常州工程職業(yè)技術學院 吳乃忠

基于扁平化架構的下一代高校校園網(wǎng)的建設研究

常州工程職業(yè)技術學院 吳乃忠

傳統(tǒng)三層或更多層架構的校園網(wǎng)在高校網(wǎng)絡建設初期對校園應用和高校信息化的推進發(fā)揮了巨大作用，但隨著高校校園網(wǎng)各類業(yè)務、應用和用戶承載的快速拓展以及對校園網(wǎng)絡精細化管理的要求提升，基于扁平化架構的下一代校園網(wǎng)應運而生，高性能、精細化和易管理無疑是下一代校園網(wǎng)建設的三大目標。

扁平化；架構；業(yè)務承載；部署；論證

1.前言

早在1994年隨著以CERNET為標志的金智建設工程的興起以及人們對信息網(wǎng)絡服務要求的不斷提高，全國高校掀起了校園網(wǎng)建設的高潮，第一代的校園網(wǎng)作為信息管理和信息交換的網(wǎng)絡平臺，在高等院校教學、科研、管理等工作中發(fā)揮了不可替代的重要作用。近年來隨著高校信息化和校園網(wǎng)對安全需求、運營需求、管理需求和性能需求的不斷提升，下一代校園網(wǎng)的建設成為高校信息化建設的一項主要基礎性工作。

2.傳統(tǒng)校園網(wǎng)的三層“倒掛”架構

傳統(tǒng)三層或者多層架構校園網(wǎng)只是滿足了基本的網(wǎng)絡互聯(lián)互通的需求，但缺乏相應的控制和管理手段，用戶之間互相影響，類似ARP攻擊、DHCP仿冒、IP仿冒等對網(wǎng)絡的攻擊現(xiàn)象經常發(fā)生，校園網(wǎng)絡對于用戶的審計和控制功能較弱也導致了網(wǎng)絡的無序使用，業(yè)務承載方面缺乏針對性的控制，網(wǎng)絡帶寬被大量占用，重要應用得不到帶寬保障，也難以實現(xiàn)靈活的基于身份、時間、位置等的用戶控制。

這種三層倒掛架構一個形象的比喻就是核心層是大馬拉小車，資源浪費但績效一般，而接入層是小馬拉大車，能力有限卻責任重大。

由圖1可以看出，傳統(tǒng)校園網(wǎng)架構的主要特點是：

1)實現(xiàn)一個業(yè)務功能需要由多個業(yè)務層面共同配合完成；

2)靠近邊緣的設備要求其功能卻很多，影響了實現(xiàn)效果和性能；

3)各層之間沒有有效的隔離措施和保障手段，導致相互的干擾影響；

4)校園網(wǎng)中設備特別是邊緣設備的穩(wěn)定性和可靠性不高帶來了管理、維護上的巨大壓力。

3.發(fā)展扁平化網(wǎng)絡架構的必然趨勢

當前不同規(guī)模和不同區(qū)域的學校在建設高校校園網(wǎng)時普遍遇到的問題是：

1)如何適應和滿足國家政策和法律法規(guī)對于校園網(wǎng)用戶的行為要求；

2)如何滿足各類業(yè)務、各類應用和不同需求的用戶的各種承載的拓展；

3)如何降低校園網(wǎng)的管理難度和維護工作量。

要解決這些問題必須要從網(wǎng)絡架構和業(yè)務部署模式上面進行變革，而扁平化的架構正好切中了解決這些問題的關鍵。從下圖可以看出扁平化網(wǎng)絡架構將原有各層的功能在邏輯上面進行了重新界定和劃分，使得各層設備各盡其能，也可以看出構建和發(fā)展扁平化網(wǎng)絡架構是一個必然趨勢。

3.1 網(wǎng)絡架構和網(wǎng)絡層次從復雜化向簡單化發(fā)展

高校校園網(wǎng)發(fā)展扁平化網(wǎng)絡最初是源自于運營商大規(guī)模網(wǎng)絡發(fā)展的經驗，而扁平化并不是意味著網(wǎng)絡物理層次的減少，而是網(wǎng)絡邏輯層次的扁平。構建扁平化的網(wǎng)絡架構就是將原來各個層次模糊的功能區(qū)分清晰化，不同層次之間各司其職，有利于管理和維護，這種簡單化的架構使得網(wǎng)絡有更高的效率。

