论文部分内容阅读
摘要:VLAN(Virtual Local Area Network,虚拟局域网)技术是一种崭新的网络技术,它能提高整个网络系统的灵活性、可靠性和安全性。文章主要论述了VLAN的定义、划分方法及应用价值等,并且结合实际,介绍了VLAN技术在合并高校图书馆网络建设中的实际应用。
关键词:VLAN;虚拟局域网;图书馆网络
近年来,随着图书馆自动化、数字化建设的不断发展,高校图书馆的网络化建设也取得了长足的进步。同时,随着近年来高校的合并和扩招,高校图书馆的规模也在不断扩大,与之而来的是图书馆网络的应用不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。VLAN(Virtual Local Area Network,虚拟局域网)技术的出现对于解决合并高校图书馆的网络应用和管理提供了很好的解决方案。
充分合理地利用VLAN技术进行组网,不仅能有效地提高图书馆网络管理的灵活性,增加网络效率和网络安全性,而且还能充分整合各分馆之间的网络资源,可以在不更换分馆计算机管理系统的前提下,利用VLAN技术实现各分馆图书计算机统一管理,实现图书资源的通借通还,方便广大师生学习。
一、VLAN技术概况
(一)VLAN的定义
VLAN即虚拟局域网,扩展的交换网之意。是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,真正实现了网络用户与它们的物理位置无关。一个VLAN就是一个逻辑广播域,它可以扩展多个网络设备,而不同VLAN之间广播信息是相互隔离的。VLAN技术是近年来在计算机网络领域兴起的一项崭新的技术,目前VLAN执行的标准是IEEE802委员会1999年发布的IEEE802.1QVLAN标准。VLAN的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。
(二)VLAN技术的应用价值
1. 有效地阻隔网络广播,防止广播风暴,提高网络效率
每个网络中都存在广播,在交换机启动时,由于其内部的“路由表”(该表保存了每一端口和与其相连节点的MAC地址的对应关系)是空的,需要通过发送广播信息来获得表项。当网络中节点数足够大时,广播信息包就可能影响其他正确信息流的传输,使网络的性能迅速下降,这就是所谓的“广播风暴”。对于网络广播风暴的控制主要有物理的网络分段和VLAN技术的逻辑分段两种方式,前者可将广播风暴限制在一个物理网段中,而后者更灵活,效率更高。由于每一个VLAN处于一个独立的广播域,即通过VLAN的划分来限制广播域,有效地阻隔网络广播,从而控制了广播风暴。
高校图书馆电子阅览室是计算机较集中的地方,规模大的有几百台计算机,小的也有几十台,这大大增加了图书馆的网络信息点,单单使用传统的LAN技术,极有可能会因“广播风暴”而使整个网络陷入瘫痪。为了方便读者检索,图书馆都会设置一定数量计算机做公用检索机,当读者进行书目检索时如遇服务器繁忙,读者发出的信息得不到及时回应,他们往往会不断地重发信息,导致通往服务器的通道阻塞,形成“广播风暴”,影响整个网络的正常运行。如果在图书馆的局域网中能使用VLAN技术,则可把电子阅览室的IP分在一个或多个VLAN上,而把公用检索机放在另一VLAN上。这样把广播问题限制在各VLAN内部,就能减少对整个网络的影响。即使出现了“广播风暴”,因为采用VLAN技术能使网络分段相对较小,图书馆网络管理员容易对“广播风暴”的源头进行定位,并迅速找出原因,恢复网络正常运行。
2. 提高网络资源的安全性
人们在共享的LAN上经常传送一些保密的、关键性的数据,保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,图书馆网络管理员限制在VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。这样就有效地隔离了不同VLAN成员之间的访问,防止了大部分基于网络帧听的入侵,可以将通信限定在同一虚网中,形成特别有效的、限制非授权访问的屏障。在图书馆具体的网络配置中,我们可以应用VLAN技术绑定交换机每个端口的VLANID,并把闲置的端口设置到默认的低层服务的VLAN上,同一VLAN内的计算机之间直接通信,不同VLAN间的通信要通过路由器的网关进行路由选径传送,这样可以防止有人利用闲置端口接入图书馆局域网访问整个网络,能大大提高图书馆网络系统的整体安全性。
