高校图书馆网络设计与应用研究.doc

辽 东 学 院 本 科 毕 业 论 文（设 计）高校图书馆网络设计与应用研究Design and Application Research on University Library Network学 生 姓 名： 宋玉峰 学 院： 信息技术学院 专 业： 网络工程 班 级： B0805 学 号： 0913080521 指 导 教 师： 姜春霞 审 阅 教 师： 完 成 日 期： 辽 东 学 院Eastern Liaoning University独创性说明作者郑重声明：本毕业论文（设计）是我个人在指导教师指导下进行的研究工作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，毕业论文（设计）中不包含其他人已经发表或撰写的研究成果，也不包含为获得辽东学院或其他单位的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。作者签名：_ 日期：_ 摘 要高校图书馆是学校的文献中心，是为教学和科研服务的学术机构，是学校办学的三大支柱之一。图书馆网络作为高校图书馆的核心，早已成为各大高校重点建设的项目。特别是随着互联网技术的快速发展，通过网络传递信息变的锐不可当，并且迅速的渗透到了校园的每个角落。基于图书馆网络的信息传播是面向读者的信息传播，学生掌握网络信息既是素质教育的要求，也是学生掌握现代化学习的主要手段。本文主要讨论了高校图书馆网络建设中常用的网络技术和网络设备，系统地分析了存储技术、VLAN、网络安全等技术，以及交换机、路由器、防火墙、存储设备、服务器等常用网络设备，并对网络设备和网络技术在图书馆网络建设中的应用进行了深入地探讨。在网络实施过程中，结合汉中职业技术学院图书馆网络系统需求给出设计方案。特别是网络安全方面，采用VLAN技术，对网络进行分区，方便维护和管理；设置交换机端口安全性，保证网络的安全性。通过对高校图书馆网络设计的诸多环节进行规划分析，分析主流技术的特点与应用，设计出了一个可靠性高、造价相对较低、性能相对良好的图书馆网络方案。关键词：高校图书馆；网络设计；网络安全;VLANDesign and Application Research on University Library NetworkAbstractUniversity library is on universitys data center, an academic institution that serves to teaching and scientific research, and is one of the three pillars for universitys operation,. Library network, as the core of university library, has already becomes the focus of development projects for all universities. Especially with the rapid development of Internet technology, information communication over network becomes unstoppable and permeated promptly into every corner of campuses. Because the information dissemination over library network is geared to readers, students mastering network information is not only a requirement from quality-oriented education, but also a main method for students to grasp modern learning.This paper mainly discusses the frequently used network technologies and devices in university librarys network construction; systematically analyzes technologies such as storage technology, VLAN, and network security, commonly used network devices such as switch, router, firewall, storage device, and server; makes an in-depth