文/王河堂

伴隨校園卡越來越集成，一卡通的金融數(shù)據(jù)也越來越多，技術(shù)管理部門必須要考慮如何保障一卡通系統(tǒng)的安全穩(wěn)定運(yùn)行。

近年來，隨著校園一卡通的推廣和應(yīng)用，一卡通的功能越來越強(qiáng)大，其發(fā)揮的作用也越來越重要。目前一卡通的功能主要包括金融消費(fèi)、身份認(rèn)證和校園財政服務(wù)等多種功能，同時隨著應(yīng)用的不斷發(fā)展，還會衍生出許多增值服務(wù)。相信在未來，隨著信息化的發(fā)展，會有越來越多的一卡通服務(wù)在校園中得到推廣。這也預(yù)示著，一卡通的金融數(shù)據(jù)會越來越多，對于技術(shù)管理部門，必須要考慮如何保障一卡通系統(tǒng)的安全穩(wěn)定運(yùn)行。因此，一卡通的網(wǎng)絡(luò)是非常重要的。網(wǎng)絡(luò)問題（如網(wǎng)絡(luò)方案、基礎(chǔ)建設(shè)等方面的問題）有可能導(dǎo)致金融數(shù)據(jù)被非法截獲、讀取或者修改，以及黑客惡意攻擊等等，網(wǎng)絡(luò)的重要性不言而喻。

一卡通網(wǎng)絡(luò)通常采用的模式

對于一卡通網(wǎng)絡(luò)通常有兩種方式實現(xiàn)。第一種是借助于校園網(wǎng)，通過劃分VLAN來實現(xiàn)一卡通專網(wǎng)；第二種是從物理鏈路上與校園網(wǎng)分開，實現(xiàn)一卡通物理專網(wǎng)。這兩種方式各有利弊：

第一種方式，節(jié)省了硬件資源，因為校園網(wǎng)的基礎(chǔ)性，一般情況下校園網(wǎng)會遍布學(xué)校的各個單體建筑，所以只要有校園網(wǎng)到達(dá)的地方，就可以設(shè)置專網(wǎng)，自然地可以使用一卡通的相關(guān)設(shè)備和服務(wù)。從某種意義上說，校園網(wǎng)即是專網(wǎng)。這種方式擴(kuò)大了一卡通可使用的范圍。然而，由于校園網(wǎng)絡(luò)的復(fù)雜性和接入的開放性，會導(dǎo)致網(wǎng)絡(luò)安全問題，比如黑客攻擊、ARP病毒，網(wǎng)絡(luò)風(fēng)暴等。校園網(wǎng)的終端接入較多，用戶安全意識良莠不齊，所以在這種模式下進(jìn)行金融交易確保安全是重點也是難點。

第二種方式是純粹的一卡通專網(wǎng)，從物理鏈路上與校園網(wǎng)隔離。網(wǎng)絡(luò)的終端設(shè)備是一卡通相關(guān)的收費(fèi)機(jī)、考勤機(jī)、多媒體機(jī)、協(xié)議轉(zhuǎn)換器等等。網(wǎng)絡(luò)的數(shù)據(jù)除了一卡通終端設(shè)備的上行和下行數(shù)據(jù)之外沒有任何其他數(shù)據(jù)。這保證了網(wǎng)絡(luò)的安全性，但其他校園網(wǎng)的用戶也無法接入專網(wǎng)內(nèi)。此種方式雖在安全性上有了很好的保障，但是其成本也大大增加。同時網(wǎng)絡(luò)也不可能像校園網(wǎng)那樣遍布校園的每個角落，這會導(dǎo)致一卡通業(yè)務(wù)的拓展與推廣受到一定的阻礙。

一卡通網(wǎng)絡(luò)的架構(gòu)

