文 /覃遵穎 崔靖茹 王強(qiáng) 折波 張哲 李國棟

西安交通大學(xué)校園網(wǎng)經(jīng)過20余年的多期建設(shè)，已建成百兆到桌面，千兆到樓宇、萬兆到主干、IPv4/IPv6雙棧網(wǎng)絡(luò)全覆蓋、有線/無線網(wǎng)絡(luò)互為補(bǔ)充的園區(qū)網(wǎng)絡(luò)。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，學(xué)校信息化事業(yè)的層層推進(jìn)，用戶需求的多樣性和復(fù)雜性日益增加，給校園網(wǎng)帶來了新的要求和挑戰(zhàn)。經(jīng)過近兩年的不斷探索和實(shí)踐，我們分別從利用新技術(shù)優(yōu)化校園網(wǎng)基礎(chǔ)架構(gòu)、分期分區(qū)域升級(jí)改造校園網(wǎng)基礎(chǔ)設(shè)施、創(chuàng)新模式實(shí)現(xiàn)網(wǎng)絡(luò)可持續(xù)發(fā)展以及完善相關(guān)規(guī)范制度和服務(wù)體系四個(gè)方面出發(fā)，對(duì)校園網(wǎng)進(jìn)行提速增容升級(jí)優(yōu)化，力求建成一個(gè)可管可控的安全、穩(wěn)定、高速的新型校園網(wǎng)絡(luò)，這也是西安交通大學(xué)2018年信息化建設(shè)的三項(xiàng)重點(diǎn)工作之一。

利用新技術(shù)優(yōu)化校園網(wǎng)基礎(chǔ)架構(gòu)

隨著校園網(wǎng)基礎(chǔ)設(shè)施的不斷完善，前期大規(guī)模的網(wǎng)絡(luò)部署日漸成熟，網(wǎng)絡(luò)運(yùn)營管理逐漸成為校園網(wǎng)的主旋律。簡單粗放的認(rèn)證和接入服務(wù)已經(jīng)不能夠滿足當(dāng)前用戶日益增長的需求，服務(wù)多元、更具人性化、科學(xué)化的差異化服務(wù)和精細(xì)化管理方式必將成為校園網(wǎng)絡(luò)管理的主流形式。為此，學(xué)校通過下列技術(shù)對(duì)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行了多方位地改造優(yōu)化。

安全身份認(rèn)證（PPPoE上網(wǎng)方式）改造

學(xué)校的校園網(wǎng)建設(shè)起步較早，網(wǎng)絡(luò)結(jié)構(gòu)比較成熟，傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)和靜態(tài)地址上網(wǎng)模式已經(jīng)運(yùn)行了近二十年。但近年來，IP地址共用導(dǎo)致用戶體驗(yàn)差、IP地址盜用屢禁不止、網(wǎng)絡(luò)病毒和攻擊事件頻發(fā)等問題層出不窮。

圖1 網(wǎng)絡(luò)提速增容建設(shè)框架

學(xué)校家屬區(qū)和學(xué)生宿舍區(qū)已分別于2013年和2015年實(shí)現(xiàn)了扁平化大二層網(wǎng)絡(luò)改造，而教學(xué)區(qū)大部分區(qū)域仍采用三層網(wǎng)絡(luò)架構(gòu)。

教學(xué)區(qū)網(wǎng)絡(luò)有其自身特點(diǎn)，較家屬區(qū)和學(xué)生區(qū)有更多復(fù)雜的應(yīng)用場景，例如網(wǎng)絡(luò)打印機(jī)、服務(wù)器、高性能計(jì)算集群、大數(shù)據(jù)平臺(tái)、實(shí)驗(yàn)儀器設(shè)備、實(shí)驗(yàn)室機(jī)房、各類智能終端等。經(jīng)過對(duì)教學(xué)區(qū)用戶的需求考察和實(shí)地測試，最終選用IPoE+ PPPoE的方式，用戶普通辦公上網(wǎng)采用PPPoE撥號(hào)上網(wǎng)，其他需要靜態(tài)地址上網(wǎng)的使用場景，采用IPoE靜態(tài)地址綁定的方式，很好地解決了辦公教學(xué)區(qū)復(fù)雜場景下的網(wǎng)絡(luò)使用問題。

