摘要：傳統(tǒng)三層交換架構(gòu)存在諸多難以解決的問題，對此本文基于扁平化理論對南京中醫(yī)藥大學(xué)校園網(wǎng)進(jìn)行優(yōu)化設(shè)計(jì)，實(shí)現(xiàn)用戶的精細(xì)化管理，徹底解決ARP病毒和擠占帶寬的行為，降低管理維護(hù)難度，提升用戶滿意度，滿足日益增長的多業(yè)務(wù)需求。

關(guān)鍵詞：扁平化；精細(xì)化；優(yōu)化設(shè)計(jì)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）18-4155-03

1 概述

隨著校園網(wǎng)用戶數(shù)量的增加以及網(wǎng)絡(luò)業(yè)務(wù)、用戶需求的多樣化，校園網(wǎng)的功能定位已經(jīng)逐步從滿足接入能力為主轉(zhuǎn)向可運(yùn)營、可管理、滿足日益豐富的業(yè)務(wù)需求為主，需要網(wǎng)絡(luò)能承載數(shù)據(jù)、視頻、組播、WLAN等多種業(yè)務(wù)，及對不同業(yè)務(wù)提供區(qū)分服務(wù)。

傳統(tǒng)三層交換架構(gòu)的網(wǎng)絡(luò)，在實(shí)際使用中存在諸多難以解決的問題，如：無法實(shí)現(xiàn)用戶的精細(xì)化管理、ARP病毒和擠占帶寬等行為難以徹底解決、管理維護(hù)難度較大、用戶滿意度較差，已經(jīng)難以滿足日益增長的多業(yè)務(wù)需求。

因此，未來校園網(wǎng)的發(fā)展必須適應(yīng)這一變化，必須從網(wǎng)絡(luò)架構(gòu)改造入手，向著高性能、精細(xì)化和易管理的方向發(fā)展，來建設(shè)一張定位先進(jìn)、適合南京中醫(yī)藥大學(xué)自身特色的校園網(wǎng)。

2 設(shè)計(jì)思路

2.1 總體設(shè)計(jì)思路

根據(jù)校園網(wǎng)現(xiàn)有和未來發(fā)展的性能要求，建立具有良好的應(yīng)用支撐能力的網(wǎng)絡(luò)。采用高性能的設(shè)備構(gòu)架校園網(wǎng)絡(luò)，作為校園網(wǎng)的信息支撐平臺。骨干設(shè)備能夠提供優(yōu)異的校園應(yīng)用支撐能力，同時(shí)保證多業(yè)務(wù)疊加的情況下，網(wǎng)絡(luò)性能的不下降。這一點(diǎn)尤為重要，特別是在校園網(wǎng)絡(luò)承載大量的教科研應(yīng)用系統(tǒng)的情況下，必須保證對應(yīng)用系統(tǒng)具有良好的承載。帶寬層面要考慮對未來3-5年的業(yè)務(wù)支撐能力，整個(gè)基礎(chǔ)網(wǎng)絡(luò)在網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)展、網(wǎng)絡(luò)用戶不斷增加、接入系統(tǒng)不斷擴(kuò)充的情況下，不能出現(xiàn)網(wǎng)絡(luò)擁塞存在現(xiàn)象。網(wǎng)絡(luò)層面通過高可靠的設(shè)備以及冗余的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，構(gòu)架穩(wěn)定可靠的校園網(wǎng)絡(luò)。針對校園網(wǎng)絡(luò)本身的管理，通過網(wǎng)絡(luò)的層次化劃分，簡化網(wǎng)絡(luò)邏輯架構(gòu)，便于針對性的管理，提高網(wǎng)絡(luò)的可靠性和擴(kuò)展性。

實(shí)現(xiàn)整個(gè)校園網(wǎng)真正的精細(xì)化管理，校園網(wǎng)應(yīng)采用不同的計(jì)費(fèi)策略以及不同的出口選路，讓用戶自行選擇運(yùn)營商套餐或者校園網(wǎng)套餐，提高用戶的上網(wǎng)體驗(yàn)度。對校園網(wǎng)內(nèi)部和到外部網(wǎng)絡(luò)訪問進(jìn)行有效的監(jiān)視、記錄和審計(jì)，實(shí)現(xiàn)對使用者身份、網(wǎng)絡(luò)IP地址及其訪問行為的識別和記錄，做到可跟蹤和可追查。對網(wǎng)絡(luò)中的使用者，實(shí)現(xiàn)基于用戶身份的行為控制，諸如可訪問的資源權(quán)限、對網(wǎng)絡(luò)帶寬的占用等方面的控制，做到可控制、可管理。網(wǎng)絡(luò)應(yīng)用的精細(xì)化管理，實(shí)現(xiàn)完善的流量識別和控制能力，保障重要應(yīng)用系統(tǒng)的網(wǎng)絡(luò)承載，包括安全性、帶寬保障、可靠性等方面，做到可識別、可保障[1]。