3. 增加网络管理的灵活性和力度,方便网络维护
网络上的各站点可以不按地理位置分组,图书馆网络管理员可以将其按业务功能加以划分,这种特点特别适合于一些业务情况经常变动的部门,通过VLAN可以大大降低由于移动或变更工作站地理位置的管理费用。
在传统的网络中,网络管理员要花费大量的时间处理网络的变动,如果用户要移动到不同的IP子网,那么每一个工作站的IP地址必须手工调整,稍不注意可能引起IP地址冲突。但在划分VLAN之后,如果某个VLAN中的工作站需移到网络中的另一个端口,则只需将这个新端口指定给这个VLAN,借助于网管软件后,这种改变只需在Windows窗口中用鼠标操作,其他则可以由系统自动进行。
(三)VLAN的划分方式
有很多种方式可以用来划分VLAN,但在实际应用中主要有以下4种方法:根据端口定义、根据MAC地址定义、根据网络层定义、根据IP广播组定义。
1. 根据端口定义
许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一广播域中。例如,一个交换机的1、2、3、7、8端口被定义为虚拟网A,同一交换机的4、5、6端口定义为虚拟网B,这样做允许各端口之间的通讯,并允许共享型网络的升级。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
按交换机端口来划分网络成员,其配置过程简单明了。在工作站改变使用功能时,不需要网管人员改变机器内部的网络设置,只须改变端口即可使用,因此,迄今为止,基于端口的VLAN划分仍然是高校图书馆最常用的一种方式。但是,这种方式不允许多个VLAN共享一个物理网段或交换机端口,而且,更糟糕的是,如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网,需要重新进行设置。
2. 根据MAC地址定义
按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网络接口卡上的,所以这种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属虚拟网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP/IP、IP、IPX等)。
因此,从某种意义上讲,利用MAC地址定义虚拟网可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确地分配给一个虚拟网,在这种初始化工作完成之后,对用户的自动跟踪才成为可能。然而,在一个拥有成千上万用户的大型网络中,如果要求网管人员将每个用户都一一划分到某一个虚拟网,这实在是太困难了。由于每一个网络设备的MAC地址是全球唯一的,所以有一些网管工具可以根据当前网络的使用情况,在MAC地址的基础上自动划分虚拟网。
3. 基于网络层的定义
基于网络层的虚拟网使用协议(如果网络中存在多协议的话)或网络层地址(如TCP/IP中的子网段地址)来确定网络成员的划分。
利用网络层定义虚拟网有以下几点优势:第一,这种方式可以按传输协议划分网段。第二,用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户。第三,这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。
缺点主要有:与利用MAC地址的形式相比,基于网络层的虚拟网需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义虚拟网的交换机要比使用数据链路层信息的交换机在速度上占劣势,而且,这种差异在绝大多数网络产品中都存在。另外,虽然按网络层划分的虚拟网对于使用TCP/IP协议的用户群来说是十分有效的,但是,像IPX、DecNet、AppleTalk这样的协议运行在这种虚拟网络结构中似乎就不太合适了。再者,对于某些“无法路由”的协议,如NetBIOS,按网络层定义虚拟网就更困难了。运行不可路由的协议的工作站是不能被识别的,因此也就不能成为虚拟网的一员。
