突破公共圖書館傳統陣地信息服務邊界--公共圖書館無線網絡的整體應用思路

●劉 磊（深圳圖書館，廣東 深圳 518036）

邁入信息時代，越來越多的市民開始使用具備無線上網功能的智能終端，如智能手機、筆記本電腦、亞馬遜的Kindle和索尼的電子書閱讀器等。這對市政、文化等公共場所的基礎設施配備提出了更高的要求，尤其是“無線熱點”。無線熱點，即公共無線局域網，它是通過無線接入點的無線信號覆蓋，為用戶提供網絡服務的區域，其服務性質一般為免費。

在國外，無線熱點一般建立在圖書館、機場、酒店、大型商場、超市、咖啡廳和餐館等公共場所。我國香港政府為實現“無線城市”，已建立了覆蓋全市公共設施的無線熱點。香港中央圖書館和下屬分館都覆蓋有無線信號，市民可通過公開的賬戶免費使用，這極大地滿足了市民的信息需求。

在內地，公共圖書館提供的數字信息服務，絕大多數基于有線上網模式。即由圖書館提供電子閱覽區和一定數量的可上網電腦，實行座位管理和讀者認證機制。這種服務方式雖在一定程度上滿足了讀者訪問因特網的需求，但在信息化服務如此發達的今天，讀者越來越難以忍受這種呆板的服務方式，他們需要更為自由、便捷的網絡數字信息服務。［1］突破圖書館傳統的有線網絡服務邊界，帶給讀者無處不在的數字信息服務體驗的時刻已經來臨。

1 公共圖書館無線網絡分析

1.1 無線網絡用戶需求及用戶分類

公共圖書館無線網絡服務人群主要有三類：讀者、特殊用戶及工作人員。這三類人員因訪問無線服務需求不同而其網絡訪問行為有所不同。

（1）讀者。有訪問因特網、圖書館內部數字資源的需求，通過讀者賬戶訪問，需設置獨立的SSID（即無線網絡名）并廣播，進行嚴格身份認證，可與本館讀者認證系統緊密結合。

（2）工作人員。通過員工賬戶訪問，有訪問因特網、圖書館內部數字資源、圖書館內部業務系統的需求；設置獨立的SSID但不廣播，需進行嚴格身份認證，可與本館業務系統緊密整合，但必須與讀者網絡相對獨立，以保證業務系統不受外來電腦的影響。

（2）特殊用戶。有訪問因特網、圖書館內部數字資源的需求設置獨立的SSID并廣播，設立數個來賓賬號，無需進行身份認證，交由業務辦公室統一管理即可。

1.2 無線信號覆蓋范圍

公共圖書館無線網絡應覆蓋全館范圍。從技術角度出發，無線信號覆蓋全館不存在障礙，因為利用Mesh AP設備可滿足一些網絡綜合布線系統未覆蓋而又有上網需求的地點，在服務區域和工作區域（如閱覽區、報告廳、讀者自習室、會議室）可相對集中部署，在邊緣區域保證信號覆蓋。

1.3 無線網絡業務需求

典型的業務需求包括：訪問因特網、訪問內部業務系統、讀者活動使用、會議使用、專題報告使用等。

1.4 無線網絡安全需求

無線網絡經由圖書館網絡出口訪問因特網，因此我們有責任和義務對讀者的上網行為進行規范。圖書館可通過技術手段控制訪問內容，并設定無線上網規則，引導讀者合法使用無線網絡。

讀者所攜電腦若存在安全隱患，也可能影響到圖書館內網的正常運行。為保證內網的安全，無線網絡應該設立獨立子網，并對其進行訪問權限、帶寬、內容等方面的專門控制。

按照各級公安網監部門的要求，對經過無線網絡的所有流量，圖書館應進行嚴格的審計，記錄完整的日志，防止少數人員利用公共網絡設施實施違法行為。

從國內公共圖書館的實際情況來看，提供無線網絡服務的圖書館并不多，有的圖書館受限于技術力量與管理成本高；有的圖書館擔心無線網絡安全無法保證，對公安網監部門所要求的安全程度無法滿足等主客觀因素，沒有實現無障礙的無線網絡服務。在無線網絡技術已經相當成熟的今天，這些都不應成為無法普及該服務的理由。與其回避問題，不如深入分析和探討無線網絡技術與服務模式，以期盡早解決這一矛盾，向讀者提供與時俱進、高質量的信息服務。