2.2 扁平化設(shè)計(jì)

圖1 扁平化網(wǎng)絡(luò)改造模型

圖1顯示的是扁平化網(wǎng)絡(luò)改造模型。扁平化架構(gòu)是將通常意義下按照層次進(jìn)行區(qū)分的三層網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榘凑展δ苓M(jìn)行了區(qū)分，劃分為核心的業(yè)務(wù)控制層面和邊緣的寬帶接入層面兩個(gè)部分。核心的業(yè)務(wù)控制層面提供了統(tǒng)一的用戶終結(jié)和業(yè)務(wù)控制功能。寬帶接入層包括了網(wǎng)絡(luò)的匯聚和接入層沒，用于負(fù)責(zé)用戶和業(yè)務(wù)的接入和二層VLAN的隔離，而不再提供用戶終結(jié)和業(yè)務(wù)控制方面的能力。扁平化路由方案中核心層設(shè)備完成了95%的功能，匯聚層設(shè)備只要支持靈活QinQ和VLAN隔離功能，接入層只需要支持VLAN隔離[2]。

核心設(shè)備提供集中式的業(yè)務(wù)控制和管理，有利于功能和業(yè)務(wù)的部署，能夠保證在提供功能和業(yè)務(wù)時(shí)，有較好的性能，有利于發(fā)揮核心設(shè)備的穩(wěn)定性可靠性的優(yōu)勢。匯聚/接入設(shè)備，只提供基本的二層VLAN隔離功能，有利于降低數(shù)量眾多的匯聚/接入層設(shè)備投資，由于功能簡單，有利于這些設(shè)備的穩(wěn)定可靠運(yùn)行，尋找故障快捷，有利于新功能/新業(yè)務(wù)的部署。

3 優(yōu)化設(shè)計(jì)

3.1 扁平化改造

圖2 扁平化網(wǎng)絡(luò)改造架構(gòu)

圖2顯示的是南京中醫(yī)藥大學(xué)扁平化網(wǎng)絡(luò)改造架構(gòu)[3]，具體部署如下：

1）部署兩臺高性能多業(yè)務(wù)路由器，作為為整個(gè)校園網(wǎng)絡(luò)的業(yè)務(wù)控制層，提供用戶認(rèn)證、接入授權(quán)、計(jì)費(fèi)、控制。核心路由器配置萬兆接口，下行與校園網(wǎng)的核心匯聚互聯(lián)，提供用戶高速接入；上行與出口防火墻之間也采用萬兆連接，滿足Internet出口帶寬要求。

2）兩臺核心交換機(jī)作為南京中醫(yī)藥大學(xué)校園網(wǎng)的核心，配置高密度萬兆接口板，通過單模光纖和上游的核心路由、以及下游的匯聚交換機(jī)之間互聯(lián)，搭建萬兆校園骨干網(wǎng)，兩臺核心做雙機(jī)虛擬化，在提供高可靠性的同時(shí)簡化管理。

3）接入層設(shè)備直接面向用戶，接入層線路以及設(shè)備的好壞直接影響到用戶的最終體驗(yàn)，穩(wěn)定的接入層是構(gòu)建可運(yùn)營可管理校園網(wǎng)的基礎(chǔ)，因此改造現(xiàn)有校園網(wǎng)部分使用年限較老的接入交換機(jī)，滿足學(xué)校運(yùn)營和管理的要求。

4）核心、匯聚和接入層交換機(jī)共同構(gòu)成校園網(wǎng)的寬帶接入層，在業(yè)務(wù)部署上，接入交換機(jī)和匯聚交換機(jī)負(fù)責(zé)實(shí)現(xiàn)QINQ封裝，擴(kuò)展VLAN數(shù)量，實(shí)現(xiàn)用戶隔離。核心路由器負(fù)責(zé)終結(jié)QINQ，提供用戶接入和控制。

