劉景天

(重慶市育才職業(yè)教育中心 重慶 401520)

中小學(xué)校園網(wǎng)絡(luò)一般具備結(jié)構(gòu)簡單，但規(guī)模大，終端設(shè)備多、上網(wǎng)用戶多，網(wǎng)絡(luò)橫跨多棟建筑等特點(diǎn)。從拓?fù)浣Y(jié)構(gòu)上分析，組建這類網(wǎng)絡(luò)一般有三層組網(wǎng)或二層組網(wǎng)兩種模式。

三層組網(wǎng)是指采用“核心—匯聚—接入”模式組建網(wǎng)絡(luò)：接入層一般為位于建筑樓層弱電井的二層交換機(jī)，建立有若干VLAN，端口配置為Untagged Access模式，用于直接連接終端設(shè)備；匯聚層一般為位于建筑弱電控制間的三層交換機(jī)，除建立有若干啟用DHCP功能的Interface VLAN，還啟用有OSPF、RIP等動(dòng)態(tài)路由協(xié)議，用于匯聚建筑內(nèi)各樓層流量，并根據(jù)訪問目標(biāo)地址將流量送往其他匯聚或核心交換機(jī)；核心層一般為位于學(xué)校中心機(jī)房的路由器或三層交換機(jī)，啟用動(dòng)態(tài)路由協(xié)議，根據(jù)訪問目標(biāo)地址將流量送往校內(nèi)服務(wù)器集群或送往出口防火墻以實(shí)現(xiàn)訪問Internet。

二層組網(wǎng)是指采用“核心—接入”模式組建網(wǎng)絡(luò)：接入層和三層組網(wǎng)類似，建立有若干VLAN，用于直接連接終端設(shè)備。由于沒有匯聚層，接入層一般通過光纜、無線網(wǎng)橋等傳輸介質(zhì)直接連接到核心層；核心層一般為三層交換機(jī)，建立有若干啟用DHCP功能的Interface VLAN，并將這些VLAN通過Trunk或Hybrid隧道傳遞到接入交換機(jī)。也就是說，所有接入層VLAN的網(wǎng)關(guān)都建立在核心交換機(jī)上，所有終端設(shè)備產(chǎn)生的流量也全部直達(dá)核心交換機(jī)，再由核心交換機(jī)根據(jù)訪問目標(biāo)地址轉(zhuǎn)發(fā)流量。

一、兩種組網(wǎng)模式在性能方面的比較

首先分析用戶訪問Internet的情況：在三層組網(wǎng)模式下，用戶流量首先到達(dá)接入交換機(jī)，再經(jīng)過匯聚到達(dá)核心。典型情況下數(shù)據(jù)包至少要經(jīng)過三臺(tái)設(shè)備，經(jīng)歷2跳（Hop）才能到達(dá)出口防火墻，第1跳在匯聚層，第2跳在核心層；在二層組網(wǎng)模式下，用戶流量經(jīng)過接入直達(dá)核心交換機(jī)，經(jīng)過兩臺(tái)設(shè)備，數(shù)據(jù)包經(jīng)歷1跳即可到達(dá)出口防火墻。

然后分析用戶訪問校園內(nèi)網(wǎng)服務(wù)器或其他辦公、實(shí)訓(xùn)室終端時(shí)的情況。在三層組網(wǎng)模式下，用戶流量到達(dá)匯聚后，匯聚交換機(jī)根據(jù)訪問目標(biāo)地址將流量送往核心或者轉(zhuǎn)發(fā)給與自身直接相連的其他接入交換機(jī)。理想情況下，用戶訪問目標(biāo)如果在當(dāng)前匯聚交換機(jī)匯聚范圍內(nèi)，數(shù)據(jù)包只需經(jīng)過三臺(tái)設(shè)備（接入—匯聚—接入），經(jīng)歷1跳即可完成訪問；在二層組網(wǎng)模式下，無論用戶訪問目標(biāo)地址如何，流量都必須到達(dá)核心進(jìn)行處理。數(shù)據(jù)包雖然也只需經(jīng)過三臺(tái)設(shè)備（接入—核心—接入），經(jīng)歷1跳即可完成訪問，但若并發(fā)流量較大時(shí)（例如大量用戶同時(shí)收看內(nèi)網(wǎng)服務(wù)器提供的視頻時(shí)），會(huì)對(duì)核心交換機(jī)性能產(chǎn)生一定程度的影響。

