陳博

摘要：隨著近幾年高校智慧校園建設(shè)的全面展開(kāi)，傳統(tǒng)的三層校園網(wǎng)架構(gòu)已不能很好承載日益豐富的校園應(yīng)用，粗放式的校園網(wǎng)管理方式已經(jīng)不適應(yīng)今后的發(fā)展需要。本文針對(duì)校園網(wǎng)架構(gòu)的現(xiàn)狀進(jìn)行了面向下一代的校園網(wǎng)可演進(jìn)架構(gòu)方案的研究分析。

關(guān)鍵詞：校園網(wǎng);網(wǎng)絡(luò)架構(gòu);智慧校園;改造方案

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）18-0015-03

1 概述

隨著社會(huì)信息化的高速發(fā)展和智慧校園建設(shè)的全面展開(kāi)，一方面校內(nèi)用網(wǎng)用戶數(shù)量成倍增加，每用戶控制終端數(shù)超過(guò)一臺(tái);另一方面用戶所使用的網(wǎng)絡(luò)應(yīng)用數(shù)量更是呈現(xiàn)爆發(fā)式增長(zhǎng)，應(yīng)用類型由單一的http應(yīng)用態(tài)勢(shì)轉(zhuǎn)變?yōu)橐詇ttp和流媒體為主，p2p等多協(xié)議全面鋪開(kāi)的態(tài)勢(shì)。

當(dāng)下，網(wǎng)絡(luò)應(yīng)用已滲透入校園生活的各個(gè)層面，用戶對(duì)網(wǎng)絡(luò)的依賴度越來(lái)越高，可以說(shuō)離開(kāi)網(wǎng)絡(luò)已無(wú)法辦事。校園網(wǎng)過(guò)去的定位即負(fù)責(zé)用戶接入已遠(yuǎn)遠(yuǎn)不能滿足現(xiàn)有用戶的需要。將校園網(wǎng)改造成一張高性能、精細(xì)化、易運(yùn)維的下一代網(wǎng)絡(luò)已刻不容緩。

2 改造方案研究

2.1 組網(wǎng)模式選擇

當(dāng)今校園網(wǎng)的建設(shè)主要存在兩種建設(shè)思路：基于扁平化架構(gòu)的路由組網(wǎng)模式和傳統(tǒng)的三層交換式組網(wǎng)模式[1]。以下就這兩種網(wǎng)絡(luò)改造方案做具體比較：

（1）交換組網(wǎng)模式（如圖1所示）

在傳統(tǒng)的交換式組網(wǎng)模式下，網(wǎng)絡(luò)通常被劃分為核心、匯聚、接入三個(gè)層面，各個(gè)層面分別實(shí)現(xiàn)不同的業(yè)務(wù)功能。核心層設(shè)備在網(wǎng)絡(luò)中一般部署很少的業(yè)務(wù)，主要在網(wǎng)絡(luò)中負(fù)責(zé)高速轉(zhuǎn)發(fā)的工作，匯聚層設(shè)備要求較高，主要負(fù)責(zé)IPV4＼IPV6終結(jié)、IPV4＼IPV6單播及組播的控制和ACL、QoS等功能，然而在架構(gòu)中最廉價(jià)的接入層設(shè)備則要部署很多安全和接入控制功能，包括用戶隔離、速率限制、DHCP偵聽(tīng)、動(dòng)態(tài)ARP檢測(cè)、PVLAN等功能。

可以看出，在這種組網(wǎng)模式下校園網(wǎng)中最容易出現(xiàn)的故障即接入設(shè)備損壞會(huì)給網(wǎng)絡(luò)運(yùn)維人員帶來(lái)很大的工作量，除去替換設(shè)備的協(xié)調(diào)問(wèn)題，接入設(shè)備繁多的配置寫入和調(diào)試將耗費(fèi)大量的時(shí)間，從而延遲網(wǎng)絡(luò)故障的恢復(fù)，對(duì)用戶造成極大的影響。

（2）路由組網(wǎng)模式（如圖2所示）

在路由組網(wǎng)模式下，網(wǎng)絡(luò)的物理結(jié)構(gòu)可以不做變化，仍然是接入、匯聚、核心，但是邏輯結(jié)構(gòu)轉(zhuǎn)變?yōu)閮蓪咏Y(jié)構(gòu)，即寬帶接入層和業(yè)務(wù)控制層。寬帶接入層對(duì)應(yīng)著交換組網(wǎng)模式中的接入和匯聚層，而業(yè)務(wù)控制層對(duì)應(yīng)著交換組網(wǎng)模式中的核心層。

