关于校园一卡通的网络安全优化设计

摘要：在中职学校中，伴随着校园现代化建设的高速发展、校园数字化的快速普及以及学校校务管理工作的复杂性逐渐增强，在校园信息管理中引入“一卡通”已经蔚然成风。文章阐述了一个适合中职校园的现代一卡通系统，重点讨论了校园一卡通系统的网络安全优化问题，提出了系统网络优化设计的方案。

关键词：校园网；一卡通系统；总体设计；网络安全；网络优化

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)13-3038-02

A Network Security Design of Campus Smart Card System

WU Jian-cai

(Fujian Jinjiang Zhiye Zhongzhuan Xuexiao, Jinjiang 362251, China)

Abstract: Along with the rapid development of digital campus as well as the increasing complexity on the work of student management in middling vocational school, the implementation of campus smart card system has already become a kind of inevitable trend. In this paper, focus on network security problem.Put forward a proposal of network optimization design.

Key words: campus network; smart card system; overall design; network security: network optimization

校园一卡通系统是数字化校园建设的基础工程和主要内容，在学校管理中具有特殊、独立地位，其最核心的两大应用功能一是作为身份识别的手段，如教职员工考勤、教学管理（如学生点名）、出入实验室、宿舍、学校等门禁系统、通过图书馆通道机、借阅图书、挂号就医等功能；二是作为电子支付的手段，如校园内的食堂就餐、超市消费，水电缴费、公共机房上机上网等各项收费的生活服务项目。此外，校园一卡通系统能实现涵盖学校生活各个方面的其他功能，如可以通过“校园一卡通”平台提供查询个人账户余额、明细，交纳费用等金融服务；通过一卡通系统与校园办公自动化系统的无缝连接，可实现师生的基本信息查询、教务信息查询（如课程成绩、学籍学分、教学情况）、后勤信息查询（如餐卡余额、水电费用）等。校园一卡通系统促进了数字化校园建设的脚步，提供了一个统一、简便、快捷的平台，便于学校宏观管理的综合查询，基本满足了学校管理和服务的各项需求[1] [2]。

但是校园一卡通系统仍在处在持续完善和发展的过程中，随着中职院校应用的逐步深入，对校园卡系统提出诸多新的需求，例如系统数据的安全、校园卡系统每年用校园卡消费与支付的金额数额庞大，因此校园卡系统应重点提高网络完全功能，确保消费与支付的准确性和有效性；此外，校园卡系统的应用范围和管理复杂度很大，保证网络服务质量、提高系统稳定运行时间是对校园卡管理部门的重要衡量标准[3]。针对校园一卡通系统的网络安全问题，文章选定一卡通系统设备皆为锐捷的交换机产品，尝试采取多重优化措施保证系统功能顺利实现。

1关于端口镜像的优化设计

所谓端口镜像（Port Mirroring）是指将交换机的一个或多个端口（VLAN）的符合指定规则的数据报文复制转发到目的端口，为网络分析和监控提供网络数据流的方法。

交换机的端口镜像功能通常与网络分析仪器等设备共同使用。通过使用端口镜像对网络数据包进行监听，并使用网络分析仪对数据分析，可提供用户进行网络监控和故障排除的数据，为网络数据提供安全性保障[4]。

在配置本地端口镜像时，需要注意以下几点：

1）配置本地镜像组时要使镜像配置生效，源端口和目的端口必须同时配置；

2）已加入到汇聚组或生成树功能的端口不能设置为目的端口；

3）某些交换机上配置目的端口时同一端口的设置以最后一次配置为结果生效。

基于所选用的设备都为锐捷的交换机产品，源端口只允许为一个，目的端口可一个或多个。校园网中端口镜像功能主要应用于校园监控网络VLAN 19，设置在核心层交换机RG-S7606上：

monitorsession1sourcevlan 19 rx

//监视vlan 19接收到的数据

monitorsession1destinationinterfacefastEthernet0/20

//设置端口20为目的端口

若需要查看交换机的端口镜像信息内容，则可使用命令：

showmonitorsession1

2关于防ARP攻击的优化设计

ARP（地址解析协议，Address Resolution Protocol）是一种将IP地址转化为计算机网卡MAC地址的协议。ARP为OSI七层模型中的第三层协议，ARP表中存放着计算机IP地址与MAC地址的对应关系。

