【安防知識(shí)網(wǎng)】在全球數(shù)字化浪潮的影響之下，高等學(xué)校數(shù)字化校園建設(shè)受到廣泛的重視，全國(guó)各地的高校借中國(guó)教育科研網(wǎng)(CERNET)建設(shè)的強(qiáng)力推動(dòng)，正在從各個(gè)側(cè)面接觸數(shù)字化校園建設(shè)這個(gè)主題。近年來，隨著智能卡的推廣和使用，將多項(xiàng)管理職能和社區(qū)服務(wù)、認(rèn)證融為一體的校園“一卡通”正在各高校普及開來。校園“一卡通”以智能卡為信息載體，結(jié)合了微電子技術(shù)、單片機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫技術(shù)等諸多高新科技，使其具有電子身份識(shí)別和電子錢包的功能，替代校園傳統(tǒng)的日常生活所需的教師工作證、學(xué)生證、借書證，以及與現(xiàn)金相關(guān)交易的食堂飯卡(券)、醫(yī)療證、上機(jī)證、門票等，達(dá)到教、學(xué)、考、評(píng)、住、用的全面數(shù)字化和網(wǎng)絡(luò)化，真正實(shí)現(xiàn)“一卡在手，走遍校園”。

　　網(wǎng)絡(luò)平臺(tái)處于整個(gè)校園一卡通系統(tǒng)中的底層，也是校園一卡通的基石，銳捷網(wǎng)絡(luò)公司有著7年服務(wù)于教育信息化建設(shè)的經(jīng)驗(yàn)，經(jīng)過深入的分析和考察，設(shè)計(jì)了具備高穩(wěn)定和高安全特性的一卡通網(wǎng)絡(luò)平臺(tái)來支撐校園一卡通的運(yùn)行 。

　　一、 需求分析

　　底層網(wǎng)絡(luò)基礎(chǔ)架構(gòu)是校園一卡通成功實(shí)施的基石。不能選擇合適的網(wǎng)絡(luò)基礎(chǔ)構(gòu)架將會(huì)帶來以下的問題：系統(tǒng)性能降低，高故障率，大量的安全問題及繁瑣的維護(hù)管理問題，這對(duì)于用戶來說是不可接受的。此外，如果沒有正確的網(wǎng)絡(luò)設(shè)計(jì)，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)將很難滿足高速發(fā)展的校園一卡通的網(wǎng)絡(luò)擴(kuò)張和升級(jí)能力。“校園一卡通”系統(tǒng)涉及到資金運(yùn)用、結(jié)算和與銀行系統(tǒng)的聯(lián)網(wǎng)，并關(guān)系到廣大教職員工和學(xué)生的教學(xué)、學(xué)習(xí)和生活正常進(jìn)行，所以穩(wěn)定性和安全性是一個(gè)非常重要的設(shè)計(jì)環(huán)節(jié)。

　　安全性需求

　　雖然校園網(wǎng)已經(jīng)具有相當(dāng)?shù)木W(wǎng)絡(luò)安全措施，為保證“校園一卡通”系統(tǒng)的安全，防止非法用戶通過校園網(wǎng)侵入，應(yīng)該獨(dú)立構(gòu)建“校園一卡通”網(wǎng)絡(luò)，使“校園一卡通”網(wǎng)絡(luò)相對(duì)封閉，不與外部系統(tǒng)，特別是互聯(lián)網(wǎng)直接聯(lián)接，即建設(shè)“校園一卡通”專網(wǎng)，實(shí)現(xiàn)校園網(wǎng)和“校園一卡通”專網(wǎng)的邏輯隔離。

　　如果由于業(yè)務(wù)需要，必須要在校園網(wǎng)和“校園一卡通”專網(wǎng)之間實(shí)現(xiàn)通訊，可以采用IPSec隧道的方式，對(duì)校園網(wǎng)和“校園一卡通”專網(wǎng)之間的數(shù)據(jù)交換采用加密的方式，防止 “校園一卡通”數(shù)據(jù)被人惡意竊取，并在校園網(wǎng)和“校園一卡通”專網(wǎng)中針對(duì)關(guān)鍵服務(wù)器制定嚴(yán)格的訪問控制策略，禁止非授權(quán)用戶對(duì)這些重要服務(wù)器的訪問，從而保護(hù)“園一卡通”專網(wǎng)數(shù)據(jù)的安全。、

　　穩(wěn)定性需求

　　校園一卡通承載了校園的大量業(yè)務(wù)開展，網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得愈發(fā)重要——網(wǎng)絡(luò)隨便斷開幾小時(shí)也無所謂的歷史已經(jīng)過去了。另一方面，在應(yīng)用豐富的同時(shí)，網(wǎng)絡(luò)環(huán)境也變得異常惡劣，安全攻擊事件呈指數(shù)級(jí)上升而所需要的知識(shí)卻越來越弱化，各種攻擊工具在網(wǎng)絡(luò)上可以隨手拈來。這也對(duì)網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)攻擊或者病毒泛濫情況下的穩(wěn)定可靠提出了挑戰(zhàn)。因此構(gòu)建校園一卡通網(wǎng)絡(luò)首先需要網(wǎng)絡(luò)設(shè)備本身具有穩(wěn)定的設(shè)計(jì)，其次在網(wǎng)絡(luò)架構(gòu)上也要保證設(shè)備的鏈路多級(jí)冗余，最后在多校區(qū)之間的鏈接上的不僅要進(jìn)行傳統(tǒng)的鏈路冗余備份，也需要通過不同的鏈路接入形式進(jìn)行備。

