中國海洋大學：提高數字校園網絡精細化管理水平

文/辛華龍

以網絡和信息為基礎，以統一規劃、分布實施為主要特征的數字化校園，已經成為高校信息化建設的主流，信息標準體系、安全保障體系、運維保障體系，已經成為目前學校信息化建設與運行維護的重點。中國海洋大學通過校園網的網絡結構優化、寬帶認證計費、有線無線統一化認證和數據中心安全等技術，在建設數字化校園的基礎上，提高校園網絡的可管理性。

現存問題

在中國海洋大學校園網建設初期，學校就已意識到網絡管理和數據中心安全的重要性。網絡管理的基礎，是管理當時幾千個在網用戶。對于用戶的網絡行為管理、認證、計費，中國海洋大學采用串聯網關配合宿舍區使用802.1X技術，學生宿舍的認證方式使用客戶端軟件配合交換機802.1X協議，教學區和圖書館使用Web方式進行認證，認證過后所有上網流量進行計費，并記錄上網行為，以便進行日后追溯。這種用戶管理方式在早期非常流行，也是目前很多高校還在繼續沿用的用戶管理方式。但隨著中國海洋大學在網用戶數量不斷增加，使用802.1X的計費方式給網絡與信息中心的運維工作增加了很大的工作量，而且接入交換機每次更新都需要購買支持802.1X協議的交換機，花費巨大?；ヂ摼W出口串聯網關的方式，也因用戶量增加導致出口帶寬的增加，原有計費網關已經成為校園網發展的瓶頸。

在數據中心安全方面，中國海洋大學在當時使用了核心交換機加硬件防火墻模塊的部署方式，為了增加防火墻模塊的利用率，還使用了防火墻虛擬化技術，由虛擬防火墻構建以防護中國海洋大學校園網出口及數據中心的安全網關。隨著學校數據中心規模的擴展及校園網一卡通的應用，數據中心的安全及穩定性受到網絡與信息中心越來越多的關注，而交換機插防火墻模塊的部署方式，其應用層深層檢測防御機制的缺失、硬件架構穩定性差及部署結構復雜的缺點，也讓學校網絡與信息中心重新審視改變這種部署方式的必要性。

新一代校園網建設目標

數字化校園網的建設，需要建設高可用的數據中心基礎設施、統一的數據中心基礎應用和核心應用服務以及資源豐富的數字化學習、管理系統。這些豐富應用的前提，是建設一個高可靠性、安全可管理的園區網。校園網的基礎網絡平臺是“路”，教學資源、數字化應用等資源是“車”，對于學校網絡與信息中心來說，不僅僅需要一個安全可靠的“路”，還需要這條“路”有較高的透明度及可管理性，才能讓數字化應用資源為全校師生提供更人性化的服務，才能構建滿足學校教、學、科研、管理與服務要求的開放性、協同化運行支撐環境，為校內、外各類人員提供完善的個性化服務支持，為學校的教學、科研和管理提供完善的數字化支撐平臺。

也正是基于以上幾點問題，以及建設數字化校園的必要性，讓學校網絡與信息中心決定優化網絡架構，提高中國海洋大學校園網可管理性，構建新一代數字化校園網。為了少走彎路，拓寬視野，學校網絡與信息中心在2011年組織參觀調研了多所985高校，吸取兄弟學校數字化網絡建設經驗，組織專家進行論證，逐步形成中國海洋大學下一代校園網基礎架構網絡模型。

建設方案

網絡架構優化改變原有認證方式

整個中國海洋大學校園網由多個模塊構成，園區接入區、數據中心區、互聯網接入區、節點接入區等。而隨著學校校園網各類業務、應用和用戶承載的快速發展以及對校園網絡精細化管理要求的提升，網絡與信息中心設想構建一個高性能、精細化和易管理的下一代校園網。通過對現有校園網絡的結構優化，簡化學校校園網網絡架構，減輕接入交換機、匯聚交換機網絡職能，接入及匯聚層交換機只負責高速轉發，所有其他功能由三大校區的核心交換機替代，降低網絡運維成本，提高轉發速度。用戶認證計費方面選擇運營商使用多年的BRAS（寬帶接入）系統，確認了在宿舍區使用PPPoE技術，院系區教學區使用IPoE技術，通過三大校區的核心交換機設備，管理學校幾萬在網用戶。通過PPPoE的輕客戶端（Windows自帶客戶端撥號軟件）和IPoE的無客戶端方式，網絡與信息中心可以很輕松地管理幾萬在網用戶，也因園區網架構的簡化，接入層和匯聚層設備可以選用較低檔次的網絡設備。同時，BRAS開放式的架構，讓學校可以自主選擇支持標準Radius協議的后臺認證計費服務器，甚至自我開發一套認證計費系統，從整體上降低CAPEX（Capital Expenditure）和OPEX(Operating Expense)。