ARP攻击常见于接入层设备，是局域网中常见的网络攻击行为，严重时可能会引起网络瘫痪。在交换机上对防ARP攻击的功能有IP和MAC地址的绑定、防网关被欺骗两种。

IP和MAC地址的绑定，将IP地址和网卡MAC地址绑定可防止校内用户盗用他人的IP地址，起到保护IP地址的作用。在校园网络建设中，财务部门等安全性要求较高的部门采用IP和MAC地址绑定的方式应用。绑定命令在汇聚层交换机上执行，下面以1#教学楼会议室的计算机(IP地址：172.16.18.2，MAC地址：000C.292E.3321)为例设置：

arp 172.16.18.2000C.292E.3321arpa fastEthernet 0/1

需要注意的是此功能只能用在三层交换机中。

3关于防网关欺骗的优化设计

防网关欺骗一般用于由于某台计算机假冒网关的IP地址发出ARP请求使其它计算机因无法区分真假网关而引起的网络问题。使用交换机的防网关欺骗功能，可以在一定程度上阻止计算机用户的网关欺骗行为，保证网络的正常运行[5]。

在本校园网中此功能应用于汇聚层交换机中，以2#实训大楼网络综合实训室连接的端口为例，使用命令如下：

interface fastEthernet0/7

anti-ARP-Spoofingip172.16.41.1

//配置防止网关地址为172.16.41.1的arp欺骗行为

需要注意的是防网关欺骗功能只能应用于靠近用户端的设备上。

4关于防DoS/DDoS攻击的优化设计

DoS（拒绝服务，Denial of Service）是一种拒绝用户服务访问，令用户无法正常得到服务的一种攻击方式；DDoS（分布式拒绝服务，Distributed Denial of Service）是一种以DoS为基础的分布协作式的DoS攻击方式，相较DoS破坏性更大。

本校园网使用的锐捷交换机的防DoS/DDoS攻击是利用入口过滤功能来实现的，其防DoS/DDoS攻击功能主要应用于核心层交换机RG-S7606的端口2和端口3上（连接2#实训大楼和3#信息信息中心实训大楼的端口），主要配置命令如下：

interface rangefastEthernet0/2-3

ipdenyspoofing-source

//设置对伪造IP地址的预防DoS/DDoS攻击入口过滤功能

使用交换机的防DoS/DDoS攻击功能主要注意以下几点：

使用防DoS/DDoS要求交换机配置网络三层接口地址；

交换机入口过滤功能只能配置在直连接口上；

防DoS/DDoS功能不能与ACL同时应用于同一接口上，否则后配置的应用将覆盖先前的设置；

若对接口的IP地址修改，则防DoS/DDoS攻击必须重新设置。

5关于IP扫描攻击的优化设计

局域网中的IP扫描攻击方式可分为目的IP地址变化的扫描攻击（scan dest ip attack）和发送大量报文给不存在的目的IP地址攻击（same des tip attack）两种。其中前者对整个网络的危害极大，很大程度上消耗网络带宽；而后者则会消耗交换机的CPU资源。

要防止IP扫描攻击，需要打开交换机系统保护功能，限制非法用户的扫描攻击次数，对非法用户进行隔离，从而保证整个校园网络的正常运行[6]。

校园内计算机数目多，校园网的防IP扫描攻击主要在汇聚层交换机S3760中配置实现，主要代码如下：

system-guard enable

//打开交换机系统保护功能

showsystem-guard isolated-ip

//查看系统保护后交换机的隔离用户详细的IP地址及时间等信息

另外，使用系统该保护后，被隔离用户实际上尚未被隔离，为保证校园网络的安全还应对攻击者采取其它的有效措施。

6总结

根据本系统预期上线的功能情况，一卡通系统经过端口镜像、防ARP、防网关欺骗、防DoS/DDoS攻击、防IP扫描攻击的多重优化设计，可以有效消除大部分可能发生的网络安全问题，减少系统故障率；一卡通系统健康的运行，能使学校教学、生管、后勤各个环节都符合当前乃至未来数年学校的发展需求，极大优化了信息处理的效率，同时也给在校学生带来极大的便利，最终实现数字化校园的有效构建。

参考文献：

[1]郑燕,何学文.“一卡通”系统在广州大学城的建设和应用[J].中国科技信息,2006(13):156-157.

[2]蒋临风.一卡通推进“数字科大”建设[J].中国教育网络,2006(7):38.

[3]张海.北京语言大学校园“一卡通”系统分析与设计[D].北京:北京邮电大学,2010.

[4]杜化美,张更路,高仕军.高校校园网建设的新思考[J].高师理科学刊,2008(3)52-53.

[5]尹风雨,孙峥嵘,蒋云霞.基于数字化校园一卡通系统的安全管理的研究[J].湘潭师范学院学报:自然科学版,2007(2):25-27.

[6]李宏芳.一种高安全的校园一卡通设计[J].计算机与现代化,2005(2):78-80.