[nextpage]　　二、 銳捷網(wǎng)絡(luò)校園一卡通網(wǎng)絡(luò)解決方案

　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

　　一卡通網(wǎng)絡(luò)主干是數(shù)據(jù)信息流動(dòng)的動(dòng)脈，同時(shí)還肩負(fù)著信息流動(dòng)的總調(diào)度任務(wù)。因而我們認(rèn)為星型的網(wǎng)絡(luò)拓?fù)涫悄壳白詈玫倪x擇網(wǎng)絡(luò)拓?fù)鋱D如下：

　　如圖所示：網(wǎng)絡(luò)的中心交換機(jī)應(yīng)選擇背板速率足夠滿足大數(shù)據(jù)流的多層交換機(jī)，使網(wǎng)絡(luò)的中心不會(huì)成為網(wǎng)絡(luò)的擁塞點(diǎn)，同時(shí)還要保證網(wǎng)絡(luò)的冗余性、靈活性即出現(xiàn)故障時(shí)的快速收斂。因此我們?cè)诿總€(gè)校區(qū)都選用了兩臺(tái)RG-7606交換機(jī)構(gòu)成網(wǎng)絡(luò)中心，7606提供了6個(gè)插槽，背板速率可達(dá)1.6T，交換能力也達(dá)864G。

　　匯聚層交換機(jī)選用RG-5750交換機(jī)，可以通過萬兆和千兆鏈路上聯(lián)至核心交換機(jī)。通過千兆光纖或者雙絞線連接接入層交換機(jī)

　　對(duì)于大量的接入點(diǎn)交換機(jī)，我們選用RG-S21系列交換機(jī)產(chǎn)品，提供100M接入的同時(shí)，通過千兆鏈路與核心交換機(jī)鏈接。

　　系統(tǒng)可靠性

　　網(wǎng)絡(luò)作為校園一卡通系統(tǒng)的基石，對(duì)安全可靠運(yùn)行有很高的要求，要求網(wǎng)絡(luò)能提供7*24小時(shí)的穩(wěn)定服務(wù)，因此核心設(shè)備的選擇穩(wěn)定可靠是第一位的。

　　RG-7606采用無源背板的設(shè)計(jì)所有源器件都設(shè)計(jì)在線卡和引擎上，極大提升背板的可靠性;SPOH(基于硬件的同步式處理)技術(shù)設(shè)計(jì)，針對(duì)不同數(shù)據(jù)行為對(duì)端口依賴性的不同而采用各自不同的處理方式來最大限度地提升整機(jī)處理能力，確保骨干設(shè)備在復(fù)雜應(yīng)用環(huán)境下，設(shè)備7×24不間斷可靠運(yùn)行;同時(shí)還采用了多路電源供電，主控引擎冗余等多項(xiàng)提升設(shè)備穩(wěn)定的技術(shù)

　　鏈路備份

　　核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒?dòng)鏈路失效以后可以自動(dòng)切換到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。這樣，從全網(wǎng)架構(gòu)上，核心層雙鏈路交換系統(tǒng)不存在單點(diǎn)故障，是一種高級(jí)別交換完全冗余的容錯(cuò)方案，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短的時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運(yùn)行。

　　當(dāng)多個(gè)校區(qū)間的數(shù)據(jù)需要同步時(shí)，在新老校區(qū)各部署了兩臺(tái)萬兆核心交換機(jī)，兩個(gè)校區(qū)的核心設(shè)備之間采用2條1G鏈路，構(gòu)成校園一卡通網(wǎng)絡(luò)的骨干交換平臺(tái)，其中一條鏈路出現(xiàn)問題時(shí)，另一條鏈路會(huì)立刻自動(dòng)啟用;同時(shí)在兩個(gè)校區(qū)間放置兩臺(tái)路由器，在兩臺(tái)路由器間通過ISDN鏈路鏈接，當(dāng)校區(qū)間鏈接的兩條光纖鏈路都中斷時(shí)，還可以通過ISDN鏈路傳輸數(shù)據(jù)。匯聚交換機(jī)同核心交換機(jī)間也都采用了兩條鏈路鏈接的方式，實(shí)現(xiàn)鏈路級(jí)的冗余。整個(gè)方案充分保障了關(guān)鍵區(qū)域網(wǎng)絡(luò)的穩(wěn)定可靠。

