校園網(wǎng)絡(luò)扁平化設(shè)計與實現(xiàn)

桑 靜

?

校園網(wǎng)絡(luò)扁平化設(shè)計與實現(xiàn)

桑 靜

（揚州市職業(yè)大學，江蘇 揚州 225009）

文章以揚州某職業(yè)大學網(wǎng)絡(luò)扁平化建設(shè)為研究背景，詳細分析了該校網(wǎng)絡(luò)目前的建設(shè)現(xiàn)狀，以及在基礎(chǔ)架構(gòu)、設(shè)備、運營管理、網(wǎng)絡(luò)安全、業(yè)務部署等方面存在的問題；重點闡述了網(wǎng)絡(luò)扁平化的改造方案，主要包括網(wǎng)絡(luò)的結(jié)構(gòu)和業(yè)務兩方面的設(shè)計；并且對網(wǎng)絡(luò)扁平化改造后，在網(wǎng)絡(luò)結(jié)構(gòu)的簡化、業(yè)務的融合、精細化的運營、精簡的運維和IPV6部署等方面的優(yōu)化做了價值分析。

網(wǎng)絡(luò)扁平化；校園網(wǎng)；網(wǎng)絡(luò)建設(shè)；設(shè)計與規(guī)劃

隨著網(wǎng)絡(luò)在校園內(nèi)的普及，越來越多的師生需要在教室、實驗室、圖書館、學術(shù)報告廳、會議室以及室外廣場等場所訪問學校的教學資源和Internet接入。因此，學校應升級有線網(wǎng)絡(luò)，并將有線和無線網(wǎng)絡(luò)進行整合，滿足師生隨時隨地接入網(wǎng)絡(luò)獲取資源和信息的需求，將學校、老師、學生以及教學資源等更緊密的融合在一起[1-4]，從而推動學校校園網(wǎng)信息化建設(shè)向縱深發(fā)展。

揚州某職業(yè)大學（以下稱為Z校）校園有線網(wǎng)絡(luò)于2003年建設(shè)完成，至今已運行十多年。隨著互聯(lián)網(wǎng)的高速發(fā)展和智慧校園業(yè)務應用的不斷增多，現(xiàn)有的校園有線網(wǎng)絡(luò)已很難滿足學校業(yè)務發(fā)展的需求，因此需要對現(xiàn)有校園有線網(wǎng)絡(luò)進行全面升級，并與新建的無線網(wǎng)絡(luò)進行無縫對接。

一、網(wǎng)絡(luò)現(xiàn)狀分析

Z校現(xiàn)有校園網(wǎng)包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，有線和無線單獨組網(wǎng)。學校無線網(wǎng)絡(luò)從2015年開始建設(shè)，于2017年完成了三期的無線網(wǎng)絡(luò)建設(shè)，目前使用正常。學校有線網(wǎng)絡(luò)已建成、運行多年，在由接入型網(wǎng)絡(luò)向服務型網(wǎng)絡(luò)轉(zhuǎn)變的過程中面臨了很多問題，包括用戶增多、設(shè)備老化、帶寬不夠、運維復雜、無法支撐新業(yè)務等，同時現(xiàn)有的網(wǎng)絡(luò)在用戶服務、策略定制和可靠性方面也存在問題，計劃通過網(wǎng)絡(luò)改造，解決這些問題。

1.有線網(wǎng)絡(luò)

Z校校園網(wǎng)現(xiàn)有3個出口（電信、聯(lián)通、cernet）接入Internet；校園網(wǎng)用戶按要求設(shè)置靜態(tài)IP地址后，通過串接在核心交換機和流控之間的城市熱點計費網(wǎng)關(guān)認證后接入Internet和教育網(wǎng)。在校園網(wǎng)邊界處，配置了防火墻對校園網(wǎng)實現(xiàn)各條出口線路的接入以及網(wǎng)絡(luò)的安全防護。

有線網(wǎng)絡(luò)采用傳統(tǒng)的L3+L2的交換型組網(wǎng)模式，網(wǎng)絡(luò)結(jié)構(gòu)采用核心—多層匯聚—接入的星型架構(gòu)，以交換機為主，實現(xiàn)校內(nèi)外的互聯(lián)互通以滿足校內(nèi)數(shù)據(jù)交換業(yè)務需求。見圖1。

