上海師范大學“雙平面”校園網設計與部署

文/陳波 顧益明 高偉勛

在智慧校園建設如火如荼的當下，校園網作為信息化建設的根基存在，其重要性不言而喻。上海師范大學現有的校園網建設于2009 年，設備性能、帶寬承載能力等相比于學?！笆濉逼陂g的信息化要求顯得有些滯后。為此，學校于2018 年對學校校園網進行了第三次升級改造工作。通過此次改造，更新了校園網的基礎設施、提高了校園網的傳輸帶寬、優化了校園網的結構、融合了校園網各業務系統，為后續高校信息化建設打好基礎。

校園網建設背景

上海師范大學校園網從上世紀90 年代末期開始建設，規模從單校區單核心到現在多校區多出口、同軸電纜退光纜進、千兆到樓宇百兆到桌面等多方面一點一滴發展壯大。學校有兩個校區相鄰50 公里，校區間有2 條不同路由光纜互聯互備，有2 個校園網Internet 出口，接入點分別位于兩個校區。校園網基礎建設已覆蓋全校區，截至2017 年統計光纜接入樓宇224 幢樓宇、光纜敷設累計241km、在用信息點4.07 萬個、300 余臺服務器、1700 個AP、1000 個高清安防攝像頭等。校園網內除基本Internet 訪問業務外，還建設有一卡通專網、財務內網、醫療專網等，以及門禁、安防、視頻轉播（組播）等各類業務系統。

改造前的校園網是2009 年部署的，當時的校園網形成了兩個校區、三臺核心路由交換機萬兆互連的環形基礎交換網，核心交換網帶寬容量提升到萬兆交換能力，出口策略路由器及各個大區域匯聚均采用雙鏈路的方式連接到兩臺不同的核心設備，達到鏈路與設備雙冗余，以保證整個校園網絡骨干層的網絡健壯性。校園網有2 個Internet 出口和1 個城域網出口，通過策略路由器依據已定義策略進行流量匹配和路由轉發，如圖1 所示。

校園網從2009 部署完成后，未有結構及設備方面比較大的改動和升級，部分不足之處也漸漸顯現。首先，網絡設備老舊，校園網面臨性能、擴容、維保等各方面的限制；其次，新業務不斷涌現，帶寬升級、安全隔離要求提高；第三，奉賢校區經電信出口流量必須經過徐匯校區核心再返回奉賢，路徑不合理，并且一旦兩校區主干光纜故障，奉賢校區流量無Internet 訪問權限。鑒于以上原因及信息化發展等各方面考慮，學校于2018 年對校園網實施整體升級改造工作。

圖1 2009 年校園網拓撲圖

校園網設計與部署

校園網設計方案

學?！笆濉币巹澲行畔⒒ㄔO的目標是一網兩庫三平臺，其中的一網就是校園網，要求通過建設一張校園網，滿足所有信息化業務的需求，在同一張基礎校園網上承載2 個基礎數據庫和3 個核心業務平臺。因此，此次校園網改造項目不僅是對老舊設備的更換，還有更高的要求。

1.校園網需求分析

首先是升級硬件平臺。內容包括：老舊設備需要更新，通過更換新設備以提高校園網絡基礎設施硬件的穩定性及先進性；提高校園網絡安全管控能力，增補和提高校園網安全需求。

第二是優化網絡架構?，F網存在奉賢校區單核心、出口策略單核心、Internet 訪問數據流徑不合理等缺陷，有必要優化設計符合學校實際情況的新校園網絡拓撲，提高校園網絡的高可用性。

第三是加強校園網承載能力。學校目前存在十幾項相互獨立的網絡業務，如一卡通系統、門禁系統、財務系統、醫療系統、安防系統、語音系統等等，有些采用物理專網方式、有些采用vpn方式、有些混用在校園網上。新的校園網需要有多業務的承載力，在保證業務運營的獨立性、安全性同時滿足各業務運營的需求。

