高校校園一卡通網(wǎng)絡(luò)解決方案

  在全球數(shù)字化浪潮的影響之下，高等學(xué)校數(shù)字化校園建設(shè)受到廣泛的重視，全國各地的高校借中國教育科研網(wǎng)(CERNET)建設(shè)的強力推動，正在從各個側(cè)面接觸數(shù)字化校園建設(shè)這個主題。近年來，隨著智能卡的推廣和使用，將多項管理職能和社區(qū)服務(wù)、認(rèn)證融為一體的校園“一卡通”正在各高校普及開來。校園“一卡通 ”以智能卡為信息載體，結(jié)合了微電子技術(shù)、單片機技術(shù)、計算機網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫技術(shù)等諸多高新科技，使其具有電子身份識別和電子錢包的功能，替代校園傳統(tǒng)的日常生活所需的教師工作證、學(xué)生證、借書證，以及與現(xiàn)金相關(guān)交易的食堂飯卡(券)、醫(yī)療證、上機證、門票等，達(dá)到教、學(xué)、考、評、住、用的全面數(shù)字化和網(wǎng)絡(luò)化，真正實現(xiàn)“一卡在手，走遍校園”。

    網(wǎng)絡(luò)平臺處于整個校園一卡通系統(tǒng)中的底層，也是校園一卡通的基石，銳捷網(wǎng)絡(luò)公司有著7年服務(wù)于教育信息化建設(shè)的經(jīng)驗，經(jīng)過深入的分析和考察，設(shè)計了具備高穩(wěn)定和高安全特性的一卡通網(wǎng)絡(luò)平臺來支撐校園一卡通的運行 。

620)this.style.width=620;" border=0>

  一、 需求分析

    底層網(wǎng)絡(luò)基礎(chǔ)架構(gòu)是校園一卡通成功實施的基石。不能選擇合適的網(wǎng)絡(luò)基礎(chǔ)構(gòu)架將會帶來以下的問題：系統(tǒng)性能降低，高故障率，大量的安全問題及繁瑣的維護(hù)管理問題，這對于用戶來說是不可接受的。此外，如果沒有正確的網(wǎng)絡(luò)設(shè)計，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)將很難滿足高速發(fā)展的校園一卡通的網(wǎng)絡(luò)擴(kuò)張和升級能力?！靶@一卡通”系統(tǒng)涉及到資金運用、結(jié)算和與銀行系統(tǒng)的聯(lián)網(wǎng)，并關(guān)系到廣大教職員工和學(xué)生的教學(xué)、學(xué)習(xí)和生活正常進(jìn)行，所以穩(wěn)定性和安全性是一個非常重要的設(shè)計環(huán)節(jié)。
    安全性需求

    雖然校園網(wǎng)已經(jīng)具有相當(dāng)?shù)木W(wǎng)絡(luò)安全措施，為保證“校園一卡通”系統(tǒng)的安全，防止非法用戶通過校園網(wǎng)侵入，應(yīng)該獨立構(gòu)建“校園一卡通”網(wǎng)絡(luò)，使“校園一卡通 ”網(wǎng)絡(luò)相對封閉，不與外部系統(tǒng)，特別是互聯(lián)網(wǎng)直接聯(lián)接，即建設(shè)“校園一卡通”專網(wǎng)，實現(xiàn)校園網(wǎng)和“校園一卡通”專網(wǎng)的邏輯隔離。

    如果由于業(yè)務(wù)需要，必須要在校園網(wǎng)和“校園一卡通”專網(wǎng)之間實現(xiàn)通訊，可以采用IPSec隧道的方式，對校園網(wǎng)和“校園一卡通”專網(wǎng)之間的數(shù)據(jù)交換采用加密的方式，防止 “校園一卡通”數(shù)據(jù)被人惡意竊取，并在校園網(wǎng)和“校園一卡通”專網(wǎng)中針對關(guān)鍵服務(wù)器制定嚴(yán)格的訪問控制策略，禁止非授權(quán)用戶對這些重要服務(wù)器的訪問，從而保護(hù)“園一卡通”專網(wǎng)數(shù)據(jù)的安全。