校園網(wǎng)核心采用一臺思科7609，放置在網(wǎng)絡(luò)中心機房，負責全網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)，按部門劃分業(yè)務VLAN，業(yè)務VLAN終結(jié)在7609上，通過7609的三層交換功能實現(xiàn)不同部門之間互訪。

圖1 有線網(wǎng)絡(luò)結(jié)構(gòu)圖

核心交換機7609通過千兆光路下聯(lián)教學樓、實驗樓、行政樓以及圖書館的4個區(qū)域匯聚交換機，同時7609還直連校園網(wǎng)服務器及數(shù)據(jù)中心，承擔區(qū)域匯聚和數(shù)據(jù)中心交換功能。

2.無線網(wǎng)絡(luò)

Z 校無線網(wǎng)絡(luò)單獨組網(wǎng)，配置獨立的核心交換機和接入交換機，后端無線控制器Aruba7220旁掛在核心交換機旁，與前端無線AP 通過二層隧道協(xié)議通信，無線用戶的認證和計費都是放置于城市熱點計費網(wǎng)關(guān)設(shè)備上，出口通過山石的防火墻與外網(wǎng)互通，見圖2。

圖2 無線網(wǎng)絡(luò)結(jié)構(gòu)圖

二、網(wǎng)絡(luò)面臨的問題

1.基礎(chǔ)架構(gòu)方面

（1）現(xiàn)有網(wǎng)絡(luò)采用傳統(tǒng)的交換式組網(wǎng)，核心、匯聚、接入三層面分別實現(xiàn)不同的業(yè)務功能。每個層面交換機都在做用戶接入和控制，協(xié)調(diào)實現(xiàn)部分的功能。實現(xiàn)效果不好，性能也不高；不同的用戶、應用沒有有效的隔離和保障手段，相互干擾影響。

（2）核心設(shè)備職責不明，網(wǎng)絡(luò)結(jié)構(gòu)不清晰。核心7609不僅負責數(shù)據(jù)流量的高速轉(zhuǎn)發(fā)，還直接接入大量接入交換機和服務器，造成穩(wěn)定性降低；同時大量的低速端口接入，造成核心交換機連接設(shè)備過多，管理和維護困難。

（3）現(xiàn)有網(wǎng)絡(luò)中僅有一臺核心服務器，僅能實現(xiàn)可達、或可收斂的網(wǎng)絡(luò)。這種網(wǎng)絡(luò)結(jié)構(gòu)在運營級校園網(wǎng)中已經(jīng)不再適用，運營級校園網(wǎng)絡(luò)不僅需要鏈路和設(shè)備的冗余保護，更需要直接在業(yè)務和用戶層面上進行冗余保護，達到網(wǎng)絡(luò)的快速收斂和高可靠性[5]。

2.設(shè)備方面

現(xiàn)網(wǎng)中很多設(shè)備已運行多年甚至十多年，已趨于老化，穩(wěn)定性下降，故障率高，給網(wǎng)絡(luò)的正常運行帶來極大隱患，經(jīng)常出現(xiàn)因設(shè)備老化損壞而引起的局部斷網(wǎng)現(xiàn)象。

網(wǎng)絡(luò)建設(shè)初期購買的交換機等網(wǎng)絡(luò)設(shè)備，由于購置時間較長，和目前主流設(shè)備有著明顯差異，特別在性能和業(yè)務的支持方面，對當前校園網(wǎng)主流應用的部署（例如IPv4/v6雙棧覆蓋、云計算、虛擬化，網(wǎng)絡(luò)流量分析、大數(shù)據(jù)挖掘等），都不能很好的支撐，無法適應學校未來業(yè)務的發(fā)展。

3.運營管理方面

（1）現(xiàn)有網(wǎng)絡(luò)有線和無線業(yè)務是簡單的疊加，無法做到有線無線管理統(tǒng)一、有線無線認證統(tǒng)一、有線無線數(shù)據(jù)轉(zhuǎn)發(fā)統(tǒng)一。整個校園網(wǎng)人為地分成了有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、行政辦公網(wǎng)、宿舍網(wǎng)等，不利于統(tǒng)一的管理和運維。

