基于ＶＬＡＮ技術(shù)的校園“一卡通”管理系統(tǒng)

摘 要：在全球數(shù)字化浪潮的影響下，高等學(xué)校數(shù)字化校園建設(shè)受到廣泛的重視，各高校在中國教育科研網(wǎng)(CERNET)建設(shè)的強(qiáng)力推動下，正從各個側(cè)面接觸數(shù)字化校園建設(shè)這個主題。校園“一卡通”管理系統(tǒng)已被很多高校采納為校園綜合管理系統(tǒng)的平臺之一，同時VLAN作為新興的網(wǎng)絡(luò)技術(shù)，因其靈活的特性、簡便的使用方式，在校園網(wǎng)絡(luò)中得到了廣泛應(yīng)用。文章主要討論了在校園網(wǎng)絡(luò)環(huán)境中如何利用VLAN技術(shù)低成本地構(gòu)建專網(wǎng)系統(tǒng)，如何提高網(wǎng)絡(luò)的安全等級，如何構(gòu)建校園的“一卡通”系統(tǒng)。

關(guān)鍵詞：一卡通；VLAN；802.1Q；交換

0 引言

目前，校園“一卡通”管理系統(tǒng)在許多高校得到了應(yīng)用。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，尤其是局域網(wǎng)技術(shù)，從傳統(tǒng)LAN到交換LAN，再發(fā)展到虛擬LAN即VLAN(Virtuall Local AreaNetworks)，網(wǎng)絡(luò)的性能和功能得以不斷地改進(jìn)和完善，使得VLAN技術(shù)在高校網(wǎng)絡(luò)中被廣泛應(yīng)用，校園“一卡通”系統(tǒng)就是其中之一。

1 校園“一卡通”管理系統(tǒng)整體構(gòu)架

校園“一卡通”管理系統(tǒng)中，校園卡一般采用非接觸式IC卡，同時與磁條相結(jié)合，使校園卡既具有校內(nèi)結(jié)算功能，又具有銀行金融服務(wù)功能。目前，很多學(xué)校都是由幾個校區(qū)合并而成，為了保證各校區(qū)之間數(shù)據(jù)傳輸?shù)陌踩?，在原來校園網(wǎng)基礎(chǔ)上，又建成了校園“一卡通”物理專網(wǎng)。

校園“一卡通”系統(tǒng)的網(wǎng)絡(luò)構(gòu)架為二層結(jié)構(gòu)，如圖1所示。第一層由專網(wǎng)主干TCP/IP網(wǎng)絡(luò)構(gòu)成，其上主要有主服務(wù)器以及為數(shù)眾多的控制主機(jī)(主干網(wǎng)絡(luò)客戶端)；第二層由控制主機(jī)與IC卡終端機(jī)之間的RS485通訊網(wǎng)絡(luò)構(gòu)成。

其中控制主機(jī)具有通訊協(xié)議的翻譯功能，它將RS485協(xié)議轉(zhuǎn)換成TCP/IP協(xié)議，再通過專網(wǎng)主干通道，上傳數(shù)據(jù)給主服務(wù)器。

2 VLAN的特點(diǎn)與劃分

所謂虛擬局域網(wǎng)(VLAN-Virtual LAN)，是指組網(wǎng)所依據(jù)的不是站點(diǎn)的物理位置，而是邏輯位置(MAC地址、IP地址或其它)，即網(wǎng)絡(luò)所聯(lián)結(jié)的是所謂“邏輯上相關(guān)而物理上分散”的站點(diǎn)。一般來講，VLAN具有以下幾個重要特征：

(1)同一虛擬網(wǎng)的所有成員組成一個“獨(dú)立于物理位置而具有相同邏輯的廣播域”，共享一個VLAN標(biāo)識(VLAN ID)。

(2)VLAN的所有成員都能收到由同一VLAN的其它成員發(fā)送來的廣播包，但收不到不同VLAN的成員發(fā)送的廣播包。

(3)同一VLAN的成員之間的通信不需要路由的支持，而不同VLAN的成員之間的通信則需要路由支持(無論采用傳統(tǒng)路由器方式還是采用虛擬路由的方式)。

對于一個校園網(wǎng)絡(luò)，如果不進(jìn)行VLAN劃分，那么將影響到網(wǎng)絡(luò)的正常使用：首先，在終端大量增加后，在同一個廣播域里，很容易產(chǎn)生廣播風(fēng)暴，嚴(yán)重影響網(wǎng)絡(luò)性能；其次，整個網(wǎng)絡(luò)的安全性能將大大降低，網(wǎng)絡(luò)上的信息將有可能被其它站點(diǎn)截取，并且整個網(wǎng)絡(luò)結(jié)構(gòu)雜亂無章，很難進(jìn)行管理。

劃分VLAN所依據(jù)的標(biāo)準(zhǔn)是多樣的，運(yùn)用最多是按交換機(jī)端口來進(jìn)行VLAN的劃分。這種方式是把交換機(jī)的某些端口的集合，作為VLAN的成員。這些集合有時只在單個交換機(jī)上，有時則跨越多臺交換機(jī)。虛擬局域網(wǎng)的管理應(yīng)用程序，根據(jù)交換機(jī)端口的標(biāo)識ID，將端口對應(yīng)到各分組中，分配到某個VLAN的各個端口上的所有站點(diǎn)都在一個廣播域中。它們相互可以通信，不同的VLAN站點(diǎn)之間進(jìn)行通信需經(jīng)過路由器來進(jìn)行。這種VIAN方式的優(yōu)點(diǎn)在于簡單，容易實現(xiàn)，從一個端口發(fā)出的廣播，直接發(fā)送到VLAN內(nèi)的其他端口，也便于直接監(jiān)控。它的缺點(diǎn)是自動化程度低，靈活性不好。

