論文關鍵詞：共享工網絡存儲VPN技術資源共享

論文摘要：本文通過對網絡存儲技術、虛擬專網VPN技術的設計原則和關健技術的詳細介紹，全面分析了這兩項技術的性能特點，以及在“共享工程”天津分中心和18家區縣支中心的具體實現方案與發展設計構想，闡述了這兩項技術的發展前景，及其在全國文化信息資源共享工程得到廣泛應用的必然性。

全國文化信息資源共享工程(以下簡稱文化共享工程)是由文化部、財政部共同組織實施的一項社會主義文化建設標志性工程，是新形勢下構建我國公共文化服務體系、惠及千家萬戶的一項重要文化基礎工程。“共享工程”將充分利用現代高新技術手段，將中華民族幾千年來積淀的各種類型的文化信息資源精華以及貼近大眾生活的現代社會文化信息資源，進行數字化加工處理與整合;建成互聯網上的中華文化信息中心和網絡中心，并通過覆蓋全國所有省、自治區、直轄市和大部分地(市)、縣(區)以及部分鄉鎮、街道(社區)的文化信息資源網絡傳輸系統，實現優秀文化信息在全國范圍內的共建共享。該工程于2004年4月正式啟動實施。

在中央和地方各級財政的大力支持下經過不斷努力，文化共享工程技術體系已經初步形成:在資源數字化方面，以數字圖書館技術為依托，建成了國家中心和各省級分中心的資源加工管理系統;在傳輸建設方面，形成了以互聯網、衛星網、有線電視及數字電視網為主要傳輸渠道，光盤、移動存儲設備為輔助傳輸手段的網絡傳輸體系，實現了文化信息資源的有效傳遞;在終端服務上，提供了國家中心網站、省分中心網站、省分中心鏡像站、衛星終端服務系統、文化共享工程基層服務系統、有線電視、數字電視、光盤、移動硬盤等手段，方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。

本文從動態發展的角度，以現有的技術體系為基礎，簡要對網絡存儲技術與虛擬專網VPN技術在“文化共享工程”中應用加以論述。

1網絡存儲技術

文化共享工程以加工整合各類優秀文獻信息資源為重點，建成了具有一定規模的文獻信息資源庫群。截至2007年6月，數字資源的總量己達到60TB。資源的存儲成為了各級分中心核心建設的重中之重。

1.1存儲系統設計原則

存儲系統的設計要遵循以下原則:

先進性和實用性:在方案總體設計規劃時不僅要滿足當時業務需求，而且充分考慮未來的需求可能。保證硬件環境的先進性，盡可能采用業界領先的技術。軟件環境的先進性，要從軟件平臺，設計思想、系統結構等方面考慮，選擇先進、可靠的應用平臺。

安全可靠性:存儲系統要保證365 X 24小時的不間斷穩定運行，具有災難恢復能力。

靈活性與可擴展性:網絡存儲系統是一個不斷發展的系統，所以它具有良好的擴展性，方便的擴大容量和提高層次的功能，支持多種通信媒體、多種物理接口的能力，提供技術升級、設備更新的靈活性。

開放性/互聯性:具備與多種協議計算機通信網絡互聯互通的特性，確保網絡存儲系統基礎設施的作用可以充分發揮。

經濟性/投資保護:以較高的性能價格構建網絡系統，充分利用以往在資金與技術方面的投人。

可管理性:采用智能化，可管理的設備，先進的管理軟件，實現先進的分布式管理。實現監控、監測整個系統的運行狀況，合理分配資源、動態配置負載等等。

綜上所述，存儲設備的選擇可按需定制，根據不同預算情況，不僅滿足當前需求，還要兼顧將來的升級維護。

1. 2存儲系統解決方案

1.2.1省級分中心的存儲解決方案

天津圖書館作為“共享工程”的省級分中心，以其存儲系統為例:存儲設備采用的是EMC CLARi-iON CX500存儲系統。CX500提供了一種沒有任何單點故障的可擴展、高可用性體系結構，采用了通用的硬件體系結構和軟件應用程序套件，通過EMCNavisphere進行集中管理并支持基于存儲的業務連續性和災難恢復功能，保證了數據的完整性和高可用性。具有了全局熱備功能，冗余電源和冷卻，通向光纖通道和ATA磁盤驅動器的四條通路，雙活動存儲處理器，整個陣列內的數據通路奇偶校驗等許多特性。

