校园一卡通网络安全性设计与实现

校园一卡通网络安全性设计与实现

【摘要】一卡通系统为学校搭建了统一的应用系统平台，一卡通网络作为系统重要信息的传输通道，对安全性有着较高的要求。本文提出使用VLAN和VPN技术可以有效地解决数据在存储和传输阶段面临的安全威胁，保障一卡通系统安全。

【关键词】一卡通 VPN VLAN

1 引言

校园一卡通网络作为连接信息管理系统和数据中心的统一平台，能够极大的提高信息管理的效率，避免信息孤岛。作为学校数据传输的核心，校园一卡通网络对安全性有着极高的要求，尤其是在连接外部网络时安全问题就更加突出。

2 一卡通网络设计

一卡通网络实现从底层刷卡终端到高层数据中心的一体化网络结构，具有较高的稳定性、实用性和安全性。某高校一卡通网络设计方案如图2.1所示。

图2.1 某高校一卡通网络设计图

在进行一卡通网络设计时，根据连接对象的不同可以分为三个层次：

第一层是刷卡终端与上位机构成的终端网络。终端设备通过RS485串口连接上位机，上位机通过二层交换机接入一卡通以太网络实现与系统数据库互联。

第二层是各应用系统与数据中心构成的核心网络。核心网络主要实现应用系统对数据中心的访问，使用交换机和路由器组建多层次以太网星型网络。

第三层是从校园网到数据中心的VPN（虚拟专用网络）。学生经常需要访问数据中心查询个人信息，为保证传输安全构建从数据中心到校园网门户的VPN。

3 一卡通网络安全设计

终端网络在物理上与外网保持隔离，且连接的都是输入终端，受到的安全威胁少。一卡通核心网络和VPN网络连接数据中心和校园网，需要较高的安全防护。

一卡通核心网络是内部网络，其中连接了多个应用系统服务器和工作站，为了避免广播风暴的危险，需要划分VLAN，将每个应用系统单独划分到一个

VLAN，VLAN的配置主要在汇聚层交换机完成。此外，还需要进行IP地址和MAC地址绑定，不予许外来机器接入。

实现VPN选择SSL（安全套接层）技术。因为学生主要通WEB浏览器访问数据中心，SSL VPN可以有效的支持应用层的数据传输和身份认证，通过配置浏览器直接访问，免去了安全客户端的困扰。

4 一卡通网络的实现

接入层选用锐捷2900系列交换机，汇聚层选用锐捷的3760系列交换机，核心路由选用带VPN功能的Cisco 7200。

4.1 VLAN的划分

一卡通内部网络VLAN的划分在汇聚层交换机上进行，连接每个应用系统的端口被单独划分到一个VLAN。VLAN1配置命令如下：

Ruijie(config)#interface fastethernet 1/0

Ruijie(config-if)#switchport mode access

Ruijie(config-if)#switchport access vlan 1//设置端口VLAN

Ruijie(config-if)#ip address 192.168.0.1 255.255.255.192

Ruijie(config)#interface fastethernet 1/24//设定24口为Trunk口

Ruijie(config-if)#switchport trunk allowed vlan all

Ruijie(config)#address-bind 192.168.0.11 0016.d390.6cc5//绑定MAC

4.2 SSL VPN的实现

SSL VPN为应用程序提供会话层保护，核心路由Cisco7200配置过程如下：

R1(config)# aaa new-model //配置AAA提供验证客户信息

R1(config)# ip local pool sslvpn 192.168.3.10-192.168.5.254 mask 255.255.255.0//定义远程访问用户地址池

R1(config)# username hacz password admin

R1(config))# webvpn gateway haczvpngate //定义WebVPN监听接口

R1(config-webvpn-gateway)# ip address 192.168.8.1 port 555

R1 (config-webvpn-gateway)# inservice

R1 (config)# webvpn context sslcontext

R1 (config-webvpn-context)# gateway haczvpngate

R1 (config-webvpn-context)# aaa authentication list webvpn

R1 (config-webvpn-context)# inservice

R1(config-webvpn-context)# policy group hacz_sslvpn_policy

R1(config-webvpn-group)# functions svc-enabled

R1(config-webvpn-group)# svc address-pool sslvpn

R1(config-webvpn-group)# svc split include 192.168.10.0 255.255.255.0 //定义隧道分离目标的地址

5 小结

一卡通网络在安全性上有着极高的要求，本文选择使用VLAN技术划分应用系统子网，使用SSL VPN技术建立学生用户对一卡通数据中心的虚拟访问通道，可以有效地屏蔽网络中的安全威胁，规避风险。保障一卡通网络安全的技术还有很多，他们适用于不同的环境，可以有效解决不同用户对网络安全的需求。

参考文献

［1］高传善，毛迪林，王雪平：计算机网络［M］．北京：人民邮电出版社，2009

［2］符彦惟：计算机网络安全实用技术［M］．北京：清华大学出版社，2008

［3］阎慧，王伟：防火墙原理与技术［M］．北京：机械工业出版社，2004