在全球数字化浪潮的影响之下,高等学校数字化校园建设受到广泛的重视,全国各地的高校借中国教育科研网(CERNET)建设的强力推动,正在从各个侧面接触数字化校园建设这个主题。近年来,随着智能卡的推广和使用,将多项管理职能和社区服务、认证融为一体的校园“一卡通”正在各高校普及开来。校园“一卡通”以智能卡为信息载体,结合了微电子技术、单片机技术、计算机网络技术及数据库技术等诸多高新科技,使其具有电子身份识别和电子钱包的功能,替代校园传统的日常生活所需的教师工作证、学生证、借书证,以及与现金相关交易的食堂饭卡(券)、医疗证、上机证、门票等,达到教、学、考、评、住、用的全面数字化和网络化,真正实现“一卡在手,走遍校园”。
网络平台处于整个校园一卡通系统中的底层,也是校园一卡通的基石,锐捷网络公司有着7年服务于教育信息化建设的经验,经过深入的分析和考察,设计了具备高稳定和高安全特性的一卡通网络平台来支撑校园一卡通的运行。
一、需求分析
底层网络基础架构是校园一卡通成功实施的基石。不能选择合适的网络基础构架将会带来以下的问题:系统性能降低,高故障率,大量的安全问题及繁琐的维护管理问题,这对于用户来说是不可接受的。此外,如果没有正确的网络设计,网络基础架构将很难满足高速发展的校园一卡通的网络扩张和升级能力。“校园一卡通”系统涉及到资金运用、结算和与银行系统的联网,并关系到广大教职员工和学生的教学、学习和生活正常进行,所以稳定性和安全性是一个非常重要的设计环节。
(一)安全性需求
虽然校园网已经具有相当的网络安全措施,为保证“校园一卡通”系统的安全,防止非法用户通过校园网侵入,应该独立构建“校园一卡通”网络,使“校园一卡通”网络相对封闭,不与外部系统,特别是互联网直接联接,即建设“校园一卡通”专网,实现校园网和“校园一卡通”专网的逻辑隔离。
如果由于业务需要,必须要在校园网和“校园一卡通”专网之间实现通讯,可以采用IPSec隧道的方式,对校园网和“校园一卡通”专网之间的数据交换采用加密的方式,防止“校园一卡通”数据被人恶意窃取,并在校园网和“校园一卡通”专网中针对关键服务器制定严格的访问控制策略,禁止非授权用户对这些重要服务器的访问,从而保护“园一卡通”专网数据的安全。
(二)稳定性需求
校园一卡通承载了校园的大量业务开展,网络的稳定可靠性就显得愈发重要――网络随便断开几小时也无所谓的历史已经过去了。另一方面,在应用丰富的同时,网络环境也变得异常恶劣,安全攻击事件呈指数级上升而所需要的知识却越来越弱化,各种攻击工具在网络上可以随手拈来。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。因此构建校园一卡通网络首先需要网络设备本身具有稳定的设计,其次在网络架构上也要保证设备的链路多级冗余,最后在多校区之间的链接上的不仅要进行传统的链路冗余备份,也需要通过不同的链路接入形式进行备。
二、网络校园一卡通网络解决方案
一卡通网络主干是数据信息流动的动脉,同时还肩负着信息流动的总调度任务。因而我们认为星型的网络拓扑是目前最好的选择网络拓扑图如下:
汇聚层交换机选用RG-5750交换机,可以通过万兆和千兆链路上联至核心交换机。通过千兆光纤或者双绞线连接接入层交换机
对于大量的接入点交换机,我们选用RG-S21系列交换机产品,提供100M接入的同时,通过千兆链路与核心交换机链接。
(一)系统可靠性
网络作为校园一卡通系统的基石,对安全可靠运行有很高的要求,要求网络能提供7*24小时的稳定服务,因此核心设备的选择稳定可靠是第一位的。
RG-7606采用无源背板的设计所有源器件都设计在线卡和引擎上,极大提升背板的可靠性;SPOH(基于硬件的同步式处理)技术设计,针对不同数据行为对端口依赖性的不同而采用各自不同的处理方式来最大限度地提升整机处理能力,确保骨干设备在复杂应用环境下,设备7×24不间断可靠运行;同时还采用了多路电源供电,主控引擎冗余等多项提升设备稳定的技术
(二)链路备份
核心和汇聚之间采用双链路连接,一旦数据传输的活动链路失效以后可以自动切换到另一条链路,保障数据的正常转发。这样,从全网架构上,核心层双链路交换系统不存在单点故障,是一种高级别交换完全冗余的容错方案,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短的时间内启用备份恢复数据传递,从而保证网络系统的高可靠性、稳定性的运行。
当多个校区间的数据需要同步时,在新老校区各部署了两台万兆核心交换机,两个校区的核心设备之间采用2条1G链路,构成校园一卡通网络的骨干交换平台,其中一条链路出现问题时,另一条链路会立刻自动启用;同时在两个校区间放置两台路由器,在两台路由器间通过ISDN链路链接,当校区间链接的两条光纤链路都中断时,还可以通过ISDN链路传输数据。汇聚交换机同核心交换机间也都采用了两条链路链接的方式,实现链路级的冗余。整个方案充分保障了关键区域网络的稳定可靠。
(三)网络的高安全性
在网络攻击泛滥的今天,一卡通网络也不可避免的会受到攻击。一卡通网络的安全主要受到两方面威胁,一个是来自黑客的诸如DDoS等攻击,另一种是来自内网的病毒传播如ARP欺骗等;对于前者最有效的方法是部署防火墙,而对于后者则需要核心、汇聚和接入交换机具备安全防护功能。
在本方案中部署的防火墙设备采用了RGOS操作系统,是锐捷全系列防火墙使用的软件系统,实现了防火墙的全部功能。RGOS的设计,完全抛弃了目前国内主流防火墙还在使用的IPtables安全协议栈,脱离了通用操作系统,无通用操作系统漏洞,是新一代的防火墙软件,使用了分段直接寻址搜索算法(MSDAL)、树形搜索算法等先进的算法,采用了安全规则预编译技术,使得防火墙的处理性能大大提高。
该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们。