2 無線網絡技術選型

2.1 胖客戶端架構與瘦客戶端架構

胖客戶端架構中使用胖AP組網。胖AP，即智能型AP，能夠對客戶端進行認證、地址分配等工作。其優點是智能，缺點是要逐臺進行本地配置，很難保持多個設備配置的一致性，因此會增加網絡管理成本。在公共圖書館只需要選擇1-2個AP時，建議采用胖AP架構。

瘦客戶端架構中使用多個瘦AP，然后通過無線AP控制器（WLC）進行統一的配置管理。瘦AP，即非智能型AP，需要由無線控制器來統一進行認證、地址分配等管理工作。缺點是非智能化，必須在WLAN控制器控制下工作。優點是，瘦AP接受WLAN控制器的控制與配置有利于統一管理。在公共圖書館整體部署大量AP時，適宜采用瘦客戶端架構。［2］

值得注意的是，如果環境已有胖AP，擴展時也可以采用瘦AP架構，原有胖AP可通過升級變為瘦AP。

2.2 無線協議

絕大多數公共圖書館不具備很強的技術支撐能力，因此，公共圖書館更多的是技術應用的領域，而不是技術試驗的領域，以成熟、可靠、主流的標準來選擇設備，或者可以在向下兼容的前提下，盡可能選擇新的標準，這樣才能有效地保護政府投資。

無線網絡協議，目前有802.11a、802.11b、802.11g、802.11n等幾種。這幾種無線協議都是由802.11演變而來的。802.11是IEEE最初制定的一個無線局域網標準，主要用于解決局域網中用戶終端的無線接入。目前802.11n是最新無線標準。802.11n是為了實現高帶寬、高質量的WLAN服務而設計的，目的是使無線局域網達到以太網的性能水平。在傳輸速率方面，802.11n可以將WLAN的傳輸速率由802.11a及802.11g提供的54Mbps、108Mbps，提高到300Mbps甚至600Mbps。在覆蓋范圍方面，802.11n采用智能天線技術，可以讓WLAN用戶接收到穩定的信號，并可以減少其他信號的干擾。其覆蓋范圍可以擴大到好幾平方公里，使WLAN移動性極大提高。在兼容性方面，802.11n協議兼容性極佳，不但能實現協議的向前、后兼容，而且可以實現WLAN與無線廣域網絡的結合，比如3G。因此，對于現階段準備實施無線網絡服務的公共圖書館而言，可支持802.11n協議的設備無疑是首選。

2.3 其他技術支持

從安全性出發，在選擇無線網絡時還應考慮是否具備禁用SSID廣播功能，可以將內部的無線網絡不對外發布出來，充分保證無線網絡安全性。

從便捷性出發，可以考慮是否具備無線網絡漫游功能，這樣，每個無線終端會自動分析與各個AP之間的信號強度及負載量，然后選最佳接入，用戶就能隨意走動而不間斷地上網。

從易管理性出發，可以關注無線設備是否具備足夠的網絡管理功能，如其網管協議是否基于SNMP標準，網管軟件是否能監控到整個架構中的所有單元等。

3 公共圖書館無線網絡部署技術難點

公共圖書館無線網絡部署所要解決的最大問題，是統一認證問題和訪問控制。這兩點在整體設計思路中尤為重要，關系到無線網絡最終是否能對讀者開放。

3.1 無線局域網統一認證實現

通過部署AAA服務器，可以實現基于radius或tacacs+的 AAA（認證 Authentication、授權 Authorization和計費Accounting），所有的無線網絡用戶登錄時必須取得授權。以RADIUS為例，它可以使用多個數據庫管理系統和目錄協議，控制網絡用戶及其權限的列表。用戶認證過程是先登錄無線控制器，然后無線控制器認證交由AAA服務器完成。