在性能方面，CX500配有4個用于SAN連接的2Gb前端光纖通道端口和4個光纖通道和ATA磁盤驅動器的2Gb后端光纖通道通路，可以有效地支持多達120個驅動器而不會出現性能降級。CX500同時支持高性能光纖通道驅動器和高容量ATA驅動器，所以提供了最好的部署靈活性。鑒于共享工程資源存儲的需求，天津圖書館的CX500共配置了3個光纖磁盤柜共15TB的存儲空間，其中包括7. 5TB的光纖硬盤和7. 5TB的SATA硬盤。

在軟件支持方面，CX500在設計上可同時支持多達128部服務器，大大簡化存儲設施的整合過程。它符合絕大多數常用服務器操作環境的要求，其中包括Microsoft Windows， Sun Solaris， UNIX， Linux和NetWare平臺等，而且在SAN，NAS和DAS環境中運行時具有高度的靈活性。采用Navisphere管理框架，該系統是一套簡單易用的基于圖形用戶界面

1.2.2區縣支中心的存儲解決方案

以天津市的十八家區縣支中心為例:

存儲設備統一采用H3C的EX1000存儲磁盤陣列柜。該設備為基于成熟的IP協議傳輸的存儲設備，使用更靈活，配置更方便。可以在簡單配置后為網絡中的各種服務器提供海量存儲空間，同時也具備極大的擴展性和靈活的升級。此存儲配置了4. 5T的存儲空間(共9塊5006盤)，其中一塊硬盤做為全局熱備盤，在最大程度上保證了磁盤的冗余，確保數據的安全。在數據傳輸上將4個1000M數據端口進行連路聚合，既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除，同時也對數據的鏈路提供了必要的保護，同時4條鏈路的存在即意味著可以承受75%的故障率，所以，這樣的技術保證是完善的安全運行應用的保證。

2 VPN技術

互聯網作為“共享工程”的文化信息資源的主要傳輸渠道，所有信息服務都暴露在Internet上，很容易被入侵者竊取和篡改，安全性不夠。如果改用專線方式，一方面造價較高，維護也較困難;另一方面升級和擴展也受限制。因此尋找一種比較經濟，對數據的安全又較有保障，而且又有利用網絡的升級和擴展的組網方式顯得異常的重要，而VPN技術恰恰能滿足這方面的需要。

VPN(Virtual Private Network)中文譯為虛擬專用網，它是一種通過ISP和其它NSP，在公網中建立用戶私有專用網的數據通信技術，是一種通過私有隧道在公共數據網上仿真一條點到點的專線技術。是對專用網絡的擴展，它是指共享或公共網絡上經封裝，加密和身份驗證的鏈路。VPN模仿專用網的一些屬性;它允許數據通過諸如Internet的網絡在兩臺計算機間傳遞;通過隧道技術模仿點對點的連接。

2. 1核心技術

①隧道技術:隧道技術是VPN的基本技術類似于點對點連接技術，它在公用網建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝人隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F， PPTP， L2TP等。L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而形成。

第三層隧道協議是把各種網絡協議直接裝人隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP，IPSec等。IPSec(IP Securi-ty)是由一組RFC文檔組成，定義了一個系統來提供安全協議選擇、安全算法，確定服務所使用密鑰等服務，從而在IP層提供安全保障。 ②加解密技術:加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術。

③密鑰管理技術:密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAK-LEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網絡上傳輸密鑰;在ISAKMI〕中，雙方都有兩把密鑰，分別用于公用、私用。

