作者簡(jiǎn)介：岳超（1989— ），男，山東菏澤人，工程師，碩士；研究方向：網(wǎng)絡(luò)技術(shù)。

摘要：隨著教育信息化的快速發(fā)展，廣大師生對(duì)校園網(wǎng)絡(luò)的依賴度越來(lái)越高。尤其是特殊時(shí)期，線上教學(xué)成為唯一的教學(xué)模式，這對(duì)校園網(wǎng)來(lái)說(shuō)是一個(gè)前所未有的挑戰(zhàn)。校園網(wǎng)作為承載高校信息化業(yè)務(wù)的唯一信息載體，具有以下特點(diǎn)：用戶群體規(guī)模大、網(wǎng)絡(luò)設(shè)備數(shù)量大、運(yùn)維難度大、帶寬需求大、承載業(yè)務(wù)種類(lèi)多、網(wǎng)絡(luò)安全要求高等。如何規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)、高效運(yùn)維網(wǎng)絡(luò)、安全管理網(wǎng)絡(luò)是各大高校普遍面臨的問(wèn)題。文章以校園網(wǎng)架構(gòu)升級(jí)改造項(xiàng)目為依據(jù)，從規(guī)劃設(shè)計(jì)、項(xiàng)目實(shí)施以及技術(shù)實(shí)現(xiàn)等方面，介紹校園網(wǎng)建設(shè)運(yùn)維方面的經(jīng)驗(yàn)。

關(guān)鍵詞：扁平化；架構(gòu)升級(jí)；設(shè)計(jì)

中圖分類(lèi)號(hào)：TP393.18 文獻(xiàn)標(biāo)志碼：A

0 引言

2014年左右，各高校逐漸開(kāi)展校園網(wǎng)的二層改造，將傳統(tǒng)的核心層、匯聚層和接入層組成的三層組網(wǎng)模式改造為扁平化的大二層結(jié)構(gòu)。傳統(tǒng)網(wǎng)絡(luò)大多以準(zhǔn)出認(rèn)證為主，即在出口設(shè)備下端串接認(rèn)證設(shè)備以達(dá)到認(rèn)證計(jì)費(fèi)的目的，認(rèn)證設(shè)備下端走三層路由協(xié)議實(shí)現(xiàn)各區(qū)域的互聯(lián)互通。隨著用戶規(guī)模的擴(kuò)大以及網(wǎng)絡(luò)設(shè)備的增加，該架構(gòu)的維護(hù)難度越來(lái)越大，運(yùn)維效率逐漸降低。鑒于現(xiàn)狀，為減輕運(yùn)維壓力，提高運(yùn)維效率，各高校開(kāi)始尋求新的組網(wǎng)模式。扁平化管理大二層結(jié)構(gòu)的組網(wǎng)模式便得到了各高校的青睞，成為各高校網(wǎng)絡(luò)架構(gòu)改造的首選模式。如何在實(shí)踐扁平化網(wǎng)絡(luò)的過(guò)程中，對(duì)校園網(wǎng)進(jìn)行精細(xì)化管理是研究的熱點(diǎn)問(wèn)題［1］。

1 建設(shè)目標(biāo)

通過(guò)對(duì)校園網(wǎng)現(xiàn)狀的改造，建設(shè)一個(gè)有線無(wú)線一體化、IPv4/IPv6雙棧式、高可用、可擴(kuò)展、易維護(hù)、可溯源的安全的網(wǎng)絡(luò)架構(gòu)，滿足未來(lái)5—8年的信息化發(fā)展需求，同時(shí)具備后期SND改造的條件。

2 網(wǎng)絡(luò)規(guī)劃

采取扁平化的校園網(wǎng)絡(luò)進(jìn)行精細(xì)管理，一方面能夠使網(wǎng)絡(luò)組網(wǎng)具有更加清晰的層次，在使用網(wǎng)絡(luò)的過(guò)程中更加安全，另一方面能夠有效地滿足不同用戶的需求，進(jìn)一步推動(dòng)校園網(wǎng)的未來(lái)發(fā)展［2］。

2.1 設(shè)備參數(shù)

