高校校園網規劃設計及性能優化
——以喀什大學為例

皮宗輝，王樹國，簡 明

（1.喀什大學網絡與信息管理中心，新疆喀什 844000；2.新疆億網科技有限公司，烏魯木齊 830099）

0 引言

隨著高校信息化建設不斷升級，校園基礎網絡建設水平也不斷提升，校園網正處在從有線覆蓋到有線無線全覆蓋、從網絡校園到智慧校園的建設中，因此，基礎網絡建設至關重要.在校園網絡建設實施過程中經常出現現實性能與設計性能存在偏差的問題，需要不斷對網絡的配置策略進行優化和調整，提高網絡的穩定性和可靠性，提升師生使用校園網絡的體驗感.

1 校園網設計

1.1 網絡整體架構設計

喀什大學新校區于2018 年底建成并投入使用，校園網（新老校區校園網）統一規劃，建設涉及有線網、無線網、數據中心網絡、網絡安全、校區互聯、統一認證等.在功能上可分為主干區、接入區、數據中心區、安全管理區、運維管理區五大區域.新校區擁有一個10G 電信鏈路出口和一個100M 教育網鏈路出口.校園網網絡架構如圖1 所示.

校園網絡架構設計要求按照萬兆主干、千兆到桌面的架構建設，分成3 層架構：核心、匯聚和接入.架構采用雙核心配置，結合虛擬化技術提高可靠性.考慮到校園面積大并且單體樓分散，共設置四個匯聚間部署匯聚交換機，分別位于宿舍樓2 棟、宿舍樓5 棟、計算機學院以及后勤樓.匯聚交換下聯各單體樓樓宇匯聚交換機，接入層設置在各單體樓的弱電管理間.

圖1 校園網拓撲圖

新老校區采用電信裸纖互聯，校區核心交換機之間使用40 km 單模萬兆光模塊互聯.老校區優先使用新校區出口，在校區互聯鏈路故障時，可使用老校區出口.兩個校區各部署了一套認證計費系統，數據同步.

1.2 設備互聯

核心由兩臺S12710 組成，使用堆疊技術虛擬化成一臺設備.核心上聯認證計費，下聯接入區的4 臺匯聚交換和數據中心區的云業務交換；核心交換X 系列板卡集成了無線AC 控制器，部署了無線網的網關和DHCP 池.

認證計費網關三層模式串聯部署在核心之上，是有線網的網關兼Bras，支持PPPOE 撥號、客戶端撥號和Web 三種認證方式，所有有線、無線用戶包括核心之下的設備、服務器等上網流量都需要經過認證計費，只有完成認證才能上網.特殊設備可通過白名單免認證通過.

4 臺匯聚S7710 設備分別管理宿舍區、教學樓及學院、行政樓、配套樓，有線網、無線網分別使用獨立的接入交換機和上行光鏈路，采用萬兆上行匯總至匯聚交換.由于新老校區相隔20 公里，新老校區租用電信12 芯裸光纖，通過光纖連接老校區變為新校區的一個匯聚.

考慮到宿舍區學生用戶多流量較大，有線、無線分別配置了的S5720-EI 增強型交換作為小匯聚，具備萬兆上行能力.宿舍區使用了中心AP 加面板的模式，每間宿舍一個面板，保障無線信號覆蓋.宿舍區有線的接入連接方式為：電腦—S628（接入）—S5720（有線小匯聚）—S7710（匯聚）.宿舍區無線的接入連接方式為：移動終端—RD250（面板）—AD9431/S628-PWR（POE 接入）—S5720（無線小匯聚）—S7710（匯聚）.S628-PWR與AD9431 配對使用，電口級聯，AD9431 級聯使用光口；各配電間獨立上行至匯聚交換.

1.3 關鍵技術

有線網使用了QinQ 技術，每臺接入交換機配置了一個內層Vlan，端口隔離；在匯聚交換的下行口上配置靈活QinQ，給進入該接口的流量打上統一外層Vlan 標簽，配合隔離配置，減小廣播風暴對網絡的影響.有線業務地址通過認證計費DHCP 獲得.接入交換下行口全部配置端口隔離，同時開啟dhcp snooping 功能.

核心交換作為無線網AC 控制器，AP 管理Vlan10，轉發模式為隧道模式，POE 接入至匯聚只需透傳管理Vlan；無線業務地址通過核心DHCP 獲得；配置無線用戶二層隔離.

1.4 運維管理

eSight 網管平臺，部署在一臺華為RH2288 V5 服務器上，添加了所有校園網交換機設備.通過拓撲圖和設備列表，可以實時值觀的了解到目前的網絡故障點、鏈路負載、設備負載，查看設備故障記錄；eSight 可對設備做批量修改配置，方便運維.

eSight 服務器管理平臺部署在云平臺虛擬機上，已添加了云平臺的13 臺服務器和2 臺存儲，主要用于查看服務器和存儲的告警信息、資源使用情況.

2 校園網絡存在問題及原因

喀什大學校園網于2019 年5 月基本建設完成，進入試運行階段.運行階段初期校園網絡用戶只有3000左右，系統運行平穩.2020 年4 月份，由于受疫情影響，部分學生返校學習，教師利用校園網絡平臺進行線上教學，學生利用校園網絡在線學習，還有教學單位和部門利用騰訊會議、釘釘平臺進行視頻會議.校園網絡用戶增到并發6000 左右，校園出口即時流量高峰期達3.5 G 左右.校園網網部分用反映，在連接無線網絡利用騰訊會議召開視頻會議時偶爾出現卡頓現象，也有用戶反映網絡有掉線的現象.這主要是兩個方面原因造成的.

