浅论全国文化信息资源共享工程中两项重要技术的探讨

论文关键词：共享工网络存储VPN技术资源共享

论文摘要：本文通过对网络存储技术、虚拟专网VPN技术的设计原则和关健技术的详细介绍，全面分析了这两项技术的性能特点，以及在“共享工程”天津分中心和18家区县支中心的具体实现方案与发展设计构想，阐述了这两项技术的发展前景，及其在全国文化信息资源共享工程得到广泛应用的必然性。

全国文化信息资源共享工程(以下简称文化共享工程)是由文化部、财政部共同组织实施的一项社会主义文化建设标志性工程，是新形势下构建我国公共文化服务体系、惠及千家万户的一项重要文化基础工程。“共享工程”将充分利用现代高新技术手段，将中华民族几千年来积淀的各种类型的文化信息资源精华以及贴近大众生活的现代社会文化信息资源，进行数字化加工处理与整合;建成互联网上的中华文化信息中心和网络中心，并通过覆盖全国所有省、自治区、直辖市和大部分地(市)、县(区)以及部分乡镇、街道(社区)的文化信息资源网络传输系统，实现优秀文化信息在全国范围内的共建共享。该工程于2004年4月正式启动实施。

在中央和地方各级财政的大力支持下经过不断努力，文化共享工程技术体系已经初步形成:在资源数字化方面，以数字图书馆技术为依托，建成了国家中心和各省级分中心的资源加工管理系统;在传输建设方面，形成了以互联网、卫星网、有线电视及数字电视网为主要传输渠道，光盘、移动存储设备为辅助传输手段的网络传输体系，实现了文化信息资源的有效传递;在终端服务上，提供了国家中心网站、省分中心网站、省分中心镜像站、卫星终端服务系统、文化共享工程基层服务系统、有线电视、数字电视、光盘、移动硬盘等手段，方便广大群众以多种方式从不同渠道获取和使用文化信息资源。

本文从动态发展的角度，以现有的技术体系为基础，简要对网络存储技术与虚拟专网VPN技术在“文化共享工程”中应用加以论述。

1网络存储技术

文化共享工程以加工整合各类优秀文献信息资源为重点，建成了具有一定规模的文献信息资源库群。截至2007年6月，数字资源的总量己达到60TB。资源的存储成为了各级分中心核心建设的重中之重。

1.1存储系统设计原则

存储系统的设计要遵循以下原则:

先进性和实用性:在方案总体设计规划时不仅要满足当时业务需求，而且充分考虑未来的需求可能。保证硬件环境的先进性，尽可能采用业界领先的技术。软件环境的先进性，要从软件平台，设计思想、系统结构等方面考虑，选择先进、可靠的应用平台。

安全可靠性:存储系统要保证365 X 24小时的不间断稳定运行，具有灾难恢复能力。

灵活性与可扩展性:网络存储系统是一个不断发展的系统，所以它具有良好的扩展性，方便的扩大容量和提高层次的功能，支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。

开放性/互联性:具备与多种协议计算机通信网络互联互通的特性，确保网络存储系统基础设施的作用可以充分发挥。

经济性/投资保护:以较高的性能价格构建网络系统，充分利用以往在资金与技术方面的投人。

可管理性:采用智能化，可管理的设备，先进的管理软件，实现先进的分布式管理。实现监控、监测整个系统的运行状况，合理分配资源、动态配置负载等等。

综上所述，存储设备的选择可按需定制，根据不同预算情况，不仅满足当前需求，还要兼顾将来的升级维护。

1. 2存储系统解决方案

1.2.1省级分中心的存储解决方案

天津图书馆作为“共享工程”的省级分中心，以其存储系统为例:存储设备采用的是EMC CLARi-iON CX500存储系统。CX500提供了一种没有任何单点故障的可扩展、高可用性体系结构，采用了通用的硬件体系结构和软件应用程序套件，通过EMCNavisphere进行集中管理并支持基于存储的业务连续性和灾难恢复功能，保证了数据的完整性和高可用性。具有了全局热备功能，冗余电源和冷却，通向光纤通道和ATA磁盘驱动器的四条通路，双活动存储处理器，整个阵列内的数据通路奇偶校验等许多特性。

在性能方面，CX500配有4个用于SAN连接的2Gb前端光纤通道端口和4个光纤通道和ATA磁盘驱动器的2Gb后端光纤通道通路，可以有效地支持多达120个驱动器而不会出现性能降级。CX500同时支持高性能光纤通道驱动器和高容量ATA驱动器，所以提供了最好的部署灵活性。鉴于共享工程资源存储的需求，天津图书馆的CX500共配置了3个光纤磁盘柜共15TB的存储空间，其中包括7. 5TB的光纤硬盘和7. 5TB的SATA硬盘。

在软件支持方面，CX500在设计上可同时支持多达128部服务器，大大简化存储设施的整合过程。它符合绝大多数常用服务器操作环境的要求，其中包括Microsoft Windows， Sun Solaris， UNIX， Linux和NetWare平台等，而且在SAN，NAS和DAS环境中运行时具有高度的灵活性。采用Navisphere管理框架，该系统是一套简单易用的基于图形用户界面

1.2.2区县支中心的存储解决方案

以天津市的十八家区县支中心为例:

存储设备统一采用H3C的EX1000存储磁盘阵列柜。该设备为基于成熟的IP协议传输的存储设备，使用更灵活，配置更方便。可以在简单配置后为网络中的各种服务器提供海量存储空间，同时也具备极大的扩展性和灵活的升级。此存储配置了4. 5T的存储空间(共9块5006盘)，其中一块硬盘做为全局热备盘，在最大程度上保证了磁盘的冗余，确保数据的安全。在数据传输上将4个1000M数据端口进行连路聚合，既保证了高带宽的可用还保证了链路的冗余。高带宽的使用除可以保证访问瓶颈的解除，同时也对数据的链路提供了必要的保护，同时4条链路的存在即意味着可以承受75%的故障率，所以，这样的技术保证是完善的安全运行应用的保证。