要實(shí)現(xiàn)高可用的校園網(wǎng)，首要目標(biāo)是堅(jiān)決避免校園網(wǎng)內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的性能瓶頸。傳統(tǒng)的校園網(wǎng)的核心區(qū)域網(wǎng)絡(luò)多為千兆/萬(wàn)兆互聯(lián)，當(dāng)校園帶寬出口超過(guò)10G時(shí)，就會(huì)在校園網(wǎng)內(nèi)部形成轉(zhuǎn)發(fā)瓶頸，造成出口帶寬的浪費(fèi)。本次項(xiàng)目的建設(shè)目標(biāo)為：千兆到桌面，萬(wàn)兆到匯聚，40G到核心，80G到出口；同時(shí)所有設(shè)備必須支持IPv4/IPv6雙棧協(xié)議，線速轉(zhuǎn)發(fā)及支持VXLAN網(wǎng)關(guān)以滿足后期SDN組網(wǎng)改造的需求。

2.2 網(wǎng)絡(luò)業(yè)務(wù)梳理

網(wǎng)絡(luò)業(yè)務(wù)梳理是對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境進(jìn)行歸納總結(jié)，條理化地分割網(wǎng)絡(luò)應(yīng)用場(chǎng)景，為下一步IP地址的規(guī)劃提供參考依據(jù)?？傮w上可分為有線業(yè)務(wù)和無(wú)線業(yè)務(wù)。

有線業(yè)務(wù)：普通辦公、教室、實(shí)驗(yàn)室、啞終端（網(wǎng)絡(luò)打印機(jī)、門(mén)禁、攝像頭等）、網(wǎng)絡(luò)設(shè)備管理、物理服務(wù)器、虛擬服務(wù)器、docker業(yè)務(wù)、設(shè)備帶外管理等。

無(wú)線業(yè)務(wù)：學(xué)生無(wú)線、教職工無(wú)線、eduroam、guest等。

2.3 IP子網(wǎng)規(guī)劃

規(guī)劃原則：采用私有地址和公網(wǎng)地址相結(jié)合的方式，容量大、可擴(kuò)展，考慮到學(xué)校網(wǎng)絡(luò)安全要求的因素，以下數(shù)據(jù)僅供參考，非本校實(shí)際數(shù)據(jù)。

有線業(yè)務(wù)：普通辦公（10.1.X.X/16）、教室（10.2.X.X/16）、實(shí)驗(yàn)室（10.3.X.X/16）、啞終端（10.4.X.X/16）、網(wǎng)絡(luò)設(shè)備管理（10.5.X.X/16）、物理服務(wù)器（10.6.X.X/16）、虛擬服務(wù)器（10.7.X.X/16）、docker業(yè)務(wù)（10.8.X.X/16）、設(shè)備帶外管理（10.9.0.0/16）等。

無(wú)線業(yè)務(wù)：學(xué)生無(wú)線（172.16.X.X/16）、教師無(wú)線（172.17.X.X/16）、eduroam（172.18.X.X/16）、guest（172.19.X.X/16）等。

2.4 VLAN劃分

本次項(xiàng)目主要采取基于QinQ技術(shù)結(jié)合BRAS的扁平化大二層改造的方式。VLAN的劃分至關(guān)重要。QinQ技術(shù)可以簡(jiǎn)單地理解為雙VLAN標(biāo)簽的封裝技術(shù)，后面詳細(xì)介紹。根據(jù)QinQ的技術(shù)特點(diǎn)，結(jié)合具體情況。采用以外層VLAN標(biāo)簽作為對(duì)樓宇弱電間的標(biāo)志，內(nèi)層標(biāo)簽作為用戶標(biāo)簽。

示例1：外層標(biāo)簽2111，2代表校區(qū)，中間11代表樓宇，最后的1代表樓宇的第一個(gè)弱電間；內(nèi)層標(biāo)簽101-148代表該弱電間的第一臺(tái)接入設(shè)備，201-248代表該弱電間的第二臺(tái)接入設(shè)備，VLAN1301代表網(wǎng)絡(luò)打印機(jī)，VLAN1302代表攝像頭，VLAN1303代表門(mén)禁等。

