2. 校园一卡通网络的整改

　　由于一卡通专网与校园网物理隔绝，所以网络安全性相对较高，网络拓扑结构简单，结合学校的实际情况，对网络进行整改，做到专网的安全、可靠并且便于管理和后续拓展。

　　拓扑结构的调整

　　原来网络有五个汇聚，我们新增一个图书馆的汇聚。同时网络改为由桌面直接路由到核心。

　　我们在中心机房增加一台汇聚交换机作为图书馆的汇聚。这样就可以把核心层的某些桌面应用承担过来，把接在核心交换机上的桌面应用改接到汇聚交换机上，只留下核心VLAN可以直接接在核心交换机上。

　　把汇聚层由原来的三层变为两层，终端直接路由到核心交换机。这样所有的配置主要在核心交换机上，对于汇聚层交换机，配置非常简单，只有VLAN的划分，没有路由配置。每个汇聚的配置基本类似，除了VLAN的划分之外。这样维护方便，所有配置信息主要集中在了核心层交换机。对于日常问题维护和日后网络的拓展也相对比较方便，任何新增或者变动，只要在核心层做配置的修改就可以了。

　　整个路由上移之后，也带来了不利面，整个网络配置基本都在核心交换机上，所以其承载的压力较大，一旦核心交换机有故障，将影响整个网络。为增加稳定性和安全性，我们启用另一台核心交换机，采取冷备的方式。如果正在运行的交换机出现故障，可以立即把网络手工切换到备机上。这样基本保证网络的持续可用性。

　　除了拓扑结构的改变之外，我们重新梳理网络的VLAN，把原来在校园网络的部分调整到一卡通专网内。同时把专网重新划分VLAN，某些VLAN重新更改IP，做到了VLAN和IP都有章可循，便于日常管理。

　　安全性的调整
　　一卡通专网现在没有启用专网的防火墙，而是依赖于校园网的防火墙来限制校园网因此进入专网的权限。通过几年的维护，发现这种模式不方便管理，因此我们启用一卡通专网硬件防火墙，把对于校园网要访问专网的限制放在专网的防火墙上。校园网的防火墙取消对于进入专网的限制，这样专网的管理员可以根据一卡通业务的需要自由调整配置。

　　对于专网内的访问没有任何限制。对于外网访问专网的情况，限制都做在了专网的防火墙上。这样网络简单没有任何的耦合性问题。防火墙采用冷备的方式。

　　更改之后的一卡通网络是一个物理上完全独立的专用网络。这样极大地提高了安全性。其拓扑结构为图2。

图2 整改后的拓扑结构

　　我校一卡通已经运行了近五年的时间，但存在一卡通专网规划与实际建设和实际应用存在着一定差距。前期建设和后续接管的分离，导致许多不合理的情况产生。比如某些功能建设的必要性、后续的应用拓展、设备的后续更新等等都考虑不足，导致后期维护和应用的提升受到一定的影响。具体如下：

　　1. 一卡通专网方案的确定必须从学校的实际情况出发，比如网络使用对象、网络复杂程度、网络所处环境等情况，而不能照搬企业级网络方案，否则无法契合学校利益。

　　2. 一卡通专网建设的实施，学校的信息化部门，最好安排专人负责指导、跟踪及监管，否则会出现方案与实施的脱节。这样对于项目的后期验收和后续接管也非常有利。

　　3. 由于系统集成商的技术人员变更频繁，而校方管理人员相对固定，最好有专门的技术人员深入最前线，跟踪整个建设周期，这对于后续的管理和维护及后续的拓展都是非常有益的。

　　4. 由于一卡通系统集成商，为了公司利益，希望自己的系统建设得越大越好，然而对于学校来讲，必须要本着可持续性的原则，从学校实际情况出发，有所选择，而不能完全听从集成商，被所谓的“一卡通遍校园”所累，而应本着简约、实用、便于维护和管理的宗旨，这样才不至于后期维护时，被庞大的系统所困。
　　                                   （作者单位为上海海事大学）