路由組網(wǎng)模式的二層架構(gòu)相較于傳統(tǒng)交換組網(wǎng)模式的三層架構(gòu)最主要的區(qū)別在于將之前大部分分散在接入、匯聚層上實(shí)現(xiàn)的功能幾乎全部集中在核心層設(shè)備上實(shí)現(xiàn)。也就是說(shuō)寬帶接入層主要負(fù)責(zé)終端的網(wǎng)絡(luò)接入，業(yè)務(wù)控制層主要負(fù)責(zé)業(yè)務(wù)的部署和控制功能的下發(fā)。

在校園網(wǎng)發(fā)展的早期采用交換式三層架構(gòu)有其歷史原因。首先，由于硬件參數(shù)所限核心設(shè)備的性能不足以支撐全網(wǎng)的業(yè)務(wù)控制;其次，采購(gòu)多臺(tái)高性能核心設(shè)備需要大量資金投入，早期高校完全無(wú)法承擔(dān)。而在技術(shù)飛速發(fā)展的今天，核心網(wǎng)絡(luò)設(shè)備的功能和性能越來(lái)越強(qiáng)大，足夠承擔(dān)核心和匯聚統(tǒng)一的功能，因此將傳統(tǒng)的核心和匯聚組合成業(yè)務(wù)控制層，一方面減少網(wǎng)絡(luò)層次，將接入和匯聚設(shè)備從業(yè)務(wù)控制的壓力下解放出來(lái)，用足性能做高速轉(zhuǎn)發(fā)，從而解決由接入、匯聚層網(wǎng)絡(luò)設(shè)備的性能瓶頸造成的網(wǎng)絡(luò)擁塞;另一方面，相較于交換組網(wǎng)模式，接入層故障只需要找到替換設(shè)備，直接導(dǎo)入接入層的通用配置即可上線使用，給網(wǎng)絡(luò)運(yùn)維人員帶來(lái)極大的便利，也縮短了故障恢復(fù)的時(shí)間。

綜合來(lái)說(shuō)路由組網(wǎng)模式是未來(lái)網(wǎng)絡(luò)發(fā)展的趨勢(shì)，它代表著網(wǎng)絡(luò)向下一代演進(jìn)的方向，它帶給用戶的不僅僅是技術(shù)的先進(jìn)性，還有對(duì)未來(lái)投資的保護(hù)。

2.2 設(shè)備功能分解

（1）Radius服務(wù)器負(fù)責(zé)用戶信息收集和整理，生成報(bào)表，用戶計(jì)費(fèi)，也負(fù)責(zé)根據(jù)用戶登錄信息，通知核心路由器下發(fā)對(duì)應(yīng)的訪問(wèn)策略。

（2）核心路由器負(fù)責(zé)用戶接入，終結(jié)QinQ，給用戶分配地址、下發(fā)訪問(wèn)策略，將用戶的接入信息轉(zhuǎn)發(fā)到Radius服務(wù)器[2]。

（3）匯聚交換機(jī)負(fù)責(zé)打QinQ第二次標(biāo)記，進(jìn)行vlan擴(kuò)展，同時(shí)匯聚端口，將連接接入交換機(jī)的多個(gè)千兆接口，匯聚成1-2個(gè)萬(wàn)兆端口，與核心路由器互連。

（4）接入交換機(jī)負(fù)責(zé)通過(guò)每端口1個(gè)vlan的方式進(jìn)行用戶隔離，保證不同端口下的用戶在不同廣播域內(nèi)，避免相同廣播域中某一端口產(chǎn)生的ARP攻擊、廣播風(fēng)暴影響接入的所有用戶。

（5）防火墻負(fù)責(zé)校內(nèi)用戶訪問(wèn)公網(wǎng)時(shí)的地址轉(zhuǎn)換，以及提供對(duì)校園網(wǎng)邊界的安全防護(hù)。

3 網(wǎng)絡(luò)業(yè)務(wù)的實(shí)現(xiàn)

3.1 用戶接入的實(shí)現(xiàn)

