高校校園網(wǎng)絡(luò)改造規(guī)劃說明

王安

【摘要】隨著高校信息化建設(shè)的初步完成，各高校已經(jīng)陸續(xù)完成了基礎(chǔ)信息化建設(shè)。但在建設(shè)過程中標(biāo)準(zhǔn)不一致、拓?fù)浣Y(jié)構(gòu)不一致，導(dǎo)致目前高校網(wǎng)絡(luò)的結(jié)構(gòu)各有不同，也讓各高校的下一步信息化建設(shè)方向各不相同。筆者根據(jù)個(gè)人工作經(jīng)驗(yàn)，通過目前高校組網(wǎng)的一種傳統(tǒng)標(biāo)準(zhǔn)模型入手，通過將模型進(jìn)行調(diào)整、修改，將高校信息化的模型調(diào)整為易于擴(kuò)展的模型談一下自己的看法。

【關(guān)鍵詞】網(wǎng)絡(luò) 信息化 核心交換機(jī) BRAS 防火墻

一、本次建設(shè)目的及現(xiàn)網(wǎng)情況概述

目前，高校的信息化建設(shè)在2014年左右基本完覆蓋，包括有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)均已建立，網(wǎng)絡(luò)模型也相對成熟。14年后高校信息化改造的主要目的，一是為了替換部分14年建設(shè)未替換的設(shè)備，此部分設(shè)備（如網(wǎng)絡(luò)的匯聚交換機(jī)）已經(jīng)在網(wǎng)運(yùn)行7-8年，存在一定安全隱患；另一方面，目前校園網(wǎng)的關(guān)鍵節(jié)點(diǎn)，如出口防火墻、BRAS設(shè)備多數(shù)均為一臺，存在一定的單點(diǎn)故障風(fēng)險(xiǎn)。此外，傳統(tǒng)網(wǎng)絡(luò)模型中以BRAS為核心的組網(wǎng)模式也不方便學(xué)校后期對網(wǎng)絡(luò)的維護(hù)以及規(guī)模的擴(kuò)大，因此本次網(wǎng)絡(luò)改造在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備上都有所調(diào)整。下面以某高校為例，對相關(guān)改造進(jìn)行情況說明。

二、防火墻改造說明

目前學(xué)校已有一臺H3C M9006防火墻設(shè)備，為提高設(shè)備性能，降低設(shè)備壓力，同時(shí)避免單點(diǎn)故障，建議本次擴(kuò)容一臺相同型號的防火墻，兩臺防火墻與上下行網(wǎng)絡(luò)設(shè)備之間采取全冗余連接；為了保證系統(tǒng)的可靠性，建議配置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制的同時(shí)保證線路的可靠性，同時(shí)可以與動態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；

M9006支持先進(jìn)的虛擬防火墻架構(gòu)（SOP）技術(shù)，通過在同一臺物理設(shè)備上劃分多個(gè)基于容器的虛擬防火墻來實(shí)現(xiàn)對用戶多個(gè)業(yè)務(wù)獨(dú)立安全策略部署的需求。且某一虛擬防火墻故障不會對其他虛擬防火墻和整個(gè)物理系統(tǒng)產(chǎn)生任何影響。當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時(shí)，可以通過添加或者減少虛擬防火墻的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，簡化了網(wǎng)絡(luò)管理的復(fù)雜度。

M9000的SCF架構(gòu)突破了傳統(tǒng)雙機(jī)熱備技術(shù)，支持集群后多板卡進(jìn)行主/備、主/主、1：1及N：N等多種部署方式。業(yè)界獨(dú)創(chuàng)的N：N備份技術(shù)，每一塊業(yè)務(wù)板卡既是承載自身流量的主板，同時(shí)也分布式的對其他業(yè)務(wù)板進(jìn)行備份。相比傳統(tǒng)的雙機(jī)熱各，多板卡的N：N熱備提高了高達(dá)50%的用戶數(shù)據(jù)處理效能，同時(shí)在板卡故障、業(yè)務(wù)升級時(shí)保障安全業(yè)務(wù)零中斷。統(tǒng)一的管理平面，簡化管理員配置復(fù)雜度的同時(shí)，有效解決雙機(jī)配置同步帶來的配置不一致問題，在可維護(hù)性、高可靠性和切換時(shí)間方面也有了質(zhì)的提升，可以做到各種情況下的毫秒級切換。業(yè)務(wù)處理主備技術(shù)保證來回路徑快速收斂一致，無需復(fù)雜的配置。

三、BRAS改造說明

學(xué)校目前已有一臺H3C SR8808-X BRAS設(shè)備。隨著校園網(wǎng)規(guī)模的擴(kuò)大，對接口、性能的要求的提高，本身作為路由器的BRAS設(shè)備雖然性能上足夠承載目前及未來幾年學(xué)校的應(yīng)用，但依然會有端口擴(kuò)展形態(tài)較少、組網(wǎng)維護(hù)復(fù)雜的情況，因此本次將BRAS在網(wǎng)絡(luò)中的位置進(jìn)行調(diào)整，由核心層設(shè)備轉(zhuǎn)變?yōu)榕話煊诤诵慕粨Q機(jī)，不再作為核心設(shè)備進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)而是專門進(jìn)行數(shù)據(jù)的處理以及有線網(wǎng)絡(luò)的認(rèn)證。同時(shí)考慮到學(xué)校目前有線網(wǎng)的使用人數(shù)要求，以及穩(wěn)定性考慮，本次將新增一臺BRAS設(shè)備，和原先的設(shè)備進(jìn)行雙機(jī)虛擬化，保證穩(wěn)定性及設(shè)備性能。

