基于混合運營模式的校園網絡架構優化與實施

范智勇 曾于弼

摘 要 分析了高校校園網在混合運營模式下存在的不足，通過產權結構調整，實施網絡架構優化，進一步明晰了運營各方的責任界面，重新定義了安全邊界，實現路由上收扁平化，安全上收集中化。實際應用表明，網絡架構優化能有效簡化網絡管理，實現校園網絡運營的開放共贏。

【關鍵詞】混合運營模式 網絡架構 扁平化

高校校園網經過不同階段的發展，逐漸趨向采取混合運營模式，學校以市場換技術和資金的方式，引入第三方共同參與網絡的運營，即自建自營與授權運營相結合。這種模式能有效緩解學校的資金和技術壓力，在短期內快速改善校園網絡質量，但在后續運營過程中所出現的使用、維護、安全等方面的問題，也制約著校園網的進一步發展。本文以莆田學院為例，分析混合運營模式的不足，通過網絡架構優化實現更合理化的網絡運營。

1 混合運營模式存在的問題

莆田學院校園網經過多年的建設，從最初的自建自營，到現在的多運營商合作運營，逐漸實現了全校的網絡覆蓋。整體網絡采用核心層、匯聚層、接入層三級網絡架構，其中接入層負責用戶的接入、802.1X認證準入控制、ARP動態檢測等，匯聚層設備做為三層網關，核心層負責全網數據的高速轉發。校園網的運營屬于典型的混合運營模式，主干網絡以分期付款的方式由電信墊資建設，接入層既有校方自建的部分，又有電信、鐵通投資建設的部分。隨著網絡規模的不斷擴大，該模式所存在的一些弊端也逐漸呈現出來：

1.1 接入邊界不清，安全難以管控

校園網的接入邊界基本由第三方負責建設和運營，設備和鏈路的產權、使用權在合同期內歸屬第三方，導致校方對于邊界的擴展難以監管。同時，受制于接入設備的功能，邊界的安全防范手段有限，主要通過實施802.1X認證，在接入層設備的端口上對用戶進行訪問授權和控制。邊界的安全取決于運維人員是否主動在端口上配置認證準入策略，而那些不啟用802.1X認證的端口則成為可被利用的安全短板，甚至第三方可利用這一機制自由擴展邊界，在學校的網絡上開展自己的業務。實際運營過程中，校方很難對大量的設備進行排查監控，導致接入邊界存在安全隱患，而其他層級的設備又缺乏相應的安全防范，從而加劇整個網絡的風險。

1.2 設備型號不一、兼容性差

多年的建設和部署，形成網絡設備品牌雜、型號多、功能參差不齊的情況。特別是第三方的設備多為集團采購，型號和品牌更換頻繁，同時為了節省投資，經常采用一些低端的產品。設備的功能、性能難以滿足實際應用的需求，出現不支持ARP防范、不能很好地兼容身份認證系統、不支持下發嚴格的準入策略等問題，不僅無法滿足管理上的要求，也直接影響用戶的使用體驗。

1.3 產權結構混亂、管理層級過多，部署和維護難度大

三層架構下的網絡建設，需要耗費大量精力在接入層、匯聚層設備的功能配置上，部署難度大，且對實施人員的技術要求比較高。匯聚層、核心層同時部署二、三層協議，縱向關聯度較大，導致故障定位需要多方溝通和協調。而整網的設備產權結構混亂，出現第三方之間的網絡建設交叉的情況，不僅加大了故障的排查難度，而且易出現相互間的不信任和推諉，極大的影響了運維服務質量。

2 網絡架構優化與應用分析

基于校園網開放性運營的發展趨勢，為了解決當前運營所存在的問題，必須改變現有校園網設備層次和能力層次倒掛的局面，實施網絡架構優化。本次改造中，在現有網絡的基礎上，由學校投資部署了新的核心交換機、身份認證計費系統、流量控制設備，實現扁平化大二層架構，并進一步明晰了網絡產權結構和運維責任界面。

2.1 扁平化網絡架構設計

如圖1所示，將傳統的三層網絡架構調整為大二層扁平結構，整個網絡劃分為業務控制層和寬帶接入層。業務控制層由核心層設備組成，提供網絡中的用戶接入控制、業務功能實現等，寬帶接入層由接入層、匯聚層組成，負責二層數據轉發、VLAN透傳和端口隔離等。

