目前，云南工商学院购置了大量的电子图书资源供广大师生开展教学研究，但这些电子资源大部分只能在学校内部访问，走出校园就无法使用，每到出差或放假时，这种需求就会变得尤为迫切。而要随时随地、方便快捷地访问校园数字图书馆已经成为师生的普遍要求。

　　由于数字图书馆的版权问题，我校图书馆所购买的电子图书资源大部分都有限制访问的IP地址范围。所采购的电子图书数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上。图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。如果教师、学生在家里上网或者教师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL，还是小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址，因此数据库服务商认为其是非授权用户，从而拒绝访问。因此，我们需要一套可管理、可认证、安全的远程访问数字图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过授权后获得校内地址，再访问电子图书资源数据库。

　　两种VPN技术的抉择

　　VPN是虚拟专用网的简称，虚拟专用网指的是依靠ISP(Internet Service Provider)和其他NSP(Network Service provider)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用公众网的物理链路资源动态组成的。

　　利用IPSec技术，校外用户在本机安装一个VPN客户端软件后经过配置连入图书馆网络，IPSec VPN中心端需要给每个远程用户分配一个校园网IP地址，从而实现远程用户以校园网用户身份访问电子资源。但IPSec协议最初是为了解决site to site的安全问题而制定的，因此，在此基础上建立的远程接入方案在面临越来越多的end tosite应用情况时已显不足。

　　基于IPSec VPN技术的应用不足，SSLVPN技术应运而生。SSL VPN的突出优势在于Web安全和移动接入，适用于任何终端及操作系统，可以提供远程的安全接入，而无需安装或设定客户端软件，直接利用浏览器中内嵌的SSL协议即可。SSL在Web的易用性和安全性方面架起一座桥梁。

　　而IPSec VPN是在两个局域网之间通过Internet建立的安全连接，保护的是点对点的通信，并且，IPSec工作于网络层，不局限于Web应用，它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。从高校应用来看，SSL接入方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的，这对于那些对单个用户流量有严格限制的资源商来说，这些SSL用户的访问会被当成一个用户的行为，很快就会因为达到资源商的流量限制而造成该IP 被禁用，导致所有SSL用户无法继续访问图书馆资源。

　　图书馆应选择何种VPN技术以解决校外用户访问各类资源的需求？从目前图书馆使用的情况来看，比较合理的应用方案应该是IPSec和SSL共同使用。

　　VPN远程访问将用户分为两个类型：一类是使用图书馆资源较为频繁、访问数据量较大的用户，另一类是使用次数较少、访问数据不多的用户。通过用户划分，我们给访问量大的用户分配IPSec接入方式，这样就可以把大量的用户流量分配到不同的IP地址上，避免单个IP流量过大造成的问题，而访问数据不多的用户分配SSL接入方式，利用SSL VPN无需部署客户端的特性大大降低客户端的维护工作量，从而实现VPN在本校数字图书馆应用的快速部署。