隨著BRAS設(shè)備的引入，校園網(wǎng)的結(jié)構(gòu)也變?yōu)楸馄交Y(jié)構(gòu)組網(wǎng)。所謂扁平化的網(wǎng)絡(luò)架構(gòu)，不是意味著網(wǎng)絡(luò)物理層面變?yōu)閮蓪樱菑木W(wǎng)絡(luò)中設(shè)備所承擔(dān)的功能上區(qū)分，將網(wǎng)絡(luò)劃分為業(yè)務(wù)控制層和寬帶接入層。寬帶接入層由匯聚和接入層設(shè)備構(gòu)成，僅提供基本的用戶高帶寬接入功能和相互之間的VLAN二層隔離功能；業(yè)務(wù)控制層則由核心層設(shè)備構(gòu)成，提供網(wǎng)絡(luò)中的用戶接入控制、業(yè)務(wù)功能實(shí)現(xiàn)等復(fù)雜功能。

從實(shí)際的校園網(wǎng)物理結(jié)構(gòu)來看，網(wǎng)絡(luò)的層次更加清晰了，不同層次的設(shè)備各司其職，有利于全網(wǎng)的管理維護(hù)。

扁平化的網(wǎng)絡(luò)架構(gòu)帶來了很多的優(yōu)勢：

（1）由能力最強(qiáng)，功能最豐富的BRAS設(shè)備提供集中的業(yè)務(wù)控制和管理，有利于功能和業(yè)務(wù)的部署。同時(shí)，由于這些功能是由BRAS設(shè)備提供，因此能夠確保在提供這些業(yè)務(wù)和功能時(shí)，同樣具備較好的處理性能。另外，BRAS設(shè)備的高可靠性也為這些應(yīng)用和業(yè)務(wù)的部署提供了保障。

（2）由于核心/匯聚/接入設(shè)備只是提供了二層透傳和VLAN隔離這些基本的功能，不涉及到業(yè)務(wù)功能，因此在全網(wǎng)部署新業(yè)務(wù)和新應(yīng)用時(shí)，無需考慮其是否支持。同時(shí)，由于這些設(shè)備的功能要求簡單，且數(shù)量眾多，因此能夠顯著降低全網(wǎng)設(shè)備的投資和后期的使用維護(hù)費(fèi)用，提高校園網(wǎng)的投資產(chǎn)出比。另外，由于功能的弱化，從而使得這些設(shè)備的可靠性大大提高，有利于全網(wǎng)的穩(wěn)定可靠運(yùn)行。

（3）扁平化后的校園網(wǎng)更有利于今后的擴(kuò)展：業(yè)務(wù)功能只涉及到核心側(cè)設(shè)備，因此只需要考慮核心側(cè)設(shè)備是否能夠支持這些業(yè)務(wù)特性即可。對于匯聚和接入層這些邊緣設(shè)備，僅需要考慮端口的擴(kuò)充和上行帶寬的增加即可。

四、核心交換區(qū)域建設(shè)說明

本次建設(shè)，在網(wǎng)絡(luò)拓?fù)渲行略隽撕诵慕粨Q機(jī)這一角色，作為校園網(wǎng)整網(wǎng)的核心承載校園網(wǎng)整體業(yè)務(wù)，實(shí)現(xiàn)高速數(shù)據(jù)轉(zhuǎn)發(fā)。之所以改變了目前BRAS作為核心的網(wǎng)絡(luò)結(jié)構(gòu)，是因?yàn)楫?dāng)BRAS作為網(wǎng)絡(luò)的核心時(shí)，由于其下行接口均為三層口，下聯(lián)終端在漫游時(shí)存在網(wǎng)關(guān)切換問題（舉例，假設(shè)終端在A區(qū)上線時(shí)IP為1.1，網(wǎng)關(guān)為1.254，當(dāng)終端發(fā)生不中斷漫游時(shí)，IP保持1.1進(jìn)入B區(qū)，而B區(qū)網(wǎng)關(guān)IP 2.254因?yàn)椴蛔R別A區(qū)的網(wǎng)關(guān)地址無法轉(zhuǎn)發(fā)不同網(wǎng)段的IP）。同時(shí)，隨著校園網(wǎng)規(guī)模的擴(kuò)大，上下行設(shè)備的增多，BRAS設(shè)備的接口擴(kuò)展性也不如交換機(jī)來得豐富。因此本次網(wǎng)絡(luò)建設(shè)引入核心交換機(jī)的角色。新增的核心交換機(jī)型號為H3C S10510，2臺核心交換機(jī)通過萬兆鏈路與防火墻互聯(lián)，以保證上行帶寬，并實(shí)現(xiàn)高速數(shù)據(jù)轉(zhuǎn)發(fā)。同時(shí)，2臺核心交換機(jī)之間通過H3C IRF2技術(shù)實(shí)現(xiàn)橫向虛擬化，將兩臺交換機(jī)在邏輯上變?yōu)橐慌_，既提高了設(shè)備使用率，同時(shí)2臺設(shè)備在邏輯上整合，成倍提高了設(shè)備性能。

五、匯聚層、接入層改造說明

本次改造還涉及部分匯聚及接入交換機(jī)的升級及補(bǔ)充。匯聚交換機(jī)本次考慮為全光口設(shè)備，匯聚交換機(jī)與接入交換機(jī)之間通過千兆光纖互聯(lián)，匯聚交換機(jī)與核心交換機(jī)之間通過萬兆光纖互聯(lián)。為保證設(shè)備的穩(wěn)定性與維護(hù)便利性，本次改造涉及的匯聚及接入交換機(jī)均支持模塊化雙電源。endprint