校園網建設的技術研究

程德懌

（上海市信息網絡有限公司，上海 200081）

0 引 言

中國教育信息化十年規劃中，要求通過整合、深化、擴建、新建等方法來規劃教育項目的建設，使得教育信息化基礎架構在功能、容量、可靠性、可用性、安全性等方面，跟上中國教育事業各方面發展的要求，并為今后的發展打好堅實基礎。

縱觀目前國內校園網建設和業務發展面臨的各種挑戰，主要存在以下幾方面問題需要探索和解決[1-3]。

（1）如何實現網絡無縫互通。通過網絡和通信技術特別是無線網絡技術，支持所有軟件系統和硬件設備的連接，使學校教師和學生隨時隨地可以獲得即時、迅速、安全、穩定的信息化網絡環境。學校教師和學生可以根據教學需要和學習需要，自由應用臺式電腦、筆記本、手機、平板等多種終端設備開展各類教學活動。

（2）如何提供開放的學習環境。教育的核心理念是創新能力的培養。校園面臨要從“封閉”走向“開放”的訴求。因此，網絡建設要支持拓展資源環境，使學生突破課堂與教科書的限制，拓展時間和空間環境，將學習從課堂拓展到課下，實現學生能夠隨時隨地的學習。

（3）如何打造師生個性服務。以個性服務為理念，各種技術的應用均以有效解決教師與學生在校園生活、學習、工作中的諸多實際需求為目的，并使其成為現實中不可或缺的組成部分。

針對上述校園網信息化建設發展面臨的三個問題，通過對主流校園網調研和對校園網現有技術的分析研究，了解校園信息化發展軌跡，尋找校園信息化發展趨勢，比對差距，探尋經驗，解決信息化管理+教學+學習方面的問題，形成全面的園區教育信息化服務體系，使教育信息化真正切合中國發展的戰略定位。

1 校園網建設設計方法

1.1 網絡的整體規劃

校園網需要支持綜合傳輸數據、語音及視頻的高性能和高可靠環境。為了保護投資在本著立足學校目前需求的基礎上，需要使網絡具備擴展延伸和升級能力，以滿足教育不斷增長的業務需求。同時，應具備高可靠性、冗余性，以保證網絡安全、穩定運行，確保各應用子系統正常運行。

校園網日常使用環境中存在兩種流量。一是東西流量，即網內互訪流量，如學生訪問校內圖書館流量，電子化教學教師和學生互動流量等，所以網內局部會出現高使用人數和高流量的特征；二是南北流量，即師生訪問因特網流量，因出口帶寬有限，需要對流量進行匯聚和收斂。

根據以上使用特點，校園網絡應考慮以萬兆網絡為骨干、千兆網絡到桌面、千兆無線到終端，網絡架構遵循扁平化原則，采用核心層+接入層的兩層架構。對于高密度場地，可適當增加部分匯聚點。兩層架構可以避免出現過多網絡節點，有效緩解局部網絡壓力，減少網絡故障點，降低網絡建設成本和運維成本，提高網絡優化效率，并有助于加強網絡的可靠性和穩定性。

有線網絡接入層設備應考慮采用千兆交換機。校園網有線網絡核心設備則為萬兆三層交換機，核心邏輯上具有核心+匯聚層次。大二層網絡中，對于操場、食堂、體育館和圖書館等公共區域，提供WLAN網絡，通過部署AP進行無線覆蓋，用戶之間需要做互訪隔離，三層網關部署在核心交換機上。對于教研室、辦公室等辦公區域，用戶允許互訪不做隔離，三層網關設置在匯聚交換機上。

校園無線網絡需要同時接入大量的學生終端，且承載各種多媒體課件。無線終端數量增加迅速，種類繁多，要求無線校園網具有良好的終端兼容性和高密度終端接入能力，并提供穩定、高性能的無線網絡連接。因此，應考慮高密度AP。校園網內無線終端種類多樣，包括平板電腦、智能終端、筆記本電腦、無線打印機和無線投影儀等。要求無線校園網支持Bonjour、DLNA、UPnP等零配置設備發現協議的識別、代理和優化，以實現終端設備跨子網發現和共享服務。作為校園無線接入基礎平臺，無線校園網具有應用的開放性，能提供完備的數據實時上傳、查詢、導出和更新機制，并能夠與相關應用系統結合，實現校內導航、信息推送等功能。根據校園無線網絡應用和需求特點，應采用全分布式的AC+AP網絡架構，實現學校的無線網絡覆蓋。

