封閉式校園一卡通網(wǎng)絡(luò)與設(shè)備監(jiān)控系統(tǒng)設(shè)計
文章出處:http://www.nyfzw.net 作者: 人氣: 發(fā)表時間:2011年09月16日
摘 要:由于傳統(tǒng)依附于校園網(wǎng)的一卡通系統(tǒng)存在網(wǎng)絡(luò)的不穩(wěn)定性和數(shù)據(jù)的不安全性,本文提出了“封閉式校園一卡通系統(tǒng)”(CCCS)的網(wǎng)絡(luò)設(shè)計理念。文章具體分析了CCCS 系統(tǒng)網(wǎng)絡(luò)的設(shè)計目標、鋪設(shè)過程和安全管理等事項,給出與數(shù)字化校園網(wǎng)數(shù)據(jù)對接的方法,以及在CCCS 系統(tǒng)網(wǎng)絡(luò)環(huán)境中實時監(jiān)控、排除一卡通設(shè)備故障的系統(tǒng)軟件設(shè)計。該項設(shè)計已取得較好實踐效果。
1 引言
近年來,隨著我國高等院校“數(shù)字化校園”(DigitalCampus)的建設(shè)發(fā)展,“校園一卡通”也應(yīng)運而生,成為數(shù)字化校園的重要基石。它的穩(wěn)定性、安全性直接關(guān)系到數(shù)字化校園的穩(wěn)定性和安全性[1]。傳統(tǒng)的一卡通系統(tǒng)網(wǎng)絡(luò)平臺往往是依附于校園網(wǎng),在實際應(yīng)用中,經(jīng)常會出現(xiàn)系統(tǒng)傳輸環(huán)節(jié)的穩(wěn)定性和安全性問題,一旦校園網(wǎng)絡(luò)不穩(wěn)定,就會影響到一卡通運行的穩(wěn)定,甚至危及數(shù)據(jù)安全。由于整個校園網(wǎng)絡(luò)的龐雜和繁復,管理員往往又無法及時判斷系統(tǒng)的故障點,造成較嚴重的后果。我們認為,要從根本上解決這個問題,首先必須轉(zhuǎn)變“數(shù)字化校園”的固有觀念,校園網(wǎng)并不是越開放越好,而是有的需要開放,有的需要封閉,是開放與封閉的統(tǒng)一。假設(shè)把固有的或即將需要建設(shè)的校園一卡通系統(tǒng)的網(wǎng)絡(luò)平臺從校園網(wǎng)中剝離出來,使其成為封閉的一卡通專網(wǎng)(如圖1 所示),就能避免上述存在的問題。從網(wǎng)絡(luò)架構(gòu)的角度來說,封閉式結(jié)構(gòu)實現(xiàn)了校園網(wǎng)和“校園一卡通”專網(wǎng)的邏輯隔離,提高了一卡通系統(tǒng)的穩(wěn)定性和安全性,增強了系統(tǒng)的可維護性和可擴展性,降低了系統(tǒng)的運行管理成本。我們把這種存在于校園內(nèi),網(wǎng)絡(luò)平臺與校園網(wǎng)絡(luò)相對隔離,系統(tǒng)能夠獨立運營并不受其他網(wǎng)絡(luò)平臺影響的一卡通系統(tǒng),稱為“封閉式校園一卡通系統(tǒng)”(CCCS)。
圖 1 CCCS 網(wǎng)絡(luò)結(jié)構(gòu)
2 系統(tǒng)網(wǎng)絡(luò)設(shè)計目標
由于校園一卡通系統(tǒng)在數(shù)字化校園中的中所處位置的特殊性,涉及到資金運用、結(jié)算和與銀行系統(tǒng)的聯(lián)網(wǎng),關(guān)系到廣大教職員工和學生的工作、學習和生活的正常進行,所以穩(wěn)定性和安全性是兩個非常重要的設(shè)計環(huán)節(jié)。
CCCS 系統(tǒng)網(wǎng)絡(luò)的具體實現(xiàn)目標如下[2]:
(1) 一卡通中心服務(wù)器(包括數(shù)據(jù)中心、身份認證、流水等)組建獨立的局域網(wǎng)絡(luò)。雖然校園網(wǎng)已經(jīng)具有相當?shù)木W(wǎng)絡(luò)安全措施,但由于功能繁多,交互頻繁,還
是存在易受病毒、木馬、黑客等攻擊可能。因此,系統(tǒng)要求核心服務(wù)器所處的網(wǎng)絡(luò)相對封閉,不與外部系統(tǒng)直接通訊。
(2) 一卡通系統(tǒng)中重要的網(wǎng)關(guān)(POS 機)、綜合業(yè)務(wù)機不論場地離中心距離多遠,也必須專線專用。
(3) 通過TCP/IP 控制器(TCP/IP 通訊協(xié)議)與管理主機進行通訊。確保在聯(lián)機狀態(tài)下的完全實時性要求。
