中小學校園網絡三層、二層組網模式淺析比較

劉景天

(重慶市育才職業教育中心 重慶 401520)

中小學校園網絡一般具備結構簡單，但規模大，終端設備多、上網用戶多，網絡橫跨多棟建筑等特點。從拓撲結構上分析，組建這類網絡一般有三層組網或二層組網兩種模式。

三層組網是指采用“核心—匯聚—接入”模式組建網絡：接入層一般為位于建筑樓層弱電井的二層交換機，建立有若干VLAN，端口配置為Untagged Access模式，用于直接連接終端設備；匯聚層一般為位于建筑弱電控制間的三層交換機，除建立有若干啟用DHCP功能的Interface VLAN，還啟用有OSPF、RIP等動態路由協議，用于匯聚建筑內各樓層流量，并根據訪問目標地址將流量送往其他匯聚或核心交換機；核心層一般為位于學校中心機房的路由器或三層交換機，啟用動態路由協議，根據訪問目標地址將流量送往校內服務器集群或送往出口防火墻以實現訪問Internet。

二層組網是指采用“核心—接入”模式組建網絡：接入層和三層組網類似，建立有若干VLAN，用于直接連接終端設備。由于沒有匯聚層，接入層一般通過光纜、無線網橋等傳輸介質直接連接到核心層；核心層一般為三層交換機，建立有若干啟用DHCP功能的Interface VLAN，并將這些VLAN通過Trunk或Hybrid隧道傳遞到接入交換機。也就是說，所有接入層VLAN的網關都建立在核心交換機上，所有終端設備產生的流量也全部直達核心交換機，再由核心交換機根據訪問目標地址轉發流量。

一、兩種組網模式在性能方面的比較

首先分析用戶訪問Internet的情況：在三層組網模式下，用戶流量首先到達接入交換機，再經過匯聚到達核心。典型情況下數據包至少要經過三臺設備，經歷2跳（Hop）才能到達出口防火墻，第1跳在匯聚層，第2跳在核心層；在二層組網模式下，用戶流量經過接入直達核心交換機，經過兩臺設備，數據包經歷1跳即可到達出口防火墻。

然后分析用戶訪問校園內網服務器或其他辦公、實訓室終端時的情況。在三層組網模式下，用戶流量到達匯聚后，匯聚交換機根據訪問目標地址將流量送往核心或者轉發給與自身直接相連的其他接入交換機。理想情況下，用戶訪問目標如果在當前匯聚交換機匯聚范圍內，數據包只需經過三臺設備（接入—匯聚—接入），經歷1跳即可完成訪問；在二層組網模式下，無論用戶訪問目標地址如何，流量都必須到達核心進行處理。數據包雖然也只需經過三臺設備（接入—核心—接入），經歷1跳即可完成訪問，但若并發流量較大時（例如大量用戶同時收看內網服務器提供的視頻時），會對核心交換機性能產生一定程度的影響。

二、兩種組網模式在穩定性方面的比較

在網絡運行穩定性方面，“DHCP串擾”和“廣播風暴”兩類問題在校園網絡中出現頻率較高。

首先分析DHCP串擾問題：在三層組網模式下，DHCP服務一般由匯聚交換機提供，此時若連接的接入交換機發生DHCP串擾，影響范圍一般局限于受到干擾的VLAN，排查故障位置相對容易，也可以在接入交換機上啟用DHCP Snooping功能以確保匯聚層不會受到DHCP串擾問題的影響；在二層組網模式下，如果受影響的VLAN橫跨多棟建筑（如多棟建筑里的教室共用同一個VLAN），又沒有在接入交換機上啟用DHCP Snooping功能，排查故障位置就會很麻煩。

然后分析廣播風暴問題：在三層組網模式下，網絡環路的范圍一般不會超過匯聚層。廣播風暴爆發時，影響范圍一般局限于一棟建筑內，不影響其他建筑及校園網核心層正常運行；在二層組網模式下，廣播風暴流量將會直接傳遞到核心交換機，輕則全網發生數據包被大量丟棄的情況，重則全網癱瘓。如果網絡設備上正確啟用了RSTP、MSTP等生成樹協議和廣播風暴抑制功能，廣播風暴爆發將會非常罕見。

三、兩種組網模式在建設無線網絡方面的比較

中小學無線網絡一般采用由無線控制器集中管理若干無線接入點（AC+AP）的拓撲結構組網。無線控制器AC旁路部署在核心層，無線接入點AP吊頂安裝在各棟建筑內，一方面通過有線網絡連接AC，另一方面通過ISM頻段連接無線設備。在用戶流量與有線網絡融合方面，可選集中轉發或本地轉發兩種模式：集中轉發是指AP將無線設備產生的用戶流量全部轉發到AC，AC再將流量全部轉發到核心層處理，整個無線網絡工作模式就像一棟虛擬建筑一樣，AC當作匯聚層，AP當作接入層。集中轉發更適用三層組網模式；本地轉發是指AP將用戶流量全部轉發到樓層接入交換機上的本地VLAN，和有線網絡流量混合后直達核心或轉發匯聚處理，AC在無線網絡中只起管理作用，不處理用戶流量。本地轉發更適用二層組網模式。

在三層組網模式下，若無線網絡流量過大，集中轉發會對AC性能產生顯著影響，輕則延遲加大，重則丟包率飆升。雖然三層組網也可選用本地轉發，但由于本地VLAN相對分散，可能多臺匯聚交換機都在提供不同的DHCP地址池，致使用戶IP地址不在同一個網段，加大了應用上網認證、流控限速等管理措施的難度。若AP啟用多個SSID并對應不同的本地VLAN時（如區分教職工和學生），還會進一步增加復雜度；在二層組網模式下，由于本地VLAN集中統一，上述管理措施容易實現。

四、兩種組網模式在多網融合方面的比較

以校園安防監控系統為例，一般采用網絡硬盤錄像機集中管理若干網絡攝像機（NVR+IPC）的拓撲結構組網。為了給建設運維提供便利，目前主流的網絡攝像機IPC均具有二層設備自動發現功能，硬盤錄像機NVR借助這一功能可以自動發現同網段內IPC并應用配置模板，以及批量修改IP地址、賬號密碼等，非常方便。在二層組網模式下，只需要劃分一個或多個VLAN，再按監控區域將NVR和對應的IPC放在同一個VLAN里即可實現上述功能；在三層組網模式下，由于VLAN相對分散，實現上述功能通常需要手動操作。

五、兩種組網模式在上網認證方面的比較

上網認證設備一般串接部署在核心層。在三層組網模式下，核心層通常只能獲取到終端設備的IP地址，無法獲取到其MAC地址，因而只能針對前者進行操作。這樣一來可能又需要先通過匯聚層的DHCP服務將目標終端設備IP地址固定或者直接在終端設備上手動固定地址，過程繁瑣；在二層組網模式下，核心層可以很方便的獲得所有終端設備的MAC地址并傳遞給上網認證設備操作，相比就非常簡單了。

六、結束語

綜上所述，中小學校園網絡三層組網或二層組網在性能上沒有明顯差異。在穩定性上，因拓撲結構優勢，三層組網在應對校園網常見問題時更勝一籌，二層組網則需要相對更專業的網絡運維技術才能使穩定性有所保證。但在無線網絡建設，與安防監控、數字廣播等業務系統網絡融合，部署上網認證等具體應用方面，二層組網優勢明顯。