需要注意的是,虽然这种类型的虚拟网是建立在网络层的基础上,但交换机本身并不参与路由工作。当一个交换机捕捉到一个IP包,并利用地址确定其身份时,没有任何与路由有关的计算产生,RIP以及OSPF等路由传输协议也不被使用。交换机只是作为一个高速网桥,简单地利用扩展树算法将包转发给下一个节点上的交换机。这样一来,基于网络层的虚拟网之间的连接应该看成是一个类似于桥的拓扑结构。
4. 根据IP广播组定义
根据IP广播组定义是指任何属于同一IP广播组的计算机都属于同一虚拟网。这样的虚拟网是如下建立的:当IP包广播到网络上时,它将被传送到一组IP地址的受托者那里。这组被明确定义的广播组是在网络运行中动态生成的,任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员,然而,他们的这种成员身份可根据实际需求保留一定的时间。因此,利用IP广播域来划分虚拟网的方法给用户带来了巨大的灵活性和可延展性。而且,在这种方式下,整个网络可以非常方便地通过路由器扩展网络规模。
综上所述,用来定义虚拟网的方式有很多,而每种方法的侧重点不同,所达到的效果也不尽相同。
二、VLAN技术在合并图书馆网络中的应用
(一)合并图书馆网络大致构成
目前,高校合并图书馆中,一般都由一个中心馆和若干分馆组成,分馆各自建立独立的千兆以太网,连接到各校区的校园网,再通过教育网实现与中心馆相互连接。图书馆网络大多采用千兆以太网,主干由单模或多模光纤连接,设置600~1000个信息点。除了图书馆日常工作外,还要求有足够的带宽保证在网上传输视频、音频信息,因此网络主干及重要部门采用全交换结构。
湘南学院图书馆是由中心馆、苏仙分馆、北湖分馆组成。中心交换机采用华为公司的Quidway S6503,Quidway S6503系列交换机支持以基于物理端口、MAC地址、网络IP地址、多播组、用户自定义等多种规则划分的VLAN。该交换机是三层可网管型交换机,其上配有1Gbit/s模块。各楼层采用工作组级交换机Quidway S3026C,这种交换机均具有1Gbit/s的上连接口及100Mbit/s全交换以太网端口,Quidway S3026C通过光纤上连到Quidway S6503。
(二)高校图书馆网络应用及VLAN在图书馆的具体划分
对于高校图书馆来说,由于都是依托学校校园网来进行本馆的网络划分,因此,不同学校之间存在很大的差异。考虑到校园网IP地址资源有限,图书馆不可能为其局域网中的所有工作站分配校园网的IP地址,除了Web、Ftp、E-mail等服务器需要分配真实的IP地址,放置在校园网上外,大部分工作站都应使用内部虚拟IP地址。节省了IP地址资源的同时,又提高了网络的安全性,便于管理。另外,图书馆中心机房一般处于物理中心,其他业务部门分别分散在不同楼层,因此,我们可以建立基于网络层IP策略的VLAN,将散列图书馆大楼各处相同业务部门的工作站归属一个VLAN(一个IP子网)。
高校图书馆计算机应用系统主要有:图书馆集成管理系统、光盘检索系统、图书馆数字资源系统、镜像或在线数据库检索系统、电子阅览室管理系统、Vod系统,Web、Ftp等服务系统,办公自动化及其他应用系统等。根据需要,我们将图书馆内部网络划分为集成管理系统、中心机房、数字图书馆、电子阅览室、办公及其他子网等。
在各楼层交换机上建立以IP规则定义的若干个VLAN,如有业务部门跨越不同楼层的,可通过跨交换机的VLAN划分,将其归在同一业务部门所在的“逻辑工作组”。每个业务部门的信息流动被限制于一个VLAN内部,广播风暴被路由端口隔开,不会扩散到其他部门。不同VLAN之间传输的数据包由设置于交换机内部的虚拟路由端口转发,以实现VLAN之间的通信。这样,方便了用户使用,有效利用了网络带宽,另外,基于网络层IP规则划分的VLAN使我们可对不同的子网设定不同的访问权限,安全性也得到提高。