discussion on the application of network devices and technologies on library network construction. A design scheme is produced during the network implementation process combing the library network system requirements of Hanzhong vocational technical college. Especially on the perspective of network security, VLAN technology is adopted to do network partition for better maintenance and management, and switch port security is set up to guarantee network security. A library network scheme with high reliability, relatively low cost, and relatively good performance is designed by analyzing various aspects of university library network design and the features and application of mainstream technologies.Key Words：University Library ；Network Design ；Network Security ；VLAN目 录摘 要IAbstractI一、概述1（一）研究背景1（二）研究意义1二、图书馆网络需求分析、设计原则和设计目标2（一）网络系统需求分析2（二）网络系统设计原则21.高可靠性和高性能22.先进性和实用性23.安全性24.灵活性和可扩展性2（三）网络系统设计目标2（四）图书馆网络与校园网的关系31.图书馆网络在校园网中的作用32.校园网对于图书馆网络的重要性3三、图书馆网络方案设计4（一）汉中职业技术学院校园网简介41.学院校园主干网选择42.学院校园网络拓扑图4（二）图书馆网络系统概况51.学校图书馆简介52.图书馆原有网络系统概况5（三）图书馆网络拓扑结构设计5四、VLAN技术在图书馆网络中的应用7（一）VLAN技术简介7（二）VLAN在图书馆网络中的具体应用71.创建VLAN的条件72.VLAN划分的三种方式73.VLAN具体划分84.VLAN的实现8五、硬件设备和存储技术选择12（一）硬件设备选择121.核心交换选择122.接入层交换机123.服务器功能介绍与选型原则12（二）存储技术选择151.常用的存储技术简介152.学院图书馆存储技术具体选择17六、图书馆网络安全19（一）图书馆网络存在的安全问题19（二）图书馆网络的安全策略191.防火墙192.入侵检测系统193.ACL（访问控制列表）204.交换机端口安全性20（三）网络安全系统实施与测试201.防火墙的架设与测试202.入侵检测系统的配置与测试213.使用ACL过滤蠕虫病毒234.交换机端口安全性设置与测试24七、总结与展望26（一）工作总结26（二）展望26参考文献27致 谢28一、概述（一）研究背景随着信息技术的不断发展，图书馆正在朝着网络化和数字化的方向发展。图书馆的发展借助于网络通信技术取得了巨大的进步，伴随着电子化信息服务的普及，图书馆网络已经逐步成为图书馆组成的核心部分。建立一套先进的计算机网络系统，能够提高图书馆网络的应用水平，可以更好的适应新技术的需要。先进的图书馆网络系统需要储存和传播的信息量不断加大，信息形式和种类越发丰富，传统图书馆由于设备陈旧、结构简单已经不能满足这些需求。特别是随着校园网的发展，图书馆网络肩负为全校师生提供信息资源的重大责任，高校图书馆网络早已成为高校校园网络上最关键的节点。高校图书馆网络通过校园网与中国教育科研网(CERNet)相连接，进而接入Internet。图书馆给读者提高大量的信息服务，它的工作也需要依托于计算机网络才能正常使用。在图书馆为读者提供极大便利的同时，计算机网络的安全性也必须高度重视。因此，必须设计一个行之有效的网络，确保图书馆网络系统安全可靠的运行。（二）研究意义生活在当今这个信息时代，网络环境越来越丰富人们对知识的获取。随着信息化的深入，当代大学生的学习已经不在局限与课本，除了在课堂上和课本中获取的知识外，更加渴望通过网络来学习更多知识。计算机网络已经成为图书馆的重要的构成要素，成为收集信息、保存信息、整理和传播信息的重要工具。