構建基于大二層扁平化網絡架構下的教育實名認證校園網

姚正超 長沙職業技術學院

構建基于大二層扁平化網絡架構下的教育實名認證校園網

姚正超 長沙職業技術學院

《國家十三五規劃綱要》明確提出拓展網絡經濟空間，構筑現代基礎設施網絡；同時，隨著國家對職業教育重視程度的提升，高職院校正處于高速發展期。隨著校園的擴大，老的校園網絡存在結構復雜、運維難度大、成本高等缺點，已經無法滿足日益增長的業務系統和網絡用戶的需求，亟待升級改造。在升級改造老網絡時，絕大多數網絡管理員為方便管理，不約而同地選擇日趨完善的大二層扁平化網絡架構，打造虛擬化數據中心，實現資源共享。面對足夠開放的網絡應用、日益增長的業務系統和參差不齊的網絡用戶，網絡管理員如何保障逐步壯大的校園網安全可控、高效可用呢？基于大二層扁平化架構下的校園網，可以采用構建教育實名認證+上網行為管理的模式來解決上述問題。

大二層 扁平化 實名認證

《國家十三五規劃綱要》明確提出拓展網絡經濟空間，構筑現代基礎設施網絡；同時，隨著國家對職業教育重視程度的提升，高職院校正處于高速發展期。隨著校園的擴大，老的校園網絡存在結構復雜、運維難度大、成本高等缺點，已經無法滿足日益增長的業務系統和網絡用戶的需求，亟待升級改造。在升級改造老網絡時，絕大多數網絡管理員為方便管理，不約而同地選擇日趨完善的大二層扁平化網絡架構，打造“虛擬化”數據中心，實現資源共享。面對足夠開放的網絡應用、日益增長的業務系統和參差不齊的網絡用戶，網絡管理員如何保障逐步壯大的校園網安全可控、高效可用呢？基于大二層扁平化架構下的校園網，可以采用構建教育實名認證+上網行為管理的模式來解決上述問題。那么，如何構建基于大二層扁平化網絡架構下的教育實名認證校園網呢？我認為可從以下幾點著手：

1 大二層扁平化網絡架構是構建教育實名認證校園網的基礎

1.1 什么是大二層扁平化網絡架構？

所謂大二層扁平化網絡實際上是針對當前最火熱的虛擬化數據中心的虛擬機動態遷移這一特定需求而提出的概念。眾所周知，在虛擬化數據中心里，一臺物理服務器被虛擬化為多臺邏輯服務器，被稱為虛擬機；每臺虛擬機都可以獨立運行，都有自己的軟件系統，此外，每臺虛擬機在網絡層面有自己獨立的MAC地址和IP地址。而虛擬機動態遷移是指將虛擬機從一個物理服務器遷移到另一個物理服務器，并且要保證在遷移過程中，虛擬機的業務不能中斷。為了實現虛擬機動態遷移時，在網絡層面要求遷移時不僅虛擬機的IP地址不變、而且運行狀態也必須保持（例如TCP會話狀態），這就要求遷移的起始和目標位置必須在同一個二層網絡域之中。

同樣地，在構建安全、高效、可控的校園網時，其網絡架構可應用邏輯二層結構，將多臺核心交換機運用“虛擬化”技術，從邏輯上整合成一臺交換機；其網絡拓撲結構明晰，便于維護、方便管理。

1.2 大二層扁平化網絡架構是構建教育實名認證校園網的基礎。

運用“虛擬化”技術，將多臺核心交換機虛擬成一臺交換機，實現大二層扁平化網絡架構。此種模式支持主控1＋N備份，集群系統中只要保證任意一框的一個主控板運行正常，多框業務即可穩定運行。相對于傳統業務集群系統，它突破了每個框至少要有一塊主控單元正常運行的限制。通過集群+堆疊的無環大二層扁平化網絡設計，它既能保障網絡的高可靠性，又能保障網絡的高穩定性。BRAS負責統一接入校園網用戶，匯總全網用戶流量，可以很方便的對校園網的所有用戶流量做統一管理監控；BRAS是數據轉發的樞紐，通常需要部署兩臺采用主、備方式，實時將用戶的接入信息備份到備用設備上，當主設備的鏈路、接口、單板或者整機出現故障時，能夠快速將業務切換至備用設備；BRAS一般與認證服務器協同工作。

