文/王河堂

伴随校园卡越来越集成，一卡通的金融数据也越来越多，技术管理部门必须要考虑如何保障一卡通系统的安全稳定运行。

近年来，随着校园一卡通的推广和应用，一卡通的功能越来越强大，其发挥的作用也越来越重要。目前一卡通的功能主要包括金融消费、身份认证和校园财政服务等多种功能，同时随着应用的不断发展，还会衍生出许多增值服务。相信在未来，随着信息化的发展，会有越来越多的一卡通服务在校园中得到推广。这也预示着，一卡通的金融数据会越来越多，对于技术管理部门，必须要考虑如何保障一卡通系统的安全稳定运行。因此，一卡通的网络是非常重要的。网络问题（如网络方案、基础建设等方面的问题）有可能导致金融数据被非法截获、读取或者修改，以及黑客恶意攻击等等，网络的重要性不言而喻。

一卡通网络通常采用的模式

对于一卡通网络通常有两种方式实现。第一种是借助于校园网，通过划分VLAN来实现一卡通专网；第二种是从物理链路上与校园网分开，实现一卡通物理专网。这两种方式各有利弊：

第一种方式，节省了硬件资源，因为校园网的基础性，一般情况下校园网会遍布学校的各个单体建筑，所以只要有校园网到达的地方，就可以设置专网，自然地可以使用一卡通的相关设备和服务。从某种意义上说，校园网即是专网。这种方式扩大了一卡通可使用的范围。然而，由于校园网络的复杂性和接入的开放性，会导致网络安全问题，比如黑客攻击、ARP病毒，网络风暴等。校园网的终端接入较多，用户安全意识良莠不齐，所以在这种模式下进行金融交易确保安全是重点也是难点。

第二种方式是纯粹的一卡通专网，从物理链路上与校园网隔离。网络的终端设备是一卡通相关的收费机、考勤机、多媒体机、协议转换器等等。网络的数据除了一卡通终端设备的上行和下行数据之外没有任何其他数据。这保证了网络的安全性，但其他校园网的用户也无法接入专网内。此种方式虽在安全性上有了很好的保障，但是其成本也大大增加。同时网络也不可能像校园网那样遍布校园的每个角落，这会导致一卡通业务的拓展与推广受到一定的阻碍。

一卡通网络的架构

目前我校一卡通网络采用了第二种物理专网方式。一卡通系统专网以图书馆为中心，辐射商船学院、行政楼、学生服务中心、实训中心、校医院、网络覆盖宿舍区、二级学院、教学楼及食堂与公共教学区及行政区等一卡通信息点。总结起来是：一个中心，五个汇聚，若干个接入。其拓扑结构如图1。

图1 一卡通拓扑结构

图2 整改后的拓扑结构

为保证一卡通网络的专网专用及稳定、安全与可扩展性的需要，我们采取物理层与校园网隔离，以核心、汇聚到接入层的三层网络架构，从而实现网络的虚拟隔离与安全互通，同时达到可扩展的目的。从拓扑结构上看，专网实际上类似于一个校园网，只是网络环境相对简单而已。目前我们的网络核心在图书馆，有两台核心交换机、两台防火墙、一台路由器。然而由于各种原因，除了一台核心交换机在使用外，其他的设备都没有真正发挥作用。

1.目前存在的问题

由于我校网络建设分为了三期，前后时间跨度较大，技术人员更换频繁，导致网络存在许多问题都无法及时解决。随着应用的深入，现有的网络已经不能满足学校的需求，在拓展的同时也遇到了许多困难和问题。目前一卡通网络物理上主要分成了三部分。一部分是各种通讯服务器、核心服务器的网络，一部分是专网的主干网络，还有一部分是终端的485局域网络。

网络的第一部分，在核心层上有许多通讯前置机，业务服务器等设备。目前，在中心机房的网络设备都直接接在了核心交换机上，并且图书馆相关的桌面应用也直接连接在了核心交换机上。而核心交换机的端口是有限的，这导致可用的网络电口或光口变少，对于以后的业务拓展带来不便。从结构上或者从管理上来说，都显得非常的混乱。

网络的第二部分，目前我们主要是采用的是桌面、汇聚、核心三层模式，汇聚交换机走的是三层协议，每台都配置有一些路由信息。在现实的维护中，如果汇聚层交换机坏掉，或者设备掉电导致配置丢失，对于管理员而言，抢救和恢复的效率是低下。我校曾经某一汇聚交换机因为安防问题导致交换机断电，内部的配置信息丢失，导致网络不可用。由于前后经手的管理员太多，配置没有保存，而无法尽快恢复。如果汇聚交换机不走路由协议（直接由终端路由到核心），设备中没有太多的配置信息，则对于故障汇聚交换机的配置恢复或者更换设备是比较有利。

除此之外，有一个汇聚点，是采用了终端设备路由到核心交换机的方式；还有一部分一卡通的设备是放在校园网上的，这三种情况的并存，大大降低了问题准确判断和定位的效率，给后期维护带来了极大的不便。