（2）現(xiàn)有網(wǎng)絡(luò)在用戶管理上，有線用戶分配靜態(tài)地址，無線用戶動態(tài)獲取地址，采用校園網(wǎng)出口網(wǎng)關(guān)認證，網(wǎng)絡(luò)互聯(lián)互通的需求基本滿足，但缺乏精細化管理的手段。

（3）在設(shè)備的管理上，現(xiàn)有網(wǎng)絡(luò)采用三層架構(gòu)，接入和匯聚交換機上都需要配置業(yè)務相關(guān)參數(shù)，新業(yè)務的部署需要逐一手工操作，工作量大且易出錯。其次需要分別進行有線和無線設(shè)備的業(yè)務配置，維護管理壓力大。

（4）安全方面

目前，Z校的地址和VLAN是按部門來劃分的，終端設(shè)備的訪問權(quán)限控制比較困難，尤其是在同一個局域網(wǎng)中的終端設(shè)備，相互之間的流量無法得到有效監(jiān)管和隔離，如出現(xiàn)網(wǎng)絡(luò)安全問題，容易導致校園網(wǎng)的大規(guī)模癱瘓。

（5）業(yè)務部署方面

Z校在現(xiàn)有網(wǎng)絡(luò)部署一項新業(yè)務時，需要考慮到各個層面設(shè)備的支持能力，所有層面的設(shè)備都要能支持，否則無法做到新業(yè)務的快速部署。

三、改造方案

（一）設(shè)備部署

改造后的網(wǎng)絡(luò)，采用扁平化大二層組網(wǎng)，從網(wǎng)絡(luò)的業(yè)務控制角度出發(fā)，以便于網(wǎng)絡(luò)管理為目的，將網(wǎng)絡(luò)劃分為2個大的層次，業(yè)務控制層和業(yè)務接入層，如圖3。

圖3 網(wǎng)絡(luò)扁平化結(jié)構(gòu)圖

1.結(jié)構(gòu)設(shè)計

由圖3可見，核心BRAS為業(yè)務控制層，集中認證網(wǎng)關(guān)，負責終結(jié)QinQ，并提供用戶的接入和控制。匯聚層和接入層交換機共同構(gòu)成校園網(wǎng)的業(yè)務接入層。樓棟匯聚交換機負責實現(xiàn)QinQ封裝，擴展VLAN數(shù)量；區(qū)域匯聚交換機負責匯集并透傳外層標簽；接入交換機負責二層接入，實現(xiàn)用戶VLAN隔離。

（1）核心層。核心層部署兩臺高性能BRAS，作為整個校園網(wǎng)絡(luò)的業(yè)務控制層，提供用戶認證、接入授權(quán)、控制、計費。兩臺BRAS采用虛擬化部署，組成一臺邏輯設(shè)備，實現(xiàn)業(yè)務層面的負載分擔和冗余熱備。

核心BRAS配置高速10GE接口板卡，下行與校園網(wǎng)區(qū)域匯聚交換機互聯(lián)，提供用戶高速接入；上行與出口防火墻之間連接，滿足出口帶寬要求，考慮到出口位置的重要性，出口萬兆防火墻需要部署兩臺，兩臺防火墻同樣采用虛擬化部署，實現(xiàn)業(yè)務層面的負載分擔和冗余熱備。

（2）匯聚層。將原有的匯聚節(jié)點調(diào)整為圖書館、行政樓、實驗樓、教學樓4個節(jié)點，考慮到行政樓的接入用戶較為重要，行政樓區(qū)域匯聚交換機采用雙機虛擬化部署，實現(xiàn)業(yè)務層面的負載分擔和冗余熱備。

新增5臺核心路由交換機，作為校園網(wǎng)4個區(qū)域匯聚交換機，將現(xiàn)有的7609等老舊設(shè)備替換；配置萬兆接口板，采用雙萬兆鏈路和上游的兩臺核心BRAS互聯(lián)、采用萬兆鏈路和下游的樓棟匯聚交換機及本樓的接入交換機互聯(lián)。

同時將下游的實驗樓、教學樓、行政樓、圖書館的樓棟匯聚交換機替換為萬兆上聯(lián)交換機，配置萬兆接口和區(qū)域匯聚交換機互聯(lián)，搭建萬兆校園骨干網(wǎng)。