图书馆集成管理系统是图书馆内部的业务工作专有系统。图书馆几乎所有业务模块,如采访、编目、典藏、流通、期刊管理、读者管理、系统维护等功能,都是通过该系统实现的,并且直接涉及图书馆的书目数据库、读者数据库,对安全的要求非常高,不允许无关人员访问,必须严格控制访问权限。因此需要将主要数据库服务器与所有业务模块站点划成一个VLAN,分配内部IP地址,并与Internet隔离,其他站点一律无权访问该数据库服务器。此外,有些特殊业务,如采访、编目等,可以通过代理服务器访问外部Internet,以便上传和下载书商的书目数据。
中心机房包括书目信息查询、读者借阅信息查询系统、光盘检索系统、Vod系统及E-mail服务器、Ftp服务器等,数字资源利用站点和在线查询服务器等都应具有真实IP地址,提供给校园网内的用户和图书馆内部的所有工作站访问。将这些服务器形成一个VLAN,放置在图书馆防火墙后加以保护。
对于提供信息检索和数字资源利用的电子阅览室,应单独划分一个VLAN,减少电子阅览室计算机由于使用人员比较复杂造成的对图书馆内部网络潜在的威胁。
其他部门计算机,如办公室、情报咨询室等,需要使用真实IP地址连接到校园网上,这些计算机应该划分为一个VLAN。
三、结语
将VLAN技术应用到合并高校图书馆中,可以构成一个基于交换、按照功能划分子网的新型图书馆局域网,既解决了图书馆局域网将分散在不同地方的业务部门集中在一个子网的问题,而且还增强了图书馆网络系统的灵活性、可靠性和高效性。采用VLAN技术以后,大大减少了网络广播风暴,同时图书馆内部的业务处理和读者访问也十分顺畅。通过划分VLAN,还能在一定程度上防止通过网络共享传播的病毒,从而大大提高了整个网络的安全性。
参考文献:
[1]徐建初.应用虚拟局域网实现校际图书馆的计算机管理[J].情报理论与实践,2004,(1):90-92.
[2]杨子伍.VLAN技术在图书馆网络中的应用[J].大学图书情报学刊,2006,(3):49-51.
[3]张晓东. 高校图书馆网络优化与网络安全[J].上海高校图书情报工作研究,2003,(3):38-40.
[4]黄锡伟,等译.[美]Marina Smith著.虚拟局域网[M].北京:清华大学出版社,2003.
关键词:VLAN;虚拟局域网;图书馆网络
近年来,随着图书馆自动化、数字化建设的不断发展,高校图书馆的网络化建设也取得了长足的进步。同时,随着近年来高校的合并和扩招,高校图书馆的规模也在不断扩大,与之而来的是图书馆网络的应用不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。VLAN(Virtual Local Area Network,虚拟局域网)技术的出现对于解决合并高校图书馆的网络应用和管理提供了很好的解决方案。
充分合理地利用VLAN技术进行组网,不仅能有效地提高图书馆网络管理的灵活性,增加网络效率和网络安全性,而且还能充分整合各分馆之间的网络资源,可以在不更换分馆计算机管理系统的前提下,利用VLAN技术实现各分馆图书计算机统一管理,实现图书资源的通借通还,方便广大师生学习。
一、VLAN技术概况
(一)VLAN的定义
VLAN即虚拟局域网,扩展的交换网之意。是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,真正实现了网络用户与它们的物理位置无关。一个VLAN就是一个逻辑广播域,它可以扩展多个网络设备,而不同VLAN之间广播信息是相互隔离的。VLAN技术是近年来在计算机网络领域兴起的一项崭新的技术,目前VLAN执行的标准是IEEE802委员会1999年发布的IEEE802.1QVLAN标准。VLAN的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。
(二)VLAN技术的应用价值
1. 有效地阻隔网络广播,防止广播风暴,提高网络效率