5）部署Radius服務(wù)器和Portal服務(wù)器，在校園網(wǎng)（有線+無線）提供Portal認(rèn)證，接入校園網(wǎng)時(shí)提供認(rèn)證計(jì)費(fèi)和控制，用戶免費(fèi)訪問內(nèi)網(wǎng)資源，需要訪問其他資源時(shí)自動重定向到Portal上認(rèn)證，并提供用戶訪問報(bào)表統(tǒng)計(jì)。

6）在完成上述改造后，校園網(wǎng)出口引入多條運(yùn)營商接口，通過核心路由器的接入控制和后臺Radius服務(wù)器的控制功能，實(shí)現(xiàn)校內(nèi)用戶自行選擇運(yùn)營商出口或者學(xué)校自有出口訪問互聯(lián)網(wǎng)，實(shí)現(xiàn)出口流量的分流，提高用戶的上網(wǎng)體驗(yàn)。

3.2 業(yè)務(wù)部署

對現(xiàn)有設(shè)備進(jìn)行二層化改造，構(gòu)建校園網(wǎng)的寬帶接入層，通過VLAN 和QinQ實(shí)現(xiàn)用戶之間二層的隔離。在接入層交換機(jī)上為每個(gè)端口分配獨(dú)立的內(nèi)層VLAN標(biāo)簽，在匯聚交換機(jī)上打上相應(yīng)的外層標(biāo)簽。核心路由器提供用戶接入網(wǎng)絡(luò)時(shí)的DHCP地址分配功能，實(shí)現(xiàn)基于portal頁面的用戶接入網(wǎng)絡(luò)認(rèn)證和計(jì)費(fèi)功能。實(shí)現(xiàn)用戶接入校園網(wǎng)即認(rèn)證和控制的功能，校內(nèi)資源不收費(fèi)，國內(nèi)、國際資源按照不同資費(fèi)策略計(jì)費(fèi)。

3.3 用戶接入

校園網(wǎng)用戶統(tǒng)一采用DHCP方式進(jìn)行接入，用戶通過DHCP獲取地址，接入網(wǎng)絡(luò)，獲得校內(nèi)訪問權(quán)限，可以訪問所有校內(nèi)資源，用戶需要訪問公網(wǎng)時(shí)，在彈出的Portal頁面上輸入用戶名和密碼，完成公網(wǎng)接入的認(rèn)證過程，核心路由器將用戶賬戶信息轉(zhuǎn)發(fā)到后臺Radius進(jìn)行認(rèn)證，Radius返回用戶屬性，核心路由器根據(jù)用戶屬性，動態(tài)打開用戶訪問權(quán)限，用戶即可訪問公網(wǎng)。

運(yùn)營商用戶的接入和校園網(wǎng)用戶的接入類似，同樣是采用DHCP+Protal認(rèn)證方式，差別在于用戶認(rèn)證時(shí)，學(xué)校自建的RADIIUS平臺僅作為代理（Radius Proxy），將用戶的認(rèn)證賬號信息送往運(yùn)營商的Radius平臺，最終用戶的認(rèn)證和計(jì)費(fèi)是在運(yùn)營商RADIIUS平臺完成，認(rèn)證成功后，由運(yùn)營商側(cè)radius平臺下發(fā)屬性并定義調(diào)用的訪問策略，返回給學(xué)校RADIIUS平臺，再由學(xué)校RADIIUS平臺下發(fā)到核心路由器，轉(zhuǎn)發(fā)用戶的符合控制策略的訪問請求。學(xué)校的Radius平臺與運(yùn)營商Radius平臺通過標(biāo)準(zhǔn)的Radius接口，實(shí)現(xiàn)相互之間的對接。

3.4 用戶隔離

在南京中醫(yī)藥大校園網(wǎng)中，為了避免用戶之間的相互影響，可以通過匯聚層和接入層交換機(jī)的VLAN劃分，實(shí)現(xiàn)不同用戶、不同應(yīng)用之間的二層隔離。VLAN的細(xì)分實(shí)現(xiàn)不同的用戶與業(yè)務(wù)之間的邏輯隔離，便于實(shí)現(xiàn)細(xì)粒度的流量管理、控制功能，同時(shí)也避免了用戶、業(yè)務(wù)之間的相互影響，如ARP欺騙等問題。