目前，教學(xué)區(qū)已基本完成了所有90余棟樓宇的安全身份認(rèn)證改造。改造后的網(wǎng)絡(luò)使得全校師生一人一上網(wǎng)賬號(hào)，實(shí)現(xiàn)了網(wǎng)絡(luò)安全法對(duì)網(wǎng)絡(luò)實(shí)名制的要求，解決了校園網(wǎng)用戶跨校區(qū)跨區(qū)域移動(dòng)辦公和上網(wǎng)的需求，使得全校有線無線一體化認(rèn)證計(jì)費(fèi)，之前的各類問題也都迎刃而解。

無線網(wǎng)絡(luò)優(yōu)化

當(dāng)前學(xué)校的無線網(wǎng)絡(luò)分別提供Portal和802.1x兩種認(rèn)證接入方式，此外對(duì)2.4G和5G兩個(gè)頻段還分別提供了不同的無線SSID。

Portal模式下，用戶每次使用無線網(wǎng)絡(luò)，都需要在瀏覽器頁面中輸入用戶名和密碼，非常繁瑣，有的移動(dòng)終端兼容性不好，無法彈出頁面，導(dǎo)致用戶體驗(yàn)不好。

圖2 無線網(wǎng)絡(luò)認(rèn)證自助服務(wù)系統(tǒng)

802.1x模式下，用戶只需要第一次輸入用戶名和密碼，之后只要進(jìn)入無線信號(hào)覆蓋范圍內(nèi)即可自動(dòng)完成認(rèn)證。但由于802.1x自身協(xié)議特性，認(rèn)證過程需要較長時(shí)間，導(dǎo)致用戶等待。

因此，通過評(píng)估安全性和易用性，我們推出了Portal的基于MAC的無感知認(rèn)證，很大程度改善了用戶體驗(yàn)。同時(shí)，通過自服務(wù)系統(tǒng)，方便用戶對(duì)無感知認(rèn)證終端的自管理。

核心業(yè)務(wù)專網(wǎng)建設(shè)

隨著信息化程度的不斷提高，除了日常辦公、科研、學(xué)習(xí)等校園網(wǎng)常規(guī)業(yè)務(wù)以外，還有很多學(xué)校核心業(yè)務(wù)需要網(wǎng)絡(luò)支撐環(huán)境的保障。學(xué)校目前存在大型儀器設(shè)備共享系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、能源監(jiān)控、廣電通信等10余個(gè)專網(wǎng)專線，各個(gè)專網(wǎng)之間相互獨(dú)立，網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)布線和設(shè)備接入及其不規(guī)范，難以管理。

經(jīng)調(diào)研，國內(nèi)高校尚無大規(guī)模在用的成熟的業(yè)務(wù)專網(wǎng)建設(shè)方案，為此，近年來我們探索嘗試了VLAN隔離、MPLS、SDN等多種技術(shù)。綜合技術(shù)發(fā)展趨勢、業(yè)務(wù)靈活度、管理復(fù)雜度以及產(chǎn)品成熟度，2017年學(xué)校啟動(dòng)了核心業(yè)務(wù)專網(wǎng)核心網(wǎng)絡(luò)建設(shè)。

首先，我們對(duì)全校10余個(gè)專網(wǎng)專線進(jìn)行了調(diào)研梳理，初步形成了核心業(yè)務(wù)專網(wǎng)IP地址使用和管理規(guī)范。其次，我們確定了業(yè)務(wù)專網(wǎng)建設(shè)技術(shù)路線，現(xiàn)階段采用VLAN隔離等技術(shù)加強(qiáng)安全防范，逐步將各個(gè)核心業(yè)務(wù)系統(tǒng)接入到核心業(yè)務(wù)專網(wǎng)，核心業(yè)務(wù)專網(wǎng)同時(shí)還具備可升級(jí)為SDN網(wǎng)絡(luò)模式的能力，隨著SDN技術(shù)及產(chǎn)品的成熟，核心業(yè)務(wù)專網(wǎng)從技術(shù)架構(gòu)上可進(jìn)一步提升。