2.1 無線匯聚交換機中存在大量組播流量，導致帶寬堵塞

登陸宿舍匯聚交換機，發現所有連接無線樓宇小匯聚的帶寬利用率均在80%左右，上行接口發送流量達800M，下行數量流量還不到200M.交換進出流量嚴重不匹配（見圖2）.登陸Esight 網管平臺，觀察各下行接口的24 小時流量波形圖（圖3 和圖4），發現流量波形基本相同.基于這些流量特點判斷宿舍區匯聚上產生了大量下行組播流量，而校園網并無配置組播業務，產生的組播流量可能為核心AC 對大量無用檢測所致.

圖2 無線樓宇小匯聚接口流量

圖3 下行接口的24 小時流量波形圖1

圖4 下行接口的24 小時流量波形圖2

2.2 宿舍個別無線用戶無法獲取IP 地址

宿舍樓宇反映，部分宿舍學生連接無線網絡后無法通過DHCP 獲得地址，出現問題的宿舍并不固定，更換無線面板后問題并沒有消失，檢查無線網關DHCP池發現地址充足.于是決定派人持手機到問題宿舍，手機MAC 地址為90ad-f7c4-8667，從接入層開始逐級向上追蹤該MAC 地址的信息.在樓宇無線小匯聚上追蹤得到DHCP 不可用的信息

進一步在上級宿舍區匯聚S7710 上沒有該MAC地址.

2.3 核心交換機CPU 占用率偏高，處理數據能力不足

登錄核心交換機查看，發現CPU 占用率一般在65%附件，高峰期偶爾達到95%，持續1-2 分鐘后下降到60%左右（見圖5）.CPU 使用率過大導致核心交換機處理能力不足而造成網絡斷網現象.

圖5 核心交換機cpu 占用率

由于無線AC 集成在核心交換機的板卡上，核心與AP 之間采用隧道模式，造成核心既要轉發業務數據，還要承擔管理3600 多個無線APSSID、認證、信道、流控等管理功能，導致核心壓力很大，在AC 與AP 執行管理功能時，cpu 占用率急劇升高.

3 校園網絡優化措施

3.1 優化無線流量模板和接入交換機性能參數

由于網絡側有大量異常組播流量涌入，造成無線空口擁堵，終端上網速率慢.為了減小組播報文對無線網絡造成的沖擊，配置組播抑制功能[1].

[XYW-Core-S12710]wlan //進入流量模板

[XYW-Core-S12710-wlan-view]traffic-profile name default

[XYW-Core-S12710-wlan-traffic-prof-default]

traffic-optimize multicast-suppression packets 200// 限制整個無線網絡的最大組播流量閾值為200 pps.

學生公寓樓宇無線AP 接入交換機上：

經過以上修改，宿舍區匯聚S7710 的各下行端口流量恢復正常，交換機進出流量基本平衡，抑制異常無線流量后對正常無線流量無任何影響.

圖6 宿舍區匯聚S7710 端口流量

3.2 優化DHCP 配置

為了防范各種DHCP 攻擊或是路由器WLAN 口接入私發地址，通常在接入層開啟DHCP Snooping 功能，該功能保證DHCP 客戶端從合法的DHCP 服務器獲取IP 地址，并記錄DHCP 客戶端IP 地址與MAC 地址等參數的對應關系，防止網絡上針對DHCP 攻擊.由于在宿舍區小匯聚上也開啟了一個DHCP Snooping 功能，一個樓的接入用戶近千人，超過了DHCP Snooping 記錄客戶端IP 和MAC 對應關系表的上限.當對應表滿時，后續進行DHCP 的用戶由于沒有在關系表中，其DHCP 包被交換機攔截.因此在樓宇無線小匯聚上關閉DHCP Snooping 功能，順利解決了部分用戶無法獲得DHCP 的問題

[S628-PWR-1]undo dhcp enable.

3.3 優化無線網絡結構

五個匯聚交換機上啟用三層功能，把無線地址池從核心下放到匯聚，無線AP 上的接入用戶從上聯匯聚交換機上獲取到IP 地址和網關.減少核心交換機壓力.

無線AP 的數據流量由隧道轉發模式調整為直接轉發模式,提高報文轉發效率，減輕核心的壓力.修改核心和無線AP 接入配置如下：

在進入核心的vap-profile name ksu-wlan 模板下

輸入 undo forward-mode tunnel// 刪除隧道模式，系統默認為直接轉發模式；

無線AP 接入交換機上用戶接口上透傳業務vlan，修改配置如下[2]：

3.4 優化WLAN 輪巡設置

Esight 網管平臺中配置WLAN 相關的輪詢參數后，ESight 會定時的去查詢和獲取設備上的相關參數，保證網管和設備上信息的一致性.在主菜單中選擇“系統> 系統設置> 南向設備設置”，在左側導航樹中選擇“網絡設備輪詢設置”頁面中，優化輪巡配置[3].鏈路接口輪詢間隔調整為60 分鐘，關閉IP 地址輪詢時間、WLAN 數據輪詢、虛擬系統數據輪詢、接入用戶輪詢等功能.

經上面優化調整后，核心交換機CPU 占有率恢復到30%（如圖7）.

圖7 核心交換機CPU 占有率

4 結語

喀什大學校園網絡經以上一系列措施優化后，設備運行更加穩定、可靠，用戶上網速度明顯加快，師生對校園網的滿意度明顯提高.目前，校園網高峰期并發用戶達到8000 左右，出口流量最高達8G,網絡運行平穩.今后，我們將繼續觀察校園網運行過程中存在的不足，通過技術手段，優化調整校園網策略，保障校園網絡高效、安全、穩定運行，提高網絡服務質量，為高校數字化建設提供必備的前提和保障.