在全球数字化浪潮的影响下,高校数字校园的建设受到了广泛的关注。全国各地的高校借用中国教育科研网络(CERNET)大力推进建设,正在从各个方面接触数字校园建设的主题。近年来,随着智能卡的推广和使用,将多项管理职能与社区服务和认证相结合的校园一卡通正在高校普及。校园一卡通 以智能卡为信息载体,结合微电子技术、单片机技术、计算机网络技术和数据库技术,使其具有电子身份识别和电子钱包功能,取代传统的校园日常生活教师工作证书、学生证书、借书证书、食堂餐卡(优惠券)、医疗证书、机器证书、门票等,实现教、学、考、评、住、用的全面数字化、网络化,真正实现一卡在手,走遍校园。
网络平台位于整个校园卡系统的底部,也是校园卡的基石,瑞捷网络公司有7年的教育信息建设经验,经过深入分析调查,设计了高稳定、高安全的卡网络平台来支持校园卡的运行 。
620)this.style.width=620;" border=0>
一、 需求分析
底层网络基础设施是校园一卡通成功实施的基石。不能选择合适的网络基础设施将带来以下问题:系统性能降低、故障率高、安全问题大、维护管理繁琐,用户不可接受。此外,如果没有正确的网络设计,网络基础设施将难以满足校园一卡通快速发展的网络扩的快速发展。校园一卡通系统涉及资金的使用、结算和与银行系统的联系,以及大多数员工和学生的正常教学、学习和生活。因此,稳定性和安全性是一个非常重要的设计环节。
安全性需求
虽然校园网络有相当大的网络安全措施,为了确保校园卡系统的安全,防止非法用户通过校园网络入侵,应独立建立校园卡网络,使校园卡 网络相对封闭,不与外部系统直接连接,尤其是互联网,即建设校园一卡通专网,实现校园网与校园一卡通专网的逻辑隔离。
由于业务需要,必须在校园网与校园一卡通专网之间进行通信。IPSec隧道的方式是加密校园网与校园一卡通专网之间的数据交换,防止 恶意窃取校园一卡通数据,并在校园网络和校园一卡通网络中制定严格的关键服务器访问控制策略,禁止非授权用户访问这些重要服务器,以保护园区一卡通网络数据的安全。
稳定性需求
校园一卡通承载着大量的校园业务发展,网络的稳定性和可靠性变得越来越重要——网络断开几个小时的历史已经过去。另一方面,在应用丰富的同时,网络环境也变得极其恶劣,安全攻击事件呈指数级上升,但所需知识越来越弱化,各种攻击工具都可以在网络上找到。这也挑战了网络攻击或病毒泛滥时网络设备的稳定性和可靠性。因此,校园一卡通网络的建设首先需要网络设备本身具有稳定的设计。其次,在网络架构中,还应确保设备的链路多级冗余。最后,传统的链路冗余备份不仅应该在多个校园之间的链接上进行,还应该通过不同的链路接入形式进行。
二、 瑞捷网络校园一卡通网络解决方案
网络拓扑结构
一卡通网络的主干是数据信息流的动脉,也承担着信息流的总调度任务。因此,我们认为星形网络拓扑是目前网络拓扑的最佳选择如下:
620)this.style.width=620;" border=0>
如图所示:网络的中心交换机应选择背板速率足以满足大数据流的多层交换机,使网络的中心不会成为网络的拥塞点,同时确保网络的冗余和灵活性,即故障时的快速收敛。所以我们在每个校区都选择了两个RG-7606交换机构成网络中心,7606提供6个插槽,背板速率可达1.6T,也达到了交换能力 864G。
选择汇聚层交换机RG-5750交换机可通过万兆和千兆链路连接到核心交换机。通过千兆光纤或双绞线连接到层交换机
我们选择大量的接入点交换机RG-S提供1000系列交换机产品M通过千兆链路连接到核心交换机。
系统可靠性
作为校园一卡通系统的基石,网络对安全可靠运行要求很高,要求网络提供7个*24小时稳定服务,核心设备稳定可靠是第一位的。
RG-7606采用无源背板设计,所有源设备均设计在线卡和发动机,大大提高了背板的可靠性;SPOH(基于硬件的同步处理)技术设计,采用不同的处理方法,最大限度地提高整机的处理能力,以确保骨干设备在复杂的应用环境中,设备7×24不间断可靠运行;同时采用多路电源、主控发动机冗余等技术,提高设备稳定性