目前，學(xué)校建成了一張物理共享、邏輯隔離、可管可控、覆蓋全校所有樓宇的核心業(yè)務(wù)專網(wǎng)，已完成學(xué)校大型儀器設(shè)備共享系統(tǒng)的網(wǎng)絡(luò)接入工作，支撐數(shù)百臺(tái)大型儀器設(shè)備的聯(lián)網(wǎng)，未來計(jì)劃接入財(cái)務(wù)管理系統(tǒng)、能源監(jiān)控、廣電通信等各項(xiàng)學(xué)校核心業(yè)務(wù)。

出口線路優(yōu)化

學(xué)校擁有教育網(wǎng)、電信、移動(dòng)、聯(lián)通等多家運(yùn)營商的多個(gè)出口線路，出口線路較為復(fù)雜。目前，國內(nèi)高校出口線路使用策略大致分為以下幾類：

1. 按區(qū)域/按用戶分配出口線路；

2.按目的地址最優(yōu)選路分配出口線路；

3.按應(yīng)用類型分配出口線路；

4.用戶自主選擇出口線路。

結(jié)合學(xué)校出口線路現(xiàn)狀及使用需求，綜合上述幾種選路方式的優(yōu)缺點(diǎn)，我們采用了混合策略選路模式。

首先，通過策略路由選路保障電子學(xué)術(shù)期刊資源等學(xué)校核心業(yè)務(wù)的服務(wù)質(zhì)量。其次，按用戶身份由用戶自主選擇出口線路。第三，按照目的地址最優(yōu)選路。第四，利用應(yīng)用分配策略將P2P、云盤等高負(fù)載應(yīng)用分流到較空閑線路。最后，通過DNS服務(wù)優(yōu)化選路，提升訪問體驗(yàn)。

通過采用上述策略，有效提高了學(xué)校出口帶寬資源的利用率，優(yōu)化校園網(wǎng)用戶的網(wǎng)絡(luò)訪問，使得校園網(wǎng)出口服務(wù)質(zhì)量得以提升。

智能DNS建設(shè)

DNS是網(wǎng)絡(luò)最重要的基礎(chǔ)設(shè)施之一，近年來網(wǎng)絡(luò)應(yīng)用的多樣化、復(fù)雜化，以及基于DNS的CDN、負(fù)載均衡、黑白名單等技術(shù)的快速發(fā)展，促使域名技術(shù)也越來越復(fù)雜，網(wǎng)絡(luò)對(duì)域名系統(tǒng)的依賴性也越來越強(qiáng)。隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，在DNS域名管理和多出口流量調(diào)度方面的需求越來越強(qiáng)烈。

為了保障學(xué)校DNS服務(wù)的可靠性和安全性，我們首先使用開源的BIND軟件搭建了基于教育網(wǎng)、電信、聯(lián)通、移動(dòng)的多出口線路的DNS集群，同時(shí)還搭建了基于成熟產(chǎn)品的多出口線路的DNS集群，兩者統(tǒng)一管理互為備份。為此，我們還開發(fā)了DNS監(jiān)控管理系統(tǒng)，實(shí)時(shí)檢測DNS運(yùn)行狀態(tài)，對(duì)服務(wù)進(jìn)行健康檢測，實(shí)現(xiàn)DNS服務(wù)的高可靠和高安全。

為了配合出口線路優(yōu)化，我們還通過智能DNS系統(tǒng)建設(shè)，實(shí)現(xiàn)了域名的智能解析，能夠按用戶身份、按資源類型、按出口線路利用率等對(duì)校園網(wǎng)進(jìn)行流量調(diào)度，實(shí)現(xiàn)智能解析和負(fù)載均衡。

