智慧校园环境下一卡通系统的基础建设与改造

陈知新

摘要：高校智慧校园是高校数字校园的深化建设之后的高级阶段。在国家政策、地方政策不断要求下，在不断高涨的要求数字化、自动化的呼声下，湖南师范大学下定决心启动一卡通项目建设。并利用一卡通项目建设的机会，解决学校信息建设底子薄、投入少、欠账多等问题。本文以湖南师范大学校园一卡通建设为基础，阐述了项目中涉及的网络环境的建设与改进、存储环境建设与改进、安全环境建设与改进、信息环境建设与改进等方面。

关键词：智慧校园；智慧城市；基础环境；建设与改造

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）23-0192-03

湖南师范大学校园一卡通是湖南师范大学智慧校园的基本组成部分，该项目为相关人员颁发含有电子芯片的校园卡，以取代目前使用的各类证件，实现学校各场所的一卡通行与消费。实施“一卡通”能提升学校的后勤服务质量和综合管理水平，通过为广大师生提供方便、快捷的电子化服务，有效的简化了办事流程并降低了工作成本，是实现新形势下学校精细化管理的必要途径。

湖南师范大学校园一卡通主要包括身份识别与认证、电子钱包与支付、综合信息查询服务等功能。身份识别与认证是通过在校内各重要场所与出入道口部署门禁、车闸和考勤机，实现对校园卡持卡者的身份识别与审计，限制无关人员与车辆出入校园，实现师生的查勤查岗，提升园区治安管理与教学管理的水平；电子钱包与支付是通过在食堂、澡堂、学生超市、职工消费合作社等场所部署POS机与圈存机，实现校园卡和银行卡的余额互转，满足师生在校内一卡消费的需求；综合信息查询是通过建立统一平台，集成教务管理、研究生管理等各类信息系统，实现“一卡通”资金流水信息及其他综合信息的终端查询、网上查询与掌上查询。

1 背景介绍

湖南师范大学校园一卡通项目启动建设之前，信息化建设欠账比较严重，主要体现在以下几个方面：

1）基础设施建设欠账太多：基础网络设备老化严重；老的网络拓扑结构不合适新的计费方式；基础存储平台老化严重并且容量不及目前一台PC的存储容量；学校绝大部分区域尚无无线覆盖，校园内做到无阻碍通信需要大量投入。

2）信息化建设缺乏统一影响力：各部门正在使用的业务系统，使用不同的编码标准和结构。学校各类应用系统间交换数据困难，很多情况下只能使用移动设备拷贝Excel或者文本数据的方式进行数据交换；难以实施综合流程和综合查询，缺乏跨部门、整体性的量化数据分析，数据不准确、不统一、决策支持能力弱。

3）业务部门系统现状不够理想：各部门正在使用的业务系统相当于信息孤岛，甚至同一部门具有多个信息孤岛。系统数据没有固定、同一的数据来源，系统间数据无法共享。没有实施文档管理，有些系统甚至没有文档，后续升级和维护没有了依据。系统维护随意性强，没有变更流程，改动内容没有记录。没有智慧校园数据建设标准，创建数据十分随意。

因此学校决定加大对信息化方面的投入，利用一卡通项目建设的机会，加强信息化基础设施建设、校园卡相关业务系统建设和数字校园综合信息平台建设，涵盖网络环境的建设与改进、机房环境建设与改进、存储环境建设与改进、安全环境建设与改进、信息环境建设与改进等。

2 网络环境建设与改进

湖南师大校园网原先接入用户的认证方式使用的是802.1X认证方式，采用接入-汇聚-核心三层组网架构，所有的网关设在汇聚交换机上。各汇聚、核心交换机之间运行OSPF协议通告路由信息。核心为两台H3C S10508，部署了IRF2，汇聚和接入交换机部分为H3C设备部分为锐捷交换机。具体逻辑拓扑图如图1所示。

新方式下全网终端设备统一使用PPPOE认证方式接入网络，原来的802.1X认证方式全部废除。学校采用一台H3C SR8804-X作为校园网BARS设备，实现全网教师、学生及办公用户统一使用PPPOE认证方式接入网络。因PPPOE协议要求终端用户到BRAS网关实现二层可达，因此需将PPPOE认证的用户网关从汇聚交换机迁移至BRAS。整改完毕后，所有的接入认证用户网关全部部署于核心交换机上，网络物理拓扑不变，但逻辑结构从三层变为大二层结构。具体逻辑拓扑图如图2所示。

部署方式为，SR8804-X旁挂于核心交换机S10508之上，SR8804-X上部署两块SPEX-1204插卡，每块SPEX-1204上各插两块PCI-XP1L子卡，两块BRAS卡以冷备的负载分担方式承载PPPOE认证业务。PPPOE认证用户接入口分担在两个SPEX-1204的PCI-XP1L子卡上，不做聚合，每块SPEX-1204上各插两块PCI-XP1L子卡；PPPOE用户认证结束回注到交换机的接口采用跨板聚合的方式。

为了避免单卡负载过重，规划校本部（主校区）用户接入业务放在一块BRAS卡上，把其他校区用户放在另一块BRAS卡上。两块BRAS卡仍然设置所有校区的vlan子接口，不用的子接口设置为shutdown，只有当一块BARS卡发生故障时，使用手动的方式开启另块BRAS卡上对应的vlan子接口，实现冷备份功能。

