基于扁平化架構精細化管理校園網絡方式探究

李白燕，鄭 州（重慶市教育信息技術與裝備中心，重慶400020）

基于扁平化架構精細化管理校園網絡方式探究

李白燕，鄭 州
（重慶市教育信息技術與裝備中心，重慶400020）

傳統的校園網建設主要采用：核心層—匯聚層—接入層的三層網絡架構，一般均使用三層數據交換的網絡架構方式，由于三層交換機擁有端口數高、接口傳輸快速和較強的數據通訊及交換性能，可以滿足校園網建設的高帶寬、快速互聯和轉發的需求。但是，這種網絡架構在當前校園用戶量激增的情況下，各種應用系統和業務平臺迅速增加，網絡寬帶流量激增和復雜的情況下，會存在一些問題，基于扁平化架構精細化管理校園網絡，不僅能解決帶寬網絡接入的傳統問題，而且也能面對下一代網絡提供針對IPv6的完善支持和規模化部署應用，并與認證方式實現完善融合。

扁平化；校園網絡；精細化；管理；維護

近年來，教育信息化建設迅速發展，以教育部“三通”工程為契機，校園網絡不斷完善和升級，相關部門都在努力探索在當前復雜網絡條件下，校園網絡的不同需求和更優的解決方案。傳統的校園網絡架構中，最多考慮的問題是校園網的帶寬和端口密度，這是由于早期的校園網更多需求的是校園內部簡單的互聯互通的應用，因此對于校內的接入端口和互聯帶寬更為依賴。隨著用戶數量越來越多，用戶接入訪問呈多元化、多樣化形式，面對校園網的應用系統、業務平臺迅速增加，帶寬流量要求激增和復雜等現實問題，對當前校園網絡本身的性能、多業務支撐能力、網絡安全以及網絡穩定性方面也帶來了更大的挑戰：投資成本加大、管理工作量增加、多套賬號密碼導致用戶體驗差、網絡安全威脅增加等。如何通過校園網這個平臺，對當前學校的各類信息化應用提供良好的承載，并且能夠為未來準備較強的擴展能力，這是目前校園網建設的挑戰。

一、傳統校園網技術架構及弊端分析

傳統的校園網的建設思路主要采用：核心層-匯聚層-接入層的三層網絡架構，一般均使用三層數據交換的網絡架構方式，由于三層交換機擁有端口數高、接口傳輸快速和較強的數據通訊及交換性能，通過可以滿足校園網建設的高帶寬、快速互聯和轉發的需求。傳統的校園網三層結構及功能劃分模型如圖1所示。

圖1　校園網絡三層結構及功能

核心層：提供高速接口，實現核心高速轉發。

匯聚層：提供用戶在校園網中的DHCP地址分配和用戶的三層中轉功能；在校園網中，除了提供IP單播報文的轉發外，還必須能夠支持組播功能，提供組播視頻流的復制和下發。另外，需要在匯聚層的三層接口上開啟相應的ACL訪問控制功能，QoS服務質量保障等功能，隨著IPv6在校園網的部署，還需要提供用戶的IPv6功能，如無狀態IPv6地址分配、IPv6單播和組播轉發等。

接入層：直接面向用戶連接和訪問的部分，并進行業務和帶寬分配，實現VLAN邏輯網絡隔離。同時，為了避免目前大量存在的ARP攻擊問題，還必須在接入層交換機上開啟DHCP偵聽和ARP動態檢測 （一般三層交換機才能提供這一類的功能）。

以上這種架構下，校園網絡用戶數量增加，應用系統、業務平臺的激增，網絡流量越發復雜，會存在這樣一些問題：

（1）策略部署配置和管理復雜。傳統網絡結構中，核心層、匯聚層、接入層三個層面都在實現對接入用戶的控制和管理，每層都同樣實現了相同的部分功能，管理員要在網絡中針對用戶的網絡接入或系統部署，都要對網絡各個層面的設備支持的相應功能進行一一配置，還要考慮到各個層面設備的支持性能，這就使得在網絡中部署新的業務系統變得非常復雜和困難。各層控制分散，出現問題后，排除故障定位難、恢復時間長，恢復設置又要設計多個層面的設備。

（2）接入層設備性能導致設備功能的穩定性較差。核心層設備執行了最簡單的轉發，其他功能相對較弱，而網絡邊緣負責匯聚和接入的設備，為滿足用戶接入需要對功能的要求卻較多，導致網絡層與能力層的嚴重不匹配。一般情況下設備匯聚和接入的性能一般也不是很高、功能和穩定性也比較差，所以在實際網絡架構過程中，經常出現故障，效果不理想。

