封閉式校園一卡通網(wǎng)絡(luò)與設(shè)備監(jiān)控系統(tǒng)設(shè)計(jì)
文章出處:http://coolbang.cn 作者: 人氣: 發(fā)表時(shí)間:2011年09月16日
摘 要:由于傳統(tǒng)依附于校園網(wǎng)的一卡通系統(tǒng)存在網(wǎng)絡(luò)的不穩(wěn)定性和數(shù)據(jù)的不安全性,本文提出了“封閉式校園一卡通系統(tǒng)”(CCCS)的網(wǎng)絡(luò)設(shè)計(jì)理念。文章具體分析了CCCS 系統(tǒng)網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo)、鋪設(shè)過程和安全管理等事項(xiàng),給出與數(shù)字化校園網(wǎng)數(shù)據(jù)對(duì)接的方法,以及在CCCS 系統(tǒng)網(wǎng)絡(luò)環(huán)境中實(shí)時(shí)監(jiān)控、排除一卡通設(shè)備故障的系統(tǒng)軟件設(shè)計(jì)。該項(xiàng)設(shè)計(jì)已取得較好實(shí)踐效果。
1 引言
近年來,隨著我國高等院校“數(shù)字化校園”(DigitalCampus)的建設(shè)發(fā)展,“校園一卡通”也應(yīng)運(yùn)而生,成為數(shù)字化校園的重要基石。它的穩(wěn)定性、安全性直接關(guān)系到數(shù)字化校園的穩(wěn)定性和安全性[1]。傳統(tǒng)的一卡通系統(tǒng)網(wǎng)絡(luò)平臺(tái)往往是依附于校園網(wǎng),在實(shí)際應(yīng)用中,經(jīng)常會(huì)出現(xiàn)系統(tǒng)傳輸環(huán)節(jié)的穩(wěn)定性和安全性問題,一旦校園網(wǎng)絡(luò)不穩(wěn)定,就會(huì)影響到一卡通運(yùn)行的穩(wěn)定,甚至危及數(shù)據(jù)安全。由于整個(gè)校園網(wǎng)絡(luò)的龐雜和繁復(fù),管理員往往又無法及時(shí)判斷系統(tǒng)的故障點(diǎn),造成較嚴(yán)重的后果。我們認(rèn)為,要從根本上解決這個(gè)問題,首先必須轉(zhuǎn)變“數(shù)字化校園”的固有觀念,校園網(wǎng)并不是越開放越好,而是有的需要開放,有的需要封閉,是開放與封閉的統(tǒng)一。假設(shè)把固有的或即將需要建設(shè)的校園一卡通系統(tǒng)的網(wǎng)絡(luò)平臺(tái)從校園網(wǎng)中剝離出來,使其成為封閉的一卡通專網(wǎng)(如圖1 所示),就能避免上述存在的問題。從網(wǎng)絡(luò)架構(gòu)的角度來說,封閉式結(jié)構(gòu)實(shí)現(xiàn)了校園網(wǎng)和“校園一卡通”專網(wǎng)的邏輯隔離,提高了一卡通系統(tǒng)的穩(wěn)定性和安全性,增強(qiáng)了系統(tǒng)的可維護(hù)性和可擴(kuò)展性,降低了系統(tǒng)的運(yùn)行管理成本。我們把這種存在于校園內(nèi),網(wǎng)絡(luò)平臺(tái)與校園網(wǎng)絡(luò)相對(duì)隔離,系統(tǒng)能夠獨(dú)立運(yùn)營并不受其他網(wǎng)絡(luò)平臺(tái)影響的一卡通系統(tǒng),稱為“封閉式校園一卡通系統(tǒng)”(CCCS)。
圖 1 CCCS 網(wǎng)絡(luò)結(jié)構(gòu)
2 系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)