1.2 有線無線統一認證

校園網內用戶身份各異，包括本校學生、本校教師、外校教師以及領導等，使得校園網必須具有基于身份角色的動態策略控制機制。要支持多種身份認證方式，能依據用戶身份、時間和地點靈活控制每個用戶的訪問權限、帶寬策略、連接數策略和路由策略，甚至各不相同的認證歡迎頁面。

目前，校園網常用的準入接入方案有以下幾種[2]：

（1）基于802.1x：主流操作系統支持，有線設備需客戶端，移動設備無相應客戶端，只能在二層網絡中做認證；

（2）基于MAC地址認證：基于端口和MAC地址對用戶的網絡訪問權限進行控制認證，不需要用戶安裝任何客戶端軟件，不需手動輸入用戶名或者密碼；

（3）WEB Portal認證：①可實現無客戶端的認證；②可在二、三層網絡中部署；③能定制Portal認證界面；

（4）PPPoE技術：點對點協議，不支持組播，不適合視頻教育和視頻會議，移動設備無相應的客戶端；

（5）IPoE技術：采用DHCP+OPTION擴展字段進行認證，采用終端的VLAN ID、MAC作為認證標識，無需客戶端軟件，適合視頻監控、VoIP等零配置需求的終端。

802.1 x和PPPoE在有線環境下都需要客戶端，部署工作量大，不適合校園網大規模部署。MAC認證和IPoE技術不能實現用戶名和密碼認證，對接入用戶身份的維護性差，不適合單獨使用。因此，綜合考慮分析認為，Portal認證是大、中學校園網較合適的認證方式。圖1為Portal的認證過程。

有線認證方案采用傳統的Portal認證方案。將每個學校的核心交換機設置為Portal網關，統一做HTTP重定向至Portal Server，由Server彈送認證頁面。無線認證方案在Portal認證的基礎上，通過無線控制器和Radius服務器配合，實現了“一次接入，多次使用”的智能終端無感知認證方案，解決了傳統PEAP、Portal認證的終端兼容性和易用性難題，是智能終端接入認證的理想方式，由此實現了有線和無線的統一認證。無感知認證步驟，如圖2所示[3]。

圖1 Portal認證過程

圖2 無線PROTAL認證流程

（1）用戶從DHCP獲取IP地址；

（2）AC監測用戶；

（3）AC發起MAC查詢請求；

（4）發現MAC“已綁定”反查用戶名和密碼，自動完成認證；

（5）如果“未綁定”，AC向手機終端推送Portal頁面進行正常認證流程，認證成功后進行MAC綁定；

（6）Portal認證成功后，AC放行用戶訪問Internet和校園內網，并告知服務器用戶上線。通知消息中包含MAC、用戶名和User-Agent信息。同時，在認證上增加重新認證時間閥值，即在閥值內用戶不需要重認證，提升了用戶感受。

1.3 實現基于身份角色的策略控制

網絡訪問控制設計的關鍵點是對不同用戶進行不同的策略控制。圖3為訪問控制策略示意圖。用戶策略是指用戶認證通過后，基于用戶角色對可訪問網絡資源進行的安全控制。通過授權策略，可防止非法用戶接入園區內網，限制用戶訪問非授權的機密資源和外部網站。在AAA認證授權審計中，基于用戶組對用戶實施端到端的策略管理。用戶組是用戶的策略屬性，可以基于用戶組定義用戶授權策略。例如，指定用戶可訪問的服務器資源、帶寬控制、用戶授權等屬性[4]。

通過Radius認證服務器，根據認證用戶的身份角色，將下發不同的用戶訪問權限策略至AC和有線設備，從而實現根據用戶身份、接入時間、接入地點來給予不同的訪問權限，滿足學校師生差異化的認證接入需求。例如，學生上課時間不得接入外網；一般訪客可訪問因特網，但無法訪問校內資源等。

圖3 訪問控制策略

1.4 實現跨校區接入統一認證授權

學校中存在師生經常到分校授課和學習的情況，因此校園網需要具備跨校區接入統一認證授權的功能。目前，經過調研發現，基本所有學校的信息化環境中都會存在LDAP（輕量級目錄訪問協議）系統，或者是SQL、ORACLE數據庫。每個分校的教師和學生用戶信息都由LDAP或者SQL、ORACLE數據庫系統進行管理。如果各分校師生經常移動教學，則認證服務器可以從目錄或數據庫系統中同步用戶信息。通過部署核心+分支的目錄或數據庫服務器，建立實現各分校統一身份系統，與各分校認證服務器配合，實現跨校區身份認證。同時，可以在學校出口配置上網行為管理設備與radius認證服務器聯動，實現基于用戶名的行為審計，并為師生提供不同應用的流量帶寬控制[5]。