认证策略设置为，采用PPPOE的认证方式；用户使用内网时流量不限制，使用外网进行流控；用户使用IPv6网络不做认证，不过BARS设备；一卡通业务用户不做认证。

部署SR8804-X之时，首先上架上电，用旁路的方式连接核心交换机并接入用户网络。之后，再不影响现有业务运行的前提下，测试与深澜计费系统的对接与认证。分多步切入部分正常业务，稳定后，进行核验，再增加业务，直至完成。

新的认证模式下，学校采用了新的计费系统-深澜认证计费系统。该系统由数据库服务器、Radius认证服务器、后台管理服务器和自服务服务器四个部分组成。计费系统实现三类特定要求：

1）需要导入原有的计费系统账号，，保留老账号余额，结算日期，计费策略等重要信息。

2）定时同步一卡通系统的用户信息到深澜系统后台，只添加新增用户，不修改已有用户的信息。

3）和正元智慧实现一卡通充值接口对接，用户可以在自服务用一卡通进行充值，调用正元智慧web services接口从一卡通中把金额转账到深澜认证计费系统中。

3 机房环境建设与改进

湖南师范大学中心机房位于图书馆大楼2层东北角，改造前机房面积约130平米，层高约4.0m，分为主机房、操作控制室、配电室、备件仓库、入室缓冲区和办公区等几个区域，，其中配电室部署在1层。为了支持学校一卡通、数字校园、无线等项目的不断发展，需要在中心机房内大量部署新的信息化设备，现有的机房基础设施已经无法满足新设备上线的保障需求，需要进行升级改造。

新机房使用新机柜系统合计15个，每个机柜配置2个IEC标准的专业PDU，为机柜提供双路供电。机柜空余位置安装盲板，组成严密的冷热通道。机房供电系统采用2台40KVA UPS（可扩展为120KVA UPS系统）组成2N系统供电，为机房机柜配电系统配置1台可双路输入的精密列头配电柜，每个机柜提供2路独立的电源供电。机房供电系统采用2台40KVA UPS（可扩展为120KVA UPS系统）组成2N系统供电，为机房机柜配电系统配置1台可双路输入的精密列头配电柜，每个机柜提供2路独立的电源供电。精密空调采用2套下送风制冷精密空调，双压缩机，单台制冷量43.5kW；考虑节能需要，采用EC风机。

对机房区域中间墙体拆除和修补，消防控制开关改造后适当移位，并增加相应的点位，满足现有整体消防功能要求。将现有办公大厅北边区域用12厘单片防火玻璃隔断钢化玻璃隔成一个监控室，根据需求设计定制监控控制席位，办公大厅南边区域重新设计办公隔断区域。对机房区域进行防尘及防水处理。

机房布线采用机柜顶上走线的模块化走线方案，具备3个各自独立的电源、光纤、网络走线槽，支持上走线。走线槽采用预工程化的模块化机柜顶部上走线系统，实现在现场免工具快速安装快速部署。

4 安全环境建设与改进

1）构建安全的数据库

一卡通数据库独立部署于专用内网，只允许通过认证、许可、审核过的特定应用服务访问。所有的WEB 服务器、工作站、终端设备等都部署在外网，通过调用特定的应用服务与数据库进行交互，从而实现通数据库的安全隔离。

数据库平台构建后支持多种数据库，可以通过平台配置实现对不同数据库的连接，从而确保数据库无关性。

2）确保设备无关性

设备选择时，不仅仅考虑同一厂商设备的接入，更要考虑不同不同厂家的不同类型的终端设备的同时接入，最大程度的保护学校利益。

3）构建安全的终端应用通道

使用ZYTK3.5的安全通道技术，通过应用接入服务在前端应用系统与后台服务之间搭建一条安全的通道。为各类管理工作站提供安全的接入。

4）构建一卡通的通信动态加密机制

一卡通终端和管理工作站必须先签到，在需获取唯一的认证种子之后，再进行加密通信。采用验证的方式，防止敏感数据被有意或者无意篡改和破坏。

5）搭建强大的存储容灾备份

构建稳定的存储容灾备份系统是安全保障的核心部分，该系统存储着数字校园、一卡通、虚拟化平台等核心数据。学校采用两台华为OceanStorS5500T存储系统，其中一台为主存储，另一台为备存储，通过存储自身的同步复制功能将主存储上关键应用所在LUN同步复制到备存储上进行容灾。采用一台爱数VX1200备份一体柜对虚拟机、数据库、服务器操作系统等进行备份，确保虚拟机、数据库或服务器系统出现在故障后能快速恢复，保障数据完整性和降低业务中断时间。

6）核心服务全部虚拟化

学校采用华为Fusionsphere虚拟化软件，配置32颗CPU的license，在一批新购置的刀片服务器上构建集群。学校所一卡通、数字校园服务全部采用FusionSphere，将上述应用服务部署到虚拟化化的高性能物理服务器上。并且利用华为HyperDP设备，配合FusionCompute快照功能，实现虚拟机数据的指定策略备份。当虚拟机数据丢失或者发生故障时，可以进行快速的数据恢复与业务恢复。

5 结束语

项目建设完毕后的基础环境具有了较高的扩展性、稳定性、易用性、安全性。

参考文献：

[1] 张媛.高校校园一卡通系统建设概述[J].信息安全与技术，2014（1）：78-80.

[2] 李云霞.校园一卡通系统的设计[J].科技信息，2011（20）：79-80.

[3] 李延诚.校园一卡通系统的方案设计[J].电脑知识与技术，2011（26）：6257-6529.

[4] 周扬帆.基于物联网的智慧校园构建研究[J].物联网技术，2014（10）：66-68.

[5] 高侠.校园一卡通在数字化校园中的应用[J].现代交际，2011（3）：41.