每个网络中都存在广播,在交换机启动时,由于其内部的“路由表”(该表保存了每一端口和与其相连节点的MAC地址的对应关系)是空的,需要通过发送广播信息来获得表项。当网络中节点数足够大时,广播信息包就可能影响其他正确信息流的传输,使网络的性能迅速下降,这就是所谓的“广播风暴”。对于网络广播风暴的控制主要有物理的网络分段和VLAN技术的逻辑分段两种方式,前者可将广播风暴限制在一个物理网段中,而后者更灵活,效率更高。由于每一个VLAN处于一个独立的广播域,即通过VLAN的划分来限制广播域,有效地阻隔网络广播,从而控制了广播风暴。
高校图书馆电子阅览室是计算机较集中的地方,规模大的有几百台计算机,小的也有几十台,这大大增加了图书馆的网络信息点,单单使用传统的LAN技术,极有可能会因“广播风暴”而使整个网络陷入瘫痪。为了方便读者检索,图书馆都会设置一定数量计算机做公用检索机,当读者进行书目检索时如遇服务器繁忙,读者发出的信息得不到及时回应,他们往往会不断地重发信息,导致通往服务器的通道阻塞,形成“广播风暴”,影响整个网络的正常运行。如果在图书馆的局域网中能使用VLAN技术,则可把电子阅览室的IP分在一个或多个VLAN上,而把公用检索机放在另一VLAN上。这样把广播问题限制在各VLAN内部,就能减少对整个网络的影响。即使出现了“广播风暴”,因为采用VLAN技术能使网络分段相对较小,图书馆网络管理员容易对“广播风暴”的源头进行定位,并迅速找出原因,恢复网络正常运行。
2. 提高网络资源的安全性
人们在共享的LAN上经常传送一些保密的、关键性的数据,保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,图书馆网络管理员限制在VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。这样就有效地隔离了不同VLAN成员之间的访问,防止了大部分基于网络帧听的入侵,可以将通信限定在同一虚网中,形成特别有效的、限制非授权访问的屏障。在图书馆具体的网络配置中,我们可以应用VLAN技术绑定交换机每个端口的VLANID,并把闲置的端口设置到默认的低层服务的VLAN上,同一VLAN内的计算机之间直接通信,不同VLAN间的通信要通过路由器的网关进行路由选径传送,这样可以防止有人利用闲置端口接入图书馆局域网访问整个网络,能大大提高图书馆网络系统的整体安全性。
3. 增加网络管理的灵活性和力度,方便网络维护
网络上的各站点可以不按地理位置分组,图书馆网络管理员可以将其按业务功能加以划分,这种特点特别适合于一些业务情况经常变动的部门,通过VLAN可以大大降低由于移动或变更工作站地理位置的管理费用。
在传统的网络中,网络管理员要花费大量的时间处理网络的变动,如果用户要移动到不同的IP子网,那么每一个工作站的IP地址必须手工调整,稍不注意可能引起IP地址冲突。但在划分VLAN之后,如果某个VLAN中的工作站需移到网络中的另一个端口,则只需将这个新端口指定给这个VLAN,借助于网管软件后,这种改变只需在Windows窗口中用鼠标操作,其他则可以由系统自动进行。
(三)VLAN的划分方式
有很多种方式可以用来划分VLAN,但在实际应用中主要有以下4种方法:根据端口定义、根据MAC地址定义、根据网络层定义、根据IP广播组定义。
1. 根据端口定义
许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一广播域中。例如,一个交换机的1、2、3、7、8端口被定义为虚拟网A,同一交换机的4、5、6端口定义为虚拟网B,这样做允许各端口之间的通讯,并允许共享型网络的升级。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
按交换机端口来划分网络成员,其配置过程简单明了。在工作站改变使用功能时,不需要网管人员改变机器内部的网络设置,只须改变端口即可使用,因此,迄今为止,基于端口的VLAN划分仍然是高校图书馆最常用的一种方式。但是,这种方式不允许多个VLAN共享一个物理网段或交换机端口,而且,更糟糕的是,如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网,需要重新进行设置。
2. 根据MAC地址定义