3 基于802.1Q VLAN技術(shù)的校園“一卡通”的實現(xiàn)

一般來說，一個物理端口只屬于一個VLAN，這樣VLAN的數(shù)量必須與路由器以太網(wǎng)物理端口數(shù)量以及交換機(jī)用于級聯(lián)的端口數(shù)量保持一致，這將浪費(fèi)大量的端口，并且極大地限制了VLAN的擴(kuò)展和影響了劃分靈活性。為了解決這一問題，讓一個物理端口傳輸多個VLAN數(shù)據(jù)流，可以使用“標(biāo)簽”(Tag)技術(shù)，即在此端口上對每個數(shù)據(jù)幀貼上標(biāo)簽(Tag)用于標(biāo)記該幀所屬的VLAN。支持802.1Q的交換機(jī)其端口有Tag、Untag之分。所謂Untag，就是將802.1Q VLAN的信息從數(shù)據(jù)包的包頭去掉。具有去標(biāo)記能力的(untagging enabled)端口會將VID、優(yōu)先級和其它VLAN信息從所有進(jìn)出該端口的數(shù)據(jù)包包頭中去掉。如果在此前數(shù)據(jù)包內(nèi)沒有被標(biāo)記過，那么端口將不對該數(shù)據(jù)包進(jìn)行改動即去標(biāo)記(untagging)，使得數(shù)據(jù)包能夠從一臺支持802.1Q的交換機(jī)傳送到其它不支持802.1Q的交換機(jī)上。系統(tǒng)利用其VLAN標(biāo)識號即VLAN ID來確定數(shù)據(jù)幀的轉(zhuǎn)發(fā)，需要網(wǎng)絡(luò)設(shè)備支持Tag封裝協(xié)議?；?02.1Q的VLAN技術(shù)具有很大的靈活性，我們用基于VLAN Tag技術(shù)組建私用專網(wǎng)。

由于各個校區(qū)相距比較遠(yuǎn)，各工作部門分布于不同的校區(qū)，每個職能部門在各個校區(qū)都有自己的派出機(jī)構(gòu)，因此，組建“一卡通”專網(wǎng)非常迫切。我們在各個校區(qū)配置一臺三層交換機(jī)，帶兩個千兆模塊用以校區(qū)間的互聯(lián)，用單模光纖在各個校區(qū)間組成一個環(huán)(見圖2)。

設(shè)：每個交換機(jī)的1，2口劃為一個VLAN，定義為Backbone，在VLAN為Backbone的Interface上定義IP，各個校區(qū)的互聯(lián)網(wǎng)關(guān)應(yīng)該在同一個子網(wǎng)上，這樣就實現(xiàn)了IP互聯(lián)。有了環(huán)網(wǎng)就可以在上面開展各種應(yīng)用，譬如：每個校區(qū)的三層交換機(jī)第3口用于食堂一卡通，就只需把1，2，3口劃為一個VLAN，定義為VLANI，其中1，2口標(biāo)以Tag。該三層交換機(jī)是不開動態(tài)路由的，各個私用專網(wǎng)要互相分開，如果要有新用戶加入，只要把1，2口打上Tag加入到自己的VLAN里就行，既方便，又容易查故障，是一種比較經(jīng)濟(jì)的辦法。這種做法是把私網(wǎng)從公網(wǎng)中分開，如果要上公網(wǎng)就必須要有另外的物理通道，這樣有時又比較麻煩。另一種方法是用一臺二層交換機(jī)作為用戶的接入，把1-8口用于公網(wǎng)的用戶，把9-16口用于私網(wǎng)的用戶，17口為上連，把1-8，17口劃為VLANl，其中17口為Untag，9-16，17口劃為VLAN2，其中17口為Tag，三層交換機(jī)對應(yīng)的下連口也要被劃為兩個VLAN，VLAN，ID Tag，Untag都要跟二層交換機(jī)的VLAN相對應(yīng)。再在三層交換機(jī)用Acl控制，就能比較好的保護(hù)私網(wǎng)，做到公網(wǎng)、私網(wǎng)用戶共用同一物理線路。但其安全性也不是很好，如果中間有好幾層交換機(jī)，那要一路打Tag，維護(hù)就比較困難的。用二層交換機(jī)來劃分VLAN主要是劃分沖突域，而三層交換機(jī)主要是劃分廣播域。

4 結(jié)束語

基于VLAN技術(shù)的校園一卡通系統(tǒng)目前已在各個校園內(nèi)實際運(yùn)行，各方面性能良好。當(dāng)然，基于VLAN技術(shù)的各種應(yīng)用還有許多，如各類專用私網(wǎng)的構(gòu)建，動態(tài)VLAN的應(yīng)用等等，它是現(xiàn)今為止可以借助于現(xiàn)有組網(wǎng)交換設(shè)備而不需額外投入的較為節(jié)約的一種有效的專網(wǎng)構(gòu)建手段。