●刘 磊（深圳图书馆，广东 深圳 518036）

迈入信息时代，越来越多的市民开始使用具备无线上网功能的智能终端，如智能手机、笔记本电脑、亚马逊的Kindle和索尼的电子书阅读器等。这对市政、文化等公共场所的基础设施配备提出了更高的要求，尤其是“无线热点”。无线热点，即公共无线局域网，它是通过无线接入点的无线信号覆盖，为用户提供网络服务的区域，其服务性质一般为免费。

在国外，无线热点一般建立在图书馆、机场、酒店、大型商场、超市、咖啡厅和餐馆等公共场所。我国香港政府为实现“无线城市”，已建立了覆盖全市公共设施的无线热点。香港中央图书馆和下属分馆都覆盖有无线信号，市民可通过公开的账户免费使用，这极大地满足了市民的信息需求。

在内地，公共图书馆提供的数字信息服务，绝大多数基于有线上网模式。即由图书馆提供电子阅览区和一定数量的可上网电脑，实行座位管理和读者认证机制。这种服务方式虽在一定程度上满足了读者访问因特网的需求，但在信息化服务如此发达的今天，读者越来越难以忍受这种呆板的服务方式，他们需要更为自由、便捷的网络数字信息服务。［1］突破图书馆传统的有线网络服务边界，带给读者无处不在的数字信息服务体验的时刻已经来临。

1 公共图书馆无线网络分析

1.1 无线网络用户需求及用户分类

公共图书馆无线网络服务人群主要有三类：读者、特殊用户及工作人员。这三类人员因访问无线服务需求不同而其网络访问行为有所不同。

（1）读者。有访问因特网、图书馆内部数字资源的需求，通过读者账户访问，需设置独立的SSID（即无线网络名）并广播，进行严格身份认证，可与本馆读者认证系统紧密结合。

（2）工作人员。通过员工账户访问，有访问因特网、图书馆内部数字资源、图书馆内部业务系统的需求；设置独立的SSID但不广播，需进行严格身份认证，可与本馆业务系统紧密整合，但必须与读者网络相对独立，以保证业务系统不受外来电脑的影响。

（2）特殊用户。有访问因特网、图书馆内部数字资源的需求设置独立的SSID并广播，设立数个来宾账号，无需进行身份认证，交由业务办公室统一管理即可。

1.2 无线信号覆盖范围

公共图书馆无线网络应覆盖全馆范围。从技术角度出发，无线信号覆盖全馆不存在障碍，因为利用Mesh AP设备可满足一些网络综合布线系统未覆盖而又有上网需求的地点，在服务区域和工作区域（如阅览区、报告厅、读者自习室、会议室）可相对集中部署，在边缘区域保证信号覆盖。

1.3 无线网络业务需求

典型的业务需求包括：访问因特网、访问内部业务系统、读者活动使用、会议使用、专题报告使用等。

1.4 无线网络安全需求

无线网络经由图书馆网络出口访问因特网，因此我们有责任和义务对读者的上网行为进行规范。图书馆可通过技术手段控制访问内容，并设定无线上网规则，引导读者合法使用无线网络。

读者所携电脑若存在安全隐患，也可能影响到图书馆内网的正常运行。为保证内网的安全，无线网络应该设立独立子网，并对其进行访问权限、带宽、内容等方面的专门控制。

按照各级公安网监部门的要求，对经过无线网络的所有流量，图书馆应进行严格的审计，记录完整的日志，防止少数人员利用公共网络设施实施违法行为。

从国内公共图书馆的实际情况来看，提供无线网络服务的图书馆并不多，有的图书馆受限于技术力量与管理成本高；有的图书馆担心无线网络安全无法保证，对公安网监部门所要求的安全程度无法满足等主客观因素，没有实现无障碍的无线网络服务。在无线网络技术已经相当成熟的今天，这些都不应成为无法普及该服务的理由。与其回避问题，不如深入分析和探讨无线网络技术与服务模式，以期尽早解决这一矛盾，向读者提供与时俱进、高质量的信息服务。

2 无线网络技术选型

2.1 胖客户端架构与瘦客户端架构

胖客户端架构中使用胖AP组网。胖AP，即智能型AP，能够对客户端进行认证、地址分配等工作。其优点是智能，缺点是要逐台进行本地配置，很难保持多个设备配置的一致性，因此会增加网络管理成本。在公共图书馆只需要选择1-2个AP时，建议采用胖AP架构。

瘦客户端架构中使用多个瘦AP，然后通过无线AP控制器（WLC）进行统一的配置管理。瘦AP，即非智能型AP，需要由无线控制器来统一进行认证、地址分配等管理工作。缺点是非智能化，必须在WLAN控制器控制下工作。优点是，瘦AP接受WLAN控制器的控制与配置有利于统一管理。在公共图书馆整体部署大量AP时，适宜采用瘦客户端架构。［2］

