哈爾濱工程大學：校園網扁平化改造優化管理

文/吳宇平 徐俊波 張智萍

哈爾濱工程大學：校園網扁平化改造優化管理

文/吳宇平 徐俊波 張智萍

經過BRAS扁平化校園網建設后，網絡報修數量下降，處理網絡故障難度降低，故障定位快速精準，減少了校園網運維工作量，提升了校園網管理效率。

校園網存在問題

哈爾濱工程大學校園網采用三層組網結構，IPv4/IPv6雙棧訪問互聯網，拓撲結構比較完整，但運行環境復雜，網絡故障較多，排查困難，日常運維的工作量大，認證計費也不統一，特別是隨著學校的發展和建設，上網人數逐年增加，網絡應用也越來越豐富多樣。在校園網實際運行中，存在管理運維復雜、上網監管困難等問題，校園網絡結構、運行模式已不能滿足管理和服務的需要，矛盾日益突出。

網絡管理運維復雜

1.網絡優化工作量大

學校IPv4網絡共7條出口鏈路，連接4個不同的運營商。由于運營商的路由數目眾多，而且路由信息更新較快，所以需要定期檢查并及時更新出口路由表，進行路由優化。同時，為保證網絡的正常應用，需要通過流控設備長期對校園網流量進行優化，限制P2P、流媒體等應用，緩解校園網出口壓力。

2.日常網絡運維復雜

圖1 哈爾濱工程大學校園網拓撲

現在的校園網結構、用戶管理和IP管理方式給日常運維帶來巨大的工作量。例如，802.1X客戶端相關故障、用戶操作電腦配置IP相關信息、IP地址沖突問題等故障最為突出，且解決上述問題占用時間多，處理故障較為困難。根據2013年3月～2014年3月網絡故障統計，故障總數量為1750個，其中線路故障數量為927個，占據總故障量的53%，而處理線路故障只占運維總工作量的很少一部分。其他類型故障數量的總和為校園網故障總數量的47%，而處理這些故障耗費了巨大的運維工作量。

3.IP地址不夠用與浪費現象并存

由于學校用戶使用靜態公網IP地址，學生畢業離?；蚴墙坦ぷ儎庸ぷ鳂怯顣r，辦公網IP地址不能及時回收，造成IP地址的浪費、IP地址與用戶信息存在不一致、IP地址被其他人盜用等問題。同時，在公寓網和家屬區用戶也采用公網靜態IP地址，同樣存在IP地址不能及時回收、造成IP地址浪費等問題。

4.網絡接入安全管理較弱

校園網接入層安全管理較弱，不能做到從接入層杜絕網絡病毒的傳播，網絡病毒突發性高，導致單用戶傳播網絡病毒影響其他用戶上網等問題。

5.出口帶寬缺乏有效管理

校園網Internet出口帶寬有限，部分用戶無限制地使用出口帶寬或者使用P2P工具進行下載。過多的P2P下載，造成出口擁塞，出口的擁塞又會造成更多用戶加入帶寬的爭搶，致使出口更加擁塞，這必將導致網絡丟包嚴重，大量數據包重復發送，進一步擁塞整個網絡，其最終結果就是整個網絡出現擁塞，所有用戶不能正常上網。所以，需要限制校園網用戶使用P2P下載，保障校園網用戶對瀏覽網頁、查收郵件、即時通信等關鍵應用的使用。

認證計費問題

1.認證客戶端兼容性差

公寓網和家屬區采用基于802.1X的客戶端認證，雖然能夠快速定位到故障用戶，但同時也帶來很多問題。例如，上網終端必須安裝與設備廠商配套的802.1X客戶端軟件，而且該軟件與操作系統的TCP/IP協議棧是強耦合關系，所以對應不同的操作系統（如Windows、MAC OS、Linux等）的不同版本，存在客戶端版本兼容性問題和無響應客戶端問題。

2.計費策略不靈活

目前無法按照校內流量、校外流量、IPv6流量進行統計，所以無法實現按照不同流量的分離計費；不能實現按時長、按流量、按包月的混合計費策略；不能對校園有線網、無線網進行統一的認證計費；不能實現同一賬號在不同網絡場景對應不同的計費策略和漫游等功能。

3.認證計費系統與廠商設備緊耦合

不同廠商對802.1X協議有不同的私有化協議，存在不同廠商網絡設備與認證計費系統之間802.1X協議報文兼容問題，使學校采購接入設備時必須使用認證計費廠商的網絡設備。