2.5 認(rèn)證方式

2.5.1 家屬區(qū)認(rèn)證方式

家屬區(qū)用戶認(rèn)證方式前期采用的是Web認(rèn)證方式，存在以下問(wèn)題：

（1）操作復(fù)雜，須人工干預(yù)；

（2）超時(shí)重連、多次認(rèn)證；

為避免上述問(wèn)題，結(jié)合學(xué)校實(shí)際情況以及用戶上網(wǎng)場(chǎng)景，采用PPPoE撥號(hào)上網(wǎng)的方式。

2.5.2 辦公區(qū)認(rèn)證方式

家屬區(qū)存在的問(wèn)題，辦公區(qū)同樣存在，但各辦公室的實(shí)際情況不盡相同。大多數(shù)辦公區(qū)沒(méi)有路由器，不具備撥號(hào)上網(wǎng)的條件，若使用電腦撥號(hào)的方式對(duì)用戶的上網(wǎng)操作是一個(gè)挑戰(zhàn)。為提高用戶的上網(wǎng)體驗(yàn)，故采用WEB認(rèn)證，為避免頻繁登錄或者長(zhǎng)時(shí)間不用自動(dòng)注銷(xiāo)的現(xiàn)象，本次項(xiàng)目增加MAC地址認(rèn)證以實(shí)現(xiàn)用戶的無(wú)感知上線功能，即IPoE+Web認(rèn)證+MAC地址無(wú)感知認(rèn)證。

2.5.3 啞終端認(rèn)證方式

啞終端不具備撥號(hào)上網(wǎng)或者WEB登錄的功能，且考慮到網(wǎng)絡(luò)接入的安全，故采用靜態(tài)IP地址加MAC地址綁定的方式進(jìn)行認(rèn)證。

3 關(guān)鍵技術(shù)

3.1 QinQ協(xié)議

QinQ產(chǎn)生背景：一是解決日益緊缺的VLAN ID資源問(wèn)題；二是滿足業(yè)務(wù)精細(xì)化管理的需求。QinQ（802.1Q-in-802.1Q），又名為VLANStacking或Double VLAN，由IEEE 802.1ad標(biāo)準(zhǔn)定義，是一項(xiàng)擴(kuò)展VLAN空間的技術(shù)，通過(guò)在802.1Q標(biāo)簽報(bào)文的基礎(chǔ)上再增加一層802.1Q的Tag來(lái)達(dá)到擴(kuò)展VLAN空間的目的。

IEEE 802.1Q中定義的VLAN ID只有12個(gè)比特，僅能表示4096個(gè)VLAN域。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，4096個(gè)VLAN域已無(wú)法滿足網(wǎng)絡(luò)擴(kuò)容的需求。因此，IEEE 802.1ad中在原有的802.1Q報(bào)文的基礎(chǔ)上增加一層802.1Q Tag（又名VLAN Tag或標(biāo)簽），對(duì)VLAN Tag字段擴(kuò)展以后VLAN數(shù)目就可以達(dá)到4094×4094個(gè)，這樣就能滿足隔離大量用戶的需求（其中VLAN0和VLAN4095用作協(xié)議保留，一般不啟用業(yè)務(wù)。故VLAN的取值范圍為1—4094），這種雙層Tag的報(bào)文就叫做QinQ報(bào)文［3］。

3.2 PPPoE協(xié)議

3.2.1 PPP協(xié)議

PPP協(xié)議是點(diǎn)對(duì)點(diǎn)二層通信協(xié)議，提供在點(diǎn)對(duì)點(diǎn)鏈路上傳輸多協(xié)議數(shù)據(jù)報(bào)的標(biāo)準(zhǔn)方法，是數(shù)據(jù)鏈路層的一種封裝協(xié)議。傳統(tǒng)的以太網(wǎng)二層是以廣播的形式實(shí)現(xiàn)數(shù)據(jù)通信，PPP協(xié)議是在兩個(gè)通信節(jié)點(diǎn)之間實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)交換轉(zhuǎn)發(fā)。圖1為PPP協(xié)議的幀格式。