2.1.1業務控制層

部署兩臺臺功能豐富、性能強大的核心交換機作為三層網關，采用虛擬化技術，結合鏈路聚合實現全網雙歸雙活。將原有部署在接入層交換機上的802.1X認證功能上收到核心交換機上，配合身份認證計費管理系統，實現基于用戶身份的實名認證。出口流量控制與身份認證計費系統聯動，可按照流量、時長等制定差異化的帶寬服務，從而實現靈活的、精細化的校園網認證計費管理。出口網關負責路由、NAT、鏈路負載均衡等業務，并集成豐富的防火墻功能，構筑安全的出口邊界。

2.1.2寬帶接入層

寬帶接入層設備只啟用二層VLAN功能，為接入交換機的每個端口劃分單獨VLAN，實施端口隔離，有效防范ARP欺騙和DHCP仿冒。用戶通過802.1X客戶端認證上網，遵循統一下發的準入策略，可以做到防代理、防私設地址等桌面端的功能限制，從而最大限度保障接入端的網絡安全。

2.1.3邏輯功能區域劃分

為保證第三方之間在網絡運營上的獨立性，避免網絡交叉建設產生的使用和維護上的爭議，將整個校園網從邏輯上劃分為接入網絡區、核心網絡區、出口網絡區。其中，核心網絡區由學校投資建設，確保校方掌握整個網絡的運營主動權，基于這一公共網絡平臺，面向第三方開放出口網絡區和接入網絡區的運營接口，對外允許提供出口帶寬服務，對內允許提供用戶端接入服務，從而改變原有復雜的網絡產權結構，為引入多運營商競爭機制提供平臺基礎。

2.2 應用效果分析

2.2.1理清產權結構，簡化網絡管理

通過邏輯功能區域的劃分，理清了網絡產權結構，明晰了各運營方的責任界面，提高了服務的效率。扁平化的大二層網絡實現了網絡的集中管理，極大簡化了網絡結構，也減輕了網絡部署和維護的工作量。原先分布在接入層和匯聚層上的繁雜的配置工作，只需在核心交換機上就能完成集中部署，寬帶接入層只需做簡單的VLAN劃分和端口隔離配置。校園網由多層管理簡化成核心層管理為主的架構，降低了日常維護中的故障排查難度，大大縮短了網絡故障定位及恢復得時間，也降低了維護人員的技術要求。

2.2.2易于擴展和部署，有效保護現有投資

扁平化的網絡結構弱化了寬帶接入層設備的關鍵性、重要性和復雜度，這樣一方面解決了接入層不同品牌交換機的兼容性問題，節省了改善網絡所需的設備升級投資。另一方面，寬帶接入層不涉及業務層面，部署IPV6等新業務時，可以擺脫對接入設備的功能依賴，不僅使網絡具有更好的擴展性，而且能有效保護現有投資。

2.2.3重新定義安全邊界，實現集中式管理

重新定義了安全邊界，既符合網絡開放性運營的需求，又收緊了安全邊界。接入層通過端口隔離有效保障了用戶之間的安全，認證上收到核心層之后，可以對全網實施集中的安全控制，而且易于進行流量管理和用戶行為分析，杜絕接入層的安全隱患。

3 結語

混合運營模式具有高度的靈活性，是一種適合高校校情發展的網絡運營方式。通過網絡架構調整，使整個網絡結構變得更加合理，能有效解決接入邊界安全、設備兼容性等問題，充分發揮混合運營模式的優勢。網絡層級的簡化，降低了運維的工作量和難度，有助于提升網絡運營的服務質量，實現多方共贏。

參考文獻

[1]魏東，王璟珉.校園網絡建設運營模式的比較分析研究[J].山東青年管理干部學院學報，2007，126（2）：85-87.

[2]湯小康.扁平化的校園網絡架構設計[J].信息與電腦，2014（07）：61-62.

[3]張代華，陳宓宓等.基于扁平化和精細化管理的校園網基礎平臺建設[J].軟件，2014，35（08）：59-62.

[4]吳乃忠.基于扁平化架構的下一代高校校園網的建設研究[J].電子世界，2012（18）：28-29.

作者單位

莆田學院現代教育技術中心 福建省莆田市 351100