李玉清

摘 要 隨著眾多高等學(xué)校大規(guī)模擴(kuò)招和多校區(qū)建設(shè)的推進(jìn)，校園網(wǎng)的規(guī)模在快速地?cái)U(kuò)大，校園網(wǎng)也要越來越充分地支持各業(yè)務(wù)系統(tǒng)，一個(gè)高效率的基礎(chǔ)網(wǎng)絡(luò)和充分融合的數(shù)字化校園對(duì)高校教育事業(yè)發(fā)展的促進(jìn)作用越來越明顯。高校的數(shù)字化校園建設(shè)需要基礎(chǔ)網(wǎng)絡(luò)具有高性能、高可用性、高可靠性和高安全性的特點(diǎn)。校園網(wǎng)不僅要支持全校師生的上網(wǎng)，還要支持通用的網(wǎng)絡(luò)應(yīng)用，包括電子政務(wù)、網(wǎng)站、網(wǎng)絡(luò)財(cái)務(wù)、電子消費(fèi)和認(rèn)證、分布式數(shù)據(jù)庫(kù)等?，F(xiàn)有的高?；A(chǔ)網(wǎng)絡(luò)越來越難以適應(yīng)用戶和應(yīng)用快速的發(fā)展，常用的解決辦法是設(shè)備升級(jí)，但是更換設(shè)備只能解決一時(shí)之需，所以，從調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)和優(yōu)化網(wǎng)絡(luò)管理上提升網(wǎng)絡(luò)的整體性能，是高校校園網(wǎng)正在面臨的選擇。

關(guān)鍵詞 QinQ PPPoE 扁平化

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A

1課題背景

這種傳統(tǒng)架構(gòu)下，會(huì)帶來如下關(guān)于應(yīng)用和管理上的一些困難：

（1）網(wǎng)絡(luò)實(shí)際需求和設(shè)備功能經(jīng)常錯(cuò)位對(duì)于靠近用戶端的網(wǎng)絡(luò)邊緣設(shè)備，如接入和匯聚設(shè)備，功能相對(duì)單一，但卻要提供比較多的功能，而對(duì)網(wǎng)絡(luò)核心設(shè)備，其豐富的功能和強(qiáng)大的性能并沒得到充分發(fā)揮，形成了事實(shí)上的網(wǎng)絡(luò)設(shè)備功能和網(wǎng)絡(luò)實(shí)際需求的錯(cuò)位。

（2）VLAN資源受限。對(duì)于三層網(wǎng)絡(luò)設(shè)備，單臺(tái)設(shè)備支持4K個(gè)VLAN，這個(gè)容量不足以實(shí)現(xiàn)VLAN的細(xì)分和隔離，導(dǎo)致大量用戶、應(yīng)用出現(xiàn)在一個(gè)沖突域里，不能進(jìn)行有效的隔離和保護(hù)，用戶的應(yīng)用之間會(huì)造成互相影響。

（3）難以做到基于用戶的控制。

2 QinQ技術(shù)介紹

QinQ技術(shù)適時(shí)出現(xiàn)其初衷是為了拓展802.1Q VLAN數(shù)量的限制，即在原有802.1Q VLAN報(bào)文的基礎(chǔ)上再打上一層802.1Q VLAN標(biāo)簽，實(shí)現(xiàn)標(biāo)簽嵌套，從而讓QinQ協(xié)議下VLAN數(shù)量擴(kuò)展到4K€？K個(gè)。它的內(nèi)外層標(biāo)簽可以分別代表不同分類，如內(nèi)層標(biāo)簽代表用戶，外層標(biāo)簽代表不同業(yè)務(wù)，從而實(shí)現(xiàn)對(duì)用戶的隔離和應(yīng)用數(shù)據(jù)的分類，基于這種隔離和分類，又可以實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)的精細(xì)化控制，同時(shí)由于QinQ報(bào)文攜帶兩層標(biāo)簽，在用戶數(shù)據(jù)穿越運(yùn)營(yíng)商網(wǎng)絡(luò)時(shí)，內(nèi)部標(biāo)簽透明，因此也是一種簡(jiǎn)單的VPN，他可以作為核心MPLS VPN的延伸，從而實(shí)現(xiàn)低成本的點(diǎn)到點(diǎn)的VPN。

3 PPPoE 協(xié)議

PPPoE協(xié)議通過把PPP協(xié)議的可擴(kuò)展性、管理控制功能和最經(jīng)濟(jì)的局域網(wǎng)以太網(wǎng)結(jié)合在一起，網(wǎng)絡(luò)運(yùn)營(yíng)商便可以快速部署成熟可靠的互聯(lián)網(wǎng)業(yè)務(wù)，它使運(yùn)營(yíng)商通過Modem、無線和數(shù)字用戶線方式，提供多用戶寬帶服務(wù)。它更簡(jiǎn)單快捷，也降低了用戶的使用門濫。

4扁平化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

4.1網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

校園網(wǎng)絡(luò)的規(guī)劃參考扁平化網(wǎng)絡(luò)后，可以將整個(gè)網(wǎng)絡(luò)分為兩個(gè)邏輯層：核心層設(shè)備構(gòu)成了業(yè)務(wù)控制層，匯聚、接入層設(shè)備構(gòu)成了寬帶接入層。邏輯架構(gòu)和VLAN劃分如下：