（3）內網安全隔離無法實現細分。因采用三層交換架構，單臺設備只支持4095個VID標識，不能實現內網安全隔離的VLAN精確細分，容易導致大量的用戶、應用處于同一個域內，無法有效地進行隔離，域之間相互的網絡干擾嚴重。如：普遍存在的ARP病毒、DHCP欺騙等問題，導致用戶在接入網絡后問題頻發，網管難以應付，如果借助在接入層設備上啟動DHCP監聽和動態ARP監測來解決，又會造成運行維護工作量大、網絡策略配置復雜等新的問題，也增加了接入層設備的處理壓力，會導致可靠性降低。

（4）無法實現對用戶的精細化管理。為了實現接入網絡的認證管理，通常都會采用接入層的802.1x協議，由于它是基于Client/Server的訪問控制和認證，在獲得交換機或LAN提供的各種業務之前，802.1x對連接到端口上的設備進行認證，也就是無法實現用戶的速率控制、訪問行為控制和用戶流量控制等；同時，由于802.1x功能同樣在邊緣的接入層交換機上實現的，同樣帶來了大量接入層交換機運行維護困難，在遇到802.1x攻擊時，接入層交換機很容易出現問題導致斷網。

以上這些問題將隨著校園網絡發展擴大，逐步變得復雜，部署的業務系統的疊加，用戶數的增加和流量爆發式增長而顯得尤為突出，必將導致校園網運行維護壓力加大、穩定性、可靠性降低等現實問題。

二、扁平化架構校園網絡思路及模式

要避免傳統網絡架構所帶來的運行維護問題，改變當前校園網建設的傳統模式，我們可以借鑒運營商成熟的大規模網絡建設和發展的思路，從校園網架構設計上解決問題。即借用“扁平化的校園網絡架構和精細化的用戶管理”這一思路。

扁平化：不是簡單的將網絡的物理層改造成成兩層結構，而是按各自承擔的功能將網絡設備進行區分，通常劃分為業務控制和寬帶接入兩個層次。寬帶接入由匯聚和接入層設備構成，提供VLAN二層隔離功能和高帶寬接入，業務控制層則由核心層設備構成，提供網絡中的用戶接入控制、業務功能實現等復雜功能。

其邏輯結構如圖2所示。

圖2　扁平化網絡架構功能區分

1.校園網的扁平化設計架構

為將校園網絡進行扁平化設計，我們需將整個網絡一般分為兩個層面：業務控制層由網絡中的核心層設備組成，接入層一般由匯聚和接入設備則構成。通過扁平化的網絡架構，接入的IPv4地址由核心設備DHCP分配，用戶間均可利用VLAN隔離，且地址池可動態分配用戶地址，避免浪費。用戶的IPv6地址可以通過核心層的無狀態地址分配方式，一般此類網絡結構中不IPv6不需要匯聚層和接入層的支持。而當前校園網中廣泛應用的WLAN功能，在扁平化和集中控制的網絡中，無線一體化架構能很好的實現并應用。無線AP與接入層設備同樣，都是提供了接入網絡的通道，接入控制、業務實現都由核心層設備提供，邊緣的AP無需支持。因此，在這種方式下，有效地提供了無線設備僅需基本的瘦AP頻段、信號、功率等方面的控制即可。

圖3　扁平化網絡布局示意圖

2.扁平化網絡架構的優勢

（1）新業務系統部署更加靈活

路由核心設備的高可靠性為應用和業務的部署提供了保障，業務控制和管理由功能豐富的路由核心設備集中提供，部署業務系統更加方便快捷，既能夠保障在提供這些業務功能的同時，也能具備較好處理性能。同時，路由設備也保障這些應用和業務系統的高可靠性。

（2）有利于業務系統控制更加集中化

集中化的用戶業務控制能夠簡化接入網、簡化校園網管理模型，實現統一管理平臺和界面。集中化的用戶業務控制能夠有效的解決業務多樣化帶來的挑戰，減少多套系統帶來的投資成本增多、多套賬號密碼導致用戶體驗差等諸多問題。

（3）增強高可靠性和高穩定性

提升了匯聚和接入層設備的可靠性和穩定性，匯聚/接入設備只需要二層透傳和VLAN隔離這些基本的功能，無需支持新業務功能，因此能夠顯著降低全網設備的投資和后期的使用維護費用，同事，匯聚/接入層設備功能的弱化，使得這些設備的可靠性大大提升，有利于全網的穩定可靠運行。

（4）運行維護更加簡單

扁平化架構后的網絡在功能擴展和運行維護將更加方便靈活，因核心層設備只涉及業務功能，因此，只需考慮這些業務系統的特性核心層設備是否能夠支持即可，匯聚和接入層這些邊緣設備，僅需要考慮端口的擴充、帶寬的增加即可。

