新型校園網絡的設計

田愛寶，宋文文，張 婷

（1.中國石油大學（華東）網絡及教育技術中心，山東青島266580；2.中國石油大學（華東）計算機與通信工程學院，山東青島266580）

新型校園網絡的設計

田愛寶1，宋文文1，張 婷2

（1.中國石油大學（華東）網絡及教育技術中心，山東青島266580；2.中國石油大學（華東）計算機與通信工程學院，山東青島266580）

隨著網絡和業務的發展，校園網絡在運維管理、網絡安全、多業務服務等方面越來越顯得力不從心，無法滿足校園信息化業務的需求。新型校園網絡將網絡扁平化，網絡控制層與轉發層分離、網絡管理層與用戶管理層分離，多業務網絡支撐等理念，利用虛擬化、多鏈路捆綁、SDN、IPoE、防火墻等技術，提高網絡轉發效率、縮短業務部署時間、加強網絡安全防御、減小網絡管理難度、提升網絡整體水平。

校園網；扁平化；SDN；多業務

中國石油大學（華東）校園網絡經過20年的發展，歷經了20世紀90年代的校園網從無到有，新世紀的以路由交換為主的千兆以太網兩代網絡，在校園網信息化發展中做出了巨大貢獻。隨著校園信息化建設的發展，校園網絡作為信息化基礎越來越重要，不僅需要為信息系統提供網絡支撐，還要為用戶提供高速、穩定、安全、便捷的網絡接入服務。在新時代下，辦公管理信息化、云計算大規模應用、多媒體教學技術不斷更新、網絡教學逐漸鋪開，傳統校園網絡在新應用、新業務面前顯得力不從心，網絡無法滿足新業務新應用的需求，網絡管理越來越復雜，隨著網絡技術的發展，校園網絡需要朝新型的網絡發展。

一、設計思路

校園網絡面臨著復雜的網絡管理、復雜的業務需求、復雜的用戶群體，故在網絡設計中需要采用較為先進的網絡技術，合理的網絡設計思路，達到簡化網絡管理的目的，提升網絡安全水平，滿足不同用戶的網絡需求。

網絡結構扁平化分為網絡物理結構扁平化和邏輯結構扁平化。高校校園網一般可以分成兩部分，即數據中心網絡和園區網絡，數據中心網絡基本上僅限于一個機房內部或直連的兩個或多個機房，物理鏈路簡單，可以采取物理鏈路和邏輯鏈路扁平化的結構；受物理位置和鏈路的限制，園區網比較分散，可以采用傳統的三層物理結構之上實現邏輯結構的扁平化。

網絡扁平化能有效解決單點故障，通過多鏈路捆綁實現鏈路帶寬成倍增加，減少網絡跳數，消除了匯聚層三層轉發性能瓶頸，提高網絡轉發效率。同時，減少匯聚層IP策略，將IP層策略集中到核心控制層，簡化網絡管理，提高管理效率。

傳統網絡中，基礎網絡與用戶（認證）管理結合緊密，甚至很多網絡（認證）管理的控制層位于網絡的接入層，如802.1x認證，一方面存在網絡管理復雜、設備不兼容等問題；另一方面由于用戶認證信息無法漫游導致用戶在校園網上需要使用多個賬號或網絡訪問受限等問題。

用戶（認證）管理與基礎網絡分離后，用戶管理系統獨立于基礎網絡，由網絡接入設備、認證計費系統等組成，只負責所有用戶信息的管理，權限管理與分配，通過標準協議和接口實現用戶根據自己的權限在不同網絡和設備間的漫游，提高網絡的移動性，同時可更好地與第三方軟硬件平臺對接，實現未來應用系統與網絡的對接，達到用戶權限隨行的效果。

校園網是一套極其復雜的系統，除了正常提供用戶接入網絡外，校園網需要承載各種類型的專用網絡，如一卡通網絡、財務專網等專用隔離的網絡。新型校園網絡需要提供支持多業務網絡服務，結合SDN、虛擬化等技術方便快速地開展業務網絡服務，提高網絡利用率，縮短業務網絡部署時間。

SDN將原來網絡設備里的控制功能提取出來交由中心控制節點進行集中控制，也就是“控制轉發分離”。通過“控制轉發分離”，網絡設備只需要負責數據包的轉發，而將復雜的網絡控制功能交由集中的控制器去處理。通過中心的控制節點進行集中控制，也讓整網的轉發效率更高。“控制轉發分離”后，由集中的控制器去對接上層業務系統，控制器可以屏蔽下層復雜的網絡協議和技術細節，將下層網絡變成端口、帶寬等資源提交上層業務系統。上層業務系統也只需要和集中的控制器打交道，而不再需要去向全網所有設備下發指令，或者人工將業務需求變成一條一條網絡設備命令行遠程登錄到設備上進行配置，在開展多業務網絡服務中能極大地簡化網絡配置管理，縮短業務部署時間。

校園網絡中接入各種網絡設備及終端，如網絡設備、服務器、PC、手機、平板電腦等，不同設備及終端保存著不同重要性的數據。根據對數據重要性進行分析，將網絡終端和網絡數據進行劃分不同安全等級，采取不同的安全防護措施，對于學校核心數據進行重點保護，對用戶非重要數據進行簡單保護或由用戶自行安全保護等。