④使用者與設備身份認證技術:使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

2. 2 VPN技術在“共享工程”中應用的必要性與實現方法

“共享工程”在資源數字化方面，以數字圖書館技術為依托，建成了國家中心和各省級分中心的資源加工管理系統。

天津圖書館作為天津市“共享工程”的省分中心，數字資源經過多年建設已初具規模，數字資源近5T。內容涉及電子圖書、數字化期刊、津門曲藝庫、津門群星庫，以及與本地經濟、文化發展息息相關的各種特色資源庫。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用，能夠在合理范圍內為各區縣支中心、共享工程基層服務中心進行有效共享。可以利用VPN技術來實現，首先建立VPN數字資源中心，向各區縣支中心、共享工程基層服務中心等基層單位提供VPN接人和數據資源內容的提供服務。

2. 2. 1 VPN技術的實現方式

構建VPN網絡可分為硬件、TPN和軟件、’PN兩種形式:軟件、’PN的建立成本低，硬件VPN在系統防御上要穩定，軟件VPN維護起來相當麻煩，網絡管理員不但要維護VPN軟件，還需要考慮病毒、惡意攻擊及相關設備的軟、硬件沖突導致系統平臺運行不穩定的因素出現，而硬件VPN一般采用專用硬件，維護量相對減少很多。

2. 2. 2實現VPN技術的方案

主要有三種:硬件平臺VPN、軟件平臺VPN和輔助硬件平臺VPNa

(1)軟件平臺VPN

利用一些軟件公司所提供的完全基于軟件的VPN產品來實現簡單VPN的功能，甚至可以不需要另外購置軟件，僅依靠微軟的Windows操作系統就可實現純軟件平臺的VPN。特別從Windows2000系統開始對傳統的Ipsec VPN方案提供了全面支持，不僅可以提供原來PPTP隧道協議VPN的方案支持，而且還提出了新的L2TP隧道協議VPN方案，使VPN的應用得到前所未有的推進。

(2)硬件平臺VPN

使用硬件平臺的VPN設備可以滿足不同用戶對高數據安全及通信性能的需求，特別是加密及數據亂碼等對CPU處理能力需求很高的功能。能提供這些平臺的硬件廠商較多，如Cisco， 3Com、華為、聯想等，這類VPN平臺投資了大量的硬件設備，投資成本較高。

(3)輔助硬件平臺VPN

輔助硬件平臺VPN作為最常見的VPN平臺，介于軟件平臺和硬件平臺之間，主要是以現有網絡設備為基礎，再增添適當的VPN軟件以實現VPN的功能。但通常這種平臺中的硬件也不能完全由原來的網絡硬件來完成，必要時還要添加專業的VPN設備，如VPN交換機、VPN網關或路由器等。

2.2.3構建VPN專網的關鍵問題

由于“共享工程”天津分中心與各區縣支中心都已建成了自己的局域網，那么VPN設備與防火墻的安裝方式，成為構建VPN專網的關鍵問題。

現在最普遍采用的方式:是將、’PN設備與防火墻平行安裝，它不需要改變防火墻目前的結構體系，但也意味著進人內部網絡將有兩個人口。在大部分VPN設備上，檢查進人的數據，并阻擋非VPN流量進人內部網絡，以減小額外的安全風險。依賴網絡建設的方式，也需要VPN設備做一些地址翻譯的工作，或者將流量重定向到防火墻。

還有一種方式:是將VPN設備安裝在防火墻后，對防火墻做出一些改變。需要防火墻配置一個足夠“聰明”的過濾器以允許VPN流量通過。另外，一些防火墻不能處理碎片，而碎片對于VPN來說是非常普遍的。因此，如果不在客戶軟件中人為減小MTU(最大傳輸單元)，就不可能將VPN安裝在防火墻之后。

信息資源廣域VPN網建成后，邏輯上把物理位置省級分中心與不同的區縣支中心、共享工程基層中心連接成統一的內部網，從而提升了文化信息資源共享工程的實在意義。

3結束語

隨著，“文化共享工程”的全國省級分中心和區縣支中心的相繼建成，軟件與硬件建設分別應用到了很多的新技術與新知識，如數字電視技術、IPTV技術、網絡電視技術、移動播放技術，衛星接收技術、內外網地址的NAT轉換技術等等，這都需要我們進行不斷的學習與探索，才能更好地為“文化共享工程，，服務。