數據中心安全管理是重中之重

數據中心作為數字化校園的大腦，需要高速、穩定、安全和易維護的網絡架構來構建。數據中心使用網絡虛擬化技術，不僅可以最大限度地利用網絡設備本身的資源，還可以降低運維成本，增加網絡中心工作效率。而數據中心的安全防護，更是網絡中心一直在重點考慮的部分。使用盡可能少的安全設備，提供涵蓋七層網絡模型的安全防護功能，實現快速轉發，并保護越來越多的服務器。

提高原有網絡設備利用率

建設下一代數字化校園網，升級網絡設備，進行網絡改造，勢必會購買新的網絡設備，淘汰舊的網絡設備，原有校園網網絡設備如何利用，也是學校網絡與信息中心在此次網絡升級改造時考慮的重點。通過專家論證，決定繼續使用淘汰下來的網絡設備，原有核心交換機作為新校區匯聚交換機，部分低端交換機用來搭建學校網絡學院網絡實驗室，為網絡中心運維人員及計算機學院學生進行運維測試和學習提供實驗環境。

基于無線網絡與有線網絡的統一管理

數字化校園的建設，離不開無線網絡的建設，無線網絡作為校園有線網絡的補充，如何讓無線網絡在數字化校園建設的基礎上，為師生帶來更好的用戶體驗，是學校網絡與信息中心建設無線網絡的原動力。中國海洋大學的無線網絡除了要具有安全、穩定、高速等特質之外，還要保證用戶在任意地點、任意時間，實現有線無線統一賬號接入校園網。有線無線的統一化認證，既降低了網絡中心運維成本，又提高了網絡服務水平。基于扁平化的下一代校園網，BRAS的IPoE技術可以作為有線網和無線網的統一認證技術，通過IPoE + Web Portal技術，無論用戶使用有線還是無線方式連接到網絡，都會基于瀏覽器統一打開Portal頁面進行認證，使用一個賬號，就可以在有線網絡和無線網絡上享用校園網資源。

網絡扁平化升級改造

通過為期一年多的設備選型，專家論證，組織招標，學校確定了構架中國海洋大學園區網和數據中心網絡的產品類型。

秉承基于扁平化網絡來構建下一代數字化校園園區網，學校網絡與信息中心在校園網核心部署三大校區帶有BRAS功能的高端以太網路由器，承載全校五萬師生的上網流量及用戶管理功能。核心設備的升級，帶動全網扁平化的改變，原有的三層網絡架構通過兩臺高端以太網路由器的加入，使得匯聚層及接入層的大部分功能遷移到兩臺核心設備上，匯聚及接入設備弱化，由原來的物理三層架構變為邏輯二層架構，網絡中心僅僅需要維護三大校區的核心設備就可以管理整個校園網。出口防火墻由原來的交換機插防火墻板卡的方式轉為部署兩臺高性能防火墻，增加出口網絡穩定性的同時，也因使用了防火墻的虛擬化技術，兩臺防火墻虛擬為一臺防火墻，降低了運維的工作量。同時，數據中心的部署，大量使用了虛擬化技術，接入交換機的虛擬機箱技術，數據中心核心防火墻的Cluster技術，進一步幫助學校降低了運維成本，同時核心防火墻的旁掛部署模式，也解決了使用一組防火墻防護學校數據中心十幾個VLAN之間互相訪問的安全控制需求。

圖1 下一代數字化校園扁平化管理

此次網絡升級改造是分步驟進行的，目前已經完成所有園區網核心、出口及數據中心新購設備的升級替換工作，正在逐步啟用核心設備的BRAS功能，實施完成后，宿舍區的802.1X的認證方式更改為PPPoE的認證計費方式，教學區和圖書館的串聯城市熱點服務器的認證方式會改成IPoE + Web Portal方式，城市熱點計費服務器旁掛在核心設備上，作為Radius服務器及計費服務器繼續為中國海洋大學使用。升級改造淘汰下來的核心交換機，也已經作為新建南隴口校區的匯聚交換機，其他低端交換機作為網絡學院的網絡實驗室設備繼續使用。這樣，原有認證計費的維護成本降低，城市熱點串聯在出口的性能瓶頸得到了解決，同時也充分利用了現有的網絡設備，避免了資源浪費。

為了達到在中國海洋大學校區內任何地方都能享受數字化校園服務的目標，網絡與信息中心目前正在進行無線網絡的論證工作，簡化網絡架構，提高數字化校園園區網可管理性，是中國海洋大學衡量無線廠商產品及方案的重要依據。核心網絡升級改造完成后，基于核心路由器的BRAS解決方案，會把無線網絡的認證納入進來，實現有線無線的統一化認證，使得中國海洋大學師生通過一個賬號，就可以無縫使用有線網絡和無線網絡的資源。同時，統一認證后，無線網的可管理性將會增加，并降低其運維成本。