4.公寓網破解防代理情況嚴重

公寓網存在一個寢室使用一個賬號進行破解防代理共享上網的情況很多，不但給校園網絡的管理帶來麻煩，而且造成費用流失。因此，如何真正有效防止校園網中的代理使用，是非常重要、緊迫的需求。

5.有線網、無線網賬號不統一

現有的校園網結構與認證計費系統不能實現校園網用戶上網賬號有線無線一體化，用戶訪問不同的網絡需要不同的用戶名和密碼，導致接入網絡不便捷，且上網賬號與全校統一身份認證和信息門戶對接已成為當前趨勢。

6.網絡接入場景復雜，認證模式單一

校園網有多種網絡應用場景，如辦公網、公寓網、家屬區、無線網、留學生公寓等。校園網接入終端類型也較多，如PC、平板電腦、智能手機、打印機、攝像頭、IP電話等。不同的網絡場景、不同的接入終端，需要不同的認證方式和計費策略。

出口帶寬壓力較大

校園網出口帶寬即使在流控設備管控下，7條出口鏈路2.8G均已跑滿。盡管校園網的規模在擴大，網絡基礎設施在提升，出口帶寬在增加，但是各種網絡應用也更加豐富，特別是某些用戶和應用（如P2P、視頻等應用）過多的占用校園網出口資源，出口帶寬的增長速度與訪問流量的提升速度已經是一種矛盾。

用戶上網監管困難

1.用戶開通上網服務復雜

辦公網、公寓網、家屬區開通上網流程復雜，既不方便校園網用戶使用網絡，又給網絡信息中心工作人員帶來更多的工作量。

2.對上網用戶缺乏有效管理

對校園辦公網用戶沒有做到準入認證，管理不夠嚴格，存在IP地址與用戶信息不符的情況，導致對用戶缺乏有效管理。

3.缺乏用戶上網行為監管

時常出現盜用IP地址，修改MAC地址，合法網絡用戶無法訪問網絡問題。同時，需要對用戶的網絡行為進行監管，而現在校園網對上網行為管理不強，沒有對上網的行為進行監控記錄，不能完全做到用戶IP地址可溯源，無法滿足保密和上級安全部門的管理要求。

因此，作為校園信息化最為重要的基礎網絡設施，現階段校園網已不能滿足對其管理和服務的需要。

校園網升級改造目標

校園網升級改造目標：優化校園網絡結構，使校園網絡滿足未來五到八年新業務發展的需要，實現校園有線網、無線網一體化，提供多種認證方式和多樣靈活的計費策略，提高校園網管理和服務的水平，實現對校園網絡、用戶、出口流量的精細化管理，且與校園信息化進行深度融合，提升學校信息化建設水平，具體目標如下：

網絡層次簡化、清晰

通過校園網升級改造，將現在三層結構的校園網改造為基于BRAS的扁平化大二層網絡架構。扁平化大二層網絡改造是從網絡中設備所承擔的功能上分區，從邏輯結構上將校園網劃分為業務控制層和寬帶接入層。

用戶和業務控制集中

校園網核心層采用BRAS設備，提供集中的業務控制和管理，有利于功能和業務的部署，更有利于發揮核心設備的穩定性和可靠性。

降低建設和運維成本

扁平化校園網部署匯聚層和接入層設備時，只需考慮設備具有QinQ和二層VLAN隔離等基本功能，從而有利于降低數量眾多的匯聚層和接入層設備投資。而且，由于功能簡單，也有利于這些設備的穩定可靠運行，降低校園網建設和運維成本。

校園網易擴展和管理

基于BRAS的扁平化校園網使網絡更有利于擴展，對新功能、新業務提供更好的支持，即匯聚層和接入層設備只需要考慮接入端口的擴充、上行帶寬的增加，網絡管理更加簡單、高效。