2.校園網設計目標

主干更寬：校園網核心具備升級到百G 的能力，樓棟之間通過10G 鏈路連接，千兆到桌面。

出口更快：校園網出口根據需要進行擴容，滿足高速上網的要求，對上網行為進行合理管理，有效保障教學科研 。

使用更便捷：任何時間、任何地點、任何設備能夠方便的接入校園網。

管理更有效：可視化圖形方式管控，云服務簡化管理，引入SDN 網絡，通過控制器管理網絡流量。

安全更可控：專用安全設備部署，完善網絡準入，加入大數據分析，保障校園網絡安全 。

運行更可靠：設備集群部署和多點災備，單點故障時網絡正?？煽窟\行 。

3.校園網設計方案

依據校園網設計目標和需求分析，結合校園網現有的物理資源情況，經過充分討論和研究，在現有校園網架構的基礎上進行調整和優化，將校園網設計成特有的由路由器和交換機組成的“物理雙平面”運營級校園網絡，如圖2 所示。

校園網采用傳統園區網三層拓撲架構——核心層、匯聚層和接入層組成。核心層分布于兩個校區，通過裸光纖實現萬兆互聯。核心層由3 臺路由器和4 臺高性能交換機組成，采用上下兩層物理設備架構，搭建了路由器平面和交換機平面兩個骨干平面，把原有的學校校內業務和對外訪問業務在硬件層面上做了資源預分配：（1）校區內和兩校區間業務流量走交換平面，所有去往外網的流量從交換機直接上行至路由平面，校園多出口放在路由平面上，可共享給兩校區；（2）重要業務流量如視頻教學、視頻會議等可使用MPLS隧道承載在路由器平面上，與其他承載在交換機平面上的校內MPLS 業務分走不同物理平面；（3）各業務MPLS 具備在雙平面上實現冗余，保證業務不中斷；（4）路由器平面可以利用MPLS QOS 特性實現在傳統路由協議組成的路由網絡基礎之上承載具有MPLS TE 能力的、可感知鏈路情況的業務隧道，保證業務的連續不中斷和快速倒換能力。

圖2 校園網拓撲設計

匯聚層基本滿足雙鏈路萬兆連接核心層不同的兩臺設備，以保證鏈路及設備的冗余性。匯聚層和核心層之間僅使用3 層路由協議進行網絡互通，減少二層網絡排障難度、增強網絡穩定性。校園網全網運行mpls 協議，通過mpls 建立各類VPN 實例，從而隔離不同的專業業務，實現一網承載。

校園網數據中心按照區域及重要性目前分割成3 個部分，徐匯、奉賢各有一個普通IDC，在徐匯另外特別建設了一個滿足二級等保要求的數據中心，所有重要業務部署在該區域。

學校有多出口，分別位于徐匯、奉賢兩校區，通過路由平面設備按用戶類型進行流分類，將Internet 網絡流量合理分配到各個ISP，如圖3所示。各個校園網出口處部署防火墻以提高校園網安全。

校園網部署實施

校園網作為高校信息化的神經系統，任何節點一旦有中斷都會影響相關區域的信息化業務，給學校教學、科研、辦公造成一定的影響。此次校園網改造項目會更新出口設備、核心設備、匯聚設備以及接入設備等，涉及校園網中斷影響面大、更新的設備數量多等方面。同時，考慮到利用寒假期間割接會碰到春節假期，施工人員的調配、工作的積極性都會有影響，割接工作就需要分解到日常雙休日及其他節假日中，從而使得此次項目的實施周期拉長。上述種種原因造成了此次校園網改造的部署難度大，因此前期準備方案需要細致周密。

圖3 校園網流量策略設計

鑒于項目實施割接的時間分散的特點，部署過程中就需要化整為零，細分步驟，按照割接一點恢復一點的原則，盡可能降低由網絡割接引起的校園網中斷影響。除了接入層設備外，匯聚層、核心層、出口層網絡割接內容被分割成13個子單元，從2017 年12 月30 日開始利用11 個雙休日及小長假分步驟實施，項目持續至2018 年6 月1 日止。