网络的第三部分是终端的485协议局域网。这一部分主要是网络布线和现场环境的问题。

除了网络结构的不合理外，网络策略也有待优化改进。对于目前的网络情况，所有校园进入专网的控制策略，都是在校园网的防火墙上设置的。限制策略也只设置了指定的IP地址可以进入专网，访问核心服务器，其他的都不能访问。而一卡通专网本身没有做任何限制，这对于后续需求变更管理极不方便，例如学校的一卡通系统相关业务不断增加，而这些业务有些是在校园网上，并要访问一卡通专网内的核心数据库服务器，为满足需求，只好到校园网的相关设备上更改现有的网络限制，而又由于专网与校园网由不同的管理员来维护，显然极不方便。

随着技术的进步，网络设备也在不断地更新版本。现有的网络设备也面临着落后淘汰的局面。就目前的情况看，由于设备已经上线五年多，随着时间的推移，有些桌面交换机已经损坏，由于型号过旧不便修复，而原有型号的设备又难以采购到，导致损坏设备无从更换，桌面接入也无法增加。同时设备的兼容性差，其他设备也无法接入。这是后续的维护中必须考虑的问题。

2.校园一卡通网络的整改

由于一卡通专网与校园网物理隔绝，所以网络安全性相对较高，网络拓扑结构简单，结合学校的实际情况，对网络进行整改，做到专网的安全、可靠并且便于管理和后续拓展。

拓扑结构的调整

原来网络有五个汇聚，我们新增一个图书馆的汇聚。同时网络改为由桌面直接路由到核心。

我们在中心机房增加一台汇聚交换机作为图书馆的汇聚。这样就可以把核心层的某些桌面应用承担过来，把接在核心交换机上的桌面应用改接到汇聚交换机上，只留下核心VLAN可以直接接在核心交换机上。

把汇聚层由原来的三层变为两层，终端直接路由到核心交换机。这样所有的配置主要在核心交换机上，对于汇聚层交换机，配置非常简单，只有VLAN的划分，没有路由配置。每个汇聚的配置基本类似，除了VLAN的划分之外。这样维护方便，所有配置信息主要集中在了核心层交换机。对于日常问题维护和日后网络的拓展也相对比较方便，任何新增或者变动，只要在核心层做配置的修改就可以了。

整个路由上移之后，也带来了不利面，整个网络配置基本都在核心交换机上，所以其承载的压力较大，一旦核心交换机有故障，将影响整个网络。为增加稳定性和安全性，我们启用另一台核心交换机，采取冷备的方式。如果正在运行的交换机出现故障，可以立即把网络手工切换到备机上。这样基本保证网络的持续可用性。

除了拓扑结构的改变之外，我们重新梳理网络的VLAN，把原来在校园网络的部分调整到一卡通专网内。同时把专网重新划分VLAN，某些VLAN重新更改IP，做到了VLAN和IP都有章可循，便于日常管理。

安全性的调整

一卡通专网现在没有启用专网的防火墙，而是依赖于校园网的防火墙来限制校园网因此进入专网的权限。通过几年的维护，发现这种模式不方便管理，因此我们启用一卡通专网硬件防火墙，把对于校园网要访问专网的限制放在专网的防火墙上。校园网的防火墙取消对于进入专网的限制，这样专网的管理员可以根据一卡通业务的需要自由调整配置。

对于专网内的访问没有任何限制。对于外网访问专网的情况，限制都做在了专网的防火墙上。这样网络简单没有任何的耦合性问题。防火墙采用冷备的方式。

更改之后的一卡通网络是一个物理上完全独立的专用网络。这样极大地提高了安全性。其拓扑结构为图2。

一卡通专网建设的总结

我校一卡通已经运行了近五年的时间，但存在一卡通专网规划与实际建设和实际应用存在着一定差距。前期建设和后续接管的分离，导致许多不合理的情况产生。比如某些功能建设的必要性、后续的应用拓展、设备的后续更新等等都考虑不足，导致后期维护和应用的提升受到一定的影响。具体如下：

1. 一卡通专网方案的确定必须从学校的实际情况出发，比如网络使用对象、网络复杂程度、网络所处环境等情况，而不能照搬企业级网络方案，否则无法契合学校利益。

2. 一卡通专网建设的实施，学校的信息化部门，最好安排专人负责指导、跟踪及监管，否则会出现方案与实施的脱节。这样对于项目的后期验收和后续接管也非常有利。

3. 由于系统集成商的技术人员变更频繁，而校方管理人员相对固定，最好有专门的技术人员深入最前线，跟踪整个建设周期，这对于后续的管理和维护及后续的拓展都是非常有益的。

4. 由于一卡通系统集成商，为了公司利益，希望自己的系统建设得越大越好，然而对于学校来讲，必须要本着可持续性的原则，从学校实际情况出发，有所选择，而不能完全听从集成商，被所谓的“一卡通遍校园”所累，而应本着简约、实用、便于维护和管理的宗旨，这样才不至于后期维护时，被庞大的系统所困。