因此可見，采用大二層扁平化網絡架構，網絡用戶都在BRAS上接入，為教育實名認證提供了接入用戶數據采集的基礎。

2 統一身份單點登錄是構建教育實名認證校園網的根本

今年，湖南省教育廳印發了《湖南省教育網絡安全綜合治理行動方案》的通知（湘教通〔2017〕146號），通知明確要求各高等院校應加快推進教育實名制上網工作。因此可見，構建教育實名認證的校園網勢在必行。那么，如何構建教育實名認證的校園網絡，我認為統一身份認證，實證校園網單點登錄是其根本任務。

首先，構建教育實名認證校園網應具備統一身份認證平臺。統一身份認證平臺是校園網內各信息系統業務平臺的身份入口，校園網是各信息系統業務平臺正常運行的網絡支撐和保障；只有兩者高度融合，在校園網的支撐下，依托統一身份認證平臺，杜絕不明身份的用戶侵入，才能實現各信息系統的安全、穩定、高效運行。

其次，構建教育實名認證校園網應具備單點登錄功能。校園網承載的信息系統種類繁多，有門戶網站、辦公OA、綜合教務管理系統、學工管理系統、人事管理系統、科研管理系統、圖書管理系統等，每個信息系統均有其登錄界面。無論是教師還是學生，訪問校園網內的這些信息系統時，都要求輸入用戶名和密碼。校園網只有具備單點登錄功能、實時記錄登錄信息，才能使訪問用戶操作校內業務系統更加簡便、無需重復登錄。

因此可見，建設統一身份認證平臺、實現單點登錄功能是構建教育實名認證校園網的根本任務。

3 “虛擬化”數據中心是構建教育實名認證校園網的關鍵

數據、信息等資源共享是校園網絡建設的初衷，是推進教育信息化的基本目標。校園網內實現資源共建共享，不斷提升數據、信息等資源的利用率，需要打造開放的數據中心。在云計算、大數據、寬帶網、無線互聯網等信息技術發展的大時代背景下，從傳統IDC到VDC的轉變已逐漸成為現實。所以，構建教育實名認證校園網，建設“虛擬化”數據中心成為關鍵任務。

“虛擬化”數據中心一般分為三個層次，即網絡虛擬化、存儲虛擬化、計算虛擬化；它是將云計算概念運用于數據中心的一種新型的數據中心形態；其好處在于簡化運維、提高設備利用率，降低成本、增加業務布署的靈活性。

教育實名制認證對服務器配置和數據完備等要求相當高。為確保認證平滑，數據中心一般需要三臺服務器：認證服務器、備份服務器、逃生服務器。采用“虛擬化”數據中心能保障校園網中的教育實名認證信息可靠、可用、安全。

4 案例分享

下圖為教育實名認證校園網建設拓撲簡圖。圖中，兩臺ME60為主備BRAS，匯聚接入用戶上網IP，負責出口選路，實現雙機熱備；兩臺S12708為核心，通過專用線纜互連，邏輯虛擬成一臺核心，構成邏輯大二層，實現扁平化；用戶認證信息存放在“虛擬化”數據中心上，認證賬號采用省教育廳統一下發的教育實名制賬號，有線用戶pppoe認證、無線用戶portal認證，辦公OA系統作為單點登錄平臺，構建成基于大二層扁平化網絡架構下的教育實名認證校園網。此例在我院實施、效果良好。

基于大二層扁平化網絡架構下的教育實名認證校園網拓撲簡圖

5 結束語

隨著《網絡安全法》的實施，為保障校園網安全、穩定、可用，教育行政部門統一要求教育用戶上網必須使用實名制。構建基于大二層扁平化網絡架構下的教育實名認證校園網，是高職院校網絡升級改造的不二選擇。當然，此例還不盡完善，還需要進一步細化，比如：如何實現單點登錄、采用什么軟件認證等。