值得注意的是，如果环境已有胖AP，扩展时也可以采用瘦AP架构，原有胖AP可通过升级变为瘦AP。

2.2 无线协议

绝大多数公共图书馆不具备很强的技术支撑能力，因此，公共图书馆更多的是技术应用的领域，而不是技术试验的领域，以成熟、可靠、主流的标准来选择设备，或者可以在向下兼容的前提下，尽可能选择新的标准，这样才能有效地保护政府投资。

无线网络协议，目前有802.11a、802.11b、802.11g、802.11n等几种。这几种无线协议都是由802.11演变而来的。802.11是IEEE最初制定的一个无线局域网标准，主要用于解决局域网中用户终端的无线接入。目前802.11n是最新无线标准。802.11n是为了实现高带宽、高质量的WLAN服务而设计的，目的是使无线局域网达到以太网的性能水平。在传输速率方面，802.11n可以将WLAN的传输速率由802.11a及802.11g提供的54Mbps、108Mbps，提高到300Mbps甚至600Mbps。在覆盖范围方面，802.11n采用智能天线技术，可以让WLAN用户接收到稳定的信号，并可以减少其他信号的干扰。其覆盖范围可以扩大到好几平方公里，使WLAN移动性极大提高。在兼容性方面，802.11n协议兼容性极佳，不但能实现协议的向前、后兼容，而且可以实现WLAN与无线广域网络的结合，比如3G。因此，对于现阶段准备实施无线网络服务的公共图书馆而言，可支持802.11n协议的设备无疑是首选。

2.3 其他技术支持

从安全性出发，在选择无线网络时还应考虑是否具备禁用SSID广播功能，可以将内部的无线网络不对外发布出来，充分保证无线网络安全性。

从便捷性出发，可以考虑是否具备无线网络漫游功能，这样，每个无线终端会自动分析与各个AP之间的信号强度及负载量，然后选最佳接入，用户就能随意走动而不间断地上网。

从易管理性出发，可以关注无线设备是否具备足够的网络管理功能，如其网管协议是否基于SNMP标准，网管软件是否能监控到整个架构中的所有单元等。

3 公共图书馆无线网络部署技术难点

公共图书馆无线网络部署所要解决的最大问题，是统一认证问题和访问控制。这两点在整体设计思路中尤为重要，关系到无线网络最终是否能对读者开放。

3.1 无线局域网统一认证实现

通过部署AAA服务器，可以实现基于radius或tacacs+的 AAA（认证 Authentication、授权 Authorization和计费Accounting），所有的无线网络用户登录时必须取得授权。以RADIUS为例，它可以使用多个数据库管理系统和目录协议，控制网络用户及其权限的列表。用户认证过程是先登录无线控制器，然后无线控制器认证交由AAA服务器完成。

AAA服务器认证可以支持LDAP（轻量级目录访问协议）和ODBC（开放数据库互连）方式进行身份认证。

3.2 通过ODBC技术实现无线网络与读者认证互联

深圳图书馆采用的业务系统为Dilas，其后台数据库为oracle，因此用ODBC实现与读者库之间认证方式最为直接。通过ODBC访问读者库仅需要在数据库中加入如下格式存储过程即可，无需对应用系统进行复杂的定制开发。

CSNTAuthUserPap这个存储过程使用用户名和密码，如果失败，则返回3；如果成功，返回0，同时返回用户所在的用户组。本例为通用格式，具体情况应根据各自读者库数据结构进行调整。测试连通后，通过无线控制器提供的portal（门户页面） 登录，就可以实现读者凭读者证账户密码登录使用无线网了。

3.3 无线网络与内网间的访问控制

访问控制列表方式：无线网络必须单独规划子网（vlan），对无线网和内部子网之间，在上联的三层交换机上设置访问控制列表ACL。严格限制该子网的网络行为。以深圳图书馆华为交换机8016为例：如果图书馆内部业务网段为vlan40，数字资源网段为vlan41，无线网络为vlan42，ip地址分别为192.168.40.0/24、192.168.41.0/24、192.168.42.0/24，则加入访问控制列表如下：

//这六条语句禁止了42网段到40网段间icmp协议与tcp协议的访问，而对42与41间的访问不进行控制。

代理服务器方式：在无线网段内部署代理服务器，在代理服务器中设置无线网络vlan42仅可访问数字资源网段vlan41，不能访问业务网络vlan40即可，这点可根据不同代理服务器软件进行配置。

3.4 无线网络内容访问控制

实现内容访问控制有两种方式，一种是利用代理服务器技术，在无线网内部署代理服务器，所有的访问流量受代理服务器的控制，可在代理服务器上添加黑名单，限制网页访问，也可添加白名单，控制无线网络只能访问特定的站点。但这种方式存在很明显的缺陷：限制访问列表更新不及时，对于内容的访问控制只能做到针对少量的特定的网页和网络应用。

