上海海事大學：校園一卡通專網整改之道

文/王河堂

伴隨校園卡越來越集成，一卡通的金融數據也越來越多，技術管理部門必須要考慮如何保障一卡通系統的安全穩定運行。

近年來，隨著校園一卡通的推廣和應用，一卡通的功能越來越強大，其發揮的作用也越來越重要。目前一卡通的功能主要包括金融消費、身份認證和校園財政服務等多種功能，同時隨著應用的不斷發展，還會衍生出許多增值服務。相信在未來，隨著信息化的發展，會有越來越多的一卡通服務在校園中得到推廣。這也預示著，一卡通的金融數據會越來越多，對于技術管理部門，必須要考慮如何保障一卡通系統的安全穩定運行。因此，一卡通的網絡是非常重要的。網絡問題（如網絡方案、基礎建設等方面的問題）有可能導致金融數據被非法截獲、讀取或者修改，以及黑客惡意攻擊等等，網絡的重要性不言而喻。

一卡通網絡通常采用的模式

對于一卡通網絡通常有兩種方式實現。第一種是借助于校園網，通過劃分VLAN來實現一卡通專網；第二種是從物理鏈路上與校園網分開，實現一卡通物理專網。這兩種方式各有利弊：

第一種方式，節省了硬件資源，因為校園網的基礎性，一般情況下校園網會遍布學校的各個單體建筑，所以只要有校園網到達的地方，就可以設置專網，自然地可以使用一卡通的相關設備和服務。從某種意義上說，校園網即是專網。這種方式擴大了一卡通可使用的范圍。然而，由于校園網絡的復雜性和接入的開放性，會導致網絡安全問題，比如黑客攻擊、ARP病毒，網絡風暴等。校園網的終端接入較多，用戶安全意識良莠不齊，所以在這種模式下進行金融交易確保安全是重點也是難點。

第二種方式是純粹的一卡通專網，從物理鏈路上與校園網隔離。網絡的終端設備是一卡通相關的收費機、考勤機、多媒體機、協議轉換器等等。網絡的數據除了一卡通終端設備的上行和下行數據之外沒有任何其他數據。這保證了網絡的安全性，但其他校園網的用戶也無法接入專網內。此種方式雖在安全性上有了很好的保障，但是其成本也大大增加。同時網絡也不可能像校園網那樣遍布校園的每個角落，這會導致一卡通業務的拓展與推廣受到一定的阻礙。

一卡通網絡的架構

目前我校一卡通網絡采用了第二種物理專網方式。一卡通系統專網以圖書館為中心，輻射商船學院、行政樓、學生服務中心、實訓中心、校醫院、網絡覆蓋宿舍區、二級學院、教學樓及食堂與公共教學區及行政區等一卡通信息點。總結起來是：一個中心，五個匯聚，若干個接入。其拓撲結構如圖1。

圖1 一卡通拓撲結構

圖2 整改后的拓撲結構

為保證一卡通網絡的專網專用及穩定、安全與可擴展性的需要，我們采取物理層與校園網隔離，以核心、匯聚到接入層的三層網絡架構，從而實現網絡的虛擬隔離與安全互通，同時達到可擴展的目的。從拓撲結構上看，專網實際上類似于一個校園網，只是網絡環境相對簡單而已。目前我們的網絡核心在圖書館，有兩臺核心交換機、兩臺防火墻、一臺路由器。然而由于各種原因，除了一臺核心交換機在使用外，其他的設備都沒有真正發揮作用。

1.目前存在的問題

由于我校網絡建設分為了三期，前后時間跨度較大，技術人員更換頻繁，導致網絡存在許多問題都無法及時解決。隨著應用的深入，現有的網絡已經不能滿足學校的需求，在拓展的同時也遇到了許多困難和問題。目前一卡通網絡物理上主要分成了三部分。一部分是各種通訊服務器、核心服務器的網絡，一部分是專網的主干網絡，還有一部分是終端的485局域網絡。

網絡的第一部分，在核心層上有許多通訊前置機，業務服務器等設備。目前，在中心機房的網絡設備都直接接在了核心交換機上，并且圖書館相關的桌面應用也直接連接在了核心交換機上。而核心交換機的端口是有限的，這導致可用的網絡電口或光口變少，對于以后的業務拓展帶來不便。從結構上或者從管理上來說，都顯得非常的混亂。

網絡的第二部分，目前我們主要是采用的是桌面、匯聚、核心三層模式，匯聚交換機走的是三層協議，每臺都配置有一些路由信息。在現實的維護中，如果匯聚層交換機壞掉，或者設備掉電導致配置丟失，對于管理員而言，搶救和恢復的效率是低下。我校曾經某一匯聚交換機因為安防問題導致交換機斷電，內部的配置信息丟失，導致網絡不可用。由于前后經手的管理員太多，配置沒有保存，而無法盡快恢復。如果匯聚交換機不走路由協議（直接由終端路由到核心），設備中沒有太多的配置信息，則對于故障匯聚交換機的配置恢復或者更換設備是比較有利。

除此之外，有一個匯聚點，是采用了終端設備路由到核心交換機的方式；還有一部分一卡通的設備是放在校園網上的，這三種情況的并存，大大降低了問題準確判斷和定位的效率，給后期維護帶來了極大的不便。

