虚拟IP直播 :图书馆数字资源远程访问系统的搭建

VPN手艺在藏书楼图书馆应用已久，但是面临数字资本品种繁多的受权拜候体例，招致利用过程中呈现了诸多问题，如：Web代办署理体例的VPN拜候国外的部门数据库时，经常会呈现阅读器无法主动跳转的情况；仅供给Web拜候的VPN无法满足客户端和挪动端的App的利用；需要安拆阅读器插件的VPN无法在挪动末端上利用虚拟IP曲播 。

鉴于此，笔者将藏书楼数字资本的拜候体例分为三类：第一类，Web页面拜候的数字资本，如大大都电子数据库；第二类，客户端拜候，如Endnote、NoteExpress等文献办理软件；第三类，挪动末端拜候，如书香中国、超星等需要在挪动末端阅读的电子书虚拟IP曲播 。本文旨在选择一种VPN，能够直播满够数字资本的各类拜候要求，提拔用户体验。

01

VPN手艺的选择

VPN手艺比照

目前，VPN手艺次要包罗：PPTP、L2TP/IPSec、SSLVPN、OpenVPN和WebVPN几种，笔者通过表1对五种VPN停止比照虚拟IP曲播 。

表1 常见VPN手艺比力

PPTP、L2TP/IPSec对收集要求很高，当运营商的收集存在地址转换设备时，将无法一般毗连虚拟IP曲播 。目前，最常用的VPN手艺次要为SSL VPN和WebVPN。

WebVPN供给基于Web的内网应用直播拜候控造，允许受权用户拜候只对内网开放的Web应用，实现类似VPN的功用虚拟IP曲播 。区别于传统VPN手艺，WebVPN无需用户做任何设置装备摆设或安拆客户端软件及阅读器插件，间接在网页上通过身份验证即可进入内网应用，大大降低了利用门槛，提拔了用户体验感。但是，WebVPN只适用于接纳B/S架构的Web阅读器的应用，而对C/S架构的客户端和挪动端的应用无法撑持。

SSL VPN是以SSL协议为平安根底的VPN长途接入手艺虚拟IP曲播 。长途用户利用SSLVPN能够平安便利地接入内网，拜候内网资本；无需安拆额外软件，间接利用阅读器拜候内网Web资本，也能够通过安拆阅读器插件，拜候其他非Web资本；SSL VPN既撑持全局流量，也撑持部分流量，按照差别用户的身份，分配差别的拜候权限，实现精细控造。

OpenVPN做为一个开源软件，就是一个典型的SSL VPN应用，利用的数字资源是工业尺度的SSL/TLS协议虚拟IP曲播 。OpenVPN不是一个基于Web代办署理的应用，也不是基于阅读器拜候，而是需要安拆专门的客户端，其客户端能够撑持当前所有支流末端类型。

OpenVPN手艺

OpenVPN的手艺核心是虚拟网卡，其次是SSL协议实现虚拟IP曲播 。虚拟网卡工做原理如图1所示。

图1 虚拟网卡工做原理

OpenVPN是一个基于SSL加密的纯应用层VPN协议，是SSL VPN的一种，撑持UDP与TCP两种体例虚拟IP曲播 。UDP的效率会比力高，速度也相对较快。所以，尽量利用UDP毗连体例，若是收集延迟高或者丢包严峻，再利用TCP毗连体例。

OpenVPN撑持全局流量和部分流量两种体例，客户端软件能够很便利地共同路由表，实现差别线路的路由选择，实现一部门目的IP走VPN，另一部门目的IP走当地收集虚拟IP曲播 。

02

长途虚拟拜候系统的功用设想与实现

OpenVPN功用设想

OpenVPN是一个强大、高度可设置装备摆设的开源软件，能够按照场景和营业需求停止灵敏摆设虚拟IP曲播 。OpenVPN工做在OSI模子的第2层或第3层，利用SSL/TLS协议停止收集传输，撑持多种认证办法，如证书、加上用户名密码的证书认证，还撑持与LDAP等认证系统停止对接；撑持多台摆设以实现高可用与负载平衡；不单撑持全流量的全路由形式，还撑持指定流量的部分路由形式；具有完好的日记记录功用，撑持通过自定义脚本实现用户拜候资本的统计与监控。

