基于VLAN技术的校园“一卡通”管理系统

    
    摘要：在全球数字化浪潮的影响下，高等学校数字化校园建设受到广泛的重视，各高校在中国教育科研网(CERNET)建设的强力推动下，正从各个侧面接触数字化校园建设这个主题。校园“一卡通”管理系统已被很多高校采纳为校园综合管理系统的平台之一，同时VLAN作为新兴的网络技术，因其灵活的特性、简便的使用方式，在校园网络中得到了广泛应用。文章主要讨论了在校园网络环境中如何利用VLAN技术低成本地构建专网系统，如何提高网络的安全等级。如何构建校园的“一卡通”系统。
   
    引言
   
    目前，校园“一卡通”管理系统在许多高校得到了应用。网络技术的不断发展，尤其是局域网技术，从传统LAN到交换LAN，再发展到虚拟LAN即VLAN(VirtuallLocalAreaNetworks)，网络的性能和功能得以不断地改进和完善，使得VLAN技术在高校网络中被广泛应用，校园“一卡通”系统就是其中之一。
   
    1、校园“一卡通”管理系统整体构架
   
    校园“一卡通”管理系统中，校园卡一般采用非接触式IC卡，同时与磁条相结合，使校园卡既具有校内结算功能，又具有银行金融服务功能。目前，很多学校都是由几个校区合并而成，为了保证各校区之间数据传输的安全，在原来校园网基础上，又建成了校园“一卡通”物理专网。
   
    校园“一卡通”系统的网络构架为二层结构，如图1所示。第一层由专网主干TCP／LP网络构成，其上主要有主服务器以及为数众多的控制主机(主干网络客户端)；第二层由控制主机与IC卡终端机之间的RS485通汛网络构成。
   
    其中控制主机具有通讯协议的翻译功能，它将RS485协议转换成TCPHP协议，再通过专网主干通道，上传数据给主服务器。
   
    2、VLAN的特点与划分
   
    所谓虚拟局域网(VLAN–virtuaILAN)，是指组网所依据的不是站点的物理位置，而是逻辑位置(MAC地址、IP地址或其它)，即网络所联结的是所渭“逻辑上相关而物理上分散”的站点。一般来讲，VLAN具有以下几个重要特征：
   
    (1)同一虚拟网的所有成员组成一个“独立于物理位置而具有相同逻辑的广播域”，共享一个VLAN标识(VLANID)。
   
    (2)VLAN的所有成员都能收到由同一VLAN的其它成员发送来的广播包，但收不到不同VLAN的成员发送的广播包。
   
    (3)同一VLAN的成员之间的通信不需要路由的支持，而不同VLAN的成员之间的通信则需要路由支持(无论采用传统路由器方式还是采用虚拟路由的方式)。
   
    对于一个校园网络，如果不进行VLAN划分，那么将影响到网络的正常使用：首先，在终端大量增加后，在同一个广播域里，很容易产生广播风暴，严重影响网络性能；其次，整个网络的安全性能将大大降低，网络上的信息将有可能被其它站点截取，并且整个网络结构杂乱无章，很难进行管理。
   
    划分VLAN所依据的标准是多样的，运用最多是按交换机端口来进行VLAN的划分。
   
    这种方式是把交换机的某些端口的集合，作为VLAN的成员。这些集合有时只在单个交换机上，有时则跨越多台交换机。虚拟局域网的管理应用程序，根据交换机端口的标识ID，将端口对应到各分组中，分配到某个VLAN的各个端口上的所有站点都在一个广播域中。它们相互可以通信，不同的VLAN站点之间进行通信需经过路由器来进行。这种VIAN方式的优点在于简单，容易实现，从一个端口发出的广播，直接发送到VLAN内的其他端口，也便于直接监控。它的缺点是自动化程度低，灵活性不好。

    3、基于802．1QVLAN技术的校园“一卡通”的实现
   
    一般来说，一个物理端口只属于一个VLAN，这样VLAN的数量必须与路由器以太网物理端口数量以及交换机用于级联的端口数量保持一致，这将浪费大量的端口，并且极大地限制了VLAN的扩展和影响了划分灵活性。为了解决这一问题，让一个物理端口传输多个VLAN数据流，可以使用“标签”(Tag)技术，即在此端13上对每个数据帧贴上标签(Tag)用于标记该帧所属VLAN。支持802．1Q的交换机其端13有Tag、Untag之分。所谓Unmg，就是将802．1QVLAN的信息从数据包的包头去掉。具有去标记能力的(untaggingenabLED)端口会将VID、优先级和其它VLAN信息从所有进出该端口的数据包包头中去掉。如果在此前数据包内没有被标记过，那么端口将不对该数据包进行改动即去标记(untagging)，使得数据包能够从一台支持802．1Q的交换机传送到其它不支持802．1Q的交换机上。系统利用其VLAN标识号即VLANID来确定数据帧的转发，需要网络设备支持Tag封装协议。基于802．1Q的VLAN技术具有很大的灵活性，我们用基于VLANTag技术组建私用专网。
   
    由于各个校区相距比较远，各工作部门分布于不同的校区，每个职能部门在各个校区都有自己的派出机构，因此，组建“一卡通”专网非常迫切。我们在各个校区配置一台三层交换机，带两个千兆模块用以校区间的互联，用单模光纤在各个校区间组成一个环(见图2)。
   
    设：每个交换机的l，2口划为―个VLAN，定义为Backbone，在VLAN为Backbone的Interface上定义IP，各个校区的互联网关应该在同一个子网上，这样就实现了IP互联。有了环网就可以在上面开展各种应用，譬如：每个校区的三层交换机第3口用于食堂一卡通，就只需把l，2，3口划为一个VLAN，定义为VLAN1，其中l，2口标以Tag。该三层交换机是不开动态路由的，各个私用专网要互相分开，如果要有新用户加入，只要把l，213打上Tag加入到自己的VLAN里就行，既方便，又容易查故障，是一种比较经济的办法。这种做法是把私网从公网中分开，如果要上公网就必须要有另外的物理通道，这样有时又比较麻烦。另一种方法是用一台二层交换机作为用户的接入，把1-8口用于公网的用户，把9一l6口用于私网的用户，l7口为上连，把1-8，17口划为VLAN1，其中l7口为Untag，9-16，17臼划为VLAN2，其中17口为Tag，三层交换机对应的下连13也要被划为两个VLAN，VLANID，Tag，Untag都要跟二层交换机的VLAN相对应。再在三层交换机用Acl控制，就能比较好的保护私网，做到公网、私网用户共用同一物理线路。但其安全性也不是很好，如果中间有好几层交换机，那要一路打Tag，维护就比较困难的。
   
    用二层交换机来划分VLAN主要是划分冲突域，而三层交换机主要是划分广播域。
    　

    4、结束语
   
    基于VLAN技术的校园一卡通系统目前已在各个校园内实际运行，各方面性能良好。当然，基于VLAN技术的各种应用还有许多，如各类专用私网的构建，动态VLAN的应用等等，它是现今为止可以借助于现有组网交换设备而不需额外投入的较为节约的一种有效的专网构建手段。