校園網扁平化升級改造分析

作者簡介：岳超（1989— ），男，山東菏澤人，工程師，碩士；研究方向：網絡技術。

摘要：隨著教育信息化的快速發展，廣大師生對校園網絡的依賴度越來越高。尤其是特殊時期，線上教學成為唯一的教學模式，這對校園網來說是一個前所未有的挑戰。校園網作為承載高校信息化業務的唯一信息載體，具有以下特點：用戶群體規模大、網絡設備數量大、運維難度大、帶寬需求大、承載業務種類多、網絡安全要求高等。如何規劃設計網絡、高效運維網絡、安全管理網絡是各大高校普遍面臨的問題。文章以校園網架構升級改造項目為依據，從規劃設計、項目實施以及技術實現等方面，介紹校園網建設運維方面的經驗。

關鍵詞：扁平化；架構升級；設計

中圖分類號：TP393.18 文獻標志碼：A

0 引言

2014年左右，各高校逐漸開展校園網的二層改造，將傳統的核心層、匯聚層和接入層組成的三層組網模式改造為扁平化的大二層結構。傳統網絡大多以準出認證為主，即在出口設備下端串接認證設備以達到認證計費的目的，認證設備下端走三層路由協議實現各區域的互聯互通。隨著用戶規模的擴大以及網絡設備的增加，該架構的維護難度越來越大，運維效率逐漸降低。鑒于現狀，為減輕運維壓力，提高運維效率，各高校開始尋求新的組網模式。扁平化管理大二層結構的組網模式便得到了各高校的青睞，成為各高校網絡架構改造的首選模式。如何在實踐扁平化網絡的過程中，對校園網進行精細化管理是研究的熱點問題［1］。

1 建設目標

通過對校園網現狀的改造，建設一個有線無線一體化、IPv4/IPv6雙棧式、高可用、可擴展、易維護、可溯源的安全的網絡架構，滿足未來5—8年的信息化發展需求，同時具備后期SND改造的條件。

2 網絡規劃

采取扁平化的校園網絡進行精細管理，一方面能夠使網絡組網具有更加清晰的層次，在使用網絡的過程中更加安全，另一方面能夠有效地滿足不同用戶的需求，進一步推動校園網的未來發展［2］。

2.1 設備參數

要實現高可用的校園網，首要目標是堅決避免校園網內部網絡節點的性能瓶頸。傳統的校園網的核心區域網絡多為千兆/萬兆互聯，當校園帶寬出口超過10G時，就會在校園網內部形成轉發瓶頸，造成出口帶寬的浪費。本次項目的建設目標為：千兆到桌面，萬兆到匯聚，40G到核心，80G到出口；同時所有設備必須支持IPv4/IPv6雙棧協議，線速轉發及支持VXLAN網關以滿足后期SDN組網改造的需求。

2.2 網絡業務梳理

網絡業務梳理是對復雜的網絡環境進行歸納總結，條理化地分割網絡應用場景，為下一步IP地址的規劃提供參考依據。總體上可分為有線業務和無線業務。

有線業務：普通辦公、教室、實驗室、啞終端（網絡打印機、門禁、攝像頭等）、網絡設備管理、物理服務器、虛擬服務器、docker業務、設備帶外管理等。

無線業務：學生無線、教職工無線、eduroam、guest等。

2.3 IP子網規劃

規劃原則：采用私有地址和公網地址相結合的方式，容量大、可擴展，考慮到學校網絡安全要求的因素，以下數據僅供參考，非本校實際數據。

有線業務：普通辦公（10.1.X.X/16）、教室（10.2.X.X/16）、實驗室（10.3.X.X/16）、啞終端（10.4.X.X/16）、網絡設備管理（10.5.X.X/16）、物理服務器（10.6.X.X/16）、虛擬服務器（10.7.X.X/16）、docker業務（10.8.X.X/16）、設備帶外管理（10.9.0.0/16）等。

無線業務：學生無線（172.16.X.X/16）、教師無線（172.17.X.X/16）、eduroam（172.18.X.X/16）、guest（172.19.X.X/16）等。

2.4 VLAN劃分

本次項目主要采取基于QinQ技術結合BRAS的扁平化大二層改造的方式。VLAN的劃分至關重要。QinQ技術可以簡單地理解為雙VLAN標簽的封裝技術，后面詳細介紹。根據QinQ的技術特點，結合具體情況。采用以外層VLAN標簽作為對樓宇弱電間的標志，內層標簽作為用戶標簽。

示例1：外層標簽2111，2代表校區，中間11代表樓宇，最后的1代表樓宇的第一個弱電間；內層標簽101-148代表該弱電間的第一臺接入設備，201-248代表該弱電間的第二臺接入設備，VLAN1301代表網絡打印機，VLAN1302代表攝像頭，VLAN1303代表門禁等。