本文按照藏书楼的营业需求，次要在高可用性、部分路由推送、用户办理和日记监控等方面停止讨论，为其设想的系统构造如图2所示虚拟IP曲播 。

图2 OpenVPN系统架构

OpenVPN功用实现

1.多出口摆设

良多高校的校园网接纳多出口计划，校园网会按照校内用户所拜候的外网资本所在ISP而主动选择响应的ISP出口虚拟IP曲播 。同理，外网用户拜候校内资本最快的体例，也是选择响应的校园网ISP出口。

为了让用户在外网获得更快的拜候速度，OpenVPN接纳多出口摆设，OpenVPN办事器别离在各ISP的出口做IP地址映射虚拟IP曲播 。其收集拓扑构造如图3所示。

图3 收集拓扑构造

在出口防火墙的in标的目的上，做出口IP到OpenVPN办事器的地址映射，其映射关系如表2所示虚拟IP曲播 。

表2 防火墙出口地址搭建映射表

2.高可用负载IP平衡设想

OpenVPN接纳两台摆设，不只实现VPN的高可用性，还能够停止流量的负载平衡虚拟IP曲播 。负载平衡接纳DNS轮询计划，共同智能DNS的主动应答功用，实现差别ISP用户恳求，返回对应的响应地址。

那个域名即可。

（2）智能DNS按照来源IP实现智能应答虚拟IP曲播 。智能DNS手艺能按照用户所在收集的差别，返回差别的解析成果。换言之，智能DNS手艺能够智能地判断拜候用户，然后数字资源按照差别的拜候者把域名别离解析成差别的IP地址，从而到达让用户快速拜候资本的目标。

所示。 图4 智能DNS查询解析过程

DNS的View功用主动按照客户端IP来判断，然后把DNS恳求指向别离相对应的区文件

虚拟IP曲播

。如许，教育网用户解析出教育网的IP，联通用户解析出联通的IP，挪动用户解析出挪动的IP，其它用户解析出电信的IP，利用户制止跨网拜候，从而进步拜候速度。 3.用户端战略路由设想

默认情况下，VPN毗连胜利后会主动增加一些路由，并把VPN设置成默认网关，客户端所有的流量城市通过VPN来传送，那显然不是很合理

虚拟IP曲播

。OpenVPN撑持部分路由功用，能够指定哪些流量通过VPN，或者哪些流量欠亨过VPN，从而到达虚拟节省流量和进步拜候速度的目标。 ，并参加到设置装备摆设文件中。同理，其他数字资本也如斯获得，其部门设置装备摆设示例如下：

。

4.用户认证与办理

OpenVPN撑持灵敏的客户端受权体例，撑持证书、智能卡、用户名和密码

虚拟IP曲播

。藏书楼拥有多种数字资本，并向师生供给VPN办事，最适宜的认证体例就是用户名和密码认证，既简单平安又便利办理。用户名和密码认证既撑持内建账号和密码，也撑持与现有的LDAP或者radius办事器对接。本文接纳与现有LDAP办事器停止对接，以实现用户的认证与办理。 LDAP的实现体例有良多体例，本文选用最简单的体例，即OpenVPN自带的LDAP插件实现

虚拟IP曲播

。 （1）翻开/etc/openvpn/server.conf文件

虚拟IP曲播

，对部门内容停止修改，详细示例如下直播： （2）翻开/etc/openvpn/auth/ldap.conf文件

虚拟IP曲播

，对部门内容停止修改，详细示例如下： 如许就完成了OpenVPN与负责用户办理的LDAP办事器对接，实现了VPN和用户办理两个功用的彼此独立

虚拟IP曲播

。独立的数字资源模块化摆设，既不变又平安，用户新建、删除，修改密码、更新属性等用户办理操做，在LDAP办事器上操做即可，制止每一次用户修改城市修改OpenVPN办事器，削减对VPN办事不变性的影响。 03

