在全球數字化浪潮的影響之下，高等學校數字化校園建設受到廣泛的重視，全國各地的高校借中國教育科研網(CERNET)建設的強力推動，正在從各個側面接觸數字化校園建設這個主題。近年來，隨著智能卡的推廣和使用，將多項管理職能和社區服務、認證融為一體的校園“一卡通”正在各高校普及開來。校園“一卡通 ”以智能卡為信息載體，結合了微電子技術、單片機技術、計算機網絡技術及數據庫技術等諸多高新科技，使其具有電子身份識別和電子錢包的功能，替代校園傳統的日常生活所需的教師工作證、學生證、借書證，以及與現金相關交易的食堂飯卡(券)、醫療證、上機證、門票等，達到教、學、考、評、住、用的全面數字化和網絡化，真正實現“一卡在手，走遍校園”。

    網絡平臺處于整個校園一卡通系統中的底層，也是校園一卡通的基石，銳捷網絡公司有著7年服務于教育信息化建設的經驗，經過深入的分析和考察，設計了具備高穩定和高安全特性的一卡通網絡平臺來支撐校園一卡通的運行 。

620)this.style.width=620;" border=0>

  一、 需求分析

    底層網絡基礎架構是校園一卡通成功實施的基石。不能選擇合適的網絡基礎構架將會帶來以下的問題：系統性能降低，高故障率，大量的安全問題及繁瑣的維護管理問題，這對于用戶來說是不可接受的。此外，如果沒有正確的網絡設計，網絡基礎架構將很難滿足高速發展的校園一卡通的網絡擴張和升級能力。“校園一卡通”系統涉及到資金運用、結算和與銀行系統的聯網，并關系到廣大教職員工和學生的教學、學習和生活正常進行，所以穩定性和安全性是一個非常重要的設計環節。
    安全性需求

    雖然校園網已經具有相當的網絡安全措施，為保證“校園一卡通”系統的安全，防止非法用戶通過校園網侵入，應該獨立構建“校園一卡通”網絡，使“校園一卡通 ”網絡相對封閉，不與外部系統，特別是互聯網直接聯接，即建設“校園一卡通”專網，實現校園網和“校園一卡通”專網的邏輯隔離。

    如果由于業務需要，必須要在校園網和“校園一卡通”專網之間實現通訊，可以采用IPSec隧道的方式，對校園網和“校園一卡通”專網之間的數據交換采用加密的方式，防止 “校園一卡通”數據被人惡意竊取，并在校園網和“校園一卡通”專網中針對關鍵服務器制定嚴格的訪問控制策略，禁止非授權用戶對這些重要服務器的訪問，從而保護“園一卡通”專網數據的安全。

    穩定性需求

    校園一卡通承載了校園的大量業務開展，網絡的穩定可靠性就顯得愈發重要——網絡隨便斷開幾小時也無所謂的歷史已經過去了。另一方面，在應用豐富的同時，網絡環境也變得異常惡劣，安全攻擊事件呈指數級上升而所需要的知識卻越來越弱化，各種攻擊工具在網絡上可以隨手拈來。這也對網絡設備在網絡攻擊或者病毒泛濫情況下的穩定可靠提出了挑戰。因此構建校園一卡通網絡首先需要網絡設備本身具有穩定的設計，其次在網絡架構上也要保證設備的鏈路多級冗余，最后在多校區之間的鏈接上的不僅要進行傳統的鏈路冗余備份，也需要通過不同的鏈路接入形式進行備。

    二、 銳捷網絡校園一卡通網絡解決方案

    網絡拓撲結構

    一卡通網絡主干是數據信息流動的動脈，同時還肩負著信息流動的總調度任務。因而我們認為星型的網絡拓撲是目前最好的選擇網絡拓撲圖如下：

620)this.style.width=620;" border=0>

　　如圖所示：網絡的中心交換機應選擇背板速率足夠滿足大數據流的多層交換機，使網絡的中心不會成為網絡的擁塞點，同時還要保證網絡的冗余性、靈活性即出現故障時的快速收斂。因此我們在每個校區都選用了兩臺RG-7606交換機構成網絡中心，7606提供了6個插槽，背板速率可達1.6T，交換能力也達 864G。

    匯聚層交換機選用RG-5750交換機，可以通過萬兆和千兆鏈路上聯至核心交換機。通過千兆光纖或者雙絞線連接接入層交換機

    對于大量的接入點交換機，我們選用RG-S21系列交換機產品，提供100M接入的同時，通過千兆鏈路與核心交換機鏈接。

    系統可靠性

    網絡作為校園一卡通系統的基石，對安全可靠運行有很高的要求，要求網絡能提供7*24小時的穩定服務，因此核心設備的選擇穩定可靠是第一位的。

    RG-7606采用無源背板的設計所有源器件都設計在線卡和引擎上，極大提升背板的可靠性;SPOH(基于硬件的同步式處理)技術設計，針對不同數據行為對端口依賴性的不同而采用各自不同的處理方式來最大限度地提升整機處理能力，確保骨干設備在復雜應用環境下，設備7×24不間斷可靠運行;同時還采用了多路電源供電，主控引擎冗余等多項提升設備穩定的技術