3.2 用戶和業(yè)務控制的集中化

由能力最強、功能最豐富的核心設備提供集中的業(yè)務控制和管理，有利于功能和業(yè)務的部署，能夠保證在提供功能和業(yè)務時，有較好的性能，更有利于發(fā)揮核心設備的穩(wěn)定性可靠性的優(yōu)勢；而匯聚和接入設備，則提供其力所能及的基本功能，比如一般只提供基本的二層VLAN隔離功能等，因此部署新的業(yè)務和功能時，無需考慮其是否支持，從而有利于降低數(shù)量眾多的匯聚和接入層設備投資，而且由于功能簡單，有利于這些設備的穩(wěn)定可靠運行，使得全網(wǎng)投資的下降，電力和空調等運行成本相應的會大幅降低。

3.3 網(wǎng)絡架構更易于擴展和管理

校園網(wǎng)的功能劃分清晰后，整個網(wǎng)絡更有利于擴展。核心層設備由于性能很強可以對新功能新業(yè)務能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴充、上行帶寬的增加，管理上面顯得更加簡單。

4.下一代扁平化校園網(wǎng)的建設目標

4.1 高性能

下一代扁平化校園網(wǎng)的高性能主要表現(xiàn)在：

1)IPv6性能相對于IPv4要有大幅提升；

2)為滿足精細化VLAN劃分的要求，應盡可能多的支持多個VLAN；

3)支持QinQ終結功能，實現(xiàn)VLAN無限擴展；

4)支持硬件的IPv6組播功能，實現(xiàn)組播數(shù)據(jù)流高速轉發(fā)。

在這種網(wǎng)絡架構下面可以使用高性能多業(yè)務路由器作為整個網(wǎng)絡的核心設備替代原有架構的高端三層交換機，使更多的組播、線速轉發(fā)、用戶論證和審計等核心工作由功能和性能均強大的設備來完成，從而實現(xiàn)整個校園網(wǎng)的高性能。

另一方面高校校園網(wǎng)往往是教學網(wǎng)、學生宿舍網(wǎng)、教育網(wǎng)、一卡通專網(wǎng)、財務專網(wǎng)和科研專網(wǎng)等多個網(wǎng)絡的混合體，校園網(wǎng)的高性能還要體現(xiàn)在多個網(wǎng)絡多個業(yè)務并發(fā)的同時保證性能不下降，實現(xiàn)在同一個物理平臺上構建出多個邏輯上完全獨立的網(wǎng)絡平臺，這些網(wǎng)絡平臺和主網(wǎng)絡平臺還要具有相同的功能。

圖1 傳統(tǒng)校園網(wǎng)的三層“倒掛”架構

圖2 扁平化的網(wǎng)絡架構圖

4.2 精細化

下一代扁平化校園網(wǎng)的精細化主要實現(xiàn)途徑為：

（1）能夠基于邏輯接口實現(xiàn)

采用每個接入終端在核心設備上對應一個邏輯接口的方式，同時在接口上提供速率限制、訪問權限控制等實現(xiàn)對邏輯接口的獨立和分別控制。

（2）能夠基于每個用戶實現(xiàn)

基于用戶的身份，在用戶認證時動態(tài)下發(fā)控制屬性，對用戶的訪問速率、權限等進行控制，從而實現(xiàn)對每一個校園網(wǎng)用戶的個性化控制。

（3）能夠基于不同類型的接入方式開放或者關閉相應的業(yè)務功能

比如在WLAN中，由于AP的性能問題，就可以關閉IPv4、IPv6 multicast業(yè)務，僅開放單播業(yè)務，這樣就可以降低接入設備的壓力，把控制功能后移至核心路由設備上面。

（4）能夠基于用戶的實名制進行校園網(wǎng)精細化管理

實現(xiàn)實名制后能夠做到用戶身份和網(wǎng)絡行為的一一對應，做到基于用戶角色的控制，實現(xiàn)用戶訪問網(wǎng)絡的計費、審計、日志等功能，做到有據(jù)可查。