（3）接入層。接入層設(shè)備是直接面向用戶的，接入層設(shè)備的性能及穩(wěn)定直接影響到用戶的最終體驗，因此首先將年限較老的百兆接入層交換機全部替換為千兆交換機；其次在結(jié)構(gòu)上盡可能將每樓層接入交換機通過千兆光路直接接入樓棟匯聚交換機，減少設(shè)備間的級聯(lián)層數(shù)，對于必須通過級聯(lián)方式與樓棟匯聚交換機互聯(lián)的，需要在每臺接入交換機上配置堆疊線纜，形成堆疊組，在提高互聯(lián)帶寬的同時簡化管理。

2.業(yè)務設(shè)計

（1）新增Radius服務器和Portal服務器，組建學校自己的后臺AAA系統(tǒng)，由核心BRAS配合AAA系統(tǒng)實現(xiàn)對所有用戶WEB Portal認證、計費和授權(quán)控制。用戶接入校園網(wǎng)后，免費訪問校內(nèi)資源，需要訪問校外資源時，由BRAS自動重定向到Portal服務器認證界面，認證通過后才能訪問校外資源，并提供用戶訪問報表統(tǒng)計，為保證可靠性，AAA系統(tǒng)采用雙機部署。

（2）辦公區(qū)無線部分不再單獨組網(wǎng)，無線網(wǎng)只是作為有線網(wǎng)絡(luò)的補充，完全融入有線網(wǎng)絡(luò)中。由BRAS提供對有線和無線用戶融合統(tǒng)一認證，無線控制器在網(wǎng)絡(luò)內(nèi)僅負責管理AP，不再對用戶端認證或業(yè)務報文進行特殊處理，為校園內(nèi)的用戶提供了一體化的網(wǎng)絡(luò)使用體驗。

（3）數(shù)據(jù)中心是整個校園網(wǎng)的“核心”，可直接劃分獨立的數(shù)據(jù)中心區(qū)域，配置獨立的數(shù)據(jù)中心防火墻和數(shù)據(jù)中心交換機，將原有的出口防火墻以及核心交換機7609，增配萬兆接口板，上行采用雙萬兆鏈路和核心BRAS互聯(lián)，下行通過千兆或者萬兆鏈路接入服務器。

（4）建設(shè)全校范圍的IPv6基礎(chǔ)平臺，在核心BRAS、網(wǎng)絡(luò)出口防火墻、認證計費系統(tǒng)等關(guān)鍵位置部署IPv6/IPv4雙棧，提供全校用戶IPv6/IPv4接入的同時，實現(xiàn)和教育網(wǎng)IPv6資源的直接對接，向校內(nèi)外的用戶提供高效、穩(wěn)定的IPv6應用服務。

（二）網(wǎng)絡(luò)改造

1.網(wǎng)絡(luò)簡化

扁平化改造后，原有的三層網(wǎng)絡(luò)結(jié)構(gòu)在邏輯上簡化為業(yè)務控制層和接入層兩層架構(gòu)，核心BRAS作為三層網(wǎng)關(guān)，下聯(lián)的交換設(shè)備只啟用二層功能，整網(wǎng)大二層扁平化架構(gòu)。在簡化網(wǎng)絡(luò)結(jié)構(gòu)的同時，實現(xiàn)每個用戶管道化隔離，徹底解決了原先網(wǎng)絡(luò)中環(huán)路問題和ARP病毒泛濫問題，簡化了網(wǎng)絡(luò)的運維。

2.業(yè)務融合

扁平化改造后，使用BRAS作為校園內(nèi)統(tǒng)一的賬號認證管理，對有線和無線用戶融合統(tǒng)一認證和管理，有線與無線上網(wǎng)賬號共用，權(quán)限一致。具有上網(wǎng)權(quán)限的用戶，使用任何終端設(shè)備，在校園內(nèi)的任何一個地點，都可以使用統(tǒng)一的賬號認證登陸，并且在無線AP覆蓋范圍內(nèi)，實現(xiàn)校園內(nèi)的無縫漫游。

3.精細化運營

扁平化改造后，由BRAS統(tǒng)一管理整個學校接入用戶的上網(wǎng)權(quán)限，全網(wǎng)采用實名認證，對每個認證的用戶，根據(jù)用戶身份、用戶終端類型、上線時段、接入位置等多維度信息進行精確的權(quán)限管理和控制，包括下發(fā)不同的QoS優(yōu)先級、訪問權(quán)限、選路策略、業(yè)務帶寬等，充分保障個性化的用戶體驗[6]。