没有计算机网络，就无法实现信息服务，网络系统的质量，也会影响图书馆信息服务的稳定和安全，面对海量的数据流，网络的存储问题，数据处理能力问题，数据安全性等问题，建设图书馆网络时都应该做好充分的规划。本文从实际出发，分析各种网络技术的优缺点和关键的硬件设备选择问题，最终提出一套安全、可靠的网络系统。二、图书馆网络需求分析、设计原则和设计目标（一）网络系统需求分析图书馆网络系统建设包括图书馆局域网建设及与校园网主干互联。图书馆局域网以交换式千兆以太网为主干，网络不仅支持传送文件，还要支持语音、视频等信息量大的流媒体应用，对网络的响应和带宽要求较高，这就要求网络设备的要有较大的交换容量；同时还要加强网络安全策略，对内防止病毒侵扰、对外防止外部的网络攻击。（二）网络系统设计原则建设一个行之有效的网络，需要遵循以下原则：1.高可靠性和高性能网络系统稳定可靠是整个系统正常运行的重中之重，在设备选型时，充分考虑冗余能力；制定可靠的备份策略，保证网络系统的正常运行。出现故障时，可以快速的排除。网络在建设时必须保证设备和网络的高吞吐能力，保证信息的传输质量，尽可能采用高性能的网络设备，才能使网络不成为正常使用时的瓶颈。2.先进性和实用性采用先进的技术，使网络在现在到未来一段时间内能够不被淘汰，而且具有发展潜力；按照层次化、模块化设计网络，具有较好的伸缩性，可以不断吸收新方法、新技术，在可以满足应用系统业务和图书馆业务的同时，还要体现出网络的安全性。3.安全性图书馆拥有众多教学和档案管理的重要数据，无论是被损坏、丢弃还是窃取，都会带来重大损失。然而，可以采用内部核心区域架设防火墙的方式，避免图书馆内网核心服务器收到攻击。制定一套健全的安全策略，整体提高网络平台的安全性。4.灵活性和可扩展性对于高校图书馆，经常更换网络设备将是一笔非常大的开支，在组建图书馆网络的过程中，应当考虑到网络的可持续扩展性。采用三层交换机既可以满足当今图书馆网络的需求，也可以满足未来网络的升级和改良，可以应用于千兆链路与万兆链路。（三）网络系统设计目标图书馆网络系统设计应该考虑到网络的总体框架设计、网络管理设计、网络应用设计、网络安全设计等，要求达到的目标有一下几点：第一，系统的兼容性好，实用性强，开放性好，符合国际标准，支持TCP/IP、IPX/SPX协议。第二，掌握现代信息技术发展，采用先进技术，选用技术成熟的网络产品。系统软硬件配置时需要考虑性能需求和当前技术水平，兼顾系统的现实性和技术领先。第三，整体设计最优原则，在进行设计的时候，需要根据合理性的原则，综合考虑，这种选择，充分顾及到：安全性、可靠性、实用性和经济性。第四，系统安全可靠，便于维护和管理。第五，适应现代化技术的发展，与校园主干网相连，实现国内、国际网际互联。（四）图书馆网络与校园网的关系1.图书馆网络在校园网中的作用随着改革开放的不断深入，教育事业的不断发展，高校图书馆的作用越来越重要。图书馆网络是高校各个学科教学科研的重要平台，图书馆中的大量电子资源，包括期刊、专利等大量信息情报。尽力开发资源，有力的促进高校各个学科进行教学和科研工作，为师生进行科学研究提供方便的条件1。2.校园网对于图书馆网络的重要性在网络中，图书馆的所有数据对读者开放，所有数据都要通过网络来传输和查询，决定了图书馆网络对校园网的依赖性。图书馆的各项业务，如日常的采访、编目、阅览等都需要网络的支持。图书馆作用的发挥已经越来越离不开校园网，同时，校园网的发展也要倚重与图书馆网络2。只有正确认识校园网和图书馆网的关系，才能促进二者的共同发展。三、图书馆网络方案设计（一）汉中职业技术学院校园网简介1.学院校园主干网选择校园主干网是整个校园网络的核心，是校园网络中所有子网正常运行的基础。该校的主干网络选择千兆以太网，千兆以太网技术是高速的以太网技术，它的优点是象传统以太网一样价格便宜，同时还具有可靠性、易扩展、简易性、易管理和广泛使用性等特点将。千兆以太网作为整个区域网络或者校园网络的骨干，是非常合适的，它可以把多个100Mbps的以太网联结起来，组成一个高带宽的区域网。千兆以太网不光能够提供比快速以太网快10倍的速度，还能够兼容10/100M以太网标准3，可以提供迁移途径，充分保护现有基础设施上的投资。千兆以太网相对于快速以太网、ATM、FDDI等主干网络，改善交换机之间骨干连接和交换机与服务器的连接的经济、可靠的途径。因此根据实际情况，考虑到所采用的交换技术、结构互布线以及便于向ATM过度等因素，所以，在校园系统中采用了易于布线、维护和管理的星型结构千兆以太网的连接方式。2.学院校园网络拓扑图学院校园网采用星型千兆以太网连接方式，将学校主要部门分为六大功能模块，通过核心交换机，实现连接CERNet与Internet，连接方式如图3.1所示：图3.1 汉中职业技术学院校园网络拓扑图（二）图书馆网络系统概况1.学校图书馆简介汉中职业技术学院图书馆内设期刊科、采编科、信息技术科、阅览科、综合科、工作委员会等机构。图书馆建筑面积23300平方米。