有線和無線一體化在校園中的設計與實踐

朱煜

摘 要：本文以某高職院校的信息化建設為背景，以大二層網絡架構的設計理念，對該學院的有線、無線校園網進行了設計和改造;在本次改造中，通過新型接入網關設備Bras，使用QinQ技術，對學院Vlan數量進行指數倍增加的同時，提高了網絡的安全性。事實證明，改造后的網絡安全、穩定，能夠對學院未來智慧校園的建設打下良好的基礎。

關鍵詞：大二層網絡架構; 有線、無線網絡改造; QinQ技術; 新型接入網關設備Bras

中圖分類號：TP393.1? ? ?文獻標識碼：A? ? ?文章編號：1006-3315（2020）7-198-002

一、背景

網絡作為信息化的建設基礎，其設計的優秀與否將直接決定未來學院智慧校園的建設高度，某高職院校校園網始建于2008年，當時的校園網采用千兆以太網技術，星型總線網絡拓撲結構，能夠實現千兆主干、百兆桌面;960M雙光纖專線接入，寬帶有線網絡已實現校園全覆蓋，無線網絡實現部分覆蓋（僅覆蓋行政樓和教學樓）。顯然，該學院的網絡現狀已不能夠滿足學院未來智慧校園的發展，主要表現在：首先，學院內的網絡核心、匯聚和接入交換機由于長時間的使用，存在功能缺失的情況，同時缺少平臺對網絡整體進行監控和運維管理;其次，由于網絡采用傳統的三層架構，可靠性較差，難以適應未來智慧校園網絡的應用需求;最后，學院的無線網絡僅僅實現了部分的覆蓋。眾所周知，現代化的高職教學需要學生通過各類移動設備進行參與教學、實訓的互動，無線的狀況限制了信息化的教學。

二、建設的目標

為建成高速、開放、可靠的智慧校園，為學院的教學、科研、管理和生活提供良好的智慧化服務。某學院提出以下的建設目標：分年度對網絡線路、網絡設備進行更新和改造;骨干網采用雙核心模式，解決設備的單點故障問題，兩臺核心交換機在邏輯上打造成一臺高性能的設備，用來保證網絡高可靠性和高穩定性;無線信號覆蓋范圍滿足全部教學區、辦公區、學生生活區以及校內主要室外空間全覆蓋;滿足無線設備統一管理、出口帶寬資源合理使用。

三、有線、無線一體化的改造

1.有線校園網設計

為降低運維難度，提高管理效率，并對未來IPv6和虛擬化數據中心改造打下了良好的環境。學院計劃運用大二層網絡的設計理念，對全院的網絡進行改造。大二層網絡，顧名思義，即在網絡的邏輯架構中，采用核心層-接入層設計模式，去掉中間的匯聚層。這種結構清晰的網絡結構優勢在于：一方面，對于網監處，當網絡顯現故障后，能夠快速的定位問題繼而解決;當實訓基地有新的網絡需求，只需將光纖連通核心交換機后，在該設備和接入交換機作相應的配置，即可實現需求;另一方面，大二層的網絡設計符合智慧校園發展的趨勢，未來的數據中心對服務器虛擬化提出較高的要求。因為服務器虛擬化能夠顯著解決物理設備閑置，并以此提高服務器利用率。該項技術是未來數據中心建設的趨勢。但該項技術的實現是以虛機遷移前后的MAC地址和IP地址等參數不能改變作為前提的。通過大二層網絡的應用，能夠較為簡單的使源與目的地址置于同一個Vlan中，非常適合時代發展的趨勢。大二層網絡的設計要求校園全部數據都要通過接入設備并最終匯聚至核心交換機進行統一的處理、轉發，這對核心交換機的處理能力有較高的要求。通過考察，并對比各廠商設備的優劣，學院在實施時使用兩臺華為S12712作為數據轉發的中樞，通過虛擬化交換技術（雙活）使兩臺設備在邏輯上變成一臺處理能力極強的核心交換機。隨著學院飛速的發展，使當下學院局域網的vlan數量即將消耗殆盡。學院在本次網絡改造中，引入QinQ技術。該項技術（在標簽報文的基礎上再打一層標簽）的使用，能夠使局域網內的Vlan數量進行指數倍的增加，并且避免了廣播風暴類問題。為實現該功能，在已有網絡改造的基礎上，引入新型接入網關設備Bras，本次改造中學院使用華為ME60-X。即所有數據包，經核心交換機時，剝離內層Vlan，使用外層Vlan對應的IP地址作為網關，到達Bras設備，并由該設備最終進行數據的統一轉發。為了最大限度的保證網絡穩定運行，設置兩臺BRAS設備，一臺為主設備，正常狀況下使用;另一臺作熱備份，主設備出現異常時，接替主設備完成工作。