FLAG：在PPP協(xié)議中，頭部和尾部都有一個(gè)Flag字段，F(xiàn)lag字段標(biāo)志著一個(gè)PPP幀的開(kāi)始和結(jié)束。FLAG字段長(zhǎng)度8bit，固定值為0x7e。Address：在PPP協(xié)議中，因?yàn)檫M(jìn)行通信的為點(diǎn)對(duì)點(diǎn)，區(qū)別于以太網(wǎng)必須使用MAC地址來(lái)表明數(shù)據(jù)幀的發(fā)送者和接收者。PPP協(xié)議中的Address字段取值固定為0xff。

Control：長(zhǎng)度8bit，取值固定0x03，無(wú)特殊作用。

Protocol：長(zhǎng)度16bit，其取值類(lèi)似以太網(wǎng)幀的類(lèi)型，表明了上層數(shù)據(jù)的類(lèi)型。

FCS：長(zhǎng)度16bit，用于幀校驗(yàn)。一個(gè)設(shè)備在收到PPP幀后會(huì)進(jìn)行PPP幀校驗(yàn)，如果發(fā)現(xiàn)PPP在傳輸過(guò)程中出錯(cuò)，該幀會(huì)被立即丟棄。PPP協(xié)議沒(méi)有糾錯(cuò)和重傳機(jī)制。

3.2.2 PPP認(rèn)證方式

PPP的認(rèn)證方式主要有兩種：PAP和CHAP。PAP在傳輸中采用明文認(rèn)證，通過(guò)兩次握手實(shí)現(xiàn)，存在安全風(fēng)險(xiǎn)；CHAP在傳輸中不傳輸密碼，取代的是密碼的hash值，通過(guò)三次握手實(shí)現(xiàn)，安全性高。

3.2.3 PPP鏈路建立過(guò)程

PPP鏈路的狀態(tài)共分為Dead、Establish、Authenticate、Network、Terminate等5種，如圖2所示。

Dead狀態(tài)表示物理層無(wú)連接，鏈路建立的初始階段。

物理層建立連接成功后，進(jìn)入Establish確認(rèn)階段，通過(guò)雙方設(shè)備互相交互LCP的鏈路配置包完成鏈路層的協(xié)商，若協(xié)商成功，則進(jìn)入LCP的Open狀態(tài)，進(jìn)入下一步協(xié)商，否則退回到Dead狀態(tài)。

鏈路進(jìn)入Open狀態(tài)后，下一步需要檢查是否配置認(rèn)證，如果是，則進(jìn)入Authenticate階段，如果否，則鏈路直接放通，狀態(tài)變?yōu)镹etwork階段。在Authenticate狀態(tài)如果能夠認(rèn)證成功，則進(jìn)入Network階段，如果認(rèn)證失敗，則會(huì)遷移到Terminate狀態(tài)。

Network是網(wǎng)絡(luò)層參數(shù)協(xié)商階段，會(huì)為每一個(gè)網(wǎng)絡(luò)層協(xié)議選擇對(duì)應(yīng)的NCP協(xié)議進(jìn)行參數(shù)商定，僅當(dāng)協(xié)商成功，進(jìn)入NCP到達(dá)Open狀態(tài)后，網(wǎng)絡(luò)層流量才能被PPP鏈路承載。

Terminate階段也就是終止鏈路階段，PPP鏈路可以在任意時(shí)間被終止，除剛剛的認(rèn)證失敗的情況，LCP的鏈路結(jié)束包，網(wǎng)絡(luò)管理員手動(dòng)關(guān)閉鏈路等都會(huì)讓PPP進(jìn)入這個(gè)階段。

PPPoE是PPP協(xié)議與以太網(wǎng)協(xié)議的一種結(jié)合協(xié)議。其本質(zhì)就是在傳統(tǒng)廣播式的以太網(wǎng)中模擬創(chuàng)建一種點(diǎn)對(duì)點(diǎn)的通信場(chǎng)景。因以太網(wǎng)是一個(gè)廣播網(wǎng)絡(luò)，而PPP協(xié)議的建立需要知道雙方地址，所有PPPoE建立會(huì)話的第一個(gè)步驟就是通過(guò)廣播幀，拿到對(duì)方的Mac地址，接下來(lái)的會(huì)話建立與PPP協(xié)議一致。