目前我校一卡通網(wǎng)絡(luò)采用了第二種物理專網(wǎng)方式。一卡通系統(tǒng)專網(wǎng)以圖書館為中心，輻射商船學(xué)院、行政樓、學(xué)生服務(wù)中心、實訓(xùn)中心、校醫(yī)院、網(wǎng)絡(luò)覆蓋宿舍區(qū)、二級學(xué)院、教學(xué)樓及食堂與公共教學(xué)區(qū)及行政區(qū)等一卡通信息點。總結(jié)起來是：一個中心，五個匯聚，若干個接入。其拓?fù)浣Y(jié)構(gòu)如圖1。

圖1 一卡通拓?fù)浣Y(jié)構(gòu)

圖2 整改后的拓?fù)浣Y(jié)構(gòu)

為保證一卡通網(wǎng)絡(luò)的專網(wǎng)專用及穩(wěn)定、安全與可擴(kuò)展性的需要，我們采取物理層與校園網(wǎng)隔離，以核心、匯聚到接入層的三層網(wǎng)絡(luò)架構(gòu)，從而實現(xiàn)網(wǎng)絡(luò)的虛擬隔離與安全互通，同時達(dá)到可擴(kuò)展的目的。從拓?fù)浣Y(jié)構(gòu)上看，專網(wǎng)實際上類似于一個校園網(wǎng)，只是網(wǎng)絡(luò)環(huán)境相對簡單而已。目前我們的網(wǎng)絡(luò)核心在圖書館，有兩臺核心交換機(jī)、兩臺防火墻、一臺路由器。然而由于各種原因，除了一臺核心交換機(jī)在使用外，其他的設(shè)備都沒有真正發(fā)揮作用。

1.目前存在的問題

由于我校網(wǎng)絡(luò)建設(shè)分為了三期，前后時間跨度較大，技術(shù)人員更換頻繁，導(dǎo)致網(wǎng)絡(luò)存在許多問題都無法及時解決。隨著應(yīng)用的深入，現(xiàn)有的網(wǎng)絡(luò)已經(jīng)不能滿足學(xué)校的需求，在拓展的同時也遇到了許多困難和問題。目前一卡通網(wǎng)絡(luò)物理上主要分成了三部分。一部分是各種通訊服務(wù)器、核心服務(wù)器的網(wǎng)絡(luò)，一部分是專網(wǎng)的主干網(wǎng)絡(luò)，還有一部分是終端的485局域網(wǎng)絡(luò)。

網(wǎng)絡(luò)的第一部分，在核心層上有許多通訊前置機(jī)，業(yè)務(wù)服務(wù)器等設(shè)備。目前，在中心機(jī)房的網(wǎng)絡(luò)設(shè)備都直接接在了核心交換機(jī)上，并且圖書館相關(guān)的桌面應(yīng)用也直接連接在了核心交換機(jī)上。而核心交換機(jī)的端口是有限的，這導(dǎo)致可用的網(wǎng)絡(luò)電口或光口變少，對于以后的業(yè)務(wù)拓展帶來不便。從結(jié)構(gòu)上或者從管理上來說，都顯得非常的混亂。

網(wǎng)絡(luò)的第二部分，目前我們主要是采用的是桌面、匯聚、核心三層模式，匯聚交換機(jī)走的是三層協(xié)議，每臺都配置有一些路由信息。在現(xiàn)實的維護(hù)中，如果匯聚層交換機(jī)壞掉，或者設(shè)備掉電導(dǎo)致配置丟失，對于管理員而言，搶救和恢復(fù)的效率是低下。我校曾經(jīng)某一匯聚交換機(jī)因為安防問題導(dǎo)致交換機(jī)斷電，內(nèi)部的配置信息丟失，導(dǎo)致網(wǎng)絡(luò)不可用。由于前后經(jīng)手的管理員太多，配置沒有保存，而無法盡快恢復(fù)。如果匯聚交換機(jī)不走路由協(xié)議（直接由終端路由到核心），設(shè)備中沒有太多的配置信息，則對于故障匯聚交換機(jī)的配置恢復(fù)或者更換設(shè)備是比較有利。

除此之外，有一個匯聚點，是采用了終端設(shè)備路由到核心交換機(jī)的方式；還有一部分一卡通的設(shè)備是放在校園網(wǎng)上的，這三種情況的并存，大大降低了問題準(zhǔn)確判斷和定位的效率，給后期維護(hù)帶來了極大的不便。

