高校校園網絡改造規劃說明

王安

【摘要】隨著高校信息化建設的初步完成，各高校已經陸續完成了基礎信息化建設。但在建設過程中標準不一致、拓撲結構不一致，導致目前高校網絡的結構各有不同，也讓各高校的下一步信息化建設方向各不相同。筆者根據個人工作經驗，通過目前高校組網的一種傳統標準模型入手，通過將模型進行調整、修改，將高校信息化的模型調整為易于擴展的模型談一下自己的看法。

【關鍵詞】網絡 信息化 核心交換機 BRAS 防火墻

一、本次建設目的及現網情況概述

目前，高校的信息化建設在2014年左右基本完覆蓋，包括有線網絡、無線網絡在內的基礎網絡結構均已建立，網絡模型也相對成熟。14年后高校信息化改造的主要目的，一是為了替換部分14年建設未替換的設備，此部分設備（如網絡的匯聚交換機）已經在網運行7-8年，存在一定安全隱患；另一方面，目前校園網的關鍵節點，如出口防火墻、BRAS設備多數均為一臺，存在一定的單點故障風險。此外，傳統網絡模型中以BRAS為核心的組網模式也不方便學校后期對網絡的維護以及規模的擴大，因此本次網絡改造在網絡結構、網絡設備上都有所調整。下面以某高校為例，對相關改造進行情況說明。

二、防火墻改造說明

目前學校已有一臺H3C M9006防火墻設備，為提高設備性能，降低設備壓力，同時避免單點故障，建議本次擴容一臺相同型號的防火墻，兩臺防火墻與上下行網絡設備之間采取全冗余連接；為了保證系統的可靠性，建議配置兩臺防火墻為雙機熱備方式，在實現安全控制的同時保證線路的可靠性，同時可以與動態路由策略組合，實現流量負載分擔；

M9006支持先進的虛擬防火墻架構（SOP）技術，通過在同一臺物理設備上劃分多個基于容器的虛擬防火墻來實現對用戶多個業務獨立安全策略部署的需求。且某一虛擬防火墻故障不會對其他虛擬防火墻和整個物理系統產生任何影響。當用戶業務劃分發生變化或者產生新的業務部門時，可以通過添加或者減少虛擬防火墻的方式十分靈活的解決后續網絡擴展問題，簡化了網絡管理的復雜度。

M9000的SCF架構突破了傳統雙機熱備技術，支持集群后多板卡進行主/備、主/主、1：1及N：N等多種部署方式。業界獨創的N：N備份技術，每一塊業務板卡既是承載自身流量的主板，同時也分布式的對其他業務板進行備份。相比傳統的雙機熱各，多板卡的N：N熱備提高了高達50%的用戶數據處理效能，同時在板卡故障、業務升級時保障安全業務零中斷。統一的管理平面，簡化管理員配置復雜度的同時，有效解決雙機配置同步帶來的配置不一致問題，在可維護性、高可靠性和切換時間方面也有了質的提升，可以做到各種情況下的毫秒級切換。業務處理主備技術保證來回路徑快速收斂一致，無需復雜的配置。

三、BRAS改造說明

學校目前已有一臺H3C SR8808-X BRAS設備。隨著校園網規模的擴大，對接口、性能的要求的提高，本身作為路由器的BRAS設備雖然性能上足夠承載目前及未來幾年學校的應用，但依然會有端口擴展形態較少、組網維護復雜的情況，因此本次將BRAS在網絡中的位置進行調整，由核心層設備轉變為旁掛于核心交換機，不再作為核心設備進行數據轉發而是專門進行數據的處理以及有線網絡的認證。同時考慮到學校目前有線網的使用人數要求，以及穩定性考慮，本次將新增一臺BRAS設備，和原先的設備進行雙機虛擬化，保證穩定性及設備性能。

隨著BRAS設備的引入，校園網的結構也變為扁平化結構組網。所謂扁平化的網絡架構，不是意味著網絡物理層面變為兩層，而是從網絡中設備所承擔的功能上區分，將網絡劃分為業務控制層和寬帶接入層。寬帶接入層由匯聚和接入層設備構成，僅提供基本的用戶高帶寬接入功能和相互之間的VLAN二層隔離功能；業務控制層則由核心層設備構成，提供網絡中的用戶接入控制、業務功能實現等復雜功能。

從實際的校園網物理結構來看，網絡的層次更加清晰了，不同層次的設備各司其職，有利于全網的管理維護。

扁平化的網絡架構帶來了很多的優勢：

（1）由能力最強，功能最豐富的BRAS設備提供集中的業務控制和管理，有利于功能和業務的部署。同時，由于這些功能是由BRAS設備提供，因此能夠確保在提供這些業務和功能時，同樣具備較好的處理性能。另外，BRAS設備的高可靠性也為這些應用和業務的部署提供了保障。

（2）由于核心/匯聚/接入設備只是提供了二層透傳和VLAN隔離這些基本的功能，不涉及到業務功能，因此在全網部署新業務和新應用時，無需考慮其是否支持。同時，由于這些設備的功能要求簡單，且數量眾多，因此能夠顯著降低全網設備的投資和后期的使用維護費用，提高校園網的投資產出比。另外，由于功能的弱化，從而使得這些設備的可靠性大大提高，有利于全網的穩定可靠運行。

（3）扁平化后的校園網更有利于今后的擴展：業務功能只涉及到核心側設備，因此只需要考慮核心側設備是否能夠支持這些業務特性即可。對于匯聚和接入層這些邊緣設備，僅需要考慮端口的擴充和上行帶寬的增加即可。

四、核心交換區域建設說明

本次建設，在網絡拓撲中新增了核心交換機這一角色，作為校園網整網的核心承載校園網整體業務，實現高速數據轉發。之所以改變了目前BRAS作為核心的網絡結構，是因為當BRAS作為網絡的核心時，由于其下行接口均為三層口，下聯終端在漫游時存在網關切換問題（舉例，假設終端在A區上線時IP為1.1，網關為1.254，當終端發生不中斷漫游時，IP保持1.1進入B區，而B區網關IP 2.254因為不識別A區的網關地址無法轉發不同網段的IP）。同時，隨著校園網規模的擴大，上下行設備的增多，BRAS設備的接口擴展性也不如交換機來得豐富。因此本次網絡建設引入核心交換機的角色。新增的核心交換機型號為H3C S10510，2臺核心交換機通過萬兆鏈路與防火墻互聯，以保證上行帶寬，并實現高速數據轉發。同時，2臺核心交換機之間通過H3C IRF2技術實現橫向虛擬化，將兩臺交換機在邏輯上變為一臺，既提高了設備使用率，同時2臺設備在邏輯上整合，成倍提高了設備性能。

五、匯聚層、接入層改造說明

本次改造還涉及部分匯聚及接入交換機的升級及補充。匯聚交換機本次考慮為全光口設備，匯聚交換機與接入交換機之間通過千兆光纖互聯，匯聚交換機與核心交換機之間通過萬兆光纖互聯。為保證設備的穩定性與維護便利性，本次改造涉及的匯聚及接入交換機均支持模塊化雙電源。endprint