（1）辦公教學(xué)區(qū)的用戶接入

辦公教學(xué)區(qū)內(nèi)的用戶相對(duì)穩(wěn)定，考慮到盡量減少用戶終端設(shè)備的配置，采用設(shè)置動(dòng)態(tài)獲取IP地址的方式進(jìn)行接入。用戶動(dòng)態(tài)獲得校內(nèi)地址后，即可登錄進(jìn)校園網(wǎng)，訪問(wèn)所有內(nèi)網(wǎng)資源。一旦用戶終端需要獲取因特網(wǎng)資源，其向公網(wǎng)發(fā)出的請(qǐng)求會(huì)被核心路由器截獲，由核心路由器將用戶的請(qǐng)求重定向至Radius服務(wù)器，由Radius服務(wù)器向用戶推送權(quán)限認(rèn)證的Portal頁(yè)面，用戶需要提供有相應(yīng)權(quán)限的賬號(hào)信息，Radius服務(wù)器對(duì)照數(shù)據(jù)庫(kù)中用戶屬性返回給核心路由器，則核心路由器根據(jù)該屬性動(dòng)態(tài)分配給用戶相應(yīng)的訪問(wèn)權(quán)限[3]，用戶即可自由地進(jìn)行操作（如圖4所示）。

（2）宿舍區(qū)用戶的接入

在宿舍區(qū)提供PPPoE認(rèn)證，主要考慮到PPPoE適合于宿舍區(qū)的應(yīng)用，它很容易檢查到用戶下線，可通過(guò)一個(gè)PPP會(huì)話的建立和釋放對(duì)用戶進(jìn)行基于時(shí)長(zhǎng)或流量的統(tǒng)計(jì)，計(jì)費(fèi)方式靈活方便;它可以提供動(dòng)態(tài)IP地址分配方式，用戶無(wú)須任何配置且windows自帶PPPoe客戶端，維護(hù)簡(jiǎn)單，無(wú)須添加設(shè)備就可解決IP地址短缺問(wèn)題，同時(shí)根據(jù)分配的IP地址，可以很好地定位用戶在本網(wǎng)內(nèi)的活動(dòng);PPPoE通道互相隔離，能夠天然抵御ARP欺騙、仿冒源地址攻擊等問(wèn)題，極大減輕網(wǎng)絡(luò)管理員的工作量，并有效保障了整個(gè)校園網(wǎng)絡(luò)的可靠性和穩(wěn)定性;同時(shí)PPPoE模式已由運(yùn)營(yíng)商在大量小區(qū)環(huán)境下實(shí)施，非常成熟。

宿舍區(qū)用戶接入時(shí)，PPPoE客戶端會(huì)廣播發(fā)送一個(gè)PADI報(bào)文，在此報(bào)文中包含PPPoE 客戶端想要得到的服務(wù)類型信息。核心路由器收到PADI報(bào)文之后，將其中請(qǐng)求的服務(wù)與自己能夠提供的服務(wù)進(jìn)行比較，如果可以提供，則單播回復(fù)一個(gè)PADO報(bào)文。對(duì)于每個(gè)用戶的PPPoE會(huì)話，都可以根據(jù)用戶的身份信息進(jìn)行相應(yīng)的訪問(wèn)權(quán)限控制、上下行速率限制以及根據(jù)流量、時(shí)長(zhǎng)等采取不同策略的計(jì)費(fèi)功能（如圖5所示）。

（3）免認(rèn)證用戶的接入

對(duì)于學(xué)校工作人員的機(jī)器可以采用免認(rèn)證的接入方式，來(lái)提高用戶的上網(wǎng)體驗(yàn)，通過(guò)用戶名和機(jī)器MAC的綁定來(lái)實(shí)現(xiàn)。

這里的MAC地址綁定有兩種方式，一種就是在后臺(tái)Radius初始添加賬號(hào)時(shí)手動(dòng)輸入用戶的賬號(hào)和機(jī)器MAC地址進(jìn)行綁定，用戶訪問(wèn)網(wǎng)絡(luò)進(jìn)行認(rèn)證時(shí)，后臺(tái)Radius查找本地?cái)?shù)據(jù)庫(kù)根據(jù)綁定關(guān)系自動(dòng)放行。

另一種方式需要用戶撥號(hào)到認(rèn)證計(jì)費(fèi)系統(tǒng)以后，認(rèn)證計(jì)費(fèi)系統(tǒng)記錄其數(shù)據(jù)信息，再對(duì)其賬號(hào)進(jìn)行一鍵綁定。

3.2 特殊業(yè)務(wù)的部署

以一卡通系統(tǒng)為例，這些需要二層互通的業(yè)務(wù)，采用終端配置固定地址，在核心路由器上通過(guò)橋接方式實(shí)現(xiàn)各設(shè)備之間的二層互通，具體操作上在接入交換機(jī)將所有一卡通終端所接的接口劃分在同一個(gè)VLAN中，如VLAN 4000;匯聚交換機(jī)利用靈活QinQ機(jī)制，對(duì)特殊VLAN標(biāo)記，不打第二層VLAN標(biāo)記，而是實(shí)現(xiàn)VLAN透?jìng)?在核心路由器上根據(jù)一卡通VLAN標(biāo)記，在所有接口上配置靜態(tài)子接口與之對(duì)應(yīng)，如Xe-0/0/0.4000，Xe-0/0/1.4000將所有一卡通靜態(tài)子接口，如Xe-0/0/0.4000，Xe-0/0/1.4000通過(guò)橋接方式，劃分在一個(gè)二層域內(nèi)，實(shí)現(xiàn)二層互通。

