典型數(shù)據(jù)傳輸平臺在一卡通中的應(yīng)用

文章出處：http://www.xianjuhong.com 作者：謝銳   人氣： 發(fā)表時間：2011年11月07日

    傳統(tǒng)的一卡通網(wǎng)絡(luò)在建設(shè)中通常會有三種典型的數(shù)據(jù)傳輸平臺，即物理光纖、VLAN以及IPsec VPN方式，分別介紹如下：

　物理專網(wǎng)方式

    在光纖資源足夠的情況下，對于校園一卡通網(wǎng)絡(luò)傳輸平臺的建設(shè)，可以考慮采用獨立光纖連接專用網(wǎng)絡(luò)設(shè)備的方式構(gòu)造物理上與現(xiàn)有園區(qū)網(wǎng)完全獨立的網(wǎng)絡(luò)。物理隔離方式具備極高安全性，但需要增加不低的投資成本。在校園一卡通的推廣初期，更多的單位從系統(tǒng)安全角度出發(fā)，往往都會采用這種物理專網(wǎng)的方式。采用這種方案組網(wǎng)費用較大、擴展性較差，對于該物理專網(wǎng)還需要投入專門的人力資源和專門的網(wǎng)管系統(tǒng)，維護的成本也非常高，其在推廣過程中受到了一定的阻礙。

    VLAN技術(shù)

    隨著校園網(wǎng)的進一步完善，虛擬網(wǎng)技術(shù)的應(yīng)用，防火墻技術(shù)的加強，利用校園網(wǎng)VLAN功能進行校園一卡通的建設(shè)已成為各集成公司的首選。在實施中，首先要在校園網(wǎng)VLAN中劃出一個一卡通專用虛擬網(wǎng)，并與其它校園網(wǎng)用戶的虛擬網(wǎng)之間取消路由功能，在邏輯上與校園網(wǎng)隔開，該虛擬網(wǎng)在整個校園網(wǎng)內(nèi)透傳，將分布在不同結(jié)點的相關(guān)主機和工作站接入到一卡通管理系統(tǒng)中，從而保證了一卡通專網(wǎng)的安全性。專網(wǎng)通過防火墻或雙網(wǎng)卡網(wǎng)關(guān)與校園網(wǎng)連接，可以為全校師生提供基于校園網(wǎng)的Web查詢；另一方面經(jīng)過路由器與銀行連網(wǎng)，以實現(xiàn)校園一卡通系統(tǒng)的實時銀聯(lián)服務(wù)。按上述要求劃出虛擬網(wǎng)后，就可以像單獨組網(wǎng)方式一樣進行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計。VLAN 隔離方式無須增加任何投資.VLAN隔離方式具備管理靈活，易于控制，節(jié)省投資的特點。

    但是這種VLAN透傳的方式可擴展性比較差。隨著一卡通終端的部署，必須及時將vlan配置到需要部署的交換機上去，另一方面隨著終端的增加，網(wǎng)絡(luò)配置工作量隨之增加，二層網(wǎng)絡(luò)范圍將越來越大，廣播風(fēng)暴可能性增加。同時由于校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的多樣性，無法在二層上使用快速鏈路恢復(fù)機制。即使目前存在著一些二層保護協(xié)議，但是要么如STP一般收斂速度過慢，要么如一些EAPS的私有協(xié)議，只被部分廠商支持。

    IPsec VPN

    還有一種常見的技術(shù)是在一卡通站點(site)之間采用IPsec VPN技術(shù)。

    IPsec是IETF為在IP層提供安全服務(wù)而定義的一組相關(guān)協(xié)議的集合。通過定義三種傳輸協(xié)議：頭部認(rèn)證協(xié)議(AH)、封裝安全載荷協(xié)議(ESP)和Internet密鑰交換協(xié)議(IKE)，IPsec VPN提供完整的保護機制，包括訪問控制、無連接的完整性認(rèn)證、數(shù)據(jù)來源認(rèn)證、抗重傳、數(shù)據(jù)保密和有限的通信流量保密等，從而有效地保護了數(shù)據(jù)包的安全。IPsec VPN將要傳輸?shù)臄?shù)據(jù)封裝在IP里來穿越互聯(lián)網(wǎng)，VPN網(wǎng)絡(luò)層網(wǎng)關(guān)接受傳來的封裝過的數(shù)據(jù)包，然后拆包、轉(zhuǎn)換，發(fā)送到接受方。在VPN網(wǎng)關(guān)之間傳遞信息就像在局域網(wǎng)內(nèi)的數(shù)據(jù)傳遞一樣。這樣即便信息被截取，也無法偷窺或篡改內(nèi)容，從而保證通過互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的安全性、機密性、可認(rèn)證性和完整性。這種方法簡化了在地理上分散的站點之間正常通訊和用戶間資源共享的實現(xiàn)。

    兩個一卡通站點之間可以通過IPsec VPN的方式連接起來，通過建立隧道，安全認(rèn)證，加密傳輸?shù)葯C制對一卡通管理區(qū)域進行訪問，構(gòu)建相互信任方之間的安全加密信息傳輸通道，達到專用網(wǎng)絡(luò)的效果。在設(shè)備的性能足夠的情況下，除VPN 功能外，還可以實現(xiàn)應(yīng)用層的訪問控制過濾。

    Site-to-site的IPsec VPN連接方式適合于小型的一卡通網(wǎng)絡(luò)；中等規(guī)模的一卡通網(wǎng)絡(luò)可以使用Full Mesh的隧道連接方式；對于大型的一卡通網(wǎng)絡(luò)，可以采用Hub-and-Spoke的隧道連接方式，這需要集中的服務(wù)器，即IPsec VPN中心網(wǎng)關(guān)(不過這在各個節(jié)點之間增加了大量投資和一個單點故障)。