二、設計方案

根據校園網功能和特點，結合設計思路，校園網絡拓撲結構如圖1所示。

圖1 網絡拓撲結構

通過拓撲圖，校園網絡采用雙核心交換機設計，通過雙鏈路連接到多出口路由設備、用戶認證接入設備、鏈路匯合交換機和數據中心核心交換機，保障骨干網絡的高帶寬和網絡的穩定性。在校園網園區網絡部分，為了節省園區內骨干光纜，在各樓宇繼續保留網絡匯聚點，取消原有的網絡匯聚層，更改成鏈路匯合交換機，向上與核心交換機采用多鏈路捆綁技術，滿足高帶寬、高可靠性的需求，向下提供接入交換機高密度接入能力。園區網絡接入交換機根據業務需求，提供普通用戶上網接入和專用網絡接入服務，在條件允許的情況下，在部分接入機房安裝獨立的交換機為專網提供服務，同時無線網有線部分完全融入有線網絡，PoE交換機直接接入到鏈路匯合交換機，將無線AP作為網絡終端考慮。

園區網絡邏輯網絡完全按照扁平化大二層網絡考慮，每個接入交換機劃分不同的VLAN，并做好端口隔離，將VLAN通過鏈路匯合交換機、核心交換機透傳到用戶網絡接入設備 （BRAS），用戶通過IPoE+Portal或PPPoE認證后使用路由模式連接到核心交換機，完成對互聯網和數據中心的訪問。由于用戶網絡接入設備（BRAS）處于網絡核心位置，在網絡設計中考慮使用雙機熱備的部署模式，并與后臺計費認證系統雙radius服務器對接，保證網絡的穩定性。

數據中心網絡相對獨立，完全采用扁平化的二層網絡結構，接入交換機雙鏈路分別直連到兩臺數據中心核心交換機，并在網內實現大二層網絡，滿足虛擬化、云計算對網絡的需求。由于學校絕大部分數據均在數據中心，且數據重要性比較高，故在數據中心核心交換機上增加防火墻、入侵檢測、Web防護等網絡安全板卡或設備，根據數據中心應用系統和數據的重要性配置不同的安全策略，滿足對應用系統和數據的安全防護。

除了上述網絡轉發層，網絡控制管理層是整個網絡的大腦，由傳統的網絡管理、監控系統和SDN控制器等組成，對下負責對網絡硬件設備下發網絡參數和策略，對上提供用戶管理界面，并開放與第三方系統對接接口。從邏輯上，網絡控制管理層從網絡設備中獨立出來，由計算機性能更高的服務器等硬件進行網絡路徑和策略的計算，這也符合SDN網絡的邏輯。由于新一代校園網絡建設有一定的周期，故網絡控制管理層中傳統的網絡管理系統逐步過渡到軟件定義網絡、軟件定義存儲等軟件定義所有系統的控制器。

借助SDN技術，新型校園網絡不在是傳統的校園網，不僅只提供用戶接入互聯網服務，而是一張多業務網絡。通過在SDN控制器上少量的操作即可完成一張業務網絡的部署。如某業務網需要將校園網內任何地方的兩個不同交換機的端口互通，只需在SDN控制中創建一個租戶網，并將這兩個端口加入該網，SDN控制器自動計算轉發路徑并將數據下發到相關交換機，交換機即可按照路徑轉發，如圖2所示。

圖2 SDN網絡轉發圖

新型校園網絡涉及較多的新技術、新理念，在實施過程中會面臨到成本較高、網絡較難整合等相關問題，同時節省投資、充分利舊的思路，可以考慮總體設計分步實施的方式完成校園網的升級換代。在設備選型過程中，必須考慮設備支持Openflow、Open Daylight等SDN相關協議，支持MPLSVPN、虛擬化等功能，可以與傳統網絡對接等需求。

三、結論

新型校園網絡改變傳統網絡中架構和理念，總結了傳統網絡的優缺點，取長補短，并提升了網絡的可擴展性、可移動性、可管理性，并提供了多業務支撐，能有效解決當前網絡面臨的各種問題，同時采用較為先進的網絡技術和管理手段，提升網絡管理水平，并為未來業務發展提供了足夠的空間。

［1］吳旭東，柳炳祥.校園網網絡規劃的設計與實現［J］.電腦開發與應用，2011，24（11）:64-65.

［2］吳圣潔，夏添.數據中心網絡扁平化設計［J］.微型電腦應用，2013，29（11）:27-30.

［3］劉維，姚錦衛.高校校園網絡認證計費系統研究［J］.現代計算機，2008（5）:93-94.

［4］趙慧玲，馮明，史凡.SDN——未來網絡演進的重要趨勢［J］.電信學，2012（11）:1-5.

［5］伏曉，蔡圣聞，謝立.網絡安全管理技術研究［J］.計算機科學，2009，36（2）:15-19，54.

（編輯：楊馥紅）

TP393

A

1673-8454（2015）11-0067-03