3.3 終端固定IP地址的實(shí)現(xiàn)

對(duì)于一些服務(wù)器或網(wǎng)絡(luò)打印機(jī)等終端，需要保持其IP地址固定，也可采用DHCP方式獲取地址，但通過(guò)在DHCP服務(wù)器上的配置綁定，保證同一個(gè)MAC地址的DHCP請(qǐng)求每次都被分配到同一個(gè)IP地址。

3.4 用戶互訪控制的實(shí)現(xiàn)

在路由網(wǎng)絡(luò)架構(gòu)中，用戶和服務(wù)器在業(yè)務(wù)控制層面即核心設(shè)備上實(shí)現(xiàn)統(tǒng)一的地址規(guī)劃管控（如圖6所示）。所有用戶設(shè)備對(duì)于校內(nèi)服務(wù)器的網(wǎng)絡(luò)請(qǐng)求都會(huì)經(jīng)過(guò)核心路由器。這種方式帶來(lái)的優(yōu)勢(shì)是對(duì)用戶和網(wǎng)絡(luò)中流量的控制能力更強(qiáng)，管理維護(hù)更加簡(jiǎn)化，但相應(yīng)核心設(shè)備也需要有強(qiáng)大的性能來(lái)提供大量用戶的并發(fā)終結(jié)，這種所有端口的全線速轉(zhuǎn)發(fā)不會(huì)導(dǎo)致網(wǎng)絡(luò)整體性能的下降。

另外這種方式下，終結(jié)在同一臺(tái)核心路由器上的客戶端和服務(wù)器的互訪流量對(duì)匯聚到核心之間的帶寬占用也相應(yīng)提高。由于改造后整個(gè)校園網(wǎng)匯聚和核心之間都采用了萬(wàn)兆以上的互聯(lián)，因此這部分的帶寬占用對(duì)網(wǎng)絡(luò)整體帶寬影響不大。此外，這種方式下，用戶之間的互訪，如文件共享或打印機(jī)共享，均可以通過(guò)三層方式實(shí)現(xiàn)，即基于IP地址的共享來(lái)實(shí)現(xiàn)。

4 結(jié)束語(yǔ)

通過(guò)傳統(tǒng)三層交換方式組建的校園網(wǎng)，從網(wǎng)絡(luò)業(yè)務(wù)管控的角度來(lái)看，只滿足了用戶基本的網(wǎng)絡(luò)接入需求，而缺乏對(duì)于用戶策略層面的業(yè)務(wù)管控。用戶的網(wǎng)絡(luò)訪問(wèn)過(guò)程中沒(méi)有針對(duì)性的記錄、審計(jì)和控制，從而導(dǎo)致了網(wǎng)絡(luò)的無(wú)序使用。

為了更好地支撐智慧校園建設(shè)，校園網(wǎng)粗放式的管理方式必將向精細(xì)化管理方向轉(zhuǎn)變。一方面，針對(duì)網(wǎng)絡(luò)中的使用者實(shí)現(xiàn)基于用戶身份的行為控制，做到可控制、可管理。另一方面，針對(duì)網(wǎng)絡(luò)中的應(yīng)用實(shí)現(xiàn)完善的流量識(shí)別和控制能力，保障重要應(yīng)用系統(tǒng)的網(wǎng)絡(luò)承載，包括安全性、帶寬保障、可靠性等方面，做到可識(shí)別、可保障[4]。

參考文獻(xiàn)：

[1] 繆其勇.基于扁平化理論優(yōu)化設(shè)計(jì)校園網(wǎng)[J].電腦知識(shí)與技術(shù)，2014.

[2] 史壽樂(lè).基于QinQ協(xié)議的校園網(wǎng)扁平化改造設(shè)計(jì)[D].安徽大學(xué)，2014.

[3] 湯小康.高校校園網(wǎng)的精細(xì)化管理解決方案[J].信息與電腦（理論版），2014.

[4] 吳乃忠.基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設(shè)研究[J].電子世界，2012.

【通聯(lián)編輯：王力】