基于VLAN技術(shù)的校園“一卡通”管理系統(tǒng)
引言
目前校園一卡通管理系統(tǒng)在許多高校得到了應(yīng)用網(wǎng)絡(luò)技術(shù)的不斷發(fā)展尤其是局域網(wǎng)技術(shù)從傳統(tǒng)LAN到交換LAN再發(fā)展到虛擬LAN即VLANVirtuallLocalAreaNetworks網(wǎng)絡(luò)的性能和功能得以不斷地改進(jìn)和完善使得VLAN技術(shù)在高校網(wǎng)絡(luò)中被廣泛應(yīng)用校園一卡通系統(tǒng)就是其中之一
校園一卡通管理系統(tǒng)整體構(gòu)架
校園一卡通管理系統(tǒng)中校園卡一般采用非接觸式IC卡同時(shí)與磁條相結(jié)合使校園卡既具有校內(nèi)結(jié)算功能又具有銀行金融服務(wù)功能目前很多學(xué)校都是由幾個(gè)校區(qū)合并而成為了保證各校區(qū)之間數(shù)據(jù)傳輸?shù)陌踩?span id="5tngr0c" class="myIcon">在原來校園網(wǎng)基礎(chǔ)上又建成了校園一卡通物理專網(wǎng)
校園一卡通系統(tǒng)的網(wǎng)絡(luò)構(gòu)架為二層結(jié)構(gòu)如圖1所示第一層由專網(wǎng)主干TCP/LP網(wǎng)絡(luò)構(gòu)成其上主要有主服務(wù)器以及為數(shù)眾多的控制主機(jī)主干網(wǎng)絡(luò)客戶端第二層由控制主機(jī)與IC卡終端機(jī)之間的RS485通汛網(wǎng)絡(luò)構(gòu)成
其中控制主機(jī)具有通訊協(xié)議的翻譯功能它將RS485協(xié)議轉(zhuǎn)換成TCPHP協(xié)議再通過專網(wǎng)主干通道上傳數(shù)據(jù)給主服務(wù)器
VLAN的特點(diǎn)與劃分
所謂虛擬局域網(wǎng)VLAN--virtuaILAN是指組網(wǎng)所依據(jù)的不是站點(diǎn)的物理位置而是邏輯位置MAC地址IP地址或其它即網(wǎng)絡(luò)所聯(lián)結(jié)的是所渭邏輯上相關(guān)而物理上分散的站點(diǎn)一般來講VLAN具有以下幾個(gè)重要特征
1同一虛擬網(wǎng)的所有成員組成一個(gè)獨(dú)立于物理位置而具有相同邏輯的廣播域共享一個(gè)VLAN標(biāo)識(shí)VLANID
2VLAN的所有成員都能收到由同一VLAN的其它成員發(fā)送來的廣播包但收不到不同VLAN的成員發(fā)送的廣播包
3同一VLAN的成員之間的通信不需要路由的支持而不同VLAN的成員之間的通信則需要路由支持無論采用傳統(tǒng)路由器方式還是采用虛擬路由的方式
對(duì)于一個(gè)校園網(wǎng)絡(luò)如果不進(jìn)行VLAN劃分那么將影響到網(wǎng)絡(luò)的正常使用首先在終端大量增加后在同一個(gè)廣播域里很容易產(chǎn)生廣播風(fēng)暴嚴(yán)重影響網(wǎng)絡(luò)性能其次整個(gè)網(wǎng)絡(luò)的安全性能將大大降低網(wǎng)絡(luò)上的信息將有可能被其它站點(diǎn)截取并且整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)雜亂無章很難進(jìn)行管理
劃分VLAN所依據(jù)的標(biāo)準(zhǔn)是多樣的運(yùn)用最多是按交換機(jī)端口來進(jìn)行VLAN的劃分這種方式是把交換機(jī)的某些端口的集合作為VLAN的成員這些集合有時(shí)只在單個(gè)交換機(jī)上有時(shí)則跨越多臺(tái)交換機(jī)虛擬局域網(wǎng)的管理應(yīng)用程序根據(jù)交換機(jī)端口的標(biāo)識(shí)ID將端口對(duì)應(yīng)到各分組中分配到某個(gè)VLAN的各個(gè)端口上的所有站點(diǎn)都在一個(gè)廣播域中它們相互可以通信不同的VLAN站點(diǎn)之間進(jìn)行通信需經(jīng)過路由器來進(jìn)行這種VIAN方式的優(yōu)點(diǎn)在于簡單容易實(shí)現(xiàn)從一個(gè)端口發(fā)出的廣播直接發(fā)送到VLAN內(nèi)的其他端口也便于直接監(jiān)控它的缺點(diǎn)是自動(dòng)化程度低靈活性不好
基于802.1QVLAN技術(shù)的校園一卡通的實(shí)現(xiàn)