AAA服務器認證可以支持LDAP（輕量級目錄訪問協議）和ODBC（開放數據庫互連）方式進行身份認證。

3.2 通過ODBC技術實現無線網絡與讀者認證互聯

深圳圖書館采用的業務系統為Dilas，其后臺數據庫為oracle，因此用ODBC實現與讀者庫之間認證方式最為直接。通過ODBC訪問讀者庫僅需要在數據庫中加入如下格式存儲過程即可，無需對應用系統進行復雜的定制開發。

CSNTAuthUserPap這個存儲過程使用用戶名和密碼，如果失敗，則返回3；如果成功，返回0，同時返回用戶所在的用戶組。本例為通用格式，具體情況應根據各自讀者庫數據結構進行調整。測試連通后，通過無線控制器提供的portal（門戶頁面） 登錄，就可以實現讀者憑讀者證賬戶密碼登錄使用無線網了。

3.3 無線網絡與內網間的訪問控制

訪問控制列表方式：無線網絡必須單獨規劃子網（vlan），對無線網和內部子網之間，在上聯的三層交換機上設置訪問控制列表ACL。嚴格限制該子網的網絡行為。以深圳圖書館華為交換機8016為例：如果圖書館內部業務網段為vlan40，數字資源網段為vlan41，無線網絡為vlan42，ip地址分別為192.168.40.0/24、192.168.41.0/24、192.168.42.0/24，則加入訪問控制列表如下：

//這六條語句禁止了42網段到40網段間icmp協議與tcp協議的訪問，而對42與41間的訪問不進行控制。

代理服務器方式：在無線網段內部署代理服務器，在代理服務器中設置無線網絡vlan42僅可訪問數字資源網段vlan41，不能訪問業務網絡vlan40即可，這點可根據不同代理服務器軟件進行配置。

3.4 無線網絡內容訪問控制

實現內容訪問控制有兩種方式，一種是利用代理服務器技術，在無線網內部署代理服務器，所有的訪問流量受代理服務器的控制，可在代理服務器上添加黑名單，限制網頁訪問，也可添加白名單，控制無線網絡只能訪問特定的站點。但這種方式存在很明顯的缺陷：限制訪問列表更新不及時，對于內容的訪問控制只能做到針對少量的特定的網頁和網絡應用。

另一種技術，要使用內容過濾軟件或硬件設備，它是一種網絡安全產品，串聯在網絡出口處，對網頁訪問流量進行內容分析，一般其內置一個可及時更新的特征庫，在工作時會將訪問流量與特征庫進行比對，如匹配則阻止對該內容的訪問。這種技術管理成本低，不僅可用于用戶網段，也可用于工作網段，有的產品甚至可做到整體流量控制，如限制P2P流量。其缺點是費用較高，且每年必須為升級特征庫付費。

4 無線網絡服務應用方案

4.1 帶寬控制

公共圖書館應根據自身帶寬情況和用戶數量合理設定無線網絡服務帶寬，［3］例如：圖書館總出口帶寬100兆，日均使用人數在100人左右，可分配10兆供無線網絡服務使用。具體實現手段：在防火墻處可限制無線網絡訪問外網的帶寬。

4.2 覆蓋范圍控制

無線網絡覆蓋全館范圍，即讀者可在館內任何地點使用無線網絡；實現無線接入點間漫游，不會因讀者隨意走動而導致網絡中斷；提供固定區域（但不局限于這些區域）給讀者使用無線設備，配備電源及座位，館員可巡視并提供上網指引。

4.3 服務時間控制

無線網絡服務時間即開館時間，如9∶00-21∶00，閉館時間無法使用無線網絡。上網時間可按日控制，如：每位讀者每天可無線上網4小時。

4.4 用戶控制及角色管理

對讀者、工作人員、特殊用戶三類用戶進行角色管理。如對讀者，可限定僅持證讀者可在服務臺通過業務平臺開通無線上網功能，并在開通時與圖書館簽訂使用協議。初期，可開放一個內部網段供無線設備使用，該網段必須能同時容納約1000臺無線設備上網。