（1）用戶IPv4地址由核心層設(shè)備通過DHCP分配，用戶之間通過VLAN隔離，用戶的地址分配均從地址池中動(dòng)態(tài)獲取。對(duì)于目前在校園網(wǎng)中部署的WLAN而言，在新的扁平化和集中控制網(wǎng)絡(luò)架構(gòu)中，可實(shí)現(xiàn)有線、無線一體化架構(gòu)。

（2）通過扁平化校園網(wǎng)升級(jí)后，更容易實(shí)現(xiàn)精細(xì)話的管理控制。通過網(wǎng)絡(luò)構(gòu)架的改變，可有效解決傳統(tǒng)校園網(wǎng)中存在的問題，優(yōu)化校園網(wǎng)平臺(tái)，提供對(duì)高校校園信息化更好的承載。需要注意的是，構(gòu)建扁平化校園網(wǎng)和部署精細(xì)化管理模式，均對(duì)業(yè)務(wù)控制層，即核心層設(shè)備的功能、性能、可靠性和可擴(kuò)展性提出了更高的要求。

4.2精細(xì)化控制設(shè)計(jì)

在校園網(wǎng)中，為了避免用戶之間的相互影響，可以通過網(wǎng)絡(luò)中匯聚層和接入層交換機(jī)的VLAN劃分，實(shí)現(xiàn)不同用戶、不同應(yīng)用之間的二層隔離，VLAN細(xì)分可實(shí)現(xiàn)不同用戶之間、不同業(yè)務(wù)之間的邏輯隔離，也便于實(shí)現(xiàn)細(xì)粒度的流量管理和控制功能，同時(shí)也避免了用戶之間、業(yè)務(wù)之間的相互影響，如廣播風(fēng)暴、ARP欺騙等問題。在選擇細(xì)粒度控制時(shí)，在接入層，通過VLAN隔離不同的用戶、不同的業(yè)務(wù)。對(duì)于接入層設(shè)備，要支持802. 1Q VLAN，在設(shè)備的上聯(lián)口通過起TRUNK的方式，實(shí)現(xiàn)多VLAN透?jìng)?。?dāng)用戶數(shù)量超過4K后，可通過QinQ協(xié)議，實(shí)現(xiàn)VLAN數(shù)量的有效擴(kuò)展。

在釆用這種方式時(shí)，同時(shí)需要匯聚交換機(jī)對(duì)QinQ功能的支持，核心路由器對(duì)QinQ的終結(jié)的支持，從而大大提高了對(duì)密集的接入用戶隔離和不同業(yè)務(wù)隔離控制的支持。

4.3認(rèn)證方式設(shè)計(jì)

4.3.1無需認(rèn)證用戶

對(duì)于某些特殊的用戶和設(shè)備，不需要認(rèn)證，設(shè)備獲取IP地址后，可以直接上網(wǎng)。設(shè)計(jì)提供以下幾種方案的接入：（1）為用戶分配固定IP地址，用戶在手動(dòng)配置地址和網(wǎng)關(guān)，直接獲得相應(yīng)的訪問權(quán)限；對(duì)于用戶訪問權(quán)限需要控制的情況，在路由器對(duì)應(yīng)的接口上配置訪問控制列表ACL；（2）通過DHCP服務(wù)器為用戶提供動(dòng)態(tài)地址分配功能。用戶的終端接入后，通過DHCP服務(wù)獲得IPv4地址、網(wǎng)關(guān)地址和DNS服務(wù)器地址等信息。在提供DHCP服務(wù)時(shí)，可以基于一定規(guī)則，從地址池中提供給用戶動(dòng)態(tài)地址，或按照要求，與用戶的MAC做綁定，每次都分配給某個(gè)網(wǎng)卡同一個(gè)IP地址。

4.3.2 PPPoE 認(rèn)證

PPPoE是在用戶和BAS設(shè)備之間建立一個(gè)PPP連接通道，它是通過將PPP協(xié)議運(yùn)行在Ethernet之上，BAS設(shè)備可對(duì)每個(gè)連接進(jìn)行分別的管理，可對(duì)用戶進(jìn)行基于時(shí)長(zhǎng)或者流量的計(jì)費(fèi)，相對(duì)于IPoE，它是一套成熟、緊湊，且特別是在運(yùn)營(yíng)商廣泛應(yīng)用的寬帶用戶接入方式。

4.3.3 Web Portal 認(rèn)證

DHCP服務(wù)器和Portal服務(wù)器配合使用，用戶終端通過DHCP得到一個(gè)地址，用戶可以訪問一定資源，也可以通過重定向，強(qiáng)制用戶連接到Portal服務(wù)器進(jìn)行認(rèn)證，在彈出的認(rèn)證界面輸入用戶名和密碼，Portal服務(wù)器會(huì)將認(rèn)證數(shù)據(jù)發(fā)送給RADIUS服務(wù)器，如果認(rèn)證通過，則用戶可以訪問特定的資源。

參考文獻(xiàn)

[1] 肖蠓，王磊.802.lX系統(tǒng)中客戶端軟件版本檢測(cè)方法分析[J].昆明：昆明理工大學(xué)學(xué)報(bào)（理工版），2007，32（2）：27-28.

[2] 胡逾峰.QinQ技術(shù)的原理及在上海電信的應(yīng)用[J].濟(jì)南：科技信息，2007（3）：27-28.

[3] 靳遠(yuǎn).城域網(wǎng)靈活QinQ技術(shù)的實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2010.