一般來說一個(gè)物理端口只屬于一個(gè)VLAN這樣VLAN的數(shù)量必須與路由器以太網(wǎng)物理端口數(shù)量以及交換機(jī)用于級(jí)聯(lián)的端口數(shù)量保持一致這將浪費(fèi)大量的端口并且極大地限制了VLAN的擴(kuò)展和影響了劃分靈活性為了解決這一問題讓一個(gè)物理端口傳輸多個(gè)VLAN數(shù)據(jù)流可以使用標(biāo)簽Tag技術(shù)即在此端13上對(duì)每個(gè)數(shù)據(jù)幀貼上標(biāo)簽Tag用于標(biāo)記該幀所屬VLAN支持802.1Q的交換機(jī)其端13有TagUntag之分所謂Unmg就是將802.1QVLAN的信息從數(shù)據(jù)包的包頭去掉具有去標(biāo)記能力的untaggingenabled端口會(huì)將VID優(yōu)先級(jí)和其它VLAN信息從所有進(jìn)出該端口的數(shù)據(jù)包包頭中去掉如果在此前數(shù)據(jù)包內(nèi)沒有被標(biāo)記過那么端口將不對(duì)該數(shù)據(jù)包進(jìn)行改動(dòng)即去標(biāo)記untagging使得數(shù)據(jù)包能夠從一臺(tái)支持802.1Q的交換機(jī)傳送到其它不支持802.1Q的交換機(jī)上系統(tǒng)利用其VLAN標(biāo)識(shí)號(hào)即VLANID來確定數(shù)據(jù)幀的轉(zhuǎn)發(fā)需要網(wǎng)絡(luò)設(shè)備支持Tag封裝協(xié)議基于802.1Q的VLAN技術(shù)具有很大的靈活性我們用基于VLANTag技術(shù)組建私用專網(wǎng)
由于各個(gè)校區(qū)相距比較遠(yuǎn)各工作部門分布于不同的校區(qū)每個(gè)職能部門在各個(gè)校區(qū)都有自己的派出機(jī)構(gòu)因此組建一卡通專網(wǎng)非常迫切我們?cè)诟鱾€(gè)校區(qū)配置一臺(tái)三層交換機(jī)帶兩個(gè)千兆模塊用以校區(qū)間的互聯(lián)用單模光纖在各個(gè)校區(qū)間組成一個(gè)環(huán)見圖2
設(shè)每個(gè)交換機(jī)的l2口劃為個(gè)VLAN定義為Backbone在VLAN為Backbone的Interface上定義IP各個(gè)校區(qū)的互聯(lián)網(wǎng)關(guān)應(yīng)該在同一個(gè)子網(wǎng)上這樣就實(shí)現(xiàn)了IP互聯(lián)有了環(huán)網(wǎng)就可以在上面開展各種應(yīng)用譬如每個(gè)校區(qū)的三層交換機(jī)第3口用于食堂一卡通就只需把l23口劃為一個(gè)VLAN定義為VLAN1其中l(wèi)2口標(biāo)以Tag該三層交換機(jī)是不開動(dòng)態(tài)路由的各個(gè)私用專網(wǎng)要互相分開如果要有新用戶加入只要把l213打上Tag加入到自己的VLAN里就行既方便又容易查故障是一種比較經(jīng)濟(jì)的辦法這種做法是把私網(wǎng)從公網(wǎng)中分開如果要上公網(wǎng)就必須要有另外的物理通道這樣有時(shí)又比較麻煩另一種方法是用一臺(tái)二層交換機(jī)作為用戶的接入把1-8口用于公網(wǎng)的用戶把9一l6口用于私網(wǎng)的用戶l7口為上連把1-817口劃為VLAN1其中l(wèi)7口為Untag9-1617臼劃為VLAN2其中17口為Tag三層交換機(jī)對(duì)應(yīng)的下連13也要被劃為兩個(gè)VLANVLANIDTagUntag都要跟二層交換機(jī)的VLAN相對(duì)應(yīng)再在三層交換機(jī)用Acl控制就能比較好的保護(hù)私網(wǎng)做到公網(wǎng)私網(wǎng)用戶共用同一物理線路但其安全性也不是很好如果中間有好幾層交換機(jī)那要一路打Tag維護(hù)就比較困難的用二層交換機(jī)來劃分VLAN主要是劃分沖突域而三層交換機(jī)主要是劃分廣播域
結(jié)束語
基于VLAN技術(shù)的校園一卡通系統(tǒng)目前已在各個(gè)校園內(nèi)實(shí)際運(yùn)行各方面性能良好當(dāng)然基于VLAN技術(shù)的各種應(yīng)用還有許多如各類專用私網(wǎng)的構(gòu)建動(dòng)態(tài)VLAN的應(yīng)用等等它是現(xiàn)今為止可以借助于現(xiàn)有組網(wǎng)交換設(shè)備而不需額外投入的較為節(jié)約的一種有效的專網(wǎng)構(gòu)建手段
