基于扁平化架構的下一代高校校園網的建設研究

常州工程職業技術學院 吳乃忠

基于扁平化架構的下一代高校校園網的建設研究

常州工程職業技術學院 吳乃忠

傳統三層或更多層架構的校園網在高校網絡建設初期對校園應用和高校信息化的推進發揮了巨大作用，但隨著高校校園網各類業務、應用和用戶承載的快速拓展以及對校園網絡精細化管理的要求提升，基于扁平化架構的下一代校園網應運而生，高性能、精細化和易管理無疑是下一代校園網建設的三大目標。

扁平化；架構；業務承載；部署；論證

1.前言

早在1994年隨著以CERNET為標志的金智建設工程的興起以及人們對信息網絡服務要求的不斷提高，全國高校掀起了校園網建設的高潮，第一代的校園網作為信息管理和信息交換的網絡平臺，在高等院校教學、科研、管理等工作中發揮了不可替代的重要作用。近年來隨著高校信息化和校園網對安全需求、運營需求、管理需求和性能需求的不斷提升，下一代校園網的建設成為高校信息化建設的一項主要基礎性工作。

2.傳統校園網的三層“倒掛”架構

傳統三層或者多層架構校園網只是滿足了基本的網絡互聯互通的需求，但缺乏相應的控制和管理手段，用戶之間互相影響，類似ARP攻擊、DHCP仿冒、IP仿冒等對網絡的攻擊現象經常發生，校園網絡對于用戶的審計和控制功能較弱也導致了網絡的無序使用，業務承載方面缺乏針對性的控制，網絡帶寬被大量占用，重要應用得不到帶寬保障，也難以實現靈活的基于身份、時間、位置等的用戶控制。

這種三層倒掛架構一個形象的比喻就是核心層是大馬拉小車，資源浪費但績效一般，而接入層是小馬拉大車，能力有限卻責任重大。

由圖1可以看出，傳統校園網架構的主要特點是：

1)實現一個業務功能需要由多個業務層面共同配合完成；

2)靠近邊緣的設備要求其功能卻很多，影響了實現效果和性能；

3)各層之間沒有有效的隔離措施和保障手段，導致相互的干擾影響；

4)校園網中設備特別是邊緣設備的穩定性和可靠性不高帶來了管理、維護上的巨大壓力。

3.發展扁平化網絡架構的必然趨勢

當前不同規模和不同區域的學校在建設高校校園網時普遍遇到的問題是：

1)如何適應和滿足國家政策和法律法規對于校園網用戶的行為要求；

2)如何滿足各類業務、各類應用和不同需求的用戶的各種承載的拓展；

3)如何降低校園網的管理難度和維護工作量。

要解決這些問題必須要從網絡架構和業務部署模式上面進行變革，而扁平化的架構正好切中了解決這些問題的關鍵。從下圖可以看出扁平化網絡架構將原有各層的功能在邏輯上面進行了重新界定和劃分，使得各層設備各盡其能，也可以看出構建和發展扁平化網絡架構是一個必然趨勢。

3.1 網絡架構和網絡層次從復雜化向簡單化發展

高校校園網發展扁平化網絡最初是源自于運營商大規模網絡發展的經驗，而扁平化并不是意味著網絡物理層次的減少，而是網絡邏輯層次的扁平。構建扁平化的網絡架構就是將原來各個層次模糊的功能區分清晰化，不同層次之間各司其職，有利于管理和維護，這種簡單化的架構使得網絡有更高的效率。

3.2 用戶和業務控制的集中化

由能力最強、功能最豐富的核心設備提供集中的業務控制和管理，有利于功能和業務的部署，能夠保證在提供功能和業務時，有較好的性能，更有利于發揮核心設備的穩定性可靠性的優勢；而匯聚和接入設備，則提供其力所能及的基本功能，比如一般只提供基本的二層VLAN隔離功能等，因此部署新的業務和功能時，無需考慮其是否支持，從而有利于降低數量眾多的匯聚和接入層設備投資，而且由于功能簡單，有利于這些設備的穩定可靠運行，使得全網投資的下降，電力和空調等運行成本相應的會大幅降低。

3.3 網絡架構更易于擴展和管理

校園網的功能劃分清晰后，整個網絡更有利于擴展。核心層設備由于性能很強可以對新功能新業務能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴充、上行帶寬的增加，管理上面顯得更加簡單。

4.下一代扁平化校園網的建設目標

4.1 高性能

下一代扁平化校園網的高性能主要表現在：

1)IPv6性能相對于IPv4要有大幅提升；

2)為滿足精細化VLAN劃分的要求，應盡可能多的支持多個VLAN；

3)支持QinQ終結功能，實現VLAN無限擴展；

4)支持硬件的IPv6組播功能，實現組播數據流高速轉發。

在這種網絡架構下面可以使用高性能多業務路由器作為整個網絡的核心設備替代原有架構的高端三層交換機，使更多的組播、線速轉發、用戶論證和審計等核心工作由功能和性能均強大的設備來完成，從而實現整個校園網的高性能。