2.無線校園網設計

在完成了有線網絡的設計和實踐之后，我們在大二層網絡架構的基礎上，繼續完成無線網絡的設計：由于教師學生的活動范圍涉及從教學到娛樂甚至飯堂等多處，而鑒于有線網絡良好的運行情況，在無線網絡設計時，我們將繼續采用QinQ協議。由于在現代化教學的過程中，需要學生通過ipad、手機、筆記本等大量移動設備來配合教師完成教學工作。因此在實際應用中，無線的IP需求量遠遠大于有線網絡IP數量的需求。因此，在設計的過程里，我們設計使無線成為單獨的子網，與有線部分互不干涉。這樣做也便于后期維護工作的展開。根據學院現有教職工及學生的數量，在大二層網絡的改造中，我們計劃用192開頭的私有地址（172開頭的私有地址作為有線網絡的使用）作為無線網絡使用，使用該網段中相應的地址就可以實現。在實現的過程里，我們使用網關設備Bras統一完成IP的分配。

數據從AP設備開始，將終端對應的Vlan從POE交換機，開始一直向上透傳過核心交換機進而匯聚至接入網關設備BRAS。在無線網絡的安全方面，使用Portal認證（連接學院的WiFi名字便可在瀏覽器上彈出登錄認證的網頁）。無需使用客戶端，登錄Web頁面實現認證的方式，能夠減少教師學生在手機端操作，利于推廣;利用彈出的Portal頁面實現學院日常通知的方式，也適合宣傳工作的開展，利于使用;這種對用戶進行認證和審計的安全措施，非常適合目前學院的應用場景。

想要無線網絡全覆蓋，且有效節約成本，無線AP的部署顯得十分重要。由于該學院的行政樓、教學樓和實訓樓等樓宇的建筑各具特點，因此在設計里應充分考慮空間形狀和布置。鑒于該學院的各實訓室的面積基本相當，面板式AP適用于實訓室里安裝，不光解決信號衰減的問題，也能滿足上課實訓的需要;在教工休息室和走廊上，上網需求量不如實訓室里那么大，采用吸頂式AP;而在操場、室外實訓基地，采用室外“AP+無線”的形式設計方案，比如在離這些基地比較近的樓宇外，放置室外AP，并加裝天線，就可以實現對整個區域的無線網絡覆蓋。

在某學院這次網絡的改造過程里，筆者通過分析學院現狀并結合未來發展的趨勢，使用大二層的網絡架構對有線、無線部分進行了設計和改造。施工的后期，我們將智能網管系統引入，旁觀于核心交換機，對全院網絡起到好的監控作用。同時根據實際需求，在核心交換機上旁觀了行為管理系統、行為感知系統、入侵防御系統等一系列安全設備，保證網速的前提下保障網絡實名、安全運行。事實證明，改造后的網絡符合學院信息化發展的趨勢，且運行穩定，受到師生的一致好評，是一種能夠為其他高職類院校所借鑒網絡建設方案。