620)this.style.width=620;" border=0>
链路备份
一旦数据传输的活动链路失效,就可以自动切换到另一个链路,以确保数据的正常转发。这样,从整个网络架构来看,核心双链交换系统没有单点故障,是一个完全冗余的高级交换容错方案,即使链路断线或主交换机故障,也可以在用户无法察觉的短时间内启用备份恢复数据传输,以确保网络系统的高可靠性和稳定运行。
当需要同步多个校区间的数据时,新旧校区各部署了两台万兆核心交换机,两个校区的核心设备之间使用了两台G链路是校园一卡通网络的骨干交换平台。当一个链路出现问题时,另一个链路将立即自动启用;同时,两个路由器放置在两个校园之间,通过两个路由器ISDN链接,当校园间链接的两个光纤链接中断时,也可以通过ISDN链路传输数据。汇聚交换机和核心交换机间也采用了两个链接来实现链接级的冗余。汇聚交换机和核心交换机间也采用了两个链接来实现链接级的冗余。整个方案充分保证了关键区域网络的稳定性和可靠性。
网络安全性高
在网络攻击泛滥的今天,一卡通网络必然会受到攻击。一卡通网络的安全主要受到两个方面的威胁,一个来自黑客,比如DDoS另一种是来自内网的病毒传播,如攻击ARP欺骗等。;前者最有效的方法是部署防火墙,而后者需要具有安全保护功能的核心、聚合和接入交换机。
本方案部署的防火墙设备采用RGOS操作系统是瑞捷全系列防火墙使用的软件系统,实现了防火墙的全部功能。RGOS目前国内主流防火墙仍在使用的设计已完全抛弃IPtables安全协议栈是新一代防火墙软件,脱离了通用操作系统,没有通用操作系统漏洞。采用分段直接搜索算法 (MSDAL)、树形搜索算法等先进算法采用安全规则预编译技术,大大提高了防火墙的处理性能。
620)this.style.width=620;" border=0>
锐捷核心设备CSS通过硬件安全监控技术、硬件安全防护技术、丰富的设备安全管理,通过硬件隧道技术、认证技术、加密技术,保护网络设备传输数据的安全。汇聚和接入交换机支持丰富的安全防护能力,包括预防DOS攻击 (Smurf、Synflood),防IP扫描 (PingSweep),防源IP地址欺骗 (Source IP Spoofing)、防ARP欺骗、带宽控制等,从而从网络边缘开始安全防护。
三、 最佳实践
西安交通大学是教育部直属的重点大学,也是中国最早的高等院校之一。是国家七五、八五重点建设的大学之一,是第一批进入国家211工程 七所大学之一,1999年被国家认定为中西部唯一一所旨在建设世界知名高水平大学的学校。西安交通大学校园一卡通系统计划在学校东西校区建设校园一卡通系统。西安交通大学校园一卡通系统计划在学校东西校区建设校园一卡通系统。该系统包括四个主要方面:一卡通网络建设、一卡通平台建设、一卡通数据中心、校园门禁和校园网络视频监控。校园卡平台建设包括卡系统数据系统、财务清算中心、卡管理系统、远程监控系统、配置管理系统、信息同步系统、数据采集系统、综合消费系统(包括食堂、医院、校园购物中心等)、机房计费管理系统、电子验证系统、门禁管理系统、信息发布系统、新系统等软硬件系统。与校园网管理、图书、教学、招生、财务、渠道控制、学生注册等系统对接。
在学校东西两个校区分别配置锐捷网络S6806E万兆核心交换机作为承载交通大学一卡通业务的骨干设备,配置锐捷网络汇聚交换机锐捷网络S一台4909交换机接入交换机S2126G 130台作为终端接入交换机。
两台核心交换机S6806E如上图所示,通过主备链路互连,其中以光纤为主线,备份线采用VPN通过教育城域网的连接,确保核心设备之间链路的稳定性。
为确保从一卡通网络到工商银行和财务部的数据联通安全,在这两个出口部署了两个锐捷网络RG-WALL 200防火墙,安全保障。