3.3 IPoE技術(shù)

IPoE是DHCP+認(rèn)證技術(shù)，DHCP可配合其他技術(shù)實(shí)現(xiàn)認(rèn)證，比如Web+Radius，DHCP+OPTION擴(kuò)展字段，所有這些擴(kuò)展認(rèn)證方式統(tǒng)稱為DHCP+認(rèn)證，又稱為IPoE認(rèn)證方式［4］。

IPoE（IP over Ethernet）是一種常見(jiàn)的IPoX接入方式，目前支持綁定和Web兩種認(rèn)證方式。綁定認(rèn)證是指BRAS（Broadband Remote Access Server，寬帶遠(yuǎn)程接入服務(wù)器）設(shè)備根據(jù)用戶接入的位置信息自動(dòng)生成用戶名和密碼進(jìn)行身份認(rèn)證的一種認(rèn)證方式，無(wú)需用戶輸入用戶名和密碼；Web認(rèn)證是指客戶端通過(guò)http或者h(yuǎn)ttps的方式，手動(dòng)輸入登錄頁(yè)面或者以重定向的方式在登錄頁(yè)面輸入個(gè)人賬號(hào)信息實(shí)現(xiàn)認(rèn)證的一種方式。

3.3.1 IPoE系統(tǒng)組成

一個(gè)完整的IPoE系統(tǒng)由用戶主機(jī)、接入設(shè)備、AAA服務(wù)器、安全策略服務(wù)器、DHCP服務(wù)器、Portal服務(wù)器等組成，如圖3所示。用戶主機(jī)代表終端用戶；接入設(shè)備負(fù)責(zé)接收、轉(zhuǎn)發(fā)用戶請(qǐng)求，建立用戶會(huì)話等功能；AAA服務(wù)器負(fù)責(zé)認(rèn)證功能；安全策略服務(wù)器負(fù)責(zé)下發(fā)安全策略；DHCP服務(wù)器負(fù)責(zé)完成用戶的DHCP請(qǐng)求，完成IP的分配工作；Portal服務(wù)器負(fù)責(zé)向用戶提供Web頁(yè)面，向認(rèn)證設(shè)備提供認(rèn)證信息。

3.3.2 IPoE的接入模式

IPoE的接入模式分為二層和三層兩種模式，對(duì)應(yīng)的用戶分別通過(guò)二層網(wǎng)絡(luò)或三層網(wǎng)絡(luò)接入。

二層接入：客戶端和接入控制設(shè)備在同一二層廣播網(wǎng)絡(luò)內(nèi)或者通過(guò)點(diǎn)對(duì)點(diǎn)的方式二層可達(dá)，接入控制設(shè)備能夠識(shí)別到客戶端的物理地址。

三層接入：客戶端通過(guò)路由的方式與接入控制設(shè)備實(shí)現(xiàn)互聯(lián)互通，接入控制設(shè)備無(wú)法獲取客戶端的物理地址。

3.3.3 DHCP單協(xié)議棧用戶接入流程

當(dāng)用戶通過(guò)DHCP方式動(dòng)態(tài)獲取IP地址時(shí)，IPoE截獲用戶的DHCP報(bào)文，首先對(duì)用戶進(jìn)行身份認(rèn)證，如認(rèn)證通過(guò)則允許繼續(xù)申請(qǐng)動(dòng)態(tài)IP地址，否則終止IPoE接入過(guò)程。詳細(xì)流程如圖4所示。

（1）終端設(shè)備在二層網(wǎng)絡(luò)中廣播DHCP-DISCOVER報(bào)文；

（2）DHCP-relay設(shè)備在接收到的discover報(bào)文的擴(kuò)展屬性中添加vlan號(hào)，物理端口號(hào)等信息；

（3）同時(shí)DHCP-relay設(shè)備會(huì)在本地創(chuàng)建相應(yīng)的會(huì)話，將包含終端設(shè)備信息的discover報(bào)文發(fā)送到AAA認(rèn)證服務(wù)器；