2 VPN技术

互联网作为“共享工程”的文化信息资源的主要传输渠道，所有信息服务都暴露在Internet上，很容易被入侵者窃取和篡改，安全性不够。如果改用专线方式，一方面造价较高，维护也较困难;另一方面升级和扩展也受限制。因此寻找一种比较经济，对数据的安全又较有保障，而且又有利用网络的升级和扩展的组网方式显得异常的重要，而VPN技术恰恰能满足这方面的需要。

VPN(Virtual Private Network)中文译为虚拟专用网，它是一种通过ISP和其它NSP，在公网中建立用户私有专用网的数据通信技术，是一种通过私有隧道在公共数据网上仿真一条点到点的专线技术。是对专用网络的扩展，它是指共享或公共网络上经封装，加密和身份验证的链路。VPN模仿专用网的一些属性;它允许数据通过诸如Internet的网络在两台计算机间传递;通过隧道技术模仿点对点的连接。

2. 1核心技术

①隧道技术:隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F， PPTP， L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装人隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP，IPSec等。IPSec(IP Securi-ty)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 ②加解密技术:加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

③密钥管理技术:密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAK-LEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥;在ISAKMI〕中，双方都有两把密钥，分别用于公用、私用。

④使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

2. 2 VPN技术在“共享工程”中应用的必要性与实现方法

“共享工程”在资源数字化方面，以数字图书馆技术为依托，建成了国家中心和各省级分中心的资源加工管理系统。

天津图书馆作为天津市“共享工程”的省分中心，数字资源经过多年建设已初具规模，数字资源近5T。内容涉及电子图书、数字化期刊、津门曲艺库、津门群星库，以及与本地经济、文化发展息息相关的各种特色资源库。如何使天津图书馆这些丰富公共资源得到更加广泛的利用，能够在合理范围内为各区县支中心、共享工程基层服务中心进行有效共享。可以利用VPN技术来实现，首先建立VPN数字资源中心，向各区县支中心、共享工程基层服务中心等基层单位提供VPN接人和数据资源内容的提供服务。

2. 2. 1 VPN技术的实现方式

构建VPN网络可分为硬件、TPN和软件、’PN两种形式:软件、’PN的建立成本低，硬件VPN在系统防御上要稳定，软件VPN维护起来相当麻烦，网络管理员不但要维护VPN软件，还需要考虑病毒、恶意攻击及相关设备的软、硬件冲突导致系统平台运行不稳定的因素出现，而硬件VPN一般采用专用硬件，维护量相对减少很多。

2. 2. 2实现VPN技术的方案

主要有三种:硬件平台VPN、软件平台VPN和辅助硬件平台VPNa

(1)软件平台VPN

利用一些软件公司所提供的完全基于软件的VPN产品来实现简单VPN的功能，甚至可以不需要另外购置软件，仅依靠微软的Windows操作系统就可实现纯软件平台的VPN。特别从Windows2000系统开始对传统的Ipsec VPN方案提供了全面支持，不仅可以提供原来PPTP隧道协议VPN的方案支持，而且还提出了新的L2TP隧道协议VPN方案，使VPN的应用得到前所未有的推进。

(2)硬件平台VPN

使用硬件平台的VPN设备可以满足不同用户对高数据安全及通信性能的需求，特别是加密及数据乱码等对CPU处理能力需求很高的功能。能提供这些平台的硬件厂商较多，如Cisco， 3Com、华为、联想等，这类VPN平台投资了大量的硬件设备，投资成本较高。

(3)辅助硬件平台VPN

辅助硬件平台VPN作为最常见的VPN平台，介于软件平台和硬件平台之间，主要是以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。但通常这种平台中的硬件也不能完全由原来的网络硬件来完成，必要时还要添加专业的VPN设备，如VPN交换机、VPN网关或路由器等。

2.2.3构建VPN专网的关键问题

由于“共享工程”天津分中心与各区县支中心都已建成了自己的局域网，那么VPN设备与防火墙的安装方式，成为构建VPN专网的关键问题。

现在最普遍采用的方式:是将、’PN设备与防火墙平行安装，它不需要改变防火墙目前的结构体系，但也意味着进人内部网络将有两个人口。在大部分VPN设备上，检查进人的数据，并阻挡非VPN流量进人内部网络，以减小额外的安全风险。依赖网络建设的方式，也需要VPN设备做一些地址翻译的工作，或者将流量重定向到防火墙。

还有一种方式:是将VPN设备安装在防火墙后，对防火墙做出一些改变。需要防火墙配置一个足够“聪明”的过滤器以允许VPN流量通过。另外，一些防火墙不能处理碎片，而碎片对于VPN来说是非常普遍的。因此，如果不在客户软件中人为减小MTU(最大传输单元)，就不可能将VPN安装在防火墙之后。

信息资源广域VPN网建成后，逻辑上把物理位置省级分中心与不同的区县支中心、共享工程基层中心连接成统一的内部网，从而提升了文化信息资源共享工程的实在意义。

3结束语

随着，“文化共享工程”的全国省级分中心和区县支中心的相继建成，软件与硬件建设分别应用到了很多的新技术与新知识，如数字电视技术、IPTV技术、网络电视技术、移动播放技术，卫星接收技术、内外网地址的NAT转换技术等等，这都需要我们进行不断的学习与探索，才能更好地为“文化共享工程，，服务。