分期分區(qū)域升級(jí)改造校園網(wǎng)基礎(chǔ)設(shè)施

西安交通大學(xué)校園網(wǎng)樓宇綜合布線大都隨土建施工一同完成，而校內(nèi)大多數(shù)樓宇已建成十五年以上，樓內(nèi)的綜合布線十分老舊且不合理，嚴(yán)重影響校園網(wǎng)用戶的網(wǎng)絡(luò)體驗(yàn)。同時(shí)，大多數(shù)校園網(wǎng)核心設(shè)備和樓宇內(nèi)匯聚及接入網(wǎng)絡(luò)設(shè)備也已運(yùn)行十余年，性能和功能都不能滿足當(dāng)前網(wǎng)絡(luò)使用要求。

在實(shí)際網(wǎng)絡(luò)管理運(yùn)維中我們發(fā)現(xiàn)，網(wǎng)絡(luò)問題集中和突出的樓宇，存在網(wǎng)絡(luò)綜合布線陳舊和私拉亂接的共性，如果不解決最后一百米的問題，其他工作都是徒勞。由于老舊樓宇綜合布線改造投資大，周期較長，不同樓宇網(wǎng)絡(luò)基礎(chǔ)設(shè)施現(xiàn)狀不盡相同，不宜于大規(guī)模同時(shí)進(jìn)行，因此我們規(guī)劃在兩年至三年內(nèi)分區(qū)域依次對(duì)這些老舊樓宇重新進(jìn)行綜合布線，從源頭上提升用戶的上網(wǎng)質(zhì)量。

同時(shí)，對(duì)樓內(nèi)進(jìn)行重新網(wǎng)絡(luò)綜合布線時(shí)，同步更新樓宇內(nèi)匯聚和接入網(wǎng)絡(luò)設(shè)備，替換老舊設(shè)備，且使得校園網(wǎng)帶寬從之前的百兆到桌面、千兆到樓宇，升級(jí)為千兆到桌面、萬兆到樓宇，大幅度提升內(nèi)網(wǎng)訪問速度。

對(duì)于校園網(wǎng)主干及出口核心網(wǎng)絡(luò)設(shè)備，常常牽一發(fā)而動(dòng)全身，因此，也需要逐步進(jìn)行更新升級(jí)和替換，配合出口線路優(yōu)化進(jìn)行策略調(diào)整，加強(qiáng)園區(qū)網(wǎng)絡(luò)出口安全管理，提升園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的質(zhì)量。

采用創(chuàng)新模式實(shí)現(xiàn)網(wǎng)絡(luò)可持續(xù)發(fā)展

除了從技術(shù)手段和硬件設(shè)施上改善校園網(wǎng)絡(luò)環(huán)境外，學(xué)校還通過借鑒國內(nèi)高校和運(yùn)營商合作的成功經(jīng)驗(yàn)，引入社會(huì)資源共建共營、全面發(fā)揮學(xué)生網(wǎng)絡(luò)管理團(tuán)隊(duì)的主觀能動(dòng)性等措施，從管理和機(jī)制上進(jìn)行校園網(wǎng)模式改革。

引入社會(huì)資源共建共營

我們以提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)為首要原則，克服以往校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)資金匱乏、網(wǎng)絡(luò)出口成為瓶頸、網(wǎng)絡(luò)濫用等種種弊端，將網(wǎng)絡(luò)服務(wù)自主選擇權(quán)交給用戶。通過成本核算，將校園網(wǎng)用戶繳納的網(wǎng)絡(luò)費(fèi)用，?？顚Ｓ茫罩蓷l線，作為網(wǎng)絡(luò)建設(shè)資金，改善網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境，提升網(wǎng)絡(luò)服務(wù)質(zhì)量，使用戶獲取良好網(wǎng)絡(luò)體驗(yàn)，形成多方共贏、可持續(xù)發(fā)展的局面。通過引入第三方提供資金和帶寬資源，由學(xué)校對(duì)全網(wǎng)進(jìn)行統(tǒng)一規(guī)劃、設(shè)計(jì)、建設(shè)，建成優(yōu)質(zhì)可靠、可管可控的新型校園網(wǎng)絡(luò)。在合作共建的基礎(chǔ)上，進(jìn)行共同運(yùn)營，節(jié)約校園網(wǎng)運(yùn)維成本，使校園網(wǎng)用戶能夠獲得更加優(yōu)質(zhì)的服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)的提速增容。