二、兩種組網(wǎng)模式在穩(wěn)定性方面的比較

在網(wǎng)絡(luò)運(yùn)行穩(wěn)定性方面，“DHCP串?dāng)_”和“廣播風(fēng)暴”兩類問題在校園網(wǎng)絡(luò)中出現(xiàn)頻率較高。

首先分析DHCP串?dāng)_問題：在三層組網(wǎng)模式下，DHCP服務(wù)一般由匯聚交換機(jī)提供，此時(shí)若連接的接入交換機(jī)發(fā)生DHCP串?dāng)_，影響范圍一般局限于受到干擾的VLAN，排查故障位置相對(duì)容易，也可以在接入交換機(jī)上啟用DHCP Snooping功能以確保匯聚層不會(huì)受到DHCP串?dāng)_問題的影響；在二層組網(wǎng)模式下，如果受影響的VLAN橫跨多棟建筑（如多棟建筑里的教室共用同一個(gè)VLAN），又沒有在接入交換機(jī)上啟用DHCP Snooping功能，排查故障位置就會(huì)很麻煩。

然后分析廣播風(fēng)暴問題：在三層組網(wǎng)模式下，網(wǎng)絡(luò)環(huán)路的范圍一般不會(huì)超過匯聚層。廣播風(fēng)暴爆發(fā)時(shí)，影響范圍一般局限于一棟建筑內(nèi)，不影響其他建筑及校園網(wǎng)核心層正常運(yùn)行；在二層組網(wǎng)模式下，廣播風(fēng)暴流量將會(huì)直接傳遞到核心交換機(jī)，輕則全網(wǎng)發(fā)生數(shù)據(jù)包被大量丟棄的情況，重則全網(wǎng)癱瘓。如果網(wǎng)絡(luò)設(shè)備上正確啟用了RSTP、MSTP等生成樹協(xié)議和廣播風(fēng)暴抑制功能，廣播風(fēng)暴爆發(fā)將會(huì)非常罕見。

三、兩種組網(wǎng)模式在建設(shè)無線網(wǎng)絡(luò)方面的比較

中小學(xué)無線網(wǎng)絡(luò)一般采用由無線控制器集中管理若干無線接入點(diǎn)（AC+AP）的拓?fù)浣Y(jié)構(gòu)組網(wǎng)。無線控制器AC旁路部署在核心層，無線接入點(diǎn)AP吊頂安裝在各棟建筑內(nèi)，一方面通過有線網(wǎng)絡(luò)連接AC，另一方面通過ISM頻段連接無線設(shè)備。在用戶流量與有線網(wǎng)絡(luò)融合方面，可選集中轉(zhuǎn)發(fā)或本地轉(zhuǎn)發(fā)兩種模式：集中轉(zhuǎn)發(fā)是指AP將無線設(shè)備產(chǎn)生的用戶流量全部轉(zhuǎn)發(fā)到AC，AC再將流量全部轉(zhuǎn)發(fā)到核心層處理，整個(gè)無線網(wǎng)絡(luò)工作模式就像一棟虛擬建筑一樣，AC當(dāng)作匯聚層，AP當(dāng)作接入層。集中轉(zhuǎn)發(fā)更適用三層組網(wǎng)模式；本地轉(zhuǎn)發(fā)是指AP將用戶流量全部轉(zhuǎn)發(fā)到樓層接入交換機(jī)上的本地VLAN，和有線網(wǎng)絡(luò)流量混合后直達(dá)核心或轉(zhuǎn)發(fā)匯聚處理，AC在無線網(wǎng)絡(luò)中只起管理作用，不處理用戶流量。本地轉(zhuǎn)發(fā)更適用二層組網(wǎng)模式。