另一方面高校校園網往往是教學網、學生宿舍網、教育網、一卡通專網、財務專網和科研專網等多個網絡的混合體，校園網的高性能還要體現在多個網絡多個業務并發的同時保證性能不下降，實現在同一個物理平臺上構建出多個邏輯上完全獨立的網絡平臺，這些網絡平臺和主網絡平臺還要具有相同的功能。

圖1 傳統校園網的三層“倒掛”架構

圖2 扁平化的網絡架構圖

4.2 精細化

下一代扁平化校園網的精細化主要實現途徑為：

（1）能夠基于邏輯接口實現

采用每個接入終端在核心設備上對應一個邏輯接口的方式，同時在接口上提供速率限制、訪問權限控制等實現對邏輯接口的獨立和分別控制。

（2）能夠基于每個用戶實現

基于用戶的身份，在用戶認證時動態下發控制屬性，對用戶的訪問速率、權限等進行控制，從而實現對每一個校園網用戶的個性化控制。

（3）能夠基于不同類型的接入方式開放或者關閉相應的業務功能

比如在WLAN中，由于AP的性能問題，就可以關閉IPv4、IPv6 multicast業務，僅開放單播業務，這樣就可以降低接入設備的壓力，把控制功能后移至核心路由設備上面。

（4）能夠基于用戶的實名制進行校園網精細化管理

實現實名制后能夠做到用戶身份和網絡行為的一一對應，做到基于用戶角色的控制，實現用戶訪問網絡的計費、審計、日志等功能，做到有據可查。

此外還可以通過對校園網應用中的流量監控和實時采集分析，可以動態感知具體的應用類型和資源占用情況，就可以實時掌握校園網內的流量特征和用戶行為特征，對于一些隱患可以及時采取措施來應對異常流量的攻擊。

4.3 易管理

下一代扁平化校園網的易管理主要體現在：

1)能夠實現用戶之間和業務之間的有效隔離，避免相互之間的干擾和影響，做到業務可細分、用戶可隔離；

2)能夠對用戶的各種信息如用戶帳號、MAC地址、IP地址、上線時間及其訪問行為進行識別和實時記錄，做到可實時跟蹤、可歷史追查；

3)能夠實現基于用戶身份的行為控制，諸如可訪問的資源權限、對網絡帶寬的占用等方面的控制，做到行為可控制、身份可管理；

4)能夠實現網絡應用的精細化管理，實現完善的流量識別和控制能力，保障重要應用系統的網絡承載，包括其安全性、帶寬保障、可靠性等方面實現應用可識別、資源可保障。

在新的網絡結構中，用戶認證可以通過WEB方式進行，使得學校的師生不必安裝撥號客戶端，認證功能通過IE瀏覽器即可方便地完成身份認證過程。認證平臺也可調用學校統一的LDAP用戶數據庫，以實現統一身份認證。用戶的訪問權限、上網速率以及其他跟上網相關的行為管理由RADIUS系統根據用戶身份下發相應的策略給核心業務路由器來實現。這使得網絡具備較高的控制能力和可管理性，運維管理更加方便。

在這架構下，有線、無線（含校內師生、訪客）用戶均可通過同一套設備、同一套軟件、同一用戶身份驗證服務器，經過一次認證，即可根據預先設置的策略訪問相應的資源，而不必進行多次認證。

5.結語

對原有校園網架構升級改造為扁平化的網絡架構后對于系統管理員和普通用戶而言，其應用效果表現在：

1)一個簡單的的網絡架構：也就是將原有的多達三層或更多層的校園網結構簡化為了二層結構，即業務控制層（核心網絡層）和寬帶接入層（接入層），在邏輯意義上面實現了網絡結構的平滑過渡。

2)一個多業務的系統：指網絡平臺支持用戶接入、認證、審計、計費、帶寬管理、行為控制，同時也支持MPLS VPN、IPv6、組播業務的應用和快速部署。

3)一個統一身份認證的平臺：實現了有線、無線用戶的任意漫游，也實現了不同系統之間用戶的統一認證，避免重復地多次認證，提高用戶了體驗。

4)一個透明的網絡：校園網對用戶仍然是透明的，用戶無需關心網絡流量如何轉發，用戶無論在哪里登錄，都可以獲得相同的訪問權限和帶寬保障。

[1]劉紫燕,黃義成,胡鋒.業務感知技術的下一代校園網QoS研究與仿真[J].計算機工程與科學,2011,33(8):58-62.

[2]申繼年,邱家學.校園網組網架構的比較與分析三層交換架構vs扁平純路由架構[J].中國教育網絡,2012(1).

[3]涂慶華,馬躍勇,李華峰,王成.南京理工大學:IPv6校園網扁平化部署[OL].http://www.edu.cn/IPv6_xyw_7949/20120621/t20120621_796153.shtml,2012-6-21.