2.5 認證方式

2.5.1 家屬區認證方式

家屬區用戶認證方式前期采用的是Web認證方式，存在以下問題：

（1）操作復雜，須人工干預；

（2）超時重連、多次認證；

為避免上述問題，結合學校實際情況以及用戶上網場景，采用PPPoE撥號上網的方式。

2.5.2 辦公區認證方式

家屬區存在的問題，辦公區同樣存在，但各辦公室的實際情況不盡相同。大多數辦公區沒有路由器，不具備撥號上網的條件，若使用電腦撥號的方式對用戶的上網操作是一個挑戰。為提高用戶的上網體驗，故采用WEB認證，為避免頻繁登錄或者長時間不用自動注銷的現象，本次項目增加MAC地址認證以實現用戶的無感知上線功能，即IPoE+Web認證+MAC地址無感知認證。

2.5.3 啞終端認證方式

啞終端不具備撥號上網或者WEB登錄的功能，且考慮到網絡接入的安全，故采用靜態IP地址加MAC地址綁定的方式進行認證。

3 關鍵技術

3.1 QinQ協議

QinQ產生背景：一是解決日益緊缺的VLAN ID資源問題；二是滿足業務精細化管理的需求。QinQ（802.1Q-in-802.1Q），又名為VLANStacking或Double VLAN，由IEEE 802.1ad標準定義，是一項擴展VLAN空間的技術，通過在802.1Q標簽報文的基礎上再增加一層802.1Q的Tag來達到擴展VLAN空間的目的。

IEEE 802.1Q中定義的VLAN ID只有12個比特，僅能表示4096個VLAN域。隨著網絡規模的擴大，4096個VLAN域已無法滿足網絡擴容的需求。因此，IEEE 802.1ad中在原有的802.1Q報文的基礎上增加一層802.1Q Tag（又名VLAN Tag或標簽），對VLAN Tag字段擴展以后VLAN數目就可以達到4094×4094個，這樣就能滿足隔離大量用戶的需求（其中VLAN0和VLAN4095用作協議保留，一般不啟用業務。故VLAN的取值范圍為1—4094），這種雙層Tag的報文就叫做QinQ報文［3］。

3.2 PPPoE協議

3.2.1 PPP協議

PPP協議是點對點二層通信協議，提供在點對點鏈路上傳輸多協議數據報的標準方法，是數據鏈路層的一種封裝協議。傳統的以太網二層是以廣播的形式實現數據通信，PPP協議是在兩個通信節點之間實現點對點的數據交換轉發。圖1為PPP協議的幀格式。

FLAG：在PPP協議中，頭部和尾部都有一個Flag字段，Flag字段標志著一個PPP幀的開始和結束。FLAG字段長度8bit，固定值為0x7e。Address：在PPP協議中，因為進行通信的為點對點，區別于以太網必須使用MAC地址來表明數據幀的發送者和接收者。PPP協議中的Address字段取值固定為0xff。

Control：長度8bit，取值固定0x03，無特殊作用。

Protocol：長度16bit，其取值類似以太網幀的類型，表明了上層數據的類型。

FCS：長度16bit，用于幀校驗。一個設備在收到PPP幀后會進行PPP幀校驗，如果發現PPP在傳輸過程中出錯，該幀會被立即丟棄。PPP協議沒有糾錯和重傳機制。

3.2.2 PPP認證方式

PPP的認證方式主要有兩種：PAP和CHAP。PAP在傳輸中采用明文認證，通過兩次握手實現，存在安全風險；CHAP在傳輸中不傳輸密碼，取代的是密碼的hash值，通過三次握手實現，安全性高。

3.2.3 PPP鏈路建立過程

PPP鏈路的狀態共分為Dead、Establish、Authenticate、Network、Terminate等5種，如圖2所示。

Dead狀態表示物理層無連接，鏈路建立的初始階段。

物理層建立連接成功后，進入Establish確認階段，通過雙方設備互相交互LCP的鏈路配置包完成鏈路層的協商，若協商成功，則進入LCP的Open狀態，進入下一步協商，否則退回到Dead狀態。

鏈路進入Open狀態后，下一步需要檢查是否配置認證，如果是，則進入Authenticate階段，如果否，則鏈路直接放通，狀態變為Network階段。在Authenticate狀態如果能夠認證成功，則進入Network階段，如果認證失敗，則會遷移到Terminate狀態。

Network是網絡層參數協商階段，會為每一個網絡層協議選擇對應的NCP協議進行參數商定，僅當協商成功，進入NCP到達Open狀態后，網絡層流量才能被PPP鏈路承載。

Terminate階段也就是終止鏈路階段，PPP鏈路可以在任意時間被終止，除剛剛的認證失敗的情況，LCP的鏈路結束包，網絡管理員手動關閉鏈路等都會讓PPP進入這個階段。

PPPoE是PPP協議與以太網協議的一種結合協議。其本質就是在傳統廣播式的以太網中模擬創建一種點對點的通信場景。因以太網是一個廣播網絡，而PPP協議的建立需要知道雙方地址，所有PPPoE建立會話的第一個步驟就是通過廣播幀，拿到對方的Mac地址，接下來的會話建立與PPP協議一致。