網絡的第三部分是終端的485協議局域網。這一部分主要是網絡布線和現場環境的問題。

除了網絡結構的不合理外，網絡策略也有待優化改進。對于目前的網絡情況，所有校園進入專網的控制策略，都是在校園網的防火墻上設置的。限制策略也只設置了指定的IP地址可以進入專網，訪問核心服務器，其他的都不能訪問。而一卡通專網本身沒有做任何限制，這對于后續需求變更管理極不方便，例如學校的一卡通系統相關業務不斷增加，而這些業務有些是在校園網上，并要訪問一卡通專網內的核心數據庫服務器，為滿足需求，只好到校園網的相關設備上更改現有的網絡限制，而又由于專網與校園網由不同的管理員來維護，顯然極不方便。

隨著技術的進步，網絡設備也在不斷地更新版本。現有的網絡設備也面臨著落后淘汰的局面。就目前的情況看，由于設備已經上線五年多，隨著時間的推移，有些桌面交換機已經損壞，由于型號過舊不便修復，而原有型號的設備又難以采購到，導致損壞設備無從更換，桌面接入也無法增加。同時設備的兼容性差，其他設備也無法接入。這是后續的維護中必須考慮的問題。

2.校園一卡通網絡的整改

由于一卡通專網與校園網物理隔絕，所以網絡安全性相對較高，網絡拓撲結構簡單，結合學校的實際情況，對網絡進行整改，做到專網的安全、可靠并且便于管理和后續拓展。

拓撲結構的調整

原來網絡有五個匯聚，我們新增一個圖書館的匯聚。同時網絡改為由桌面直接路由到核心。

我們在中心機房增加一臺匯聚交換機作為圖書館的匯聚。這樣就可以把核心層的某些桌面應用承擔過來，把接在核心交換機上的桌面應用改接到匯聚交換機上，只留下核心VLAN可以直接接在核心交換機上。

把匯聚層由原來的三層變為兩層，終端直接路由到核心交換機。這樣所有的配置主要在核心交換機上，對于匯聚層交換機，配置非常簡單，只有VLAN的劃分，沒有路由配置。每個匯聚的配置基本類似，除了VLAN的劃分之外。這樣維護方便，所有配置信息主要集中在了核心層交換機。對于日常問題維護和日后網絡的拓展也相對比較方便，任何新增或者變動，只要在核心層做配置的修改就可以了。

整個路由上移之后，也帶來了不利面，整個網絡配置基本都在核心交換機上，所以其承載的壓力較大，一旦核心交換機有故障，將影響整個網絡。為增加穩定性和安全性，我們啟用另一臺核心交換機，采取冷備的方式。如果正在運行的交換機出現故障，可以立即把網絡手工切換到備機上。這樣基本保證網絡的持續可用性。

除了拓撲結構的改變之外，我們重新梳理網絡的VLAN，把原來在校園網絡的部分調整到一卡通專網內。同時把專網重新劃分VLAN，某些VLAN重新更改IP，做到了VLAN和IP都有章可循，便于日常管理。

安全性的調整

一卡通專網現在沒有啟用專網的防火墻，而是依賴于校園網的防火墻來限制校園網因此進入專網的權限。通過幾年的維護，發現這種模式不方便管理，因此我們啟用一卡通專網硬件防火墻，把對于校園網要訪問專網的限制放在專網的防火墻上。校園網的防火墻取消對于進入專網的限制，這樣專網的管理員可以根據一卡通業務的需要自由調整配置。

對于專網內的訪問沒有任何限制。對于外網訪問專網的情況，限制都做在了專網的防火墻上。這樣網絡簡單沒有任何的耦合性問題。防火墻采用冷備的方式。

更改之后的一卡通網絡是一個物理上完全獨立的專用網絡。這樣極大地提高了安全性。其拓撲結構為圖2。

一卡通專網建設的總結

我校一卡通已經運行了近五年的時間，但存在一卡通專網規劃與實際建設和實際應用存在著一定差距。前期建設和后續接管的分離，導致許多不合理的情況產生。比如某些功能建設的必要性、后續的應用拓展、設備的后續更新等等都考慮不足，導致后期維護和應用的提升受到一定的影響。具體如下：

1. 一卡通專網方案的確定必須從學校的實際情況出發，比如網絡使用對象、網絡復雜程度、網絡所處環境等情況，而不能照搬企業級網絡方案，否則無法契合學校利益。

2. 一卡通專網建設的實施，學校的信息化部門，最好安排專人負責指導、跟蹤及監管，否則會出現方案與實施的脫節。這樣對于項目的后期驗收和后續接管也非常有利。

3. 由于系統集成商的技術人員變更頻繁，而校方管理人員相對固定，最好有專門的技術人員深入最前線，跟蹤整個建設周期，這對于后續的管理和維護及后續的拓展都是非常有益的。

4. 由于一卡通系統集成商，為了公司利益，希望自己的系統建設得越大越好，然而對于學校來講，必須要本著可持續性的原則，從學校實際情況出發，有所選擇，而不能完全聽從集成商，被所謂的“一卡通遍校園”所累，而應本著簡約、實用、便于維護和管理的宗旨，這樣才不至于后期維護時，被龐大的系統所困。