由于校園一卡通系統(tǒng)在數(shù)字化校園中的中所處位置的特殊性,涉及到資金運(yùn)用、結(jié)算和與銀行系統(tǒng)的聯(lián)網(wǎng),關(guān)系到廣大教職員工和學(xué)生的工作、學(xué)習(xí)和生活的正常進(jìn)行,所以穩(wěn)定性和安全性是兩個(gè)非常重要的設(shè)計(jì)環(huán)節(jié)。
CCCS 系統(tǒng)網(wǎng)絡(luò)的具體實(shí)現(xiàn)目標(biāo)如下[2]:
(1) 一卡通中心服務(wù)器(包括數(shù)據(jù)中心、身份認(rèn)證、流水等)組建獨(dú)立的局域網(wǎng)絡(luò)。雖然校園網(wǎng)已經(jīng)具有相當(dāng)?shù)木W(wǎng)絡(luò)安全措施,但由于功能繁多,交互頻繁,還
是存在易受病毒、木馬、黑客等攻擊可能。因此,系統(tǒng)要求核心服務(wù)器所處的網(wǎng)絡(luò)相對(duì)封閉,不與外部系統(tǒng)直接通訊。
(2) 一卡通系統(tǒng)中重要的網(wǎng)關(guān)(POS 機(jī))、綜合業(yè)務(wù)機(jī)不論場(chǎng)地離中心距離多遠(yuǎn),也必須專線專用。
(3) 通過TCP/IP 控制器(TCP/IP 通訊協(xié)議)與管理主機(jī)進(jìn)行通訊。確保在聯(lián)機(jī)狀態(tài)下的完全實(shí)時(shí)性要求。
(4) 要求網(wǎng)絡(luò)能提供全天候的穩(wěn)定服務(wù),因此核心設(shè)備(服務(wù)器、網(wǎng)絡(luò)設(shè)備)的選擇必須穩(wěn)定可靠。
3 系統(tǒng)網(wǎng)絡(luò)鋪設(shè)過程
CCCS 系統(tǒng)網(wǎng)絡(luò)設(shè)施過程中,系統(tǒng)網(wǎng)絡(luò)拓?fù)洳捎眯切徒Y(jié)構(gòu),各種一卡通網(wǎng)絡(luò)設(shè)備通過中心交換機(jī)互連,短距離的網(wǎng)絡(luò)設(shè)備可以采用超五類線直接互聯(lián),長距離的設(shè)備主要采用光纖通訊介質(zhì)。在跨校區(qū)網(wǎng)絡(luò)設(shè)備互聯(lián)時(shí),對(duì)于只有一根光纖作為實(shí)現(xiàn)校區(qū)聯(lián)網(wǎng)業(yè)務(wù)的通訊媒介,可以用4 對(duì)單芯光纖轉(zhuǎn)換器提供WDM(Wavelength Division Multiplexing)[3]支持,讓2個(gè)獨(dú)立的數(shù)據(jù)傳輸信道在單芯的標(biāo)準(zhǔn)單模光纖上同時(shí)傳送與接收資料,這項(xiàng)功能不僅讓現(xiàn)有的頻寬利用率立即增加1 倍,更可有效地降低光纖的鋪設(shè)成本。
4 系統(tǒng)安全管理與數(shù)字化校園網(wǎng)數(shù)據(jù)對(duì)接
校園一卡通系統(tǒng)是構(gòu)建在數(shù)字化校園之上的統(tǒng)一身份認(rèn)證、中央共享數(shù)據(jù)庫、統(tǒng)一信息門戶等的基礎(chǔ)平臺(tái),為了實(shí)現(xiàn)這些功能,它在與校園網(wǎng)邏輯隔離的同時(shí),又必須具有相對(duì)的開放性,這樣才能與學(xué)校其它業(yè)務(wù)管理信息系統(tǒng)緊密結(jié)合,實(shí)現(xiàn)數(shù)據(jù)共享和交換,這就是隔離與開放的矛盾[4]。為解決這一矛盾,CCCS系統(tǒng)中架設(shè)有雙網(wǎng)卡數(shù)據(jù)代理服務(wù)器,觸發(fā)器數(shù)據(jù)交換模式,對(duì)數(shù)字化校園網(wǎng)和“校園一卡通”專網(wǎng)之間的數(shù)據(jù)交換采用加密的方式,并在數(shù)字化校園網(wǎng)絡(luò)和“校園一卡通”專網(wǎng)中針對(duì)關(guān)鍵服務(wù)器制定嚴(yán)格的訪問控制策略,禁止非授權(quán)用戶對(duì)這些重要服務(wù)器的訪問,從而確保“校園一卡通”專網(wǎng)數(shù)據(jù)的安全。其具體實(shí)施安全措施如下:
(1) 在核心交換機(jī)上配置訪問控制列表(ACL)[5],例如:
(3) 設(shè)置數(shù)據(jù)異地備份系統(tǒng)。例如:先本機(jī)備份,每天定時(shí)自動(dòng)將備份文件通過FTP 方式上傳到異地服務(wù)器上。Oracle 數(shù)據(jù)庫中,export 命令將數(shù)據(jù)庫中的數(shù)據(jù)備份成一個(gè)二進(jìn)制文件,它通常有三種模式:用戶模式、表模式和整個(gè)數(shù)據(jù)庫模式。如采用用戶模式,備份之前,應(yīng)先建立一個(gè)備份目錄,以在本機(jī)存放備份文件,可建一個(gè)/localbak 目錄。然后將School數(shù)據(jù)庫在用戶模式下備份,備份保留周期為一天,具體腳本如下(保留在exp_school.sh 文件中):
數(shù)據(jù)共享盤柜帶有EMC UPS,每個(gè)一卡通網(wǎng)關(guān)設(shè)備各配有山特1500W UPS。
(5) 一卡通數(shù)據(jù)中心冗余性。一卡通數(shù)據(jù)庫服務(wù)器利用Oracle 集群數(shù)據(jù)庫Oracle RAC(Real Application Cluster) , 實(shí)現(xiàn)Linux(Red Hat Enterprise Linux 4)操作系統(tǒng)上的雙節(jié)點(diǎn)集群[6]。集群環(huán)境下實(shí)現(xiàn)多機(jī)共享數(shù)據(jù)庫,以保證應(yīng)用的高可用性。同時(shí)可以自動(dòng)實(shí)現(xiàn)并行處理及均分負(fù)載,還能實(shí)現(xiàn)數(shù)據(jù)庫在故障時(shí)的容錯(cuò)和無斷點(diǎn)恢復(fù)。
5 網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)
圖 2 監(jiān)控系統(tǒng)結(jié)構(gòu)
雖然比較依附于校園網(wǎng)的一卡通網(wǎng)絡(luò)平臺(tái),CCCS網(wǎng)絡(luò)更穩(wěn)定,安全性更高,但是任何網(wǎng)絡(luò)本身都不是絕對(duì)可靠的,在CCCS 系統(tǒng)使用過程中,同樣可能會(huì)有許多突發(fā)事件,導(dǎo)致數(shù)據(jù)傳輸失敗,網(wǎng)絡(luò)設(shè)備結(jié)點(diǎn)故障。為了確保CCCS 系統(tǒng)正常運(yùn)營,讓管理人員隨時(shí)掌控運(yùn)營狀況,一旦出現(xiàn)故障,管理人員能及時(shí)獲取故障點(diǎn)的具體時(shí)間地點(diǎn)與故障原因信息,以及時(shí)排除險(xiǎn)情,因此在CCCS 系統(tǒng)中設(shè)計(jì)設(shè)備故障報(bào)警監(jiān)控系統(tǒng)是十分必要的。具體實(shí)現(xiàn)監(jiān)控結(jié)構(gòu)如圖2 所示。該系統(tǒng)采用Delphi+SQLserver 進(jìn)行開發(fā),C/S 設(shè)計(jì)模式,系統(tǒng)主要功能:在工作區(qū)任一位置中,具備對(duì)網(wǎng)絡(luò)設(shè)備添加,修改,刪除功能;設(shè)置輪詢?cè)O(shè)備時(shí)間;故障報(bào)警;日志記錄等。