提高可靠性和安全性

BRAS作為校園網核心，采用全冗余、高可靠網絡技術，保障業務永續不中斷。接入層設備利用VLAN隔離用戶，避免網絡病毒傳播，提高校園網的接入層安全。

實現有線、無線網一體化

基于BRAS設備的扁平化網絡，結合第三方認證計費系統實現有線網、無線網融合統一認證計費，使校園網用戶可以在任何一個地點實現校園網訪問，實現以下目標。

1.統一校園網接入認證計費管理平臺，使用戶通過有線網、無線網接入均使用同一賬號進行認證計費；

2.簡化用戶接入認證方式，一次認證即可進行校園內網和互聯網訪問，實現與校園門戶系統對接，提升用戶上網體驗；

3.部署與設備獨立的認證計費模式，實現包括PPPoE認證、IPoE 認證、Web認證等在內的多元化認證體系，兼容無線網絡認證和計費；

4.實現不同用戶的多種認證方式，對無線智能終端實現無感知認證，同時提供校園網訪客認證，提升用戶網絡使用體驗；

5.實現多種靈活的計費策略和流量控制方式，合理的優化出口帶寬，讓用戶上網感覺更快，體驗更好。

提升管理運維效率

基于BRAS的扁平化校園網建設后，網絡報修數量下降，處理網絡故障難度降低，故障定位快速精準，減少了校園網運維工作量，提升校園網管理效率。

合理管理用戶IP地址

啟用PPPoE認證或IPoE認證，動態分配用戶終端IP地址，避免出現大量無效用戶占用靜態IP地址的問題，減少IP地址浪費。

實現用戶精細化管理

根據用戶上網賬號，在用戶認證時動態下發控制屬性，對用戶的訪問速率、權限等進行控制，從而實現每一個校園網用戶的個性化控制。同時，實現用戶上網實名制，對上網賬號、MAC地址、IP地址、上線時間、下線時間、流量、計費、認證日志等進行記錄，做到用戶行為溯源。

實現與信息化應用系統對接

認證計費系統作為用戶的核心網絡應用，實現與信息化應用系統的對接，為學校師生提供便捷、豐富的信息化服務。

建設方案

圖2 基于BRAS的扁平化校園網拓撲

以學校校園信息化建設規劃為指導，按照整體規劃、分步實施的原則思想進行建設：

在網絡架構方面，采用大二層扁平化網絡架構，核心層選用功能豐富、性能強大、支持多種認證方式的BRAS設備；

在認證計費方面，選用能與多個設備廠商對接的第三方認證計費系統，采用實名制認證上網，可實施多種認證方式和靈活的計費策略，實現有線、無線融合一體化認證，且能夠與學校的一卡通系統、校園信息門戶和統一身份認證系統對接；

在校園網出口方面，保障校園網業務安全、可靠，較強的抗攻擊能力，實現校園網流量疏堵結合控制，并對用戶上網行為進行管控和審計，追蹤溯源；

在校園網原有設備方面，各樓宇匯聚層和接入層設備充分利舊，保護、節省原有投資。

扁平化網絡

扁平化校園網是邏輯上的扁平化，分為校園網核心層、樓宇二層網絡匯聚層和接入層,如圖2所示。

1.核心層

校園網核心層部署BRAS設備，負責對校園網用戶的統一接入和認證，匯總和轉發校園網全網用戶流量，滿足校園網的大用戶量、高并發連接數、多樣化計費的需求。由于核心層是校園網數據轉發的樞紐，因此采用雙機熱備方式部署兩臺BRAS設備，提高核心層的可靠性。兩臺BRAS設備利用萬兆鏈路互連，上行也為萬兆鏈路，下行連接不同樓宇千兆鏈路和少數萬兆鏈路。同時，BRAS啟用限制用戶帶寬的功能，訪問校內資源和IPv6資源不限帶寬，校外資源限制帶寬。

2.匯聚層

樓宇二層網絡匯聚仍使用現有匯聚設備，但需更改匯聚設備配置，在有線網二層匯聚設備啟用QinQ功能，封裝用戶VLAN的內層標簽。匯聚層設備將眾多的接入設備和大量用戶經過一次匯聚后再接入到核心層，擴展核心層接入用戶的數量。同時，匯聚層是一個樓宇匯聚點，轉發本區域用戶到其他區域用戶的橫向流量，具有高帶寬、高端口密度、高轉發性能等特點，用于支撐該匯聚層下各業務部門之間的流量。

3.接入層

接入層是最靠近終端用戶的網絡，為用戶提供各種接入方式的二層設備。接入層除了需要部署豐富的二層特性外，還需要具備安全、可靠、高密度、高速率的端口，以支持更多的終端接入校園網絡。接入層仍然使用校園網現在運行的接入層設備，但需更改配置。接入層設備每個端口配置一個用戶VLAN，標記為內層標簽，上連端口設置為TRUNK放通所有用戶VLAN至匯聚設備。接入層設備利用VLAN將用戶隔離，避免ARP病毒問題，做到網絡接入層的安全。