[nextpage]　　網(wǎng)絡(luò)的高安全性

　　在網(wǎng)絡(luò)攻擊泛濫的今天，一卡通網(wǎng)絡(luò)也不可避免的會(huì)受到攻擊。一卡通網(wǎng)絡(luò)的安全主要受到兩方面威脅，一個(gè)是來自黑客的諸如DDoS等攻擊，另一種是來自內(nèi)網(wǎng)的病毒傳播如ARP欺騙等;對(duì)于前者最有效的方法是部署防火墻，而對(duì)于后者則需要核心、匯聚和接入交換機(jī)具備安全防護(hù)功能。

　　在本方案中部署的防火墻設(shè)備采用了RGOS操作系統(tǒng)，是銳捷全系列防火墻使用的軟件系統(tǒng)，實(shí)現(xiàn)了防火墻的全部功能。RGOS的設(shè)計(jì)，完全拋棄了目前國(guó)內(nèi)主流防火墻還在使用的IPtables安全協(xié)議棧，脫離了通用操作系統(tǒng)，無通用操作系統(tǒng)漏洞，是新一代的防火墻軟件，使用了分段直接尋址搜索算法(MSDAL)、樹形搜索算法等先進(jìn)的算法，采用了安全規(guī)則預(yù)編譯技術(shù)，使得防火墻的處理性能大大提高。

　　銳捷核心設(shè)備的CSS安全體系通過硬件安全監(jiān)控技術(shù)、硬件安全防護(hù)技術(shù)、豐富的設(shè)備安全管理保證系統(tǒng)的安全，通過硬件的隧道技術(shù)、認(rèn)證技術(shù)、加密技術(shù)保護(hù)了網(wǎng)絡(luò)設(shè)備傳輸?shù)臄?shù)據(jù)的安全。匯聚和接入交換機(jī)支持豐富的安全防護(hù)能力，包括防DOS攻擊 (Smurf、Synflood)，防IP掃描 (PingSweep)，防源IP地址欺騙 (Source IP Spoofing)、防ARP欺騙、、帶寬控制等從而將安全防護(hù)從網(wǎng)絡(luò)的邊緣就開始進(jìn)行。

　　三、 最佳實(shí)踐

　　西安交通大學(xué)是國(guó)家教育部直屬重點(diǎn)大學(xué)，也是國(guó)內(nèi)建立最早的高等學(xué)府之一，是國(guó)家“七五”、“八五”重點(diǎn)建設(shè)的幾所大學(xué)之一，是首批進(jìn)入國(guó)家“211工程”建設(shè)的七所大學(xué)之一，1999年被國(guó)家確定為我國(guó)中西部地區(qū)唯一一所以建設(shè)世界知名高水平大學(xué)為目標(biāo)的學(xué)校。本次西安交通大學(xué)校園一卡通系統(tǒng)計(jì)劃在學(xué)校東西兩個(gè)校區(qū)建設(shè)校園一卡通系統(tǒng)。該系統(tǒng)包括了一卡通專網(wǎng)建設(shè)、一卡通平臺(tái)建設(shè)、一卡通數(shù)據(jù)中心以及校園門禁與校園網(wǎng)視頻監(jiān)控四個(gè)大的方面。其中校園一卡通平臺(tái)建設(shè)包括了一卡通系統(tǒng)數(shù)據(jù)系統(tǒng)、財(cái)務(wù)清算中心、卡務(wù)管理系統(tǒng)、遠(yuǎn)程監(jiān)控系統(tǒng)、配置管理系統(tǒng)、信息同步系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、綜合消費(fèi)系統(tǒng)(包括食堂、醫(yī)院、校內(nèi)商場(chǎng)等)、機(jī)房計(jì)費(fèi)管理系統(tǒng)、電子驗(yàn)證系統(tǒng)、門禁管理系統(tǒng)、信息發(fā)布系統(tǒng)、迎新系統(tǒng)等多個(gè)軟硬件系統(tǒng)。同時(shí)跟校園網(wǎng)管理、圖書、教學(xué)、招生、財(cái)務(wù)、通道控制、學(xué)生注冊(cè)等系統(tǒng)對(duì)接。

　　在學(xué)校東、西兩個(gè)校區(qū)分別配置一臺(tái)銳捷網(wǎng)絡(luò)S6806E萬兆核心交換機(jī)，作為承載交大“一卡通”業(yè)務(wù)的骨干設(shè)備，另外根據(jù)實(shí)際需要，配置銳捷網(wǎng)絡(luò)匯聚交換機(jī)銳捷網(wǎng)絡(luò)S4909交換機(jī)一臺(tái)，接入交換機(jī)S2126G 130臺(tái)，作為終端接入交換機(jī)。

　　兩臺(tái)核心交換機(jī)S6806E通過主、備鏈路方式互連，如上圖所示，其中，光纖作為主線路，備份線路采用VPN方式，通過教育城域網(wǎng)互連，從而保障核心設(shè)備之間鏈路的穩(wěn)定保障。

　　為了保障“一卡通”網(wǎng)絡(luò)到工商銀行和財(cái)務(wù)部的數(shù)據(jù)聯(lián)通安全，在這兩個(gè)出口處分別部署兩臺(tái)銳捷網(wǎng)絡(luò)RG-WALL 200防火墻，進(jìn)行安全保障。