典型數(shù)據(jù)傳輸平臺(tái)在一卡通中的應(yīng)用
文章出處:http://m.botanicstilllife.com 作者:謝銳 人氣: 發(fā)表時(shí)間:2011年11月07日
傳統(tǒng)的一卡通網(wǎng)絡(luò)在建設(shè)中通常會(huì)有三種典型的數(shù)據(jù)傳輸平臺(tái),即物理光纖、VLAN以及IPsec VPN方式,分別介紹如下:
物理專網(wǎng)方式
在光纖資源足夠的情況下,對(duì)于校園一卡通網(wǎng)絡(luò)傳輸平臺(tái)的建設(shè),可以考慮采用獨(dú)立光纖連接專用網(wǎng)絡(luò)設(shè)備的方式構(gòu)造物理上與現(xiàn)有園區(qū)網(wǎng)完全獨(dú)立的網(wǎng)絡(luò)。物理隔離方式具備極高安全性,但需要增加不低的投資成本。在校園一卡通的推廣初期,更多的單位從系統(tǒng)安全角度出發(fā),往往都會(huì)采用這種物理專網(wǎng)的方式。采用這種方案組網(wǎng)費(fèi)用較大、擴(kuò)展性較差,對(duì)于該物理專網(wǎng)還需要投入專門的人力資源和專門的網(wǎng)管系統(tǒng),維護(hù)的成本也非常高,其在推廣過程中受到了一定的阻礙。
VLAN技術(shù)
隨著校園網(wǎng)的進(jìn)一步完善,虛擬網(wǎng)技術(shù)的應(yīng)用,防火墻技術(shù)的加強(qiáng),利用校園網(wǎng)VLAN功能進(jìn)行校園一卡通的建設(shè)已成為各集成公司的首選。在實(shí)施中,首先要在校園網(wǎng)VLAN中劃出一個(gè)一卡通專用虛擬網(wǎng),并與其它校園網(wǎng)用戶的虛擬網(wǎng)之間取消路由功能,在邏輯上與校園網(wǎng)隔開,該虛擬網(wǎng)在整個(gè)校園網(wǎng)內(nèi)透?jìng)鳎瑢⒎植荚诓煌Y(jié)點(diǎn)的相關(guān)主機(jī)和工作站接入到一卡通管理系統(tǒng)中,從而保證了一卡通專網(wǎng)的安全性。專網(wǎng)通過防火墻或雙網(wǎng)卡網(wǎng)關(guān)與校園網(wǎng)連接,可以為全校師生提供基于校園網(wǎng)的Web查詢;另一方面經(jīng)過路由器與銀行連網(wǎng),以實(shí)現(xiàn)校園一卡通系統(tǒng)的實(shí)時(shí)銀聯(lián)服務(wù)。按上述要求劃出虛擬網(wǎng)后,就可以像單獨(dú)組網(wǎng)方式一樣進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)。VLAN 隔離方式無須增加任何投資.VLAN隔離方式具備管理靈活,易于控制,節(jié)省投資的特點(diǎn)。
但是這種VLAN透?jìng)鞯姆绞娇蓴U(kuò)展性比較差。隨著一卡通終端的部署,必須及時(shí)將vlan配置到需要部署的交換機(jī)上去,另一方面隨著終端的增加,網(wǎng)絡(luò)配置工作量隨之增加,二層網(wǎng)絡(luò)范圍將越來越大,廣播風(fēng)暴可能性增加。同時(shí)由于校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的多樣性,無法在二層上使用快速鏈路恢復(fù)機(jī)制。即使目前存在著一些二層保護(hù)協(xié)議,但是要么如STP一般收斂速度過慢,要么如一些EAPS的私有協(xié)議,只被部分廠商支持。
IPsec VPN
還有一種常見的技術(shù)是在一卡通站點(diǎn)(site)之間采用IPsec VPN技術(shù)。
IPsec是IETF為在IP層提供安全服務(wù)而定義的一組相關(guān)協(xié)議的集合。通過定義三種傳輸協(xié)議:頭部認(rèn)證協(xié)議(AH)、封裝安全載荷協(xié)議(ESP)和Internet密鑰交換協(xié)議(IKE),IPsec VPN提供完整的保護(hù)機(jī)制,包括訪問控制、無連接的完整性認(rèn)證、數(shù)據(jù)來源認(rèn)證、抗重傳、數(shù)據(jù)保密和有限的通信流量保密等,從而有效地保護(hù)了數(shù)據(jù)包的安全。IPsec VPN將要傳輸?shù)臄?shù)據(jù)封裝在IP里來穿越互聯(lián)網(wǎng),VPN網(wǎng)絡(luò)層網(wǎng)關(guān)接受傳來的封裝過的數(shù)據(jù)包,然后拆包、轉(zhuǎn)換,發(fā)送到接受方。在VPN網(wǎng)關(guān)之間傳遞信息就像在局域網(wǎng)內(nèi)的數(shù)據(jù)傳遞一樣。這樣即便信息被截取,也無法偷窺或篡改內(nèi)容,從而保證通過互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的安全性、機(jī)密性、可認(rèn)證性和完整性。這種方法簡(jiǎn)化了在地理上分散的站點(diǎn)之間正常通訊和用戶間資源共享的實(shí)現(xiàn)。
兩個(gè)一卡通站點(diǎn)之間可以通過IPsec VPN的方式連接起來,通過建立隧道,安全認(rèn)證,加密傳輸?shù)葯C(jī)制對(duì)一卡通管理區(qū)域進(jìn)行訪問,構(gòu)建相互信任方之間的安全加密信息傳輸通道,達(dá)到專用網(wǎng)絡(luò)的效果。在設(shè)備的性能足夠的情況下,除VPN 功能外,還可以實(shí)現(xiàn)應(yīng)用層的訪問控制過濾。
Site-to-site的IPsec VPN連接方式適合于小型的一卡通網(wǎng)絡(luò);中等規(guī)模的一卡通網(wǎng)絡(luò)可以使用Full Mesh的隧道連接方式;對(duì)于大型的一卡通網(wǎng)絡(luò),可以采用Hub-and-Spoke的隧道連接方式,這需要集中的服務(wù)器,即IPsec VPN中心網(wǎng)關(guān)(不過這在各個(gè)節(jié)點(diǎn)之間增加了大量投資和一個(gè)單點(diǎn)故障)。