今年以來，通過引入社會(huì)資源共建共營，校園網(wǎng)出口帶寬擴(kuò)容了23Gbps，在學(xué)生宿舍區(qū)推出了多運(yùn)營商網(wǎng)絡(luò)服務(wù)，爭取到了一定資金用于校園網(wǎng)基礎(chǔ)設(shè)施的建設(shè)，補(bǔ)充了校園網(wǎng)運(yùn)維服務(wù)人員隊(duì)伍，很好地解決了校園網(wǎng)互聯(lián)網(wǎng)出口帶寬不足、有線網(wǎng)絡(luò)老化、無線網(wǎng)絡(luò)覆蓋不全面、網(wǎng)絡(luò)服務(wù)維護(hù)任務(wù)多、建設(shè)資金短缺等問題，逐步建立了校園網(wǎng)的可持續(xù)發(fā)展長效機(jī)制，促成校園網(wǎng)建設(shè)運(yùn)營的良性循環(huán)。

全面發(fā)揮學(xué)生網(wǎng)絡(luò)管理團(tuán)隊(duì)的主觀能動(dòng)性

學(xué)校于2014年成立了學(xué)生網(wǎng)絡(luò)管理協(xié)會(huì)，負(fù)責(zé)學(xué)生區(qū)宿舍網(wǎng)絡(luò)的維護(hù)和管理、宿舍網(wǎng)絡(luò)設(shè)備的維護(hù)監(jiān)控以及宿舍網(wǎng)絡(luò)的故障排除。今年以來，我們重新對(duì)網(wǎng)管協(xié)會(huì)進(jìn)行定位，將其職責(zé)范圍延伸至辦公教學(xué)區(qū)在內(nèi)的整個(gè)校園網(wǎng)，配合網(wǎng)絡(luò)管理和運(yùn)維人員，在上網(wǎng)方式改造、學(xué)生區(qū)多運(yùn)營商網(wǎng)絡(luò)服務(wù)推廣、用戶上門服務(wù)、網(wǎng)絡(luò)診斷等工作中都發(fā)揮了積極作用，收到了良好的用戶反饋。

完善相關(guān)規(guī)范制度和服務(wù)體系

網(wǎng)絡(luò)建好是基礎(chǔ)，但管好才能真正用好，因此，規(guī)范制度和服務(wù)體系對(duì)校園網(wǎng)的發(fā)展也是至關(guān)重要的，而校園網(wǎng)往往缺乏完整的管理制度體系。

校園網(wǎng)用戶的網(wǎng)絡(luò)技術(shù)知識(shí)參差不齊，大多數(shù)情況下，并不是網(wǎng)絡(luò)不好，而是用戶不會(huì)使用和缺乏網(wǎng)絡(luò)安全知識(shí)造成的，為此，我們建立了良好的服務(wù)體系和溝通機(jī)制。今年來，我們實(shí)施了信息化基礎(chǔ)服務(wù)及網(wǎng)絡(luò)安全的宣傳工作、網(wǎng)絡(luò)及正版化軟件主動(dòng)上門服務(wù)、“信息化服務(wù)進(jìn)職能部門”“信息化服務(wù)進(jìn)學(xué)院”“信息化服務(wù)進(jìn)書院”“信息化服務(wù)進(jìn)社區(qū)”系列調(diào)研服務(wù)工作、“一對(duì)一”服務(wù)責(zé)任制、用戶網(wǎng)絡(luò)診斷等行之有效的措施。

與此同時(shí)，我們也在不斷完善校園網(wǎng)相關(guān)規(guī)范制度，力爭建立完整的制度體系，使得校園網(wǎng)管理和服務(wù)都有據(jù)可依。

經(jīng)過多方面的建設(shè)，學(xué)校的校園網(wǎng)初步建立了自我造血、可持續(xù)發(fā)展的長效機(jī)制，形成了規(guī)范的管理和服務(wù)體制，網(wǎng)絡(luò)質(zhì)量得到了較大提升，基本滿足了全校師生日益增長的網(wǎng)絡(luò)訪問需求，對(duì)學(xué)校各項(xiàng)核心業(yè)務(wù)起到了支撐保障作用。