馆舍有阅览室15个，借书处4个，自修室5个。图书馆提供期刊阅览和自修作为3600余个。现藏文献90万册。电子文献包括40余万电子图书和同方期刊数据库(CNKI)、万方数据库和外文期刊数据(EBSCO)等。2.图书馆原有网络系统概况汉中职业技术学院原有的图书馆网络系统基本实现微机自动化，纸质书刊的采编、查询和借还采用ILASLL系统。随着网络的规模的扩大，原有网络结构已经显得十分简单，设备陈旧。网络带宽的瓶颈问题也越发突出，网速越来越慢，很难满足图书馆需要的多媒体和快速信息查找的要求；同时，伴随着网络规模的扩大，网络的稳定性、可靠性和安全性降低，已经不能根据实际工作需要改变网络体系结构，维护和管理也变得越来越困难。学院图书馆除了满足网络系统的需求外，还需提供资源共享等服务，特别是新建阅览室对网络系统提出了更高要求。基于图书馆现状，除了建立完整的硬件系统外，还要有软件系统提供更好的服务。高性能的硬件系统和优良的软件系统组建成为完整的图书馆网络系统。（三）图书馆网络拓扑结构设计汉中职业技术学院图书馆网络采用层次化的星型网络拓扑结构。网络分为两层：接入层与核心层。图书馆的核心层设备又是校园网的汇聚层设备。将中间楼层配线间作为中心机房，放置各个楼层的接入层交换机和中心交换机以及各种服务器。主配线间与楼层配线间使用光纤连接，接入层交换机均安放在个配线间中。图书馆的核心交换通过千兆光纤连接校园网的核心交换机，然后经过路由器连接CERNet或通过代理服务器连接ChinaNet。学院图书馆网络结构拓扑图：图3.2 学院图书馆网络拓扑图四、VLAN技术在图书馆网络中的应用（一）VLAN技术简介VLAN(Virtual Local Area Network)，既虚拟局域网，指交换局域网中，采用网络管理软件来构建不同网络的端到端、跨越不同网段的逻辑网络。一个VLAN就是一个逻辑广播域，可以覆盖多个网络设备，处于不同地理位置的网络用户加入一个逻辑子网中。VLAN技术的优势：第一，控制广播风暴一个VLAN就是一个广播域，通过创建VLAN，隔离了广播，缩小了广播范围可以控制广播风暴。比如在图书馆电子阅览室中，使用VLAN技术，可以把阅览室的IP分为一个或者几个VLAN中，划分之后就可以把广播限制在各VLAN内，减少对全网的影响4。即使出现“广播风暴”，管理员也容易在出现广播的VLAN内锁定源头，迅速找出愿意，恢复网络的正常使用。第二，提高网络的安全性传统的局域网中，任意一台机器都可以截获局域网中其他计算机之间传输的数据包，存在着安全隐患。划分VLAN后，各个VLAN间不能相互通信，必须通过路由器转发VLAN间的信息，如果VLAN间没有路由器，那么VLAN就相当于一个独立的局域网，安全性大大提高，此外，还可以在VLAN间的路由上进行相应设置，实现VLAN间的安全访问，所以，VLAN技术是防止网络监听的非常有效的手段。（二）VLAN在图书馆网络中的具体应用1.创建VLAN的条件VLAN是建立在物理网络的逻辑子网，因此建立VLAN还需要支持VLAN技术的网络设备。当不同的VLAN间需要互相访问时，也需要路由设备的支持，既可以用路由器，也可以使用三层交换机。2.VLAN划分的三种方式(1)基于端口的VLAN划分基于端口的划分就是把一个或多个交换机上的端口划分为一个逻辑组，是划分方法中最简单、有效的一种，只需网管对设备的端口进行重分配，不需考虑端口连接的设备。(2)基于MAC地址的VLAN划分这种划分方法是根据每个主机的MAC地址进行划分，对每个MAC地址的主机都配置它隶属于哪个组。(3)基于网络层的VLAN划分通过连接的计算机的IP地址，来决定端口隶属于哪个VLAN的方法就是基于网络层的VLAN划分。这种划分方法虽然是根据IP地址划分，但与网络层的路由没有任何关系。3.VLAN具体划分(1)图书馆的网络结构图书馆网络结构大致分为：图书馆管理集成系统、电子阅览室、服务器系统、办公系统、检索咨询系统、网络管理系统、其他应用系统。(2)图书馆的VLAN划分根据图书馆的结构和需求，采用基于端口的VLAN划分方式，把网络划分为6个VLAN。图书馆管理集成系统：该系统是图书馆系统的核心组成，管理员进行管理决策、采购计划等都靠它来实现。为了保证该系统的安全性，把它划分为一个VLAN，使用内网IP地址，与外网隔开。此VLAN包括;图书馆管理集成系统的服务器和使用该系统的所有业务站点。电子阅览室：电子阅览室是高校图书馆不可缺少的部分，且规模在不断扩大。但校园网的IP地址有限，不能为每个终端分配IP地址。同时，为了防止“广播风暴”，将电子阅览室划分为一个或多个VLAN，使用图书馆内网IP地址。服务器系统：为个读者提供多样服务，图书馆需要大量的服务器。例如WEB、FTP等，服务器都应有真实的校园网IP地址，校园网和图书馆子网的所有终端都能访问。将这些服务器划为一个VLAN，通过防火墙与图书馆网络的核心设备相连。