4.無線網

對無線網覆蓋的樓宇進行扁平化網絡改造，無線網采用本地轉發方式，BRAS設備對無線網用戶進行統一的接入、認證和管控。

5.校園網出口

在校園網扁平化建設基礎上，對校園網出口進行升級改造，包括出口防火墻、流控設備、應用緩存設備。

（1）新增出口防火墻

由于原有一臺防火墻對應4個運營商的互聯網出口，雙向吞吐量為12G，而該防火墻性能吞吐量為20G，并發400萬連接，4大運營商出口連接在一臺防火墻上，對防火墻的負擔很大。因此，新增加一臺防火墻設備，實現對原出口防火墻負載分擔，同時起到互為備份的作用，消除出口防火墻單點故障。

（2）擴容流控容量

擴容流控容量，實現對所有出口的流量進行控制和應用識別，有效地控制P2P下載和視頻的流量大小，保障關鍵網絡應用和服務的帶寬，滿足大多數用戶群體的需求。同時，與行為審計配合工作，對校園網用戶上網行為進行監控管理和可溯源，為校園網絡行為管理提供安全保障。

部署流量控制設備可以有效解決Internet出口帶寬濫用問題，主要包括：應用流量識別，分析、識別Internet出口的各種應用，解決Internet出口各種新應用層出不窮的問題，實時分析Internet出口各種網絡應用，實現流量管理控制的可視化。因此，對應用流量進行控制，實現校園網Internet出口應用有序化、合理化。

（3）部署應用緩存加速系統

校園網訪問外網的流量，下載和視頻應用占校園網出口帶寬70%以上，如何保障在限制下載和視頻應用的同時，保證用戶的上網體驗，使用戶在采取流控策略后，用戶的下載和視頻應用依然有很好的體驗。因此，在對出口流量進行限制的同時，通過在校內部署應用緩存設備，將部分用戶訪問的外網流量重定向到內網的緩存服務器上，由校園內網緩存設備向用戶提供服務，減少用戶訪問外網的流量。

認證計費

根據學校不同的網絡應用場景采用PPPoE認證、IPoE認證（見表1），以及不同的計費策略，并實現校園網用戶準入認證。同時，通過第三方認證計費系統對學校用戶實現精細化運營管理，支持校園網內不同類型用戶的業務區分，并根據不同類型用戶業務需求采取靈活的計費策略（見表2）。

表1 學校各網絡場景的認證方式

1.認證方式

學校校園網按照網絡應用場景可分為辦公網、公寓網、家屬區網和無線網，根據不同網絡場景的特點采用相應的認證方式。校園網用戶在認證通過前，不能訪問IPv4/IPv6網絡，用戶一次認證后即可訪問IPv4/IPv6雙棧網絡。

表2 學校各網絡場景的計費策略

2.計費策略

學校校園網按照網絡應用場景可分為辦公網、公寓網、家屬區網、無線網，根據不同網絡場景的實施不同的計費策略，常用的計費策略主要包括：包月、按流量計費、按時長計費，以及這三種計費方式的組合策略。

應用系統對接

第三方認證計費管理系統需要與學校以下信息化應用系統對接：

1.與一卡通系統對接

第三方認證計費管理系統與校園一卡通系統對接，用戶可以通過一卡通多媒體自助終端進行網費轉賬。

2.與校園信息門戶系統對接

第三方認證計費管理系統與校園信息門戶對接，通過門戶系統可查看用戶上網賬號相關信息。

3.與收費平臺對接

可實現用戶通過自助平臺利用第三方支付方式交納網費。

用戶管理

1.開戶

教工與學生通過認證計費系統的自助服務進行自助開戶。

2.交費

繳費方式包括：現金、一卡通轉賬、第三方支付平臺、支票、校內轉賬。

3.銷戶

認證計費系統通過學校離校系統提供的離校人員信息進行賬號凍結，并可在指定時間進行銷戶。

通過校園網扁平化改造建設，學校將建設完成邏輯上的基于BRAS扁平化大二層校園網以及部署第三方認證計費系統。改造后的校園網將為學校師生提供更加便捷的網絡服務，提升學校信息化基礎網絡建設水平，為學校信息化應用系統的使用和推廣奠定了基礎。

（作者單位為哈爾濱工程大學信息化處）