按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网络接口卡上的,所以这种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属虚拟网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP/IP、IP、IPX等)。
因此,从某种意义上讲,利用MAC地址定义虚拟网可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确地分配给一个虚拟网,在这种初始化工作完成之后,对用户的自动跟踪才成为可能。然而,在一个拥有成千上万用户的大型网络中,如果要求网管人员将每个用户都一一划分到某一个虚拟网,这实在是太困难了。由于每一个网络设备的MAC地址是全球唯一的,所以有一些网管工具可以根据当前网络的使用情况,在MAC地址的基础上自动划分虚拟网。
3. 基于网络层的定义
基于网络层的虚拟网使用协议(如果网络中存在多协议的话)或网络层地址(如TCP/IP中的子网段地址)来确定网络成员的划分。
利用网络层定义虚拟网有以下几点优势:第一,这种方式可以按传输协议划分网段。第二,用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户。第三,这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。
缺点主要有:与利用MAC地址的形式相比,基于网络层的虚拟网需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义虚拟网的交换机要比使用数据链路层信息的交换机在速度上占劣势,而且,这种差异在绝大多数网络产品中都存在。另外,虽然按网络层划分的虚拟网对于使用TCP/IP协议的用户群来说是十分有效的,但是,像IPX、DecNet、AppleTalk这样的协议运行在这种虚拟网络结构中似乎就不太合适了。再者,对于某些“无法路由”的协议,如NetBIOS,按网络层定义虚拟网就更困难了。运行不可路由的协议的工作站是不能被识别的,因此也就不能成为虚拟网的一员。
需要注意的是,虽然这种类型的虚拟网是建立在网络层的基础上,但交换机本身并不参与路由工作。当一个交换机捕捉到一个IP包,并利用地址确定其身份时,没有任何与路由有关的计算产生,RIP以及OSPF等路由传输协议也不被使用。交换机只是作为一个高速网桥,简单地利用扩展树算法将包转发给下一个节点上的交换机。这样一来,基于网络层的虚拟网之间的连接应该看成是一个类似于桥的拓扑结构。
4. 根据IP广播组定义
根据IP广播组定义是指任何属于同一IP广播组的计算机都属于同一虚拟网。这样的虚拟网是如下建立的:当IP包广播到网络上时,它将被传送到一组IP地址的受托者那里。这组被明确定义的广播组是在网络运行中动态生成的,任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员,然而,他们的这种成员身份可根据实际需求保留一定的时间。因此,利用IP广播域来划分虚拟网的方法给用户带来了巨大的灵活性和可延展性。而且,在这种方式下,整个网络可以非常方便地通过路由器扩展网络规模。
综上所述,用来定义虚拟网的方式有很多,而每种方法的侧重点不同,所达到的效果也不尽相同。
二、VLAN技术在合并图书馆网络中的应用
(一)合并图书馆网络大致构成
目前,高校合并图书馆中,一般都由一个中心馆和若干分馆组成,分馆各自建立独立的千兆以太网,连接到各校区的校园网,再通过教育网实现与中心馆相互连接。图书馆网络大多采用千兆以太网,主干由单模或多模光纤连接,设置600~1000个信息点。除了图书馆日常工作外,还要求有足够的带宽保证在网上传输视频、音频信息,因此网络主干及重要部门采用全交换结构。
湘南学院图书馆是由中心馆、苏仙分馆、北湖分馆组成。中心交换机采用华为公司的Quidway S6503,Quidway S6503系列交换机支持以基于物理端口、MAC地址、网络IP地址、多播组、用户自定义等多种规则划分的VLAN。该交换机是三层可网管型交换机,其上配有1Gbit/s模块。各楼层采用工作组级交换机Quidway S3026C,这种交换机均具有1Gbit/s的上连接口及100Mbit/s全交换以太网端口,Quidway S3026C通过光纤上连到Quidway S6503。
