封閉式校園一卡通網絡與設備監控系統設計

文章出處：http://5052h112.com 作者： 人氣： 發表時間：2011年09月16日

    摘 要：由于傳統依附于校園網的一卡通系統存在網絡的不穩定性和數據的不安全性，本文提出了“封閉式校園一卡通系統”(CCCS)的網絡設計理念。文章具體分析了CCCS 系統網絡的設計目標、鋪設過程和安全管理等事項，給出與數字化校園網數據對接的方法，以及在CCCS 系統網絡環境中實時監控、排除一卡通設備故障的系統軟件設計。該項設計已取得較好實踐效果。

    1 引言

    近年來，隨著我國高等院校“數字化校園”(DigitalCampus)的建設發展，“校園一卡通”也應運而生，成為數字化校園的重要基石。它的穩定性、安全性直接關系到數字化校園的穩定性和安全性[1]。傳統的一卡通系統網絡平臺往往是依附于校園網，在實際應用中，經常會出現系統傳輸環節的穩定性和安全性問題，一旦校園網絡不穩定，就會影響到一卡通運行的穩定，甚至危及數據安全。由于整個校園網絡的龐雜和繁復，管理員往往又無法及時判斷系統的故障點，造成較嚴重的后果。我們認為，要從根本上解決這個問題，首先必須轉變“數字化校園”的固有觀念，校園網并不是越開放越好，而是有的需要開放，有的需要封閉，是開放與封閉的統一。假設把固有的或即將需要建設的校園一卡通系統的網絡平臺從校園網中剝離出來，使其成為封閉的一卡通專網(如圖1 所示)，就能避免上述存在的問題。從網絡架構的角度來說，封閉式結構實現了校園網和“校園一卡通”專網的邏輯隔離，提高了一卡通系統的穩定性和安全性，增強了系統的可維護性和可擴展性，降低了系統的運行管理成本。我們把這種存在于校園內，網絡平臺與校園網絡相對隔離，系統能夠獨立運營并不受其他網絡平臺影響的一卡通系統，稱為“封閉式校園一卡通系統”(CCCS)。

 

圖 1 CCCS 網絡結構

    2 系統網絡設計目標

    由于校園一卡通系統在數字化校園中的中所處位置的特殊性，涉及到資金運用、結算和與銀行系統的聯網，關系到廣大教職員工和學生的工作、學習和生活的正常進行，所以穩定性和安全性是兩個非常重要的設計環節。

    CCCS 系統網絡的具體實現目標如下[2]：

    (1) 一卡通中心服務器(包括數據中心、身份認證、流水等)組建獨立的局域網絡。雖然校園網已經具有相當的網絡安全措施，但由于功能繁多，交互頻繁，還
是存在易受病毒、木馬、黑客等攻擊可能。因此，系統要求核心服務器所處的網絡相對封閉，不與外部系統直接通訊。
    (2) 一卡通系統中重要的網關(POS 機)、綜合業務機不論場地離中心距離多遠，也必須專線專用。
    (3) 通過TCP／IP 控制器(TCP／IP 通訊協議)與管理主機進行通訊。確保在聯機狀態下的完全實時性要求。
    (4) 要求網絡能提供全天候的穩定服務，因此核心設備(服務器、網絡設備)的選擇必須穩定可靠。

    3 系統網絡鋪設過程

    CCCS 系統網絡設施過程中，系統網絡拓撲采用星型結構，各種一卡通網絡設備通過中心交換機互連，短距離的網絡設備可以采用超五類線直接互聯，長距離的設備主要采用光纖通訊介質。在跨校區網絡設備互聯時，對于只有一根光纖作為實現校區聯網業務的通訊媒介，可以用4 對單芯光纖轉換器提供WDM(Wavelength Division Multiplexing)[3]支持，讓2個獨立的數據傳輸信道在單芯的標準單模光纖上同時傳送與接收資料，這項功能不僅讓現有的頻寬利用率立即增加1 倍，更可有效地降低光纖的鋪設成本。

    4 系統安全管理與數字化校園網數據對接

    校園一卡通系統是構建在數字化校園之上的統一身份認證、中央共享數據庫、統一信息門戶等的基礎平臺，為了實現這些功能，它在與校園網邏輯隔離的同時，又必須具有相對的開放性，這樣才能與學校其它業務管理信息系統緊密結合，實現數據共享和交換，這就是隔離與開放的矛盾[4]。為解決這一矛盾，CCCS系統中架設有雙網卡數據代理服務器，觸發器數據交換模式，對數字化校園網和“校園一卡通”專網之間的數據交換采用加密的方式，并在數字化校園網絡和“校園一卡通”專網中針對關鍵服務器制定嚴格的訪問控制策略，禁止非授權用戶對這些重要服務器的訪問，從而確保“校園一卡通”專網數據的安全。其具體實施安全措施如下：