4.精簡運維

（1）扁平化改造后，只有核心BRAS進行三層轉(zhuǎn)發(fā)，接入層、匯聚層設(shè)備進行二層轉(zhuǎn)發(fā)，不再需要進行復雜的配置或監(jiān)管，業(yè)務的部署只聚焦在核心BRAS上。

（2）設(shè)備管理上，采用超級虛擬交換網(wǎng)方案，各區(qū)域匯聚交換機配置縱向虛擬化功能，在垂直方向?qū)⒈緟^(qū)域內(nèi)的匯聚層設(shè)備和接入層設(shè)備虛擬化成一臺邏輯設(shè)備，接入交換機虛擬成虛擬交換機的一個板卡，無線AP虛擬成虛擬交換機的一個端口,減少設(shè)備的管理層級和節(jié)點數(shù)目，使得網(wǎng)絡(luò)管理更加簡潔。

5. IPv6部署

扁平化改造后，Z校的校園網(wǎng)基礎(chǔ)平臺將是一個IPv4/v6的融合的雙棧平臺，不僅滿足了學校的IPv6業(yè)務建設(shè)發(fā)展、實現(xiàn)與教育網(wǎng)IPv6應用的無縫對接，還可搭建一個面向下一代互聯(lián)網(wǎng)的IPv6用戶管理和資源管理界面。通過IPv6能夠使得學校的信息化系統(tǒng)能夠更加合理、高效的進行信息收集和處理，從而更好地為學校提供數(shù)字化的管理手段，構(gòu)建完善的數(shù)字化的教學與學習平臺。

四、結(jié)語

目前，網(wǎng)絡(luò)扁平化改造和建設(shè)下一代高校校園網(wǎng)絡(luò)，是各大高校網(wǎng)絡(luò)建設(shè)的趨勢，通過網(wǎng)絡(luò)扁平化改造，不僅實現(xiàn)了網(wǎng)絡(luò)有線無線一體化、扁平化、精細化的管理，而且還能成功地將運營商多年的網(wǎng)絡(luò)建設(shè)和運維、管理的方法移植到校園網(wǎng)絡(luò)中，從而建設(shè)出一張可管理、易維護并且可持續(xù)運營發(fā)展的一體化的新一代校園網(wǎng)絡(luò)。

[1]蔡世雅.校園大規(guī)模Wi-Fi網(wǎng)絡(luò)建設(shè)[D].南昌：南昌大學，2014.

[2]鄔麗花.無縫校園網(wǎng)開發(fā)與簡易網(wǎng)管系統(tǒng)設(shè)計[D].成都：電子科技大學，2012.

[3]金莉茜.基于WEB的校園網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)的設(shè)計與實現(xiàn)[D].石家莊：河北科技大學，2010.

[4]王宇.無線校園網(wǎng)絡(luò)安全與應對策略[J].計算機與網(wǎng)絡(luò)，2014（12）：38-39.

[5]董獻芬.民辦高校校園網(wǎng)升級改造建設(shè)研究[D].濟南：山東大學，2016.

[6]周轉(zhuǎn)運、吳垠澤.基于DPI的智能網(wǎng)關(guān)業(yè)務QoS保障和帶寬提速研究[J].光通信研究，2014，40（5）14-15.

Design and Realization of Flattening of Campus Network

SANG Jing

（Yangzhou Polytechnic College, Yangzhou, Jiangsu 225009, China）

Based on the flattening of the campus network of a vocational university in Yangzhou, this paper analyzes in detail the present situation of the network construction of the university, as well as the problems in infrastructure, equipment, operation management, network security and business deployment. This paper focuses on the transformation scheme of network flattening, including the design of network structure and business. It also analyzes the optimization of network structure, business integration, fine operation, streamlined operation and IPV6 deployment after network leveling transformation.

network flattening; campus network; network construction; design and planning

2018—05—17

桑靜（1973—），女，江蘇揚州人，揚州市職業(yè)大學，高級實驗師。

TP393.1

A

1008—6129（2018）03—0073—05