網(wǎng)絡(luò)的第三部分是終端的485協(xié)議局域網(wǎng)。這一部分主要是網(wǎng)絡(luò)布線和現(xiàn)場環(huán)境的問題。

除了網(wǎng)絡(luò)結(jié)構(gòu)的不合理外，網(wǎng)絡(luò)策略也有待優(yōu)化改進(jìn)。對于目前的網(wǎng)絡(luò)情況，所有校園進(jìn)入專網(wǎng)的控制策略，都是在校園網(wǎng)的防火墻上設(shè)置的。限制策略也只設(shè)置了指定的IP地址可以進(jìn)入專網(wǎng)，訪問核心服務(wù)器，其他的都不能訪問。而一卡通專網(wǎng)本身沒有做任何限制，這對于后續(xù)需求變更管理極不方便，例如學(xué)校的一卡通系統(tǒng)相關(guān)業(yè)務(wù)不斷增加，而這些業(yè)務(wù)有些是在校園網(wǎng)上，并要訪問一卡通專網(wǎng)內(nèi)的核心數(shù)據(jù)庫服務(wù)器，為滿足需求，只好到校園網(wǎng)的相關(guān)設(shè)備上更改現(xiàn)有的網(wǎng)絡(luò)限制，而又由于專網(wǎng)與校園網(wǎng)由不同的管理員來維護(hù)，顯然極不方便。

隨著技術(shù)的進(jìn)步，網(wǎng)絡(luò)設(shè)備也在不斷地更新版本?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備也面臨著落后淘汰的局面。就目前的情況看，由于設(shè)備已經(jīng)上線五年多，隨著時間的推移，有些桌面交換機(jī)已經(jīng)損壞，由于型號過舊不便修復(fù)，而原有型號的設(shè)備又難以采購到，導(dǎo)致?lián)p壞設(shè)備無從更換，桌面接入也無法增加。同時設(shè)備的兼容性差，其他設(shè)備也無法接入。這是后續(xù)的維護(hù)中必須考慮的問題。

2.校園一卡通網(wǎng)絡(luò)的整改

由于一卡通專網(wǎng)與校園網(wǎng)物理隔絕，所以網(wǎng)絡(luò)安全性相對較高，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡單，結(jié)合學(xué)校的實際情況，對網(wǎng)絡(luò)進(jìn)行整改，做到專網(wǎng)的安全、可靠并且便于管理和后續(xù)拓展。

拓?fù)浣Y(jié)構(gòu)的調(diào)整

原來網(wǎng)絡(luò)有五個匯聚，我們新增一個圖書館的匯聚。同時網(wǎng)絡(luò)改為由桌面直接路由到核心。

我們在中心機(jī)房增加一臺匯聚交換機(jī)作為圖書館的匯聚。這樣就可以把核心層的某些桌面應(yīng)用承擔(dān)過來，把接在核心交換機(jī)上的桌面應(yīng)用改接到匯聚交換機(jī)上，只留下核心VLAN可以直接接在核心交換機(jī)上。

把匯聚層由原來的三層變?yōu)閮蓪樱K端直接路由到核心交換機(jī)。這樣所有的配置主要在核心交換機(jī)上，對于匯聚層交換機(jī)，配置非常簡單，只有VLAN的劃分，沒有路由配置。每個匯聚的配置基本類似，除了VLAN的劃分之外。這樣維護(hù)方便，所有配置信息主要集中在了核心層交換機(jī)。對于日常問題維護(hù)和日后網(wǎng)絡(luò)的拓展也相對比較方便，任何新增或者變動，只要在核心層做配置的修改就可以了。

整個路由上移之后，也帶來了不利面，整個網(wǎng)絡(luò)配置基本都在核心交換機(jī)上，所以其承載的壓力較大，一旦核心交換機(jī)有故障，將影響整個網(wǎng)絡(luò)。為增加穩(wěn)定性和安全性，我們啟用另一臺核心交換機(jī)，采取冷備的方式。如果正在運(yùn)行的交換機(jī)出現(xiàn)故障，可以立即把網(wǎng)絡(luò)手工切換到備機(jī)上。這樣基本保證網(wǎng)絡(luò)的持續(xù)可用性。