    穩(wěn)定性需求

    校園一卡通承載了校園的大量業(yè)務(wù)開展，網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要——網(wǎng)絡(luò)隨便斷開幾小時也無所謂的歷史已經(jīng)過去了。另一方面，在應(yīng)用豐富的同時，網(wǎng)絡(luò)環(huán)境也變得異常惡劣，安全攻擊事件呈指數(shù)級上升而所需要的知識卻越來越弱化，各種攻擊工具在網(wǎng)絡(luò)上可以隨手拈來。這也對網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)攻擊或者病毒泛濫情況下的穩(wěn)定可靠提出了挑戰(zhàn)。因此構(gòu)建校園一卡通網(wǎng)絡(luò)首先需要網(wǎng)絡(luò)設(shè)備本身具有穩(wěn)定的設(shè)計，其次在網(wǎng)絡(luò)架構(gòu)上也要保證設(shè)備的鏈路多級冗余，最后在多校區(qū)之間的鏈接上的不僅要進(jìn)行傳統(tǒng)的鏈路冗余備份，也需要通過不同的鏈路接入形式進(jìn)行備。

    二、 銳捷網(wǎng)絡(luò)校園一卡通網(wǎng)絡(luò)解決方案

    網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

    一卡通網(wǎng)絡(luò)主干是數(shù)據(jù)信息流動的動脈，同時還肩負(fù)著信息流動的總調(diào)度任務(wù)。因而我們認(rèn)為星型的網(wǎng)絡(luò)拓?fù)涫悄壳白詈玫倪x擇網(wǎng)絡(luò)拓?fù)鋱D如下：

620)this.style.width=620;" border=0>

　　如圖所示：網(wǎng)絡(luò)的中心交換機應(yīng)選擇背板速率足夠滿足大數(shù)據(jù)流的多層交換機，使網(wǎng)絡(luò)的中心不會成為網(wǎng)絡(luò)的擁塞點，同時還要保證網(wǎng)絡(luò)的冗余性、靈活性即出現(xiàn)故障時的快速收斂。因此我們在每個校區(qū)都選用了兩臺RG-7606交換機構(gòu)成網(wǎng)絡(luò)中心，7606提供了6個插槽，背板速率可達(dá)1.6T，交換能力也達(dá) 864G。

    匯聚層交換機選用RG-5750交換機，可以通過萬兆和千兆鏈路上聯(lián)至核心交換機。通過千兆光纖或者雙絞線連接接入層交換機

    對于大量的接入點交換機，我們選用RG-S21系列交換機產(chǎn)品，提供100M接入的同時，通過千兆鏈路與核心交換機鏈接。

    系統(tǒng)可靠性

    網(wǎng)絡(luò)作為校園一卡通系統(tǒng)的基石，對安全可靠運行有很高的要求，要求網(wǎng)絡(luò)能提供7*24小時的穩(wěn)定服務(wù)，因此核心設(shè)備的選擇穩(wěn)定可靠是第一位的。

    RG-7606采用無源背板的設(shè)計所有源器件都設(shè)計在線卡和引擎上，極大提升背板的可靠性;SPOH(基于硬件的同步式處理)技術(shù)設(shè)計，針對不同數(shù)據(jù)行為對端口依賴性的不同而采用各自不同的處理方式來最大限度地提升整機處理能力，確保骨干設(shè)備在復(fù)雜應(yīng)用環(huán)境下，設(shè)備7×24不間斷可靠運行;同時還采用了多路電源供電，主控引擎冗余等多項提升設(shè)備穩(wěn)定的技術(shù)

620)this.style.width=620;" border=0>

   鏈路備份

    核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院罂梢宰詣忧袚Q到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。這樣，從全網(wǎng)架構(gòu)上，核心層雙鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺察不到的極短的時間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運行。

    當(dāng)多個校區(qū)間的數(shù)據(jù)需要同步時，在新老校區(qū)各部署了兩臺萬兆核心交換機，兩個校區(qū)的核心設(shè)備之間采用2條1G鏈路，構(gòu)成校園一卡通網(wǎng)絡(luò)的骨干交換平臺，其中一條鏈路出現(xiàn)問題時，另一條鏈路會立刻自動啟用;同時在兩個校區(qū)間放置兩臺路由器，在兩臺路由器間通過ISDN鏈路鏈接，當(dāng)校區(qū)間鏈接的兩條光纖鏈路都中斷時，還可以通過ISDN鏈路傳輸數(shù)據(jù)。匯聚交換機同核心交換機間也都采用了兩條鏈路鏈接的方式，實現(xiàn)鏈路級的冗余。整個方案充分保障了關(guān)鍵區(qū)域網(wǎng)絡(luò)的穩(wěn)定可靠。