检索咨询系统：该系统为读者提供免费、开放的检索咨询服务。由于开放和免费，所以读者流动性较大，安全性较低。所以，把给系统分为一个VLAN，出现问题不影响其他系统，保护整个网络的安全。办公系统：图书馆的办公系统需要真是的IP地址连接到校园网，此系统应该划为一个VLAN。网络管理系统：服务器和网络设备是图书馆自动化的核心部分。高校图书馆都有专门的人员对该系统进行维护，定时对重要数据进行备份。因此，把该系统划分为一个VLAN，并且对这个VLAN进行严格的访问控制，从而保护图书馆网络的安全。4.VLAN的实现参照图3.2，本网络中网络管理系统VLAN创建如表4.1所示：表4.1 VLAN地址分配表VLAN序号名称使用部门2wlglxt网络管理系统3bgyw办公系统4xxjsxt信息检索系统5gljcxt管理集成系统6dzyls电子阅览室7fwq服务器群配置命令如下SW1enableSW1#config tSW1(congfig)#vlan2SW1(congfig-vlan)#name wlglxtSW1(congfig-vlan)#exitSW1(congfig)#interface fastEthernet0/1SW1(congfig-if)#switch mode access ；交换机f0/1端口模式改为access模式SW1(congfig-if)#switch access vlan2 ；交换机f0/1端口划分到VLAN2中SW1(congfig-if)#exitSW1(congfig)#interface f0/2SW1(congfig-if)#switch mode accessSW1(congfig-if)#switch access vlan2SW(congfig-if)#exit上述指令即可把网络管理系统的主机划分到VLAN wlglxt中。同理即可得到电子阅览室、服务器群、办公系统、检索系统、管理集成系统的VLAN划分。为了减少工作量也可以使用VTP配置各部门VLAN，具体过程如下，结果如图3.3所示：SW3(config)# vtp mode serverSW3(config)#vtp domain CISCO ；VTP域名改为CISCOSW1(config)# vtp mode client ；VTP模式改为ClientSW2(config)# vtp mode client SW3(config)#int f0/2SW3(config-if)#switch mode trunk ；交换机f02改为trunk模式SW1(config)#int f0/1SW1(config-if)#switch mode trunkSW2(config)#int f 0/1SW2(config-if)#switch mode trunk查看VTP状态信息，如图4.1所示：图4.1 VTP状态信息配置VLAN后还要使用VLAN间路由来实现全网畅通，配置命令如下：SW3(config)#int range fastethernet0/1-4SW3(congfig-if)#sw mode access ；接口模式设置为accessSW3(congfig-if)#switch mode trunk ；接口模式改为trunkSW3(config)#int VLAN 2SW3(congfig-if)#ip add 54 SW3(config)#int VLAN 3SW3(congfig-if)#ip add 54 SW3(config)#int VLAN 4SW3(congfig-if)#ip add 54 SW3(config)#int VLAN 5SW3(congfig-if)#ip add 54 SW3(config)#int VLAN 6SW3(congfig-if)#ip add 54 SW3(config)#int VLAN 7SW3(congfig-if)#ip add 54 配置完成后便可实现不同VLAN之间相互通信，如图4.2所示：图4.2 从 ping 五、硬件设备和存储技术选择（一）硬件设备选择1.核心交换选择核心交换机要求具有较高带宽、较高吞吐率，同时，主干网的核心交换机是整个网络中的最关键设备，一旦出现故障将导致整个网络的瘫痪，这就要求在设计方案中必须考虑建立一定的容错措施，还要有良好的扩充性和必要的冗余端口。基于上述需求，选择思科的CISCO WS-C6506-E交换机作为图书馆的核心交换机。Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱，以及多种集成式服务模块，包括入侵检测、防火墙、数千兆位网络安全性、内容交换、语音和网络分析模块。2.接入层交换机为完成各个楼层工作站的接入，需要选择合适的接入层交换机，接入层交换机与核心交换机连接，为楼层工作站提供合适的接口，使各工作站有效的接入网络。