    (1) 在核心交換機上配置訪問控制列表(ACL)[5]，例如：

 

    (3) 設置數據異地備份系統。例如：先本機備份，每天定時自動將備份文件通過FTP 方式上傳到異地服務器上。Oracle 數據庫中，export 命令將數據庫中的數據備份成一個二進制文件，它通常有三種模式：用戶模式、表模式和整個數據庫模式。如采用用戶模式，備份之前，應先建立一個備份目錄，以在本機存放備份文件，可建一個/localbak 目錄。然后將School數據庫在用戶模式下備份，備份保留周期為一天，具體腳本如下(保留在exp_school.sh 文件中)：

 

    數據共享盤柜帶有EMC UPS，每個一卡通網關設備各配有山特1500W UPS。

    (5) 一卡通數據中心冗余性。一卡通數據庫服務器利用Oracle 集群數據庫Oracle RAC(Real Application Cluster) ， 實現Linux(Red Hat Enterprise Linux 4)操作系統上的雙節點集群[6]。集群環境下實現多機共享數據庫，以保證應用的高可用性。同時可以自動實現并行處理及均分負載，還能實現數據庫在故障時的容錯和無斷點恢復。

    5 網絡設備監控系統

圖 2 監控系統結構

    雖然比較依附于校園網的一卡通網絡平臺，CCCS網絡更穩定，安全性更高，但是任何網絡本身都不是絕對可靠的，在CCCS 系統使用過程中，同樣可能會有許多突發事件，導致數據傳輸失敗，網絡設備結點故障。為了確保CCCS 系統正常運營，讓管理人員隨時掌控運營狀況，一旦出現故障，管理人員能及時獲取故障點的具體時間地點與故障原因信息，以及時排除險情，因此在CCCS 系統中設計設備故障報警監控系統是十分必要的。具體實現監控結構如圖2 所示。該系統采用Delphi+SQLserver 進行開發，C/S 設計模式，系統主要功能：在工作區任一位置中，具備對網絡設備添加，修改，刪除功能；設置輪詢設備時間；故障報警；日志記錄等。系統對各網絡設備監測通過ICMP 協議實現[7]。ICMP(因特網控制報文協議)全稱Internet Control Message Protocol。它是TCP/IP協議族的一個子協議，工作在OSI 的網絡層，向數據通訊中的源主機報告錯誤。實現原理：ICMP 回顯請求和ICMP 回顯應答報文是配合工作的。當源主機向目標主機發送了ICMP 回顯請求數據包后，源主機期待著目標主機的回答。目標主機在收到一個ICMP 回顯請求數據包后，它會交換源、目的主機的IP 地址，然后將收到的ICMP 回顯請求數據包中的數據部分原封不動地封裝在自己的ICMP 回顯應答數據包中，然后發回給發送ICMP 回顯請求的一方。如果校驗正確，源主機便認為目標主機的回顯服務正常，也即網絡連接暢通。具體的主要程序代碼如下：

    6 小結

    CCCS 系統對于建設數字化校園網絡提供了穩定、安全的共享數據信息的保障。該系統在我校已試行了一年多，通過分析試行階段的各項數據記錄，證明該系統已實現了設計目標，具有在各高校普遍推廣的價值。（文/杭州師范大學電教網絡管理中心 何來坤 馮亦山 鐘鳴 徐淵）

    參考文獻
    1 華曉鳴.數字化校園一卡通系統的網絡安全體系設計.金卡工程, 2007,(9):45－48.
    2 尹風雨,孫崢嶸,蔣云霞,盧明.基于數字化校園一卡通系統的安全管理的研究.湘潭師范學院學報(自然科學版), 2007,29(2):73－75.
    3 YOOS J B. Wavelength conversion technologies forWDM network applications J. Lightwave Technol.,1996,14(6):955－966.
    4 蘇文勝,馬千軍.基于數字化校園的校園一卡通構建.武漢理工大學學報, 2005,27(1):99－101.
    5 林輝.利用Cisco 路由器的Access-list 提高網絡安全.計算機應用, 2001,(2):62－63.
    6 付社良,田斌.Oracle RAC 10g 系統高可用性測試及分析. 武漢理工大學學報( 信息與管理工程版),2007,29(2):77－78.
    7 周斌,李文印.基于ICMP 的協議的Intranet 網絡監測報警系統的實現.微型電腦應用, 2004,20(2):24－26.

    【稿件聲明】：如需轉載，必須注明來源和作者，保留文中圖片和內容的完整性，違者將依法追究。