传统的一卡通网络在建设中通常会有三种典型的数据传输平台,即物理光纤、VLAN以及IPsec VPN方式,分别介绍如下: 物理专网方式 在光纤资源足够的情况下,对于校园一卡通网络传输平台的建设,可以考虑采用独立光纤连接专用网络设备的方式构造物理上与现有园区网完全独立的网络。物理隔离方式具备极高安全性,但需要增加不低的投资成本。在校园一卡通的推广初期,更多的单位从系统安全角度出发,往往都会采用这种物理专网的方式。采用这种方案组网费用较大、扩展性较差,对于该物理专网还需要投入专门的人力资源和专门的网管系统,维护的成本也非常高,其在推广过程中受到了一定的阻碍。 VLAN技术 随着校园网的进一步完善,虚拟网技术的应用,防火墙技术的加强,利用校园网VLAN功能进行校园一卡通的建设已成为各集成公司的首选。在实施中,首先要在校园网VLAN中划出一个一卡通专用虚拟网,并与其它校园网用户的虚拟网之间取消路由功能,在逻辑上与校园网隔开,该虚拟网在整个校园网内透传,将分布在不同结点的相关主机和工作站接入到一卡通管理系统中,从而保证了一卡通专网的安全性。专网通过防火墙或双网卡网关与校园网连接,可以为全校师生提供基于校园网的Web查询;另一方面经过路由器与银行连网,以实现校园一卡通系统的实时银联服务。按上述要求划出虚拟网后,就可以像单独组网方式一样进行网络结构设计。VLAN 隔离方式无须增加任何投资.VLAN隔离方式具备管理灵活,易于控制,节省投资的特点。 但是这种VLAN透传的方式可扩展性比较差。随着一卡通终端的部署,必须及时将vlan配置到需要部署的交换机上去,另一方面随着终端的增加,网络配置工作量随之增加,二层网络范围将越来越大,广播风暴可能性增加。同时由于校园网中网络设备的多样性,无法在二层上使用快速链路恢复机制。即使目前存在着一些二层保护协议,但是要么如STP一般收敛速度过慢,要么如一些EAPS的私有协议,只被部分厂商支持。 IPsec VPN 还有一种常见的技术是在一卡通站点(site)之间采用IPsec VPN技术。 IPsec是IETF为在IP层提供安全服务而定义的一组相关协议的集合。通过定义三种传输协议:头部认证协议(AH)、封装安全载荷协议(ESP)和Internet密钥交换协议(IKE),IPsec VPN提供完整的保护机制,包括访问控制、无连接的完整性认证、数据来源认证、抗重传、数据保密和有限的通信流量保密等,从而有效地保护了数据包的安全。IPsec VPN将要传输的数据封装在IP里来穿越互联网,VPN网络层网关接受传来的封装过的数据包,然后拆包、转换,发送到接受方。在VPN网关之间传递信息就像在局域网内的数据传递一样。这样即便信息被截取,也无法偷窥或篡改内容,从而保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性。这种方法简化了在地理上分散的站点之间正常通讯和用户间资源共享的实现。 两个一卡通站点之间可以通过IPsec VPN的方式连接起来,通过建立隧道,安全认证,加密传输等机制对一卡通管理区域进行访问,构建相互信任方之间的安全加密信息传输通道,达到专用网络的效果。在设备的性能足够的情况下,除VPN 功能外,还可以实现应用层的访问控制过滤。 Site-to-site的IPsec VPN连接方式适合于小型的一卡通网络;中等规模的一卡通网络可以使用Full Mesh的隧道连接方式;对于大型的一卡通网络,可以采用Hub-and-Spoke的隧道连接方式,这需要集中的服务器,即IPsec VPN中心网关(不过这在各个节点之间增加了大量投资和一个单点故障)。
传统的一卡通网络在建设中通常会有三种典型的数据传输平台,即物理光纤、VLAN以及IPsec VPN方式,分别介绍如下:
物理专网方式
在光纤资源足够的情况下,对于校园一卡通网络传输平台的建设,可以考虑采用独立光纤连接专用网络设备的方式构造物理上与现有园区网完全独立的网络。物理隔离方式具备极高安全性,但需要增加不低的投资成本。在校园一卡通的推广初期,更多的单位从系统安全角度出发,往往都会采用这种物理专网的方式。采用这种方案组网费用较大、扩展性较差,对于该物理专网还需要投入专门的人力资源和专门的网管系统,维护的成本也非常高,其在推广过程中受到了一定的阻碍。
VLAN技术
随着校园网的进一步完善,虚拟网技术的应用,防火墙技术的加强,利用校园网VLAN功能进行校园一卡通的建设已成为各集成公司的首选。在实施中,首先要在校园网VLAN中划出一个一卡通专用虚拟网,并与其它校园网用户的虚拟网之间取消路由功能,在逻辑上与校园网隔开,该虚拟网在整个校园网内透传,将分布在不同结点的相关主机和工作站接入到一卡通管理系统中,从而保证了一卡通专网的安全性。专网通过防火墙或双网卡网关与校园网连接,可以为全校师生提供基于校园网的Web查询;另一方面经过路由器与银行连网,以实现校园一卡通系统的实时银联服务。按上述要求划出虚拟网后,就可以像单独组网方式一样进行网络结构设计。VLAN 隔离方式无须增加任何投资.VLAN隔离方式具备管理灵活,易于控制,节省投资的特点。
但是这种VLAN透传的方式可扩展性比较差。随着一卡通终端的部署,必须及时将vlan配置到需要部署的交换机上去,另一方面随着终端的增加,网络配置工作量随之增加,二层网络范围将越来越大,广播风暴可能性增加。同时由于校园网中网络设备的多样性,无法在二层上使用快速链路恢复机制。即使目前存在着一些二层保护协议,但是要么如STP一般收敛速度过慢,要么如一些EAPS的私有协议,只被部分厂商支持。
IPsec VPN
还有一种常见的技术是在一卡通站点(site)之间采用IPsec VPN技术。
IPsec是IETF为在IP层提供安全服务而定义的一组相关协议的集合。通过定义三种传输协议:头部认证协议(AH)、封装安全载荷协议(ESP)和Internet密钥交换协议(IKE),IPsec VPN提供完整的保护机制,包括访问控制、无连接的完整性认证、数据来源认证、抗重传、数据保密和有限的通信流量保密等,从而有效地保护了数据包的安全。IPsec VPN将要传输的数据封装在IP里来穿越互联网,VPN网络层网关接受传来的封装过的数据包,然后拆包、转换,发送到接受方。在VPN网关之间传递信息就像在局域网内的数据传递一样。这样即便信息被截取,也无法偷窥或篡改内容,从而保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性。这种方法简化了在地理上分散的站点之间正常通讯和用户间资源共享的实现。
两个一卡通站点之间可以通过IPsec VPN的方式连接起来,通过建立隧道,安全认证,加密传输等机制对一卡通管理区域进行访问,构建相互信任方之间的安全加密信息传输通道,达到专用网络的效果。在设备的性能足够的情况下,除VPN 功能外,还可以实现应用层的访问控制过滤。
Site-to-site的IPsec VPN连接方式适合于小型的一卡通网络;中等规模的一卡通网络可以使用Full Mesh的隧道连接方式;对于大型的一卡通网络,可以采用Hub-and-Spoke的隧道连接方式,这需要集中的服务器,即IPsec VPN中心网关(不过这在各个节点之间增加了大量投资和一个单点故障)。