此外還可以通過對校園網(wǎng)應用中的流量監(jiān)控和實時采集分析，可以動態(tài)感知具體的應用類型和資源占用情況，就可以實時掌握校園網(wǎng)內的流量特征和用戶行為特征，對于一些隱患可以及時采取措施來應對異常流量的攻擊。

4.3 易管理

下一代扁平化校園網(wǎng)的易管理主要體現(xiàn)在：

1)能夠實現(xiàn)用戶之間和業(yè)務之間的有效隔離，避免相互之間的干擾和影響，做到業(yè)務可細分、用戶可隔離；

2)能夠對用戶的各種信息如用戶帳號、MAC地址、IP地址、上線時間及其訪問行為進行識別和實時記錄，做到可實時跟蹤、可歷史追查；

3)能夠實現(xiàn)基于用戶身份的行為控制，諸如可訪問的資源權限、對網(wǎng)絡帶寬的占用等方面的控制，做到行為可控制、身份可管理；

4)能夠實現(xiàn)網(wǎng)絡應用的精細化管理，實現(xiàn)完善的流量識別和控制能力，保障重要應用系統(tǒng)的網(wǎng)絡承載，包括其安全性、帶寬保障、可靠性等方面實現(xiàn)應用可識別、資源可保障。

在新的網(wǎng)絡結構中，用戶認證可以通過WEB方式進行，使得學校的師生不必安裝撥號客戶端，認證功能通過IE瀏覽器即可方便地完成身份認證過程。認證平臺也可調用學校統(tǒng)一的LDAP用戶數(shù)據(jù)庫，以實現(xiàn)統(tǒng)一身份認證。用戶的訪問權限、上網(wǎng)速率以及其他跟上網(wǎng)相關的行為管理由RADIUS系統(tǒng)根據(jù)用戶身份下發(fā)相應的策略給核心業(yè)務路由器來實現(xiàn)。這使得網(wǎng)絡具備較高的控制能力和可管理性，運維管理更加方便。

在這架構下，有線、無線（含校內師生、訪客）用戶均可通過同一套設備、同一套軟件、同一用戶身份驗證服務器，經過一次認證，即可根據(jù)預先設置的策略訪問相應的資源，而不必進行多次認證。

5.結語

對原有校園網(wǎng)架構升級改造為扁平化的網(wǎng)絡架構后對于系統(tǒng)管理員和普通用戶而言，其應用效果表現(xiàn)在：

1)一個簡單的的網(wǎng)絡架構：也就是將原有的多達三層或更多層的校園網(wǎng)結構簡化為了二層結構，即業(yè)務控制層（核心網(wǎng)絡層）和寬帶接入層（接入層），在邏輯意義上面實現(xiàn)了網(wǎng)絡結構的平滑過渡。

2)一個多業(yè)務的系統(tǒng)：指網(wǎng)絡平臺支持用戶接入、認證、審計、計費、帶寬管理、行為控制，同時也支持MPLS VPN、IPv6、組播業(yè)務的應用和快速部署。

3)一個統(tǒng)一身份認證的平臺：實現(xiàn)了有線、無線用戶的任意漫游，也實現(xiàn)了不同系統(tǒng)之間用戶的統(tǒng)一認證，避免重復地多次認證，提高用戶了體驗。

4)一個透明的網(wǎng)絡：校園網(wǎng)對用戶仍然是透明的，用戶無需關心網(wǎng)絡流量如何轉發(fā)，用戶無論在哪里登錄，都可以獲得相同的訪問權限和帶寬保障。

[1]劉紫燕,黃義成,胡鋒.業(yè)務感知技術的下一代校園網(wǎng)QoS研究與仿真[J].計算機工程與科學,2011,33(8):58-62.

[2]申繼年,邱家學.校園網(wǎng)組網(wǎng)架構的比較與分析三層交換架構vs扁平純路由架構[J].中國教育網(wǎng)絡,2012(1).

[3]涂慶華,馬躍勇,李華峰,王成.南京理工大學:IPv6校園網(wǎng)扁平化部署[OL].http://www.edu.cn/IPv6_xyw_7949/20120621/t20120621_796153.shtml,2012-6-21.