（4）AAA認(rèn)證服務(wù)器根據(jù)接收到的終端設(shè)備信息，通過(guò)跟后端數(shù)據(jù)庫(kù)匹配判斷，返回相應(yīng)信息；

（5）根據(jù)AAA認(rèn)證服務(wù)器返回的結(jié)果信息，及時(shí)更新IPoE會(huì)話的狀態(tài)，保持或者銷(xiāo)毀；

（6）若通過(guò)，則將discover報(bào)文繼續(xù)發(fā)送至DHCP服務(wù)器，否則直接丟棄；

（7）DHCP服務(wù)器根據(jù)接收到的discover報(bào)文信息，返回offer應(yīng)答報(bào)文；

（8）終端設(shè)備以接收到的第一個(gè)offer報(bào)文為準(zhǔn)，并向其發(fā)送request報(bào)文；

（9）DHCP服務(wù)器通過(guò)判斷IP分配的合法性，發(fā)送ack報(bào)文；

（10）DHCP relay設(shè)備通過(guò)提起ack報(bào)文中的網(wǎng)絡(luò)參數(shù)，更新會(huì)話，并下發(fā)相應(yīng)策略；

（11）DHCP relay設(shè)備將ack報(bào)文轉(zhuǎn)發(fā)給終端設(shè)備，更新自身網(wǎng)絡(luò)參數(shù)；

（12）接入控制設(shè)備向AAA發(fā)起計(jì)費(fèi)請(qǐng)求，計(jì)費(fèi)開(kāi)始。

4 結(jié)語(yǔ)

教育信息化經(jīng)歷了蟄伏期，正處于蓬勃發(fā)展的階段，校園網(wǎng)絡(luò)作為信息化發(fā)展的基建工程，發(fā)揮著重要作用。上層應(yīng)用的穩(wěn)定性、安全性、可靠性、延續(xù)性倒逼著校園網(wǎng)必須具備健壯性、穩(wěn)定性、可靠性、靈活性的特點(diǎn)。隨著信息技術(shù)以及網(wǎng)絡(luò)技術(shù)的發(fā)展，SDN網(wǎng)絡(luò)必將成為未來(lái)校園網(wǎng)升級(jí)改造的一個(gè)趨勢(shì)。不過(guò)目前SDN技術(shù)存在一個(gè)致命的缺點(diǎn)，各廠商的SDN控制器只能控制本廠商的VXLAN網(wǎng)關(guān)設(shè)備，這一弊端與SDN的開(kāi)放、開(kāi)源特性相違背。希望SDN未來(lái)會(huì)克服這一不足之處，使校園組網(wǎng)變得更加安全、靈活、快捷。

參考文獻(xiàn)

［1］張勇.網(wǎng)絡(luò)扁平化實(shí)踐中對(duì)校園網(wǎng)精細(xì)化管理的探究［J］.科研，2015（44）：191.

［2］馮健飛，寧玉文，靳豪杰，等.扁平化結(jié)構(gòu)下的網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.電腦知識(shí)與技術(shù)，2019（22）：33-36.

［3］陳衛(wèi)民.基于QinQ技術(shù)的高校校園網(wǎng)研究［J］.湖南城市學(xué)院學(xué)報(bào)，2011（2）：66-68.

［4］王寶鋼.IP城域網(wǎng)綜合接入認(rèn)證系統(tǒng)的分析與設(shè)計(jì)［D］.北京：北京郵電大學(xué)，2008.

（編輯 傅金睿）

Abstract： With the rapid development of education informatization， the majority of teachers and students are becoming more and more dependent on the campus network， especially during the epidemic period， online teaching has become the only teaching mode， which is an unprecedented challenge to the campus network. As the only information carrier carrying the information services of colleges and universities， the campus network has the following characteristics： large user group scale， large number of network equipment， large difficulty of operation and maintenance， large bandwidth demand， many types of carrying services， and high network security requirements. How to plan and design the network， efficient operation and maintenance network， security management network are the common problems faced by various universities. Based on the campus network architecture upgrading and transformation project， this paper introduces our experience in the campus network construction， operation and maintenance from the aspects of planning and design， project implementation and technical implementation.

Key words： flattening; architecture upgrade; design