4.5 網絡安全及訪問控制

①日志記錄。結合AAA認證軟件與本館業務系統對讀者身份、上網時間作詳細的日志記錄。②網絡審計。將無線網絡納入網絡審計范疇。③訪問控制。部署代理服務器或網絡流量管控設備，對常見的不良網站進行屏蔽，并定期更新補充；對常見網頁游戲進行屏蔽；對常用點對點下載工具和QQ等聊天工具進行限制。

5 無線上網服務規則

無線網絡作為公共圖書館提供的一項服務，必須遵守相應的使用規則?，F列舉使用規則要點如下：①本館為持證讀者提供免費無線上網服務。--體現公共圖書館公益免費的服務理念。②自帶設備屬私人物品，請自行妥善保管，使用過程中若發生軟硬件故障，由用戶自行負責。--公共圖書館僅能提供有限的服務，免責也同樣重要。③用戶必須遵守國家及地方計算機信息網絡的相關法律、法規，包括但不限于以下規定：《全國人民代表大會常務委員會關于維護互聯網安全的決定》《計算機信息網絡國際聯網安全保護管理辦法》《計算機病毒防治管理辦法》《深圳經濟特區計算機信息系統公共安全管理規定》等。嚴格執行安全保密制度，并對個人發布的所有信息負全責。--告知讀者法律依據和相應條款。④用戶必須嚴格管理個人讀者證號和口令，保證使用本人讀者證號登錄無線網絡，既不轉讓給他人使用，也不非法使用他人的證號。--準確的個人信息對審計日志非常重要。⑤定期優化個人的計算機系統、查殺病毒，不在計算機網絡上進行大量消耗資源（如P2P軟件）且無意義的操作，網上軟件及信息資源的使用嚴格遵守知識產權的有關法律法規。--告知讀者使用公共資源的統一規范。⑥對于違反本規定的讀者，我館有權停止為其提供無線上網服務。對于涉及違反法律規定的讀者，我館將向相關部門舉報并移送相關資料。--申明本館的合法權利。

6 無線網絡服務展望

深圳圖書館自2009年6月開通無線網絡服務以來，深受廣大讀者歡迎，取得了良好的效果，如6月-11月，上網人次分別達到 1168、2575、2793、3161、2575、2764。

無線網絡的應用，突破了圖書館網絡信息服務的邊界，極大地拓展了圖書館陣地服務的外延。然而在解決了無線網絡技術難點后，我們要思索的是如何將圖書館特有的數字信息服務內容與無線網絡進行充分的整合，這樣才能迸發出更大的潛力，如將在線參考咨詢、個人網上圖書館、數字資源推介等服務嵌入無線網絡內部，讓讀者無線上網的同時，感受到館員就在身邊的貼心服務。為降低管理成本，圖書館無線網絡建設也可考慮與電信部門合作。但更為關鍵的是公共圖書館應思考將技術引入形成一種機制，以實現與時俱進。

無線網絡服務作為公共圖書館服務的一種，它需要我們建立制度去跟進、去維護，確保它與時俱進，滿足讀者服務需求。同時，圖書館員應有這樣的認識：公共圖書館使用有限的資源、有限的人力提供有限的服務，有必要對無線網絡服務進行合理的限制，同時要教育讀者理解，尊重他人使用公共資源的權利也是尊重自己。

［1］張玉書.圖書館網絡信息服務優化［J］.圖書館理論與實踐，2009（4）：14-15.

［2］張任躍.Windows瘦客戶機在圖書館系統安全及網絡構建中的應用［J］.圖書館理論與實踐，2008（6）：75-76.

［3］田麗君，張靜鵬.圖書館無線局域網的應用研究［J］.情報科學，2004（12）：1480-1483.