部署方案按照先邊緣后中心的思路，分步驟將除核心層網絡外的匯聚層、出口層網絡先行進行調整；然后將核心層設備上線接管原有設備，應用新的策略機制；最后割接IDC 機房網絡。每項割接工作完成后，除現場業務測試外，均試運行1 至2 周時間后進行下一項割接工作，充分降低割接對網絡的影響。例如項目先割接其中4 臺匯聚層設備，割接內容是對相應位置的網絡設備進行1 ∶1 替換。對應的割接計劃是將新設備按現有網絡配置進行預配置、上架、上電，做好新舊設備端口對應表，待割接時按順序拔插端口線路即可。通過前期細致、周密的準備，基本將網絡割接中斷時間控制在1 小時以內，既減少用戶斷網時間也提高了割接工作的準確性，割接完成后基本沒有網絡故障報修。在核心層網絡設備割接時，需要將4 臺核心交換機、3 臺策略路由器同時上線，設備分布于2 個校區，不僅需要調整端口線路還要調整出口訪問策略。為此，在割接前將設備上架、上電、預配置，先將這批核心互聯組成實際使用拓撲，按照規劃的網絡業務模型進行單點測試。功能、業務流測試通過后，將該批設備做配置調整后鑲嵌在現有核心網的ospf 骨干域中，相當于給現有核心網加了件馬夾，僅參與路由學習不影響現有業務。在割接當天，撤下原有核心設備的同時切換物理線路、調整出口連接并增加其他策略路由配置。設備一臺一臺更換，影響的范圍也控制在相應區域，基本未造成全校斷網的情況，一個雙休日就順利完成割接。

另一方面為提高校園網運維能力，通過部署網絡管理平臺，實現現有校園網設備日常監控、拓撲展示、故障報警、配置備份等自動化運維手段，提高校園網運維效率。圖4 展示管理平臺實現對現網設備自動備份的結果。

圖4 配置自動備份

此次重大網絡改造工作過程中，安全生產非常重要，體現在以下幾個方面。首先是人員及設備安全。割接過程中，許多大型設備需要拆箱、搬運、上架、新接電源，人員和設備的磕磕碰碰、強電安全等方面都不容忽視。其次是割接安全，校園網不能因為割接工作不當造成擴大范圍的斷網事故。此次割接工程中，割接計劃書必須提前一周提交，校方和施工方通過反復核對計劃書內容以保障割接步驟及方案合理、準確。而且割接前2 天召開例會，就物料準備、人員安排、割接程序等內容作細致安排。最后是網絡安全。割接計劃書中重點有一塊內容是業務校驗測試，通過多方位測試方式杜絕由校園網割接產生新業務等原因引起的安全漏洞，利用防火墻、VPN、訪問控制列表等手段保障業務安全可靠。

校園網實施效果

截至2018 年11 月前，除部分接入設備還在陸續更新外，匯聚、核心、出口、IDC 等重要網絡環節都已完成升級改造過程。目前校園網運行穩定，整個項目實施周期內未發生安全責任事故及用戶大范圍中斷反饋。

此次改造后，校園網在提高帶寬承載能力、新業務開展、網絡安全等各方面實現進步。校園網主干鏈路帶寬總和達到40Gbps，滿足承載校內各類高帶寬、高傳輸質量的需求；學生寢室帶寬升級，滿足運營商100M 帶寬業務的運行能力。校園網全面實施IPv4/IPv6 雙棧運行，以響應中共中央辦公廳、國務院辦公廳印發的《推進互聯網協議第六版（IPv6）規模部署行動計劃》。全網貫徹MPLS VPN 業務，實現業務隔離到端口，將網絡安全管控到底。同時通過優化管理模式，校園網為寢室網內的運營商用戶打通資源壁壘，寢室內申請運營商套餐的同學可以使用運營商網絡直接訪問校內網絡資源；新增代撥號功能，支持用戶使用寢室運營商賬號直接連接校園網無線信號，實現校園內賬號漫游。

新校園網拓撲結構層次清晰、穩定可靠，并且具備良好的可擴展性；千兆接入、萬兆匯聚、十萬兆核心的無阻塞網絡架構，滿足未來網絡需要承載更多的業務，以及提供更多的優質服務的需求，同時滿足校園網未來5～10 年持續發展需求；充分利用現有的網絡資源（比如已建光纜、已有網絡出口），合理利用現有的網絡結構；一網多業務承載，包括但不限于語音、數據、圖像業務，既保證業務運營的獨立性、安全性，同時網絡滿足業務運營的需求。