另一种技术，要使用内容过滤软件或硬件设备，它是一种网络安全产品，串联在网络出口处，对网页访问流量进行内容分析，一般其内置一个可及时更新的特征库，在工作时会将访问流量与特征库进行比对，如匹配则阻止对该内容的访问。这种技术管理成本低，不仅可用于用户网段，也可用于工作网段，有的产品甚至可做到整体流量控制，如限制P2P流量。其缺点是费用较高，且每年必须为升级特征库付费。

4 无线网络服务应用方案

4.1 带宽控制

公共图书馆应根据自身带宽情况和用户数量合理设定无线网络服务带宽，［3］例如：图书馆总出口带宽100兆，日均使用人数在100人左右，可分配10兆供无线网络服务使用。具体实现手段：在防火墙处可限制无线网络访问外网的带宽。

4.2 覆盖范围控制

无线网络覆盖全馆范围，即读者可在馆内任何地点使用无线网络；实现无线接入点间漫游，不会因读者随意走动而导致网络中断；提供固定区域（但不局限于这些区域）给读者使用无线设备，配备电源及座位，馆员可巡视并提供上网指引。

4.3 服务时间控制

无线网络服务时间即开馆时间，如9∶00-21∶00，闭馆时间无法使用无线网络。上网时间可按日控制，如：每位读者每天可无线上网4小时。

4.4 用户控制及角色管理

对读者、工作人员、特殊用户三类用户进行角色管理。如对读者，可限定仅持证读者可在服务台通过业务平台开通无线上网功能，并在开通时与图书馆签订使用协议。初期，可开放一个内部网段供无线设备使用，该网段必须能同时容纳约1000台无线设备上网。

4.5 网络安全及访问控制

①日志记录。结合AAA认证软件与本馆业务系统对读者身份、上网时间作详细的日志记录。②网络审计。将无线网络纳入网络审计范畴。③访问控制。部署代理服务器或网络流量管控设备，对常见的不良网站进行屏蔽，并定期更新补充；对常见网页游戏进行屏蔽；对常用点对点下载工具和QQ等聊天工具进行限制。

5 无线上网服务规则

无线网络作为公共图书馆提供的一项服务，必须遵守相应的使用规则。现列举使用规则要点如下：①本馆为持证读者提供免费无线上网服务。--体现公共图书馆公益免费的服务理念。②自带设备属私人物品，请自行妥善保管，使用过程中若发生软硬件故障，由用户自行负责。--公共图书馆仅能提供有限的服务，免责也同样重要。③用户必须遵守国家及地方计算机信息网络的相关法律、法规，包括但不限于以下规定：《全国人民代表大会常务委员会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》《计算机病毒防治管理办法》《深圳经济特区计算机信息系统公共安全管理规定》等。严格执行安全保密制度，并对个人发布的所有信息负全责。--告知读者法律依据和相应条款。④用户必须严格管理个人读者证号和口令，保证使用本人读者证号登录无线网络，既不转让给他人使用，也不非法使用他人的证号。--准确的个人信息对审计日志非常重要。⑤定期优化个人的计算机系统、查杀病毒，不在计算机网络上进行大量消耗资源（如P2P软件）且无意义的操作，网上软件及信息资源的使用严格遵守知识产权的有关法律法规。--告知读者使用公共资源的统一规范。⑥对于违反本规定的读者，我馆有权停止为其提供无线上网服务。对于涉及违反法律规定的读者，我馆将向相关部门举报并移送相关资料。--申明本馆的合法权利。

6 无线网络服务展望

深圳图书馆自2009年6月开通无线网络服务以来，深受广大读者欢迎，取得了良好的效果，如6月-11月，上网人次分别达到 1168、2575、2793、3161、2575、2764。

无线网络的应用，突破了图书馆网络信息服务的边界，极大地拓展了图书馆阵地服务的外延。然而在解决了无线网络技术难点后，我们要思索的是如何将图书馆特有的数字信息服务内容与无线网络进行充分的整合，这样才能迸发出更大的潜力，如将在线参考咨询、个人网上图书馆、数字资源推介等服务嵌入无线网络内部，让读者无线上网的同时，感受到馆员就在身边的贴心服务。为降低管理成本，图书馆无线网络建设也可考虑与电信部门合作。但更为关键的是公共图书馆应思考将技术引入形成一种机制，以实现与时俱进。

无线网络服务作为公共图书馆服务的一种，它需要我们建立制度去跟进、去维护，确保它与时俱进，满足读者服务需求。同时，图书馆员应有这样的认识：公共图书馆使用有限的资源、有限的人力提供有限的服务，有必要对无线网络服务进行合理的限制，同时要教育读者理解，尊重他人使用公共资源的权利也是尊重自己。

［1］张玉书.图书馆网络信息服务优化［J］.图书馆理论与实践，2009（4）：14-15.

［2］张任跃.Windows瘦客户机在图书馆系统安全及网络构建中的应用［J］.图书馆理论与实践，2008（6）：75-76.

［3］田丽君，张静鹏.图书馆无线局域网的应用研究［J］.情报科学，2004（12）：1480-1483.