选择思科Catalyst 2960交换机，Catalyst 2960是一款理想的接入层交换机，此设备与同类设备相比具有相当好的稳定性，适用于小型企业布线室或分支机构环境，并可部署新应用，它具有集成安全特性，包括网络准入控制(NAC)、访问控制列表、速率限制、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。与服务器相连的交换机要求较高，接近与核心交换，所以选择了CISCO WS-C4506交换机，WS-C4506提供了强大的第二到四层智能服务。添加了线速万兆以太网上行链路、136Gbps 容量和102-mpps 吞吐率，以及更多特性，进一步改进了对数据、语音和视频融合网络的永续控制及高可用性。它们的模块化架构、介质灵活性和可扩展性延长了部署寿命。3.服务器功能介绍与选型原则服务器是指在网络中为客户机提供服务的、高性能的专用计算机。服务器负责整个网络数据的管理和数据的存储与发布，它是图书馆的管理中心、数据与应用中心。服务器的选型应该考虑多方面因素，如安全性、可靠性、可扩展性等原则，还要保证系统的冗余和扩展。从图书馆系统的服务对象来说，其应用服务主要分为内网服务与外网服务两大类。内部网络服务主要分为：内部邮件服务、FTP服务、资源库服务、数据存储服务、文件服务等，可以用一台高端服务器来完成这些服务，但这样做的结果是成本过高，维护费用高，为此解决的措施是建立专门的服务器来提供相应服务。外部网络服务是指针对图书馆外部的网络服务，例如WWW服务，为解决外部服务，高校图书馆一般都建立自己的网站。既可以宣传，也可以展示图书馆的基本情况。因此，必须有一台功能强大的WEB服务器。接下来，介绍本网络中设计的服务器类型：(1)WEB服务器WEB服务器也称WWW服务器，主要提供网上信息浏览服务，对服务器性能要求取决于网站的服务功能和内容。此外在选择服务器的时候还要注意配备高性能处理器和大容量的存储。本网络中选用IBM System x3500 M3型WEB服务器，它支持高达 16个内存插槽，大容量内存为数据缓存服务提供出色的性能；4GB DDR3 寄存式内存；双端口千兆以太网920瓦热插拔电源，可选冗余。与其他同类型设备相比，它支持大容量内置存储，能够满足现有业务需求，并支持根据业务需要进行扩展； 可选的冗余热插拔部件，保护关键业务数据，同时最大限度地降低IT人员的支持成本。 (2)数据库服务器数据库服务器的存储容量大和访问量大，需要处理性能、内存和闪存支持能力、存储能力的综合性支持，所以数据库系统服务器的性能要求相比与其他服务器要高。由于数据库服务器在调用文件和程序时不能直接访问，而是索引、比较、动态页面访问等方式从分布在各数据的文件中抽取，因此难度较大，更需要消耗服务器的内存和CPU。同时由于数据库的信息量大，为保证数据库数据安全，通常采用RAID5以上级别的磁盘阵列技术保障硬盘读写性能和数据安全。本网络采用IBM3650M3机架式服务器，六核英特尔至强处理器x5675 3.06GHz可扩展至2个处理器。2x4GB 1.35V DDR3 RDIMM内存，高达18个内存插槽(每处理器配置9个内存插槽)。4个PCI-Express x8二代插槽；4个x8插槽通过可选的扩展卡可转换为2个x16插槽；通过可选的扩展卡支持PCI-X。开放式托架， 最多支持16个2.5英寸热插拔硬盘托架；标配8个，通过选件扩展至16个。集成双口千兆以太网，支持网络唤醒、网络卸载引擎（TOE）等网络高级特性。675W高效率热插拔电源，可选冗余。与市场同类产品相比它具有与前几代产品相比，它拥有适量冷却技术，帮助内部器件保持低温，更加有效的保持系统的正常运行。(3)FTP服务器FTP服务器性能需求与WEB服务器相似，它的硬盘读写功能要求比WEB服务器高，硬盘容量也比WEB服务器大，同时还要有传输性能好的接口硬盘。在网卡方面，FTP服务器进行的文件传输，占用较大的带宽，所以网卡的连接性能要求较高。伴随图书馆数字化进程的快速发展，为了让读者能够从网络上直接下载和借阅资料的服务，图书馆需提供图片、音频、视频等多媒体文件，因此必须选择一个好的FTP服务器，为用户提供所需的各种信息资料，满足读者获取、传输、交流信息的需求。本网络采用IBM System x3650 M2服务器，这款服务器标配1颗性能强劲的Xeon E5405四核处理器，核心频率2.0GHz，前端总线1333MHz，四核共享12M二级缓存，最大支持2颗CPU。配备了2条1GB DDR2内存，通过12个DIMM插槽可支持多达48GB的新一代高性能667MHz内存。机箱提供了6个纤小性热插拔驱动器托架，内部存储容量可达4.5TB。它最大的优点是对高速数据运算读取的应用会相当强悍，因为小硬盘功耗低，散热量就低，主机散热系统造成的机箱共振现象就会更少。硬盘防震系统就会静止，那样硬盘会更快速地读取。