锐捷校园一卡通网络解决方案

　　随着微电子技术、计算机技术、网络技术、通讯技术的飞速发展，“数字化校园”已经不单单是一个概念，各大高校已经陆陆续续地开始对校园网进行数字化建设。其中，校园 “一卡通”系统以其便捷、高效、安全、环保等特点成为了数字化校园建设的重要组成部分。

　　校园“一卡通”以智能卡为信息载体，融合了各领域诸多高新科技，使其具有电子身份识别和电子钱包的功能。能够替代校园内日常生活所需各种证件以及完成校园内的各种支付业务，如：饭卡、医疗卡、上网卡等。最终达到教、学、考、评、住、用的全面数字化和网络化，真正实现了“一卡在手，走遍校园”。

　　网络基础架处于校园“一卡通”系统中的底层，是校园“一卡通”的基石，它的运行状况直接影响着上层业务能否正常开展。如果网络基础构架选择不当，势必会带来如下两方面问题：

　　安全性问题

　　由于一卡通系统承载着广大师生的身份信息及财务数据，所以当这些敏感信息不加保护地穿梭在内部校园网内时，很容被黑客通过“中间人攻击”等方式截获并破解，从而造成无法估量的后果。此外，如果一卡通服务器没有很好地被保护并暴露在内网中，黑客会通过扫描等方式发现服务器，并通过DOS攻击手段导致服务器宕机，此时一卡通业务就无法正常运行，广大师生的日常活动就会受到严重影响。

　　稳定性问题

　　虽然单个用户的身份识别及消费信息在一卡通各系统交互时所占通信量很小，但是，有些热点时间（如：饭前、考试前、周末、开学）会触发学生集中使用一卡通系统，造成网络流量的飙升。此时，网络核心设备能否抵御这种灾难性的流量至关重要。

　　锐捷网络的一卡通解决方案正是定位于此，旨在帮助用户建设安全、稳定的适合一卡通应用的网络环境。

　　锐捷网络的一卡通解决方案有如下两种实现方式：

　　方式一：通过MPLS VPN技术实现一卡通网与校园网的逻辑业务隔离

　　MPLS VPN技术是一种基于MPLS（Multi-Protocol Label Switching）多协议标签交换技术的VPN技术。MPLS具有组网灵活性高、业务隔离安全性高、网络传输效率高等特点。

　　此外，为了保护各自逻辑业务隔离的服务器，可以在核心交换机上加配一块防火墙多业务板卡。该防火墙板卡能够支持虚拟防火墙技术。该技术通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个隔离的业务系统部署不同的安全策略。

　　方式二：建立独立的一卡通专网

　　建立独立专网的核心交换机建议选用稳定性高、转发性能好的锐捷网络RG-S8600系列核心交换机。该交换机具备以下特点：

　　1、高达1786Mpps的二三层转发系能，满足突发的一卡通业务应用流量；

　　2、特有的硬件CPU保护技术——CPP，具备内网抗攻击特性，从而提高核心设备稳定性；

　　3、高可靠性的环网保护技术——RERP，可以为用户提供50毫秒级的运营业务保护和快速恢复能力；

　　4、锐捷网络的RG-S8600系列交换机还具备丰富的扩展特性，未来还可以灵活选配各种多业务板卡，以延长设备的使用年限。

　　汇聚层交换机建议选用锐捷网络的RG-S5750系列交换机，此系列交换机具备万兆扩展特性，可以实现与核心交换机RG-S8600的万兆互联；此系列交换同样具备硬件CPU保护技术等安全特性；同时，RG-S5750系列交换机支持MPLS CE功能，未来可以实现全网向MPLS应用的过渡。

　　接入层交换机建议采用锐捷网络的RG-2600系列交换机，此系列交换机堪称业界最安全的接入交换机，它能够防御诸如：ARP欺骗、DHCP欺骗等常见接入层攻击；此外，该系列交换机同时支持Web认证和802.1X认证，能够满足客户各种接入认证方式。

　　以上两种实现方式各有优点，能够满足不同客户的不同应用需求，从而最终保障了一卡系统的运营，为建设数字化校园打下良好的基础。