在三層組網(wǎng)模式下，若無線網(wǎng)絡(luò)流量過大，集中轉(zhuǎn)發(fā)會(huì)對(duì)AC性能產(chǎn)生顯著影響，輕則延遲加大，重則丟包率飆升。雖然三層組網(wǎng)也可選用本地轉(zhuǎn)發(fā)，但由于本地VLAN相對(duì)分散，可能多臺(tái)匯聚交換機(jī)都在提供不同的DHCP地址池，致使用戶IP地址不在同一個(gè)網(wǎng)段，加大了應(yīng)用上網(wǎng)認(rèn)證、流控限速等管理措施的難度。若AP啟用多個(gè)SSID并對(duì)應(yīng)不同的本地VLAN時(shí)（如區(qū)分教職工和學(xué)生），還會(huì)進(jìn)一步增加復(fù)雜度；在二層組網(wǎng)模式下，由于本地VLAN集中統(tǒng)一，上述管理措施容易實(shí)現(xiàn)。

四、兩種組網(wǎng)模式在多網(wǎng)融合方面的比較

以校園安防監(jiān)控系統(tǒng)為例，一般采用網(wǎng)絡(luò)硬盤錄像機(jī)集中管理若干網(wǎng)絡(luò)攝像機(jī)（NVR+IPC）的拓?fù)浣Y(jié)構(gòu)組網(wǎng)。為了給建設(shè)運(yùn)維提供便利，目前主流的網(wǎng)絡(luò)攝像機(jī)IPC均具有二層設(shè)備自動(dòng)發(fā)現(xiàn)功能，硬盤錄像機(jī)NVR借助這一功能可以自動(dòng)發(fā)現(xiàn)同網(wǎng)段內(nèi)IPC并應(yīng)用配置模板，以及批量修改IP地址、賬號(hào)密碼等，非常方便。在二層組網(wǎng)模式下，只需要?jiǎng)澐忠粋€(gè)或多個(gè)VLAN，再按監(jiān)控區(qū)域?qū)VR和對(duì)應(yīng)的IPC放在同一個(gè)VLAN里即可實(shí)現(xiàn)上述功能；在三層組網(wǎng)模式下，由于VLAN相對(duì)分散，實(shí)現(xiàn)上述功能通常需要手動(dòng)操作。

五、兩種組網(wǎng)模式在上網(wǎng)認(rèn)證方面的比較

上網(wǎng)認(rèn)證設(shè)備一般串接部署在核心層。在三層組網(wǎng)模式下，核心層通常只能獲取到終端設(shè)備的IP地址，無法獲取到其MAC地址，因而只能針對(duì)前者進(jìn)行操作。這樣一來可能又需要先通過匯聚層的DHCP服務(wù)將目標(biāo)終端設(shè)備IP地址固定或者直接在終端設(shè)備上手動(dòng)固定地址，過程繁瑣；在二層組網(wǎng)模式下，核心層可以很方便的獲得所有終端設(shè)備的MAC地址并傳遞給上網(wǎng)認(rèn)證設(shè)備操作，相比就非常簡單了。

六、結(jié)束語

綜上所述，中小學(xué)校園網(wǎng)絡(luò)三層組網(wǎng)或二層組網(wǎng)在性能上沒有明顯差異。在穩(wěn)定性上，因拓?fù)浣Y(jié)構(gòu)優(yōu)勢(shì)，三層組網(wǎng)在應(yīng)對(duì)校園網(wǎng)常見問題時(shí)更勝一籌，二層組網(wǎng)則需要相對(duì)更專業(yè)的網(wǎng)絡(luò)運(yùn)維技術(shù)才能使穩(wěn)定性有所保證。但在無線網(wǎng)絡(luò)建設(shè)，與安防監(jiān)控、數(shù)字廣播等業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)融合，部署上網(wǎng)認(rèn)證等具體應(yīng)用方面，二層組網(wǎng)優(yōu)勢(shì)明顯。