基于校园一卡通的校园网络解决方案

　　链路备份

　　核心和汇聚之间采用双链路连接，一旦数据传输的活动链路失效以后可以自动切换到另一条链路，保障数据的正常转发。这样，从全网架构上，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。

　　当多个校区间的数据需要同步时，在新老校区各部署了两台万兆核心交换机，两个校区的核心设备之间采用2条1G链路，构成校园一卡通网络的骨干交换平台，其中一条链路出现问题时，另一条链路会立刻自动启用;同时在两个校区间放置两台路由器，在两台路由器间通过ISDN链路链接，当校区间链接的两条光纤链路都中断时，还可以通过ISDN链路传输数据。汇聚交换机同核心交换机间也都采用了两条链路链接的方式，实现链路级的冗余。整个方案充分保障了关键区域网络的稳定可靠。

　　网络的高安全性

　　在网络攻击泛滥的今天，一卡通网络也不可避免的会受到攻击。一卡通网络的安全主要受到两方面威胁，一个是来自黑客的诸如DDoS等攻击，另一种是来自内网的病毒传播如ARP欺骗等;对于前者最有效的方法是部署防火墙，而对于后者则需要核心、汇聚和接入交换机具备安全防护功能。

　　在本方案中部署的防火墙设备采用了RGOS操作系统，是锐捷全系列防火墙使用的软件系统，实现了防火墙的全部功能。RGOS的设计，完全抛弃了目前国内主流防火墙还在使用的IPtables安全协议栈，脱离了通用操作系统，无通用操作系统漏洞，是新一代的防火墙软件，使用了分段直接寻址搜索算法(MSDAL)、树形搜索算法等先进的算法，采用了安全规则预编译技术，使得防火墙的处理性能大大提高。

　　锐捷核心设备的CSS安全体系通过硬件安全监控技术、硬件安全防护技术、丰富的设备安全管理保证系统的安全，通过硬件的隧道技术、认证技术、加密技术保护了网络设备传输的数据的安全。汇聚和接入交换机支持丰富的安全防护能力，包括防DOS攻击 (Smurf、Synflood)，防IP扫描 (PingSweep)，防源IP地址欺骗 (Source IP Spoofing)、防ARP欺骗、、带宽控制等从而将安全防护从网络的边缘就开始进行。

　　三、 最佳实践

　　西安交通大学是国家教育部直属重点大学，也是国内建立最早的高等学府之一，是国家“七五”、“八五”重点建设的几所大学之一，是首批进入国家“211工程”建设的七所大学之一，1999年被国家确定为我国中西部地区唯一一所以建设世界知名高水平大学为目标的学校。本次西安交通大学校园一卡通系统计划在学校东西两个校区建设校园一卡通系统。该系统包括了一卡通专网建设、一卡通平台建设、一卡通数据中心以及校园门禁与校园网视频监控四个大的方面。其中校园一卡通平台建设包括了一卡通系统数据系统、财务清算中心、卡务管理系统、远程监控系统、配置管理系统、信息同步系统、数据采集系统、综合消费系统(包括食堂、医院、校内商场等)、机房计费管理系统、电子验证系统、门禁管理系统、信息发布系统、迎新系统等多个软硬件系统。同时跟校园网管理、图书、教学、招生、财务、通道控制、学生注册等系统对接。

　　在学校东、西两个校区分别配置一台锐捷网络S6806E万兆核心交换机，作为承载交大“一卡通”业务的骨干设备，另外根据实际需要，配置锐捷网络汇聚交换机锐捷网络S4909交换机一台，接入交换机S2126G 130台，作为终端接入交换机。

　　两台核心交换机S6806E通过主、备链路方式互连，如上图所示，其中，光纤作为主线路，备份线路采用VPN方式，通过教育城域网互连，从而保障核心设备之间链路的稳定保障。

　　为了保障“一卡通”网络到工商银行和财务部的数据联通安全，在这两个出口处分别部署两台锐捷网络RG-WALL 200防火墙，进行安全保障。