果有小量的数据存储，不带大量运算的话选机型是明智的，因为稳定性和网络带宽及I/O上都没有问题，很适合做个小型的存储服务器。 (4)VOD服务器VOD服务器的要求与数据库服务器相似，对于VOD服务器来说最重要的就是实时性，它所传输的信息是非常消耗资源的流媒体。一方面，VOD服务器要求对流媒体的处理性能高，硬盘容量大，内存资源足，硬盘读取和稳定性能都非常高，另一方面VOD服务器必须有超大的网络连接带宽以及足够好的连接性能。 本网络中采用IBM x3550 服务器作为FTP服务器，它的CPU频率为1860MHz，标配处理器一个，4M2级缓存，2个全长插槽，最大硬盘容量4TB，最多支持8个2.5英寸热插拔硬盘托架；标配4个，通过选件扩展至8个，可以用于将来网络扩展。 该服务器最大的优点是在保证数据存储量的同时还保证了数据安全性，支持RAID1的数据备份 。(5)管理信息系统CMIs服务器图书馆的管理信息系统承担这图书管理、流通、采编等业务，一般采用应用与数据库一体的服务器。它里面储存着大量重要数据，比如管理员每天录入的书录数据，书籍流通过程中产生的读者数据。这些即是图书馆的特有数据，也是图书馆的核心数据。因此，对于管理信息系统服务器要首先考虑可靠性与安全性，其次考虑处理和计算能力。所以要求该服务器具有相当大的处理能力和强大且可靠的磁盘冗余功能。本网络采用IBM System x3400 M3服务器作为VOD服务器，它拥有4个2.13GHz，8MB三级缓存，4GB DDR3内存，其优点在于通过总共16个内存插槽可以实现最高128GB内存扩展。配置1块146GB热插拔SAS硬盘，提供ServeRAID M1015阵列卡，支持RAID0/1，并可选RAID 5，硬盘和内存的扩展能力也非常强，能够满足很长一段时间网络需求。（二）存储技术选择随着图书馆信息量的剧增，存储规模也越来越大，信息度量单位也不断改变，从KB到MB，进而到TB，以至PB。存储这些海量信息不但要求存储设备有很大的储存容量，而且还需要大规模数据库存储和处理这些数据，这就涉及到硬件随时读取的速度、数据集中与分布、存储管理方法等问题。1.常用的存储技术简介(1)直连式存储(DAS)DAS是所有网络存储设备的基础，依赖服务器主机的操作系统对数据进行存储维护和I/O读写，在进行数据备份和恢复的时候会占用主机的资源，包括CPU和I/O系统。直连式存储的数据量越大，备份和恢复数据所用的时间就越长，对服务器硬件的依赖性、影响性就越大。图5.1显示DAS存储拓扑：此模式的好处是前期投入低，缺点是后续成本大，总拥有成本(TCO)较高;随着应用服务器的增加，网络系统效率会急剧下降。图5.1 DAS存储拓扑图(2)网络附加存储（NAS）NAS是以数据为核心的存储系统，可以实现异构平台上的文件共享，可以直接和LAN相连，提供文件级服务，其拓扑结构如图5.2所示。在实际应用中，多个用户同时并发访问同一数据时，传输过程十分繁琐，极大的增加了网络的开销，使得数据的I/O速度变慢，严重影响用户的正常使用。所以，NAS不适合在对访问速度要求过高的应用场合使用。此外NAS无法将多个NAS设备，整合成一个统一的存储池进行集中管理。图5.2 NAS存储拓扑图NAS存储设备不承担应用服务，它有自己的CPU、内存、主板和操作系统从这点看，NAS存储设备本身与文件服务器没有太大的区别5。其数据访问过程如图5.3所示：(l)客户机向服务器发出连接请求；(2)服务器确认后将存放在存储设备中的文件目录信息发送给客户机；(3)服务器监听客户机下一个的数据请求；(4)客户机发出数据访问请求命令；(5)服务器返回文件的地址信息，并等待客户机的下一个命令请求或其他客户机的连接请求；(6)客户机向目标存储设备发出连接请求；(7)目标存储设备确认后，等待客户机的读写命令，等待接收数据；(8)目标存储设备向客户机发送数据，结束后等待下一个读写请求。图5.3 NAS数据访问过程(3)存储区域网络（SAN）存储区域网络是一个高速子网，子网中的设备可以从主网卸载流量。通常SAN由RAID阵列连接光纤通道，SAN和客户端、服务器的数据通信是通过SCSI命令而不是TCP/IP实现，数据处理是“块级”。SAN中数据访问过程如图5.4所示：(l)首先，在IP网络中，客户端通过TCP/IP协议向服务器发送数据访问请求；(2)服务器确认访问请求后，同时在SAN网络中，服务器通过FCP协议向目标存储设备发出数据读写命令；(3)服务器等待其他客户端的数据访问请求；(4)在SAN网络中，目标设备将封装在FCP协议中的数据帧传输到服务器；(5)服务器上的HBA卡将FC数据帧转换为IP数据包，再通过TCP/IP协议传送到客户端。数据的传输是在一个专用、高速的网络中进行，并不占用服务器的CPU资源，使得服务器专注于应用程序的处理，也很好地解决了NAS网络中的带宽问题6。