系統(tǒng)對(duì)各網(wǎng)絡(luò)設(shè)備監(jiān)測(cè)通過ICMP 協(xié)議實(shí)現(xiàn)[7]。ICMP(因特網(wǎng)控制報(bào)文協(xié)議)全稱Internet Control Message Protocol。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議,工作在OSI 的網(wǎng)絡(luò)層,向數(shù)據(jù)通訊中的源主機(jī)報(bào)告錯(cuò)誤。實(shí)現(xiàn)原理:ICMP 回顯請(qǐng)求和ICMP 回顯應(yīng)答報(bào)文是配合工作的。當(dāng)源主機(jī)向目標(biāo)主機(jī)發(fā)送了ICMP 回顯請(qǐng)求數(shù)據(jù)包后,源主機(jī)期待著目標(biāo)主機(jī)的回答。目標(biāo)主機(jī)在收到一個(gè)ICMP 回顯請(qǐng)求數(shù)據(jù)包后,它會(huì)交換源、目的主機(jī)的IP 地址,然后將收到的ICMP 回顯請(qǐng)求數(shù)據(jù)包中的數(shù)據(jù)部分原封不動(dòng)地封裝在自己的ICMP 回顯應(yīng)答數(shù)據(jù)包中,然后發(fā)回給發(fā)送ICMP 回顯請(qǐng)求的一方。如果校驗(yàn)正確,源主機(jī)便認(rèn)為目標(biāo)主機(jī)的回顯服務(wù)正常,也即網(wǎng)絡(luò)連接暢通。具體的主要程序代碼如下:
6 小結(jié)
CCCS 系統(tǒng)對(duì)于建設(shè)數(shù)字化校園網(wǎng)絡(luò)提供了穩(wěn)定、安全的共享數(shù)據(jù)信息的保障。該系統(tǒng)在我校已試行了一年多,通過分析試行階段的各項(xiàng)數(shù)據(jù)記錄,證明該系統(tǒng)已實(shí)現(xiàn)了設(shè)計(jì)目標(biāo),具有在各高校普遍推廣的價(jià)值。(文/杭州師范大學(xué)電教網(wǎng)絡(luò)管理中心 何來坤 馮亦山 鐘鳴 徐淵)
參考文獻(xiàn)
1 華曉鳴.數(shù)字化校園一卡通系統(tǒng)的網(wǎng)絡(luò)安全體系設(shè)計(jì).金卡工程, 2007,(9):45-48.
2 尹風(fēng)雨,孫崢嶸,蔣云霞,盧明.基于數(shù)字化校園一卡通系統(tǒng)的安全管理的研究.湘潭師范學(xué)院學(xué)報(bào)(自然科學(xué)版), 2007,29(2):73-75.
3 YOOS J B. Wavelength conversion technologies forWDM network applications J. Lightwave Technol.,1996,14(6):955-966.
4 蘇文勝,馬千軍.基于數(shù)字化校園的校園一卡通構(gòu)建.武漢理工大學(xué)學(xué)報(bào), 2005,27(1):99-101.
5 林輝.利用Cisco 路由器的Access-list 提高網(wǎng)絡(luò)安全.計(jì)算機(jī)應(yīng)用, 2001,(2):62-63.
6 付社良,田斌.Oracle RAC 10g 系統(tǒng)高可用性測(cè)試及分析. 武漢理工大學(xué)學(xué)報(bào)( 信息與管理工程版),2007,29(2):77-78.
7 周斌,李文印.基于ICMP 的協(xié)議的Intranet 網(wǎng)絡(luò)監(jiān)測(cè)報(bào)警系統(tǒng)的實(shí)現(xiàn).微型電腦應(yīng)用, 2004,20(2):24-26.
【稿件聲明】:如需轉(zhuǎn)載,必須注明來源和作者,保留文中圖片和內(nèi)容的完整性,違者將依法追究。