    網(wǎng)絡(luò)的高安全性

    在網(wǎng)絡(luò)攻擊泛濫的今天，一卡通網(wǎng)絡(luò)也不可避免的會受到攻擊。一卡通網(wǎng)絡(luò)的安全主要受到兩方面威脅，一個是來自黑客的諸如DDoS等攻擊，另一種是來自內(nèi)網(wǎng)的病毒傳播如ARP欺騙等;對于前者最有效的方法是部署防火墻，而對于后者則需要核心、匯聚和接入交換機具備安全防護(hù)功能。

    在本方案中部署的防火墻設(shè)備采用了RGOS操作系統(tǒng)，是銳捷全系列防火墻使用的軟件系統(tǒng)，實現(xiàn)了防火墻的全部功能。RGOS的設(shè)計，完全拋棄了目前國內(nèi)主流防火墻還在使用的IPtables安全協(xié)議棧，脫離了通用操作系統(tǒng)，無通用操作系統(tǒng)漏洞，是新一代的防火墻軟件，使用了分段直接尋址搜索算法 (MSDAL)、樹形搜索算法等先進(jìn)的算法，采用了安全規(guī)則預(yù)編譯技術(shù)，使得防火墻的處理性能大大提高。

620)this.style.width=620;" border=0>

　　銳捷核心設(shè)備的CSS安全體系通過硬件安全監(jiān)控技術(shù)、硬件安全防護(hù)技術(shù)、豐富的設(shè)備安全管理保證系統(tǒng)的安全，通過硬件的隧道技術(shù)、認(rèn)證技術(shù)、加密技術(shù)保護(hù)了網(wǎng)絡(luò)設(shè)備傳輸?shù)臄?shù)據(jù)的安全。匯聚和接入交換機支持豐富的安全防護(hù)能力，包括防DOS攻擊 (Smurf、Synflood)，防IP掃描 (PingSweep)，防源IP地址欺騙 (Source IP Spoofing)、防ARP欺騙、、帶寬控制等從而將安全防護(hù)從網(wǎng)絡(luò)的邊緣就開始進(jìn)行。

    三、 最佳實踐

    西安交通大學(xué)是國家教育部直屬重點大學(xué)，也是國內(nèi)建立最早的高等學(xué)府之一，是國家“七五”、“八五”重點建設(shè)的幾所大學(xué)之一，是首批進(jìn)入國家“211工程 ”建設(shè)的七所大學(xué)之一，1999年被國家確定為我國中西部地區(qū)唯一一所以建設(shè)世界知名高水平大學(xué)為目標(biāo)的學(xué)校。本次西安交通大學(xué)校園一卡通系統(tǒng)計劃在學(xué)校東西兩個校區(qū)建設(shè)校園一卡通系統(tǒng)。該系統(tǒng)包括了一卡通專網(wǎng)建設(shè)、一卡通平臺建設(shè)、一卡通數(shù)據(jù)中心以及校園門禁與校園網(wǎng)視頻監(jiān)控四個大的方面。其中校園一卡通平臺建設(shè)包括了一卡通系統(tǒng)數(shù)據(jù)系統(tǒng)、財務(wù)清算中心、卡務(wù)管理系統(tǒng)、遠(yuǎn)程監(jiān)控系統(tǒng)、配置管理系統(tǒng)、信息同步系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、綜合消費系統(tǒng)(包括食堂、醫(yī)院、校內(nèi)商場等)、機房計費管理系統(tǒng)、電子驗證系統(tǒng)、門禁管理系統(tǒng)、信息發(fā)布系統(tǒng)、迎新系統(tǒng)等多個軟硬件系統(tǒng)。同時跟校園網(wǎng)管理、圖書、教學(xué)、招生、財務(wù)、通道控制、學(xué)生注冊等系統(tǒng)對接。

    在學(xué)校東、西兩個校區(qū)分別配置一臺銳捷網(wǎng)絡(luò)S6806E萬兆核心交換機，作為承載交大“一卡通”業(yè)務(wù)的骨干設(shè)備，另外根據(jù)實際需要，配置銳捷網(wǎng)絡(luò)匯聚交換機銳捷網(wǎng)絡(luò)S4909交換機一臺，接入交換機S2126G 130臺，作為終端接入交換機。

    兩臺核心交換機S6806E通過主、備鏈路方式互連，如上圖所示，其中，光纖作為主線路，備份線路采用VPN方式，通過教育城域網(wǎng)互連，從而保障核心設(shè)備之間鏈路的穩(wěn)定保障。

    為了保障“一卡通”網(wǎng)絡(luò)到工商銀行和財務(wù)部的數(shù)據(jù)聯(lián)通安全，在這兩個出口處分別部署兩臺銳捷網(wǎng)絡(luò)RG-WALL 200防火墻，進(jìn)行安全保障。