jù)，并阻擋非VPN流量進(jìn)人內(nèi)部網(wǎng)絡(luò)，以減小額外的安全風(fēng)險(xiǎn)。依賴網(wǎng)絡(luò)建設(shè)的方式，也需要VPN設(shè)備做一些地址翻譯的工作，或者將流量重定向到防火墻。

還有一種方式:是將VPN設(shè)備安裝在防火墻后，對防火墻做出一些改變。需要防火墻配置一個(gè)足夠“聰明”的過濾器以允許VPN流量通過。另外，一些防火墻不能處理碎片，而碎片對于VPN來說是非常普遍的。因此，如果不在客戶軟件中人為減小MTU(最大傳輸單元)，就不可能將VPN安裝在防火墻之后。

信息資源廣域VPN網(wǎng)建成后，邏輯上把物理位置省級分中心與不同的區(qū)縣支中心、共享工程基層中心連接成統(tǒng)一的內(nèi)部網(wǎng)，從而提升了文化信息資源共享工程的實(shí)在意義。

3結(jié)束語

隨著，“文化共享工程”的全國省級分中心和區(qū)縣支中心的相繼建成，軟件與硬件建設(shè)分別應(yīng)用到了很多的新技術(shù)與新知識，如數(shù)字電視技術(shù)、IPTV技術(shù)、網(wǎng)絡(luò)電視技術(shù)、移動(dòng)播放技術(shù)，衛(wèi)星接收技術(shù)、內(nèi)外網(wǎng)地址的NAT轉(zhuǎn)換技術(shù)等等，這都需要我們進(jìn)行不斷的學(xué)習(xí)與探索，才能更好地為“文化共享工程，，服務(wù)。