除了拓?fù)浣Y(jié)構(gòu)的改變之外，我們重新梳理網(wǎng)絡(luò)的VLAN，把原來在校園網(wǎng)絡(luò)的部分調(diào)整到一卡通專網(wǎng)內(nèi)。同時把專網(wǎng)重新劃分VLAN，某些VLAN重新更改IP，做到了VLAN和IP都有章可循，便于日常管理。

安全性的調(diào)整

一卡通專網(wǎng)現(xiàn)在沒有啟用專網(wǎng)的防火墻，而是依賴于校園網(wǎng)的防火墻來限制校園網(wǎng)因此進(jìn)入專網(wǎng)的權(quán)限。通過幾年的維護(hù)，發(fā)現(xiàn)這種模式不方便管理，因此我們啟用一卡通專網(wǎng)硬件防火墻，把對于校園網(wǎng)要訪問專網(wǎng)的限制放在專網(wǎng)的防火墻上。校園網(wǎng)的防火墻取消對于進(jìn)入專網(wǎng)的限制，這樣專網(wǎng)的管理員可以根據(jù)一卡通業(yè)務(wù)的需要自由調(diào)整配置。

對于專網(wǎng)內(nèi)的訪問沒有任何限制。對于外網(wǎng)訪問專網(wǎng)的情況，限制都做在了專網(wǎng)的防火墻上。這樣網(wǎng)絡(luò)簡單沒有任何的耦合性問題。防火墻采用冷備的方式。

更改之后的一卡通網(wǎng)絡(luò)是一個物理上完全獨立的專用網(wǎng)絡(luò)。這樣極大地提高了安全性。其拓?fù)浣Y(jié)構(gòu)為圖2。

一卡通專網(wǎng)建設(shè)的總結(jié)

我校一卡通已經(jīng)運(yùn)行了近五年的時間，但存在一卡通專網(wǎng)規(guī)劃與實際建設(shè)和實際應(yīng)用存在著一定差距。前期建設(shè)和后續(xù)接管的分離，導(dǎo)致許多不合理的情況產(chǎn)生。比如某些功能建設(shè)的必要性、后續(xù)的應(yīng)用拓展、設(shè)備的后續(xù)更新等等都考慮不足，導(dǎo)致后期維護(hù)和應(yīng)用的提升受到一定的影響。具體如下：

1. 一卡通專網(wǎng)方案的確定必須從學(xué)校的實際情況出發(fā)，比如網(wǎng)絡(luò)使用對象、網(wǎng)絡(luò)復(fù)雜程度、網(wǎng)絡(luò)所處環(huán)境等情況，而不能照搬企業(yè)級網(wǎng)絡(luò)方案，否則無法契合學(xué)校利益。

2. 一卡通專網(wǎng)建設(shè)的實施，學(xué)校的信息化部門，最好安排專人負(fù)責(zé)指導(dǎo)、跟蹤及監(jiān)管，否則會出現(xiàn)方案與實施的脫節(jié)。這樣對于項目的后期驗收和后續(xù)接管也非常有利。

3. 由于系統(tǒng)集成商的技術(shù)人員變更頻繁，而校方管理人員相對固定，最好有專門的技術(shù)人員深入最前線，跟蹤整個建設(shè)周期，這對于后續(xù)的管理和維護(hù)及后續(xù)的拓展都是非常有益的。

4. 由于一卡通系統(tǒng)集成商，為了公司利益，希望自己的系統(tǒng)建設(shè)得越大越好，然而對于學(xué)校來講，必須要本著可持續(xù)性的原則，從學(xué)校實際情況出發(fā)，有所選擇，而不能完全聽從集成商，被所謂的“一卡通遍校園”所累，而應(yīng)本著簡約、實用、便于維護(hù)和管理的宗旨，這樣才不至于后期維護(hù)時，被龐大的系統(tǒng)所困。