(4) 要求網(wǎng)絡(luò)能提供全天候的穩(wěn)定服務(wù),因此核心設(shè)備(服務(wù)器、網(wǎng)絡(luò)設(shè)備)的選擇必須穩(wěn)定可靠。
3 系統(tǒng)網(wǎng)絡(luò)鋪設(shè)過程
CCCS 系統(tǒng)網(wǎng)絡(luò)設(shè)施過程中,系統(tǒng)網(wǎng)絡(luò)拓撲采用星型結(jié)構(gòu),各種一卡通網(wǎng)絡(luò)設(shè)備通過中心交換機互連,短距離的網(wǎng)絡(luò)設(shè)備可以采用超五類線直接互聯(lián),長距離的設(shè)備主要采用光纖通訊介質(zhì)。在跨校區(qū)網(wǎng)絡(luò)設(shè)備互聯(lián)時,對于只有一根光纖作為實現(xiàn)校區(qū)聯(lián)網(wǎng)業(yè)務(wù)的通訊媒介,可以用4 對單芯光纖轉(zhuǎn)換器提供WDM(Wavelength Division Multiplexing)[3]支持,讓2個獨立的數(shù)據(jù)傳輸信道在單芯的標準單模光纖上同時傳送與接收資料,這項功能不僅讓現(xiàn)有的頻寬利用率立即增加1 倍,更可有效地降低光纖的鋪設(shè)成本。
4 系統(tǒng)安全管理與數(shù)字化校園網(wǎng)數(shù)據(jù)對接
校園一卡通系統(tǒng)是構(gòu)建在數(shù)字化校園之上的統(tǒng)一身份認證、中央共享數(shù)據(jù)庫、統(tǒng)一信息門戶等的基礎(chǔ)平臺,為了實現(xiàn)這些功能,它在與校園網(wǎng)邏輯隔離的同時,又必須具有相對的開放性,這樣才能與學校其它業(yè)務(wù)管理信息系統(tǒng)緊密結(jié)合,實現(xiàn)數(shù)據(jù)共享和交換,這就是隔離與開放的矛盾[4]。為解決這一矛盾,CCCS系統(tǒng)中架設(shè)有雙網(wǎng)卡數(shù)據(jù)代理服務(wù)器,觸發(fā)器數(shù)據(jù)交換模式,對數(shù)字化校園網(wǎng)和“校園一卡通”專網(wǎng)之間的數(shù)據(jù)交換采用加密的方式,并在數(shù)字化校園網(wǎng)絡(luò)和“校園一卡通”專網(wǎng)中針對關(guān)鍵服務(wù)器制定嚴格的訪問控制策略,禁止非授權(quán)用戶對這些重要服務(wù)器的訪問,從而確保“校園一卡通”專網(wǎng)數(shù)據(jù)的安全。其具體實施安全措施如下:
(1) 在核心交換機上配置訪問控制列表(ACL)[5],例如:
(3) 設(shè)置數(shù)據(jù)異地備份系統(tǒng)。例如:先本機備份,每天定時自動將備份文件通過FTP 方式上傳到異地服務(wù)器上。Oracle 數(shù)據(jù)庫中,export 命令將數(shù)據(jù)庫中的數(shù)據(jù)備份成一個二進制文件,它通常有三種模式:用戶模式、表模式和整個數(shù)據(jù)庫模式。如采用用戶模式,備份之前,應(yīng)先建立一個備份目錄,以在本機存放備份文件,可建一個/localbak 目錄。然后將School數(shù)據(jù)庫在用戶模式下備份,備份保留周期為一天,具體腳本如下(保留在exp_school.sh 文件中):
數(shù)據(jù)共享盤柜帶有EMC UPS,每個一卡通網(wǎng)關(guān)設(shè)備各配有山特1500W UPS。
(5) 一卡通數(shù)據(jù)中心冗余性。一卡通數(shù)據(jù)庫服務(wù)器利用Oracle 集群數(shù)據(jù)庫Oracle RAC(Real Application Cluster) , 實現(xiàn)Linux(Red Hat Enterprise Linux 4)操作系統(tǒng)上的雙節(jié)點集群[6]。集群環(huán)境下實現(xiàn)多機共享數(shù)據(jù)庫,以保證應(yīng)用的高可用性。同時可以自動實現(xiàn)并行處理及均分負載,還能實現(xiàn)數(shù)據(jù)庫在故障時的容錯和無斷點恢復。
5 網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)
圖 2 監(jiān)控系統(tǒng)結(jié)構(gòu)