3.3 IPoE技術

IPoE是DHCP+認證技術，DHCP可配合其他技術實現認證，比如Web+Radius，DHCP+OPTION擴展字段，所有這些擴展認證方式統稱為DHCP+認證，又稱為IPoE認證方式［4］。

IPoE（IP over Ethernet）是一種常見的IPoX接入方式，目前支持綁定和Web兩種認證方式。綁定認證是指BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）設備根據用戶接入的位置信息自動生成用戶名和密碼進行身份認證的一種認證方式，無需用戶輸入用戶名和密碼；Web認證是指客戶端通過http或者https的方式，手動輸入登錄頁面或者以重定向的方式在登錄頁面輸入個人賬號信息實現認證的一種方式。

3.3.1 IPoE系統組成

一個完整的IPoE系統由用戶主機、接入設備、AAA服務器、安全策略服務器、DHCP服務器、Portal服務器等組成，如圖3所示。用戶主機代表終端用戶；接入設備負責接收、轉發用戶請求，建立用戶會話等功能；AAA服務器負責認證功能；安全策略服務器負責下發安全策略；DHCP服務器負責完成用戶的DHCP請求，完成IP的分配工作；Portal服務器負責向用戶提供Web頁面，向認證設備提供認證信息。

3.3.2 IPoE的接入模式

IPoE的接入模式分為二層和三層兩種模式，對應的用戶分別通過二層網絡或三層網絡接入。

二層接入：客戶端和接入控制設備在同一二層廣播網絡內或者通過點對點的方式二層可達，接入控制設備能夠識別到客戶端的物理地址。

三層接入：客戶端通過路由的方式與接入控制設備實現互聯互通，接入控制設備無法獲取客戶端的物理地址。

3.3.3 DHCP單協議棧用戶接入流程

當用戶通過DHCP方式動態獲取IP地址時，IPoE截獲用戶的DHCP報文，首先對用戶進行身份認證，如認證通過則允許繼續申請動態IP地址，否則終止IPoE接入過程。詳細流程如圖4所示。

（1）終端設備在二層網絡中廣播DHCP-DISCOVER報文；

（2）DHCP-relay設備在接收到的discover報文的擴展屬性中添加vlan號，物理端口號等信息；

（3）同時DHCP-relay設備會在本地創建相應的會話，將包含終端設備信息的discover報文發送到AAA認證服務器；

（4）AAA認證服務器根據接收到的終端設備信息，通過跟后端數據庫匹配判斷，返回相應信息；

（5）根據AAA認證服務器返回的結果信息，及時更新IPoE會話的狀態，保持或者銷毀；

（6）若通過，則將discover報文繼續發送至DHCP服務器，否則直接丟棄；

（7）DHCP服務器根據接收到的discover報文信息，返回offer應答報文；

（8）終端設備以接收到的第一個offer報文為準，并向其發送request報文；

（9）DHCP服務器通過判斷IP分配的合法性，發送ack報文；

（10）DHCP relay設備通過提起ack報文中的網絡參數，更新會話，并下發相應策略；

（11）DHCP relay設備將ack報文轉發給終端設備，更新自身網絡參數；

（12）接入控制設備向AAA發起計費請求，計費開始。

4 結語

教育信息化經歷了蟄伏期，正處于蓬勃發展的階段，校園網絡作為信息化發展的基建工程，發揮著重要作用。上層應用的穩定性、安全性、可靠性、延續性倒逼著校園網必須具備健壯性、穩定性、可靠性、靈活性的特點。隨著信息技術以及網絡技術的發展，SDN網絡必將成為未來校園網升級改造的一個趨勢。不過目前SDN技術存在一個致命的缺點，各廠商的SDN控制器只能控制本廠商的VXLAN網關設備，這一弊端與SDN的開放、開源特性相違背。希望SDN未來會克服這一不足之處，使校園組網變得更加安全、靈活、快捷。

參考文獻

［1］張勇.網絡扁平化實踐中對校園網精細化管理的探究［J］.科研，2015（44）：191.

［2］馮健飛，寧玉文，靳豪杰，等.扁平化結構下的網絡管理系統設計與實現［J］.電腦知識與技術，2019（22）：33-36.

［3］陳衛民.基于QinQ技術的高校校園網研究［J］.湖南城市學院學報，2011（2）：66-68.

［4］王寶鋼.IP城域網綜合接入認證系統的分析與設計［D］.北京：北京郵電大學，2008.

（編輯 傅金睿）

Abstract： With the rapid development of education informatization， the majority of teachers and students are becoming more and more dependent on the campus network， especially during the epidemic period， online teaching has become the only teaching mode， which is an unprecedented challenge to the campus network. As the only information carrier carrying the information services of colleges and universities， the campus network has the following characteristics： large user group scale， large number of network equipment， large difficulty of operation and maintenance， large bandwidth demand， many types of carrying services， and high network security requirements. How to plan and design the network， efficient operation and maintenance network， security management network are the common problems faced by various universities. Based on the campus network architecture upgrading and transformation project， this paper introduces our experience in the campus network construction， operation and maintenance from the aspects of planning and design， project implementation and technical implementation.

Key words： flattening; architecture upgrade; design