(二)高校图书馆网络应用及VLAN在图书馆的具体划分
对于高校图书馆来说,由于都是依托学校校园网来进行本馆的网络划分,因此,不同学校之间存在很大的差异。考虑到校园网IP地址资源有限,图书馆不可能为其局域网中的所有工作站分配校园网的IP地址,除了Web、Ftp、E-mail等服务器需要分配真实的IP地址,放置在校园网上外,大部分工作站都应使用内部虚拟IP地址。节省了IP地址资源的同时,又提高了网络的安全性,便于管理。另外,图书馆中心机房一般处于物理中心,其他业务部门分别分散在不同楼层,因此,我们可以建立基于网络层IP策略的VLAN,将散列图书馆大楼各处相同业务部门的工作站归属一个VLAN(一个IP子网)。
高校图书馆计算机应用系统主要有:图书馆集成管理系统、光盘检索系统、图书馆数字资源系统、镜像或在线数据库检索系统、电子阅览室管理系统、Vod系统,Web、Ftp等服务系统,办公自动化及其他应用系统等。根据需要,我们将图书馆内部网络划分为集成管理系统、中心机房、数字图书馆、电子阅览室、办公及其他子网等。
在各楼层交换机上建立以IP规则定义的若干个VLAN,如有业务部门跨越不同楼层的,可通过跨交换机的VLAN划分,将其归在同一业务部门所在的“逻辑工作组”。每个业务部门的信息流动被限制于一个VLAN内部,广播风暴被路由端口隔开,不会扩散到其他部门。不同VLAN之间传输的数据包由设置于交换机内部的虚拟路由端口转发,以实现VLAN之间的通信。这样,方便了用户使用,有效利用了网络带宽,另外,基于网络层IP规则划分的VLAN使我们可对不同的子网设定不同的访问权限,安全性也得到提高。
图书馆集成管理系统是图书馆内部的业务工作专有系统。图书馆几乎所有业务模块,如采访、编目、典藏、流通、期刊管理、读者管理、系统维护等功能,都是通过该系统实现的,并且直接涉及图书馆的书目数据库、读者数据库,对安全的要求非常高,不允许无关人员访问,必须严格控制访问权限。因此需要将主要数据库服务器与所有业务模块站点划成一个VLAN,分配内部IP地址,并与Internet隔离,其他站点一律无权访问该数据库服务器。此外,有些特殊业务,如采访、编目等,可以通过代理服务器访问外部Internet,以便上传和下载书商的书目数据。
中心机房包括书目信息查询、读者借阅信息查询系统、光盘检索系统、Vod系统及E-mail服务器、Ftp服务器等,数字资源利用站点和在线查询服务器等都应具有真实IP地址,提供给校园网内的用户和图书馆内部的所有工作站访问。将这些服务器形成一个VLAN,放置在图书馆防火墙后加以保护。
对于提供信息检索和数字资源利用的电子阅览室,应单独划分一个VLAN,减少电子阅览室计算机由于使用人员比较复杂造成的对图书馆内部网络潜在的威胁。
其他部门计算机,如办公室、情报咨询室等,需要使用真实IP地址连接到校园网上,这些计算机应该划分为一个VLAN。
三、结语
将VLAN技术应用到合并高校图书馆中,可以构成一个基于交换、按照功能划分子网的新型图书馆局域网,既解决了图书馆局域网将分散在不同地方的业务部门集中在一个子网的问题,而且还增强了图书馆网络系统的灵活性、可靠性和高效性。采用VLAN技术以后,大大减少了网络广播风暴,同时图书馆内部的业务处理和读者访问也十分顺畅。通过划分VLAN,还能在一定程度上防止通过网络共享传播的病毒,从而大大提高了整个网络的安全性。
参考文献:
[1]徐建初.应用虚拟局域网实现校际图书馆的计算机管理[J].情报理论与实践,2004,(1):90-92.
[2]杨子伍.VLAN技术在图书馆网络中的应用[J].大学图书情报学刊,2006,(3):49-51.
[3]张晓东. 高校图书馆网络优化与网络安全[J].上海高校图书情报工作研究,2003,(3):38-40.
[4]黄锡伟,等译.[美]Marina Smith著.虚拟局域网[M].北京:清华大学出版社,2003.