隨著網絡的普及和高校信息化建設的不斷發展，數字化圖書館已經成為高校教師教學，科研不可或缺的資源，學校為了給教師提供更全面的信息資源，對于中外期刊數據庫校園網都提供了免費查詢服務，為教師帶來的極大的方便。但是，由于許多高校教師在學校都沒有固定的工作地點和網絡接入，同時在家里就無法訪問數字化圖書館，從而給部分教師的信息查詢工作帶來了困難。

為了使用學校的信息資源得到充分應用，學校引進思科的PIX設備構建校網VPN系統，主要解決學校教職工在校外訪問校內資源和國外期刊數據庫的問題，PIX是由思科公司開發的具有VPN功能的防火墻設備，主要起到策略過濾，隔離內外網，根據用戶實際需求設置DMZ（?；饏^）。它和一般硬件防火墻一樣具有轉發數據包速度快，可設定的規則種類多，配置靈活的特點。我們采用PIX防火墻上安裝和配置保障AAA（認證、授權和統計）服務的CSACS（思科安全訪問控制服務器），從而確保思科設備和客戶機之間的遠程訪問VPN網絡的專用性和保密性。

在沒有引進VPN系統時，網絡的訪問拓撲圖如圖1所示，用戶在校外只能訪問INTERNET上的公共資源，由于ip無法國外數據庫的授權范圍由，無法查詢國外數據庫資源，同時也無法訪問到學校內部資源，比如學校辦公系統（OA）。

圖1：無VPN系統的校園網訪問拓撲

我們引進PIX設備之后需要為PIX配置公網IP與校網IP實現物理聯通，另外配置ACL列表、地址池和策略路由。ACL控制列表是用來控制答應通過PIX進行轉發的目的地址，從而實現了IP地址是否轉發的控制。地址池是用來臨時分配給VPN客戶端的內網地址，一旦客戶端通過ACS認證，服務器為客戶機分配一個地址池里的IP地址，此時客戶機就相當于一臺內網主機，可以方便的訪問校內資源。策略路由用來控制網絡的數據包轉包，治理員根據用戶需要設置訪問路由，盡可能地保障網絡性能。

具體的命令設備這里不再贅述，接入VPN系統之后，客戶機的網絡訪問拓撲如圖2所示，用戶訪問普通INTERNET資源，只需要通過1直接訪問；假如訪問校內資源，通過PIX認證后，就可以過2，使之成為虛擬的內網機器，獲得訪問校內資源的權限；訪問國外數據庫，客戶機不再直接訪問，而是經過1、2、3線路，先虛擬成校園網IP，然后經過NAT轉換，以學校被國外數據庫授權的公網IP名義訪問數據庫，從而實現了對國外數據庫的訪問。

圖２：通過VPN認證的網絡訪問拓撲

從上面我們可以看出，通過PIX設備實現數字圖書館的VPN系統后，系統對于用戶訪問公網的普通資源沒有什么本質的影響，只是在原來的基礎上增加了訪問校園網和國外數據庫的功能，同時系統通過Ｃ／Ｓ的認證方式，用戶采用學校內部公用密鑰和個人密碼雙重認證，大大提高了系統的安全性和保密性，從而得到了廣大教師的歡迎和認可。