图5.4 SAN数据访问过程2.学院图书馆存储技术具体选择在三种主流的存储技术中，DAS是最古老的存储技术，它最主要的优势是简单易用；它的缺点磁盘利用率很低，只有30左右，而NAS和SAN可达70%；不易扩容，在将来网络扩建时会出现瓶颈，本网络中放弃使用。对于SAN来说，它的投资太大，只有电信、金融等超大型企业可以承担；文件的处理在服务器上实现，对前端服务器要求高 ；数据共享困难；对大量小文件的读写性能甚至不如NAS。 基于上述分析和该校图书馆中对文件高速上传、下载的需求采用NAS存储技术，它的优势在于简单易用，通过WEB界面管理，管理者不需专业技术；价格便宜，有的NAS甚至比SAN便宜一个数量级！共享方便，可给不同操作系统服务器/pc机同时提供存储容量；扩容方便，可动态给不同用户分配/修改存储空间；对前端服务器要求不高，文件的管理、缓存在NAS上实现7。六、图书馆网络安全随着网络的发展，图书馆的服务方式也越来越网络化。图书管的业务管理和服务越来越依赖于网络。当网络资源共享时增加了网络的脆弱性，使得图书馆的网络安全显得越来越重要，它的安全系统需要集成多种安全技术来实现，除了采用防病毒工具、虚拟网技术、防火墙技术，等，还要在网络建设中不断改进预防措施，确保图书馆网络的安全。（一）图书馆网络存在的安全问题图书馆的数字化使信息资源变得开放，共享更加便利，但同时也降低了系统的安全性。目前，图书馆网络安全问题主要有以下几点：第一，工作人员安全意识薄弱，缺少专业的网络安全管理人员。第二，来自校内外的黑客的恶意攻击。第三，网络系统中病毒对计算机的攻击。第四，管理系统自身缺陷，如操作系统平台、信息管理平台自身漏洞，存在隐患8。（二）图书馆网络的安全策略1.防火墙读者可以在图书馆中通过校园网与外界信息交流，提高了运行效率，同时也有很多非法信息流入，我们通过在网络系统和校园网之间安装防火墙，使系统免受黑客攻击。防火墙是由计算机软件和硬件组成的系统，用于实现内网和外网之间的访问控制。防火墙一般具有五大功能：过滤进出网络的数据包；禁止某些访问行为；管理进出网络的行为；记录通过防火墙的信息内容；对网络攻击进行检测和预警。在图书馆局域网中，服务器最易收到攻击，通常可以采取服务器与路由器间安装防火墙，并设置合理的安全策略，有效的防止外网攻击9。2.入侵检测系统入侵监测系统处于防火墙之后对网络活动进行实时监测，它是防火墙的延续，可以和路由器与防火墙配合工作。入侵监测系统可以扫描当前网络的活动，监视并且记录网络上的数据包，同时根据定义好的安全规则来监视来自网络的恶意攻击，提供实时报警。对于图书馆网络而言，入侵侦测系统可弥补防火墙技术的不足，提高系统的安全性能。3.ACL（访问控制列表）访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。4.交换机端口安全性交换机端口安全性设置可以在端口上限制使用的MAC地址，可以组织任何未经授权的MAC地址的访问。它允许你通过配置静态安全的MAC地址实现与固定设备相连接，同时允许在端口上配置一个最大的安全MAC地址数，当超过所连接的最大端口数时，将触发一个安全违例事件，交换机或警报、或将断开该连接或者关闭该端口。（三）网络安全系统实施与测试1.防火墙的架设与测试截取图书馆网络拓扑图的一部分，如图6.1所示，配置防火墙的过程如下：图6.1 防火墙配置ASA(config)# domain-name ；设置防火墙域名ASA(config)#interface f0/1ASA(config-if)#nameif outside ；设置外部接口ASA(config-if)#sec 0 ；设置外部端口的安全级别为0ASA(config-if)#ip address ASA(config-if)#no shutASA(config)#interface f0/2ASA(config-if)#nameif insideASA(config-if)#sec 100ASA(config-if)#ip address 54 ASA(config-if)#no shutdownASA(config)#interface f0/3ASA(config-if)#nameif dmz ；设置f0/3区域为停火区域ASA(config-if)#ip address 54 ASA(config-if)#sec 50ASA(config-if)#no shutdownASA(config)#route outside ；配置ASA静态路由ASA(config)#telnet inside ；配置ASA远程登录管理ASA(config)#crypto key generate rsa general-keys modulus 1024 ；SSH加密会话产生加密密钥ASA(config)#access-list OUT extended pe