客户端设置装备摆设

客户端设置

客户端设置装备摆设文件中的remote选项利用域名，即便多条运营商线路，也能够通过域名实现主动选路，而没必要针对差别的运营商维护多个设置装备摆设文件

虚拟IP曲播

。 客户端设置装备摆设利用用户名密码认证

虚拟IP曲播

，用户名利用ldap认证，详细示例如下： 多客户端的撑持

OpenVPN更大的长处就在于客户端操做系统撑持比力普遍，通过安拆OpenVPN-Client实现VPN拜候，客户端撑持的操做系统几乎涵盖了所有的支流系统，包罗：Windows、Linux、Mac OS X、Android、IOS和DD-WRT等

虚拟IP曲播

。 用户安拆客户端，需要导入设置装备摆设文件证书，涉及3个文件：ca.crt、ta.key(若是不开启tls-auth，则无需该文件)、client.ovpn

虚拟IP曲播

。为了使挪动端（安卓和苹果）顺利导入设置装备摆设文件，需要将ca.crt和ta.key合并到client.ovpn中，详细示例如下: 04

日记与用户拜候监控

用户拜候监控

OpenVPN为校外师生拜候藏书楼数字资本供给不变的VPN办事的同时，用户拜候监控功用同样重要

虚拟IP曲播

。办理员操纵该功用，能够更详细地领会用户的登录与退出时间，登录IP和拜候URL等信息。如许一旦呈现歹意下载事务，办理员能够操纵日记停止高效的事务逃踪。本文按照OpenVPN的日记，操纵自定义脚本统计用户的登录与退出等信息。 1.记录用户拨入脚本

成立/etc/openvpn/connect文件图书馆

虚拟IP曲播

，详细示例如下： 2.记录用户退出脚本

成立/etc/openvpn/disconnect文件远程

虚拟IP曲播

，详细示例如下： 3.修改OpenVPN办事器设置装备摆设文件

虚拟IP曲播

，启用脚本 翻开/etc/openvpn/server.conf文件

虚拟IP曲播

，对部门内容停止修改，详细示例如下： 如许每天就会在/var/log/openvpn下面成立文件名为2020-12-27如许的文件

虚拟IP曲播

，该文件记录了当天登录OpenVPN的用户名和时间，输出如下： 按时报表

通过邮件将用户拜候日记按时发送给办理员，能够让办理员详细领会每天用户的拜候情况

虚拟IP曲播

。 1.创建发信虚拟脚本

新建/etc/openvpn/mail2admin文件

虚拟IP曲播

，编纂内容，详细示例如下： 2.按时发信图书馆

成立cron工做表

虚拟IP曲播

，每天按时23：55发送当天的日记给办理员，详细示例如下： 笔者借鉴OpenVPN在其他行业的应用经历，构建低成本、易施行、高效率的数字资本长途拜候系统

虚拟IP曲播

。因为OpenVPN是开源的，而且在访问设想之初就充实考虑了系统的扩展性，所以在VPN的根底上能够很便利地扩展。 例如：用户毗连数、日记审计等方面

虚拟IP曲播

。高校藏书楼能够进一步摸索OpenVPN的功用，尤其是在数字资本拜候量统计上做深切的开发，能够通过法式监控用户拜候特定资本的时间和数量，对特定命字资本停止监控，对有可能被资本供给商视为“违规”下载图书馆的用户行为赐与提醒和及时避免，制止因赏罚影响广阔用户的合理利用。同时，也为藏书楼数字资本建立、评估、采购等供给有力根据。 基金项目：江苏省工程手艺文献信息资本及共享办事平台共享共建项目（7422000027/018）

做者：申继年1、刘新霞2（1为中国药科大学图书与信息中心

虚拟IP曲播

，2为南京财经大学藏书楼） 责编：陈永杰

往期保举

● 校园网 VPN 办事远程面对的搭建平安挑战

● 案例分享丨高校藏书楼数字资本长途办事

点击旁观↓若何远程推进职业教育信息化

欢送分享、点赞、在看

积极留言还会有欣喜好礼哦~