通過網絡架構的變化，將有效解決目前校園網出現的一些問題，對目前校園網絡平臺進行合理優化，更好的承載當前教育信息化發展。架構扁平化的校園網絡即核心層設備的功能、性能、可靠性和可擴展性提出了更高的要求。目前，市場上也有一些企業對典型的網絡環境開發出了下一代以太網核心路由設備，能夠提供運營商級的以太網路由功能，同時具有高密度的千兆/萬兆接口，并采用高性能ASIC、運營商級系統架構的高可靠性，已逐步成為構建校園網核心網絡中堅力量，能夠滿足學校在未來3-5年內核心網絡容量的需求，是面向下一代“智慧校園”網絡建設的理想平臺。

三、精細化管理校園網絡的思路和優勢

我們傳統的校園網絡通常是粗放型，按照網絡應用維護控制的角度來說，只滿足了基本的網絡互連互通的需求，但缺乏相應的管理控制，比如：

（1）網絡使用中無法進行實名制，訪問行為缺乏有效追查記錄，難以實現用戶權限的控制，存在未經授權的訪問。

圖4　扁平化網絡結構劃分

（2）控制訪問缺乏針對性，網絡帶寬被無序占用，重要業務帶寬無法保障，用戶間互相影響，網絡中得攻擊泛濫，如ARP攻擊/DHCP仿冒/IP仿冒。

精細化管理校園網絡，不僅要解決帶寬網絡接入的傳統問題，而且要面對下一代網絡提供針對IPv6的完善支持和規模化部署應用，并與認證方式實現完善融合。目前，許多網絡產品研發企業，能針對校園網用戶的需求提供了三種針對IPv6的部署方式：L2TP方式、PPPoE方式、IPoE方式。通過在校園網中部署集中化業務控制系統，進行精細化管理，能夠完成身份認證、訪問控制、流量計費等功能，實現校園網應用的可識別、可跟蹤、可控制和可管理。

1.精細化管控能構建更安全的網絡秩序

精細化管理網絡是強調基于用戶的控制，他可以基于用戶賬號，實現基于用戶的控制。能夠對網絡中的使用者，實現基于用戶身份的行為控制、流量訪問記錄和審計，實現對使用者身份、網絡IP地址及訪問行為的識別。

2.改善與校園無線網絡的無縫對接

無線網絡已經在校園網內非常普及，在圖書館、教室等地方幾乎都能看見學生在用筆記本電腦、PAD進行無線上網，但無論是建設還是維護和管理無線網絡，所產生的成本都比較高。精細化網絡管理后，外線網絡只是提供了一個二層通道，類似于交換機提供的有線二層通道，無線通道上可以支持IPOE用戶接入管理，所以無線網絡部需要部署用戶接入管理功能，簡化了成本和管理維護需求，智能識別用戶的無線接入方式，從而實現區別有線方式的針對性的控制和計費功能。

3.更好地實現IPv6/IPv4雙棧組播控制

基于用戶賬號來控制用戶是否允許組播功能，其次他控制用戶的訪問速率，并且把組播數據復制到用戶的PPPoE會話或者VSI接口實現組播，同時，當用戶使用PPPoE或L2TP實現撥號認證時，交換機支持組播VLAN可以實現接入層設備上IPv6/IPv4組播數據的復制。

目前，傳統數字校園建設將向更高級的智慧化校園網絡建設轉型升級，高帶寬、大并發、移動互聯、泛在網絡，將是未來一段時期校園網建設的目標，網絡建設將面向應用、面向用戶、面向管理為需求出發點，結合目前實際狀況和發展需要，積極以新的思路和新的模式探索構建起真正適合學校信息化建設發展目標的網絡支撐平臺環境，通過對校園網的扁平化架構精細化管理控制，可更好的實現基于用戶的網絡控制、行為管控、流量分配等，提高網絡安全、穩定和可靠性，并且能夠隨著教育信息化的不斷發展，實現平滑的演進，達到高性能、易管理和精細化的目標。

［1］張代華等.基于扁平化和精細化管理的校園網基礎平臺建設［J］.軟件，2014，35（8）.

［2］劉興光.基于SDN的智能園區交換網絡解決方案［J］.通訊世界，2015（19）.

［3］覃毅.校園網絡扁平化架構設計與實施［J］.農業網絡信息，2015（7）.

［4］湯小康.高校校園網的精細化管理解決方案［J］.信息與電腦（理論版），2014（7）.

［5］尹憶民等.建設扁平化新型校園網絡［J］.華東師范大學學報，2015.

（編輯：王曉明）

TP393

A

1673-8454（2016）17-0048-04