雖然比較依附于校園網(wǎng)的一卡通網(wǎng)絡(luò)平臺,CCCS網(wǎng)絡(luò)更穩(wěn)定,安全性更高,但是任何網(wǎng)絡(luò)本身都不是絕對可靠的,在CCCS 系統(tǒng)使用過程中,同樣可能會有許多突發(fā)事件,導致數(shù)據(jù)傳輸失敗,網(wǎng)絡(luò)設(shè)備結(jié)點故障。為了確保CCCS 系統(tǒng)正常運營,讓管理人員隨時掌控運營狀況,一旦出現(xiàn)故障,管理人員能及時獲取故障點的具體時間地點與故障原因信息,以及時排除險情,因此在CCCS 系統(tǒng)中設(shè)計設(shè)備故障報警監(jiān)控系統(tǒng)是十分必要的。具體實現(xiàn)監(jiān)控結(jié)構(gòu)如圖2 所示。該系統(tǒng)采用Delphi+SQLserver 進行開發(fā),C/S 設(shè)計模式,系統(tǒng)主要功能:在工作區(qū)任一位置中,具備對網(wǎng)絡(luò)設(shè)備添加,修改,刪除功能;設(shè)置輪詢設(shè)備時間;故障報警;日志記錄等。系統(tǒng)對各網(wǎng)絡(luò)設(shè)備監(jiān)測通過ICMP 協(xié)議實現(xiàn)[7]。ICMP(因特網(wǎng)控制報文協(xié)議)全稱Internet Control Message Protocol。它是TCP/IP協(xié)議族的一個子協(xié)議,工作在OSI 的網(wǎng)絡(luò)層,向數(shù)據(jù)通訊中的源主機報告錯誤。實現(xiàn)原理:ICMP 回顯請求和ICMP 回顯應(yīng)答報文是配合工作的。當源主機向目標主機發(fā)送了ICMP 回顯請求數(shù)據(jù)包后,源主機期待著目標主機的回答。目標主機在收到一個ICMP 回顯請求數(shù)據(jù)包后,它會交換源、目的主機的IP 地址,然后將收到的ICMP 回顯請求數(shù)據(jù)包中的數(shù)據(jù)部分原封不動地封裝在自己的ICMP 回顯應(yīng)答數(shù)據(jù)包中,然后發(fā)回給發(fā)送ICMP 回顯請求的一方。如果校驗正確,源主機便認為目標主機的回顯服務(wù)正常,也即網(wǎng)絡(luò)連接暢通。具體的主要程序代碼如下:
6 小結(jié)
CCCS 系統(tǒng)對于建設(shè)數(shù)字化校園網(wǎng)絡(luò)提供了穩(wěn)定、安全的共享數(shù)據(jù)信息的保障。該系統(tǒng)在我校已試行了一年多,通過分析試行階段的各項數(shù)據(jù)記錄,證明該系統(tǒng)已實現(xiàn)了設(shè)計目標,具有在各高校普遍推廣的價值。(文/杭州師范大學電教網(wǎng)絡(luò)管理中心 何來坤 馮亦山 鐘鳴 徐淵)
參考文獻
1 華曉鳴.數(shù)字化校園一卡通系統(tǒng)的網(wǎng)絡(luò)安全體系設(shè)計.金卡工程, 2007,(9):45-48.
2 尹風雨,孫崢嶸,蔣云霞,盧明.基于數(shù)字化校園一卡通系統(tǒng)的安全管理的研究.湘潭師范學院學報(自然科學版), 2007,29(2):73-75.
3 YOOS J B. Wavelength conversion technologies forWDM network applications J. Lightwave Technol.,1996,14(6):955-966.
4 蘇文勝,馬千軍.基于數(shù)字化校園的校園一卡通構(gòu)建.武漢理工大學學報, 2005,27(1):99-101.
5 林輝.利用Cisco 路由器的Access-list 提高網(wǎng)絡(luò)安全.計算機應(yīng)用, 2001,(2):62-63.
6 付社良,田斌.Oracle RAC 10g 系統(tǒng)高可用性測試及分析. 武漢理工大學學報( 信息與管理工程版),2007,29(2):77-78.
7 周斌,李文印.基于ICMP 的協(xié)議的Intranet 網(wǎng)絡(luò)監(jiān)測報警系統(tǒng)的實現(xiàn).微型電腦應(yīng)用, 2004,20(2):24-26.
【稿件聲明】:如需轉(zhuǎn)載,必須注明來源和作者,保留文中圖片和內(nèi)容的完整性,違者將依法追究。