620)this.style.width=620;" border=0>

   鏈路備份

    核心和匯聚之間采用雙鏈路連接，一旦數據傳輸的活動鏈路失效以后可以自動切換到另一條鏈路，保障數據的正常轉發。這樣，從全網架構上，核心層雙鏈路交換系統不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發生故障，都能在用戶覺察不到的極短的時間內啟用備份恢復數據傳遞，從而保證網絡系統的高可靠性、穩定性的運行。

    當多個校區間的數據需要同步時，在新老校區各部署了兩臺萬兆核心交換機，兩個校區的核心設備之間采用2條1G鏈路，構成校園一卡通網絡的骨干交換平臺，其中一條鏈路出現問題時，另一條鏈路會立刻自動啟用;同時在兩個校區間放置兩臺路由器，在兩臺路由器間通過ISDN鏈路鏈接，當校區間鏈接的兩條光纖鏈路都中斷時，還可以通過ISDN鏈路傳輸數據。匯聚交換機同核心交換機間也都采用了兩條鏈路鏈接的方式，實現鏈路級的冗余。整個方案充分保障了關鍵區域網絡的穩定可靠。

    網絡的高安全性

    在網絡攻擊泛濫的今天，一卡通網絡也不可避免的會受到攻擊。一卡通網絡的安全主要受到兩方面威脅，一個是來自黑客的諸如DDoS等攻擊，另一種是來自內網的病毒傳播如ARP欺騙等;對于前者最有效的方法是部署防火墻，而對于后者則需要核心、匯聚和接入交換機具備安全防護功能。

    在本方案中部署的防火墻設備采用了RGOS操作系統，是銳捷全系列防火墻使用的軟件系統，實現了防火墻的全部功能。RGOS的設計，完全拋棄了目前國內主流防火墻還在使用的IPtables安全協議棧，脫離了通用操作系統，無通用操作系統漏洞，是新一代的防火墻軟件，使用了分段直接尋址搜索算法 (MSDAL)、樹形搜索算法等先進的算法，采用了安全規則預編譯技術，使得防火墻的處理性能大大提高。

620)this.style.width=620;" border=0>

　　銳捷核心設備的CSS安全體系通過硬件安全監控技術、硬件安全防護技術、豐富的設備安全管理保證系統的安全，通過硬件的隧道技術、認證技術、加密技術保護了網絡設備傳輸的數據的安全。匯聚和接入交換機支持豐富的安全防護能力，包括防DOS攻擊 (Smurf、Synflood)，防IP掃描 (PingSweep)，防源IP地址欺騙 (Source IP Spoofing)、防ARP欺騙、、帶寬控制等從而將安全防護從網絡的邊緣就開始進行。

    三、 最佳實踐

    西安交通大學是國家教育部直屬重點大學，也是國內建立最早的高等學府之一，是國家“七五”、“八五”重點建設的幾所大學之一，是首批進入國家“211工程 ”建設的七所大學之一，1999年被國家確定為我國中西部地區唯一一所以建設世界知名高水平大學為目標的學校。本次西安交通大學校園一卡通系統計劃在學校東西兩個校區建設校園一卡通系統。該系統包括了一卡通專網建設、一卡通平臺建設、一卡通數據中心以及校園門禁與校園網視頻監控四個大的方面。其中校園一卡通平臺建設包括了一卡通系統數據系統、財務清算中心、卡務管理系統、遠程監控系統、配置管理系統、信息同步系統、數據采集系統、綜合消費系統(包括食堂、醫院、校內商場等)、機房計費管理系統、電子驗證系統、門禁管理系統、信息發布系統、迎新系統等多個軟硬件系統。同時跟校園網管理、圖書、教學、招生、財務、通道控制、學生注冊等系統對接。

    在學校東、西兩個校區分別配置一臺銳捷網絡S6806E萬兆核心交換機，作為承載交大“一卡通”業務的骨干設備，另外根據實際需要，配置銳捷網絡匯聚交換機銳捷網絡S4909交換機一臺，接入交換機S2126G 130臺，作為終端接入交換機。

    兩臺核心交換機S6806E通過主、備鏈路方式互連，如上圖所示，其中，光纖作為主線路，備份線路采用VPN方式，通過教育城域網互連，從而保障核心設備之間鏈路的穩定保障。

    為了保障“一卡通”網絡到工商銀行和財務部的數據聯通安全，在這兩個出口處分別部署兩臺銳捷網絡RG-WALL 200防火墻，進行安全保障。