3.5 精細(xì)化管理

高性能路由器作為校園網(wǎng)的核心網(wǎng)業(yè)務(wù)控制設(shè)備，實(shí)現(xiàn)用戶接入網(wǎng)絡(luò)的精細(xì)化管理功能，為用戶接入提供的DHCP流程中集成了認(rèn)證模塊，能夠?qū)崿F(xiàn)在用戶PC接入網(wǎng)絡(luò)獲取IP地址的同時(shí)，就能夠同步記錄下用戶的MAC地址、所在的具體位置（精確到交換機(jī)端口，包括內(nèi)層VLAN ID和外層VLAN ID）、接入網(wǎng)絡(luò)的時(shí)間、獲取的IP地址等多種信息，并對每個(gè)用戶細(xì)致的訪問權(quán)限、上下行速率的控制，從而實(shí)現(xiàn)用戶接入網(wǎng)絡(luò)的可識別、可管理、可控制，而這個(gè)過程用戶沒有任何感知。同時(shí)，通過接入網(wǎng)絡(luò)時(shí)的信息獲取，實(shí)現(xiàn)數(shù)據(jù)統(tǒng)計(jì)，如在線用戶數(shù)，用戶請求接入網(wǎng)絡(luò)數(shù)、用戶與物理位置的對應(yīng)等信息，提供相應(yīng)的統(tǒng)計(jì)報(bào)表。

3.6 用戶的認(rèn)證計(jì)費(fèi)

通過部署核心路由器實(shí)現(xiàn)靈活的用戶接入網(wǎng)絡(luò)認(rèn)證功能。單臺核心路由器需要能夠提供并發(fā)5萬以上在線用戶的能力，提供PPPoE和基于Portal等多種認(rèn)證方式，實(shí)現(xiàn)基于用戶帳號和其他相關(guān)信息（位置信息、時(shí)間信息）等的用戶認(rèn)證、控制、計(jì)費(fèi)功能。

在校園網(wǎng)改造后，取消現(xiàn)有的出口代理型認(rèn)證網(wǎng)關(guān)部署方案，主要原因如下：只能實(shí)現(xiàn)出校園網(wǎng)時(shí)的認(rèn)證；只能依賴于源IP地址判斷用戶是否已認(rèn)證，容易遭受仿冒源地址攻擊；只能通過是否有流量來判斷用戶是否下線，容易誤判、計(jì)費(fèi)不準(zhǔn)確；性能是瓶頸，且不支持IPv6、組播等特性。

改造后校園網(wǎng)（有線+無線）提供Portal認(rèn)證，在接入校園網(wǎng)網(wǎng)絡(luò)時(shí)可以提供認(rèn)證計(jì)費(fèi)和控制，用戶可以免費(fèi)訪問校內(nèi)資源，需要訪問其他資源時(shí)自動重定向到Portal上認(rèn)證。

同時(shí)，在校內(nèi)部署學(xué)校自己的Radius認(rèn)證計(jì)費(fèi)服務(wù)器，配合核心路由器，提供認(rèn)證計(jì)費(fèi)功能，用戶的角色和訪問權(quán)限、業(yè)務(wù)支持、上下行速率等的控制都是由radius下發(fā)屬性實(shí)現(xiàn)。Raidus系統(tǒng)可以與運(yùn)營商通過標(biāo)準(zhǔn)的Radius接口，實(shí)現(xiàn)相互之間的對接功能。

4 結(jié)論

南京中醫(yī)藥大學(xué)校園網(wǎng)經(jīng)扁平化優(yōu)化設(shè)計(jì)后，將會構(gòu)建一個(gè)簡單的的網(wǎng)絡(luò)架構(gòu)、一個(gè)多業(yè)務(wù)的系統(tǒng)、一個(gè)統(tǒng)一身份認(rèn)證的平臺和一個(gè)透明的網(wǎng)絡(luò)，實(shí)現(xiàn)用戶的精細(xì)化管理，徹底解決ARP病毒和擠占帶寬的行為，降低管理維護(hù)難度，提升用戶滿意度，滿足日益增長的多業(yè)務(wù)需求。

參考文獻(xiàn)：

[1] 劉素芳.IP網(wǎng)絡(luò)扁平化的實(shí)施[J].科技信息，2010（22）.

[2] 馬安龍.利用QINQ技術(shù)構(gòu)建扁平化網(wǎng)絡(luò)[J].電腦知識與技術(shù)，2012（15）.

[3] 徐峰，嚴(yán)學(xué)強(qiáng).淺析移動網(wǎng)絡(luò)扁平化與虛擬化[J].郵電設(shè)計(jì)技術(shù)，2011（5）.endprint