以B校教師在A校上公開課為例。他使用手機和自己學校的用戶名密碼，認證上網的認證流程如下：B校教師通過手機連A校無線，屏幕彈出網頁，輸入用戶名、密碼；輸入用戶名密碼后，認證請求送達認證服務器；認證服務器并不保存用戶名密碼以及權限，而是到A校的身份認證平臺服務器獲取這些信息；A校服務器沒有發現B教師的用戶名密碼，于是到中心服務器驗證B教師的用戶名、密碼、權限；中心統一身份服務器與A校服務器存在信任關系，服務器取得B教師的信息，然后回送給A校認證服務器。

2 實驗

本實驗以上海開放大學校園實際網絡環境為基礎，以loadrunner 8.0性能測試軟件模擬用戶數和網絡壓力，對采用本技術研究成果的校園網進行改進前和改進后的對比測試。改造后每個分校核心為2臺華為S7600萬兆交換機，接入為華為S5700千兆交換機，無線AP為WA4300i和WA4320i，園區內任意一點WiFi覆蓋信號RSSI值大于-65 dBm。

2.1 網內延時

測試主要是模擬用戶訪問校內網站主頁，通過loadrunner來模擬用戶并發訪問，記錄用戶的訪問延時，并計算并發延時平均值，結果如圖4所示。

圖4 平均網內延時對比

測試結果顯示，由于改造后萬兆為骨干、千兆到桌面和無線，網絡延時明顯比改造前低。

2.2 認證延時

通過loadrunner模擬本地用戶和跨校用戶認證登錄網絡。測試中，50%的模擬用戶接入以太網，50%的模擬用戶接入WiFi，同時以并發形式認證登錄，最終并發認證響應時間對比結果如圖5所示。

圖5 并發認證響應時間對比

可以看到，本地延時較低，跨校延時由于訪問總部網絡和數據庫服務器，較本地認證增加了部分延時。

2.3 丟包率

測試以Loadrunner模擬用戶，共4臺服務器，每臺服務器最多模擬1 000用戶，每戶用戶1 MB流量，用戶兩兩之間進行數據傳輸。由測試軟件記錄丟包率，則結果如圖6所示。

圖6 丟包率對比

從測試結果可以看到，經過網絡改造后的丟包率為0，而改造前的網絡隨著用戶的增加和流量的增加，均出現了明顯的丟包率。

3 結 論

通過本次校園網項目的研究，一方面對國內國際的領先校園網進行調研，吸取先進技術和設計理念，另一方面對國內校園網進行設計，重點關注設計為師生量身打造即時、迅速、安全、穩定的信息化環境。因此，本項目的成果也可在其他重要大學、中學信息化建設中應用和推廣。

研究結果顯示了我國在校園信息化規劃設計、運維管理和業務提供等方面與業界領先者的差距，明確了近期目標和遠期規劃，為校園網的建設和發展開拓了思路，并在此基礎上形成了設計方案。因此，要看到國內校園網自身的優勢所在，利用好現有優勢，因地制宜，縮小與領先者的差異，甚至實現超越，需要認真思考和探索。

當前，在建設浦東新區26所示范性高中校園網、上海開放大學信息化項目以及武漢理工大學校區的規劃過程中，可將該研究成果直接應用于實際建設，推動信息化教育發展。此外，這一研究成果也為中國校園網的規劃設計提供了重要的技術理論基礎，可作為校園網信息化建設樣板予以推廣。

參考文獻：

[1] 武 裝，田 鵬.校園網組建管理與維護[M].北京：機械工業出版社，2014：35-38.

[2] 張民生.上海市中小學校園網建設指南[M].上海科技教育出版社，2002：56-57.

[3] 丁衛澤，陳 巧，張 靜，等.中小學校園網建設與應用全程指導[M].北京：科學出版社，2013：125-129.

[4] Rene M.Campus Network Design Basics[M].Cisco Press，2015：7-8.

[5] Michael.Campus Network for High Availability Design Guide[M].Cisco Press，2008：17-18.