車兆東，鄧擁軍，任愛鳳

(中國海洋大學(xué) 網(wǎng)絡(luò)與信息中心，山東 青島 266100)

一、引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們對網(wǎng)絡(luò)也有著不同的需求和解決方案。一個網(wǎng)絡(luò)系統(tǒng)，無論當(dāng)初的設(shè)計多么完善，隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備的發(fā)展，以及對系統(tǒng)應(yīng)用的深入和應(yīng)用范圍的日漸擴(kuò)大，在使用的過程會逐漸暴露出一些問題。在本刊2012年5月《中國海洋大學(xué)校園網(wǎng)現(xiàn)狀分析》一文中，我們對中國海洋大學(xué)校園網(wǎng)的現(xiàn)狀從網(wǎng)絡(luò)結(jié)構(gòu)、核心設(shè)備、路由設(shè)置、安全設(shè)置等方面進(jìn)行了詳細(xì)的論述，并對存在的問題進(jìn)行了有效的分析。下面我們將就如何對現(xiàn)有的校園網(wǎng)進(jìn)行網(wǎng)絡(luò)優(yōu)化及升級改造的思路進(jìn)行一些探討。

二、網(wǎng)絡(luò)優(yōu)化及升級改造的設(shè)計原則

校園網(wǎng)的網(wǎng)絡(luò)優(yōu)化及升級改造不但要解決目前校園網(wǎng)中存在的問題，同時還要考慮以下幾個方面的技術(shù)要求：

（1）先進(jìn)性和可擴(kuò)充性。校園網(wǎng)絡(luò)應(yīng)采用先進(jìn)成熟的技術(shù)進(jìn)行組網(wǎng)，能夠充分滿足現(xiàn)在及將來網(wǎng)絡(luò)及業(yè)務(wù)發(fā)展的需求，在未來幾年內(nèi)都不會過時，并且隨著需求的變化，可以進(jìn)行適時的擴(kuò)充。

（2）標(biāo)準(zhǔn)化和開放性。采用通用的國際標(biāo)準(zhǔn)和協(xié)議，不采用或盡量少采用廠家特有的產(chǎn)品和功能。

（3）可靠性。利用物理鏈路備份和動態(tài)路由協(xié)議實現(xiàn)路由備份和負(fù)載分擔(dān)，保證網(wǎng)絡(luò)互通性；關(guān)鍵部件冗余配置，保證單節(jié)點的可靠性；所有模塊具備熱插拔的功能；系統(tǒng)具備99.999%以上的可用性；網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計應(yīng)提供足夠的路由冗余功能。

（4）可管理性。采用統(tǒng)一的網(wǎng)絡(luò)及業(yè)務(wù)管理系統(tǒng)，支持故障管理、記賬管理、配置管理、性能管理和安全管理五大功能；支持系統(tǒng)級的管理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的管理，對策略的修改能夠立即反應(yīng)到所有相關(guān)設(shè)備中。

（5）安全性。在設(shè)備選型上充分考慮設(shè)備抗攻擊的能力。

（6）擁塞控制與服務(wù)質(zhì)量保障。擁塞控制和服務(wù)質(zhì)量保障(QoS)是數(shù)據(jù)通信網(wǎng)的重要品質(zhì)，網(wǎng)絡(luò)必須能夠?qū)砣M(jìn)行控制和對不同性質(zhì)數(shù)據(jù)流進(jìn)行不同的處理。

（7）業(yè)務(wù)分類。要求網(wǎng)絡(luò)設(shè)備應(yīng)支持4種以上業(yè)務(wù)分類。

（8）接入速率控制。接入校園網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)遵守其接入速率承諾，超過承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級。

（9）通信協(xié)議的支持。設(shè)備應(yīng)具有服務(wù)營運級別的網(wǎng)絡(luò)通信軟件和網(wǎng)際操作系統(tǒng)；以支持TCP/IP協(xié)議為主；支持RIPv2、OSPF、IS-IS等多種國際標(biāo)準(zhǔn)的域內(nèi)路由協(xié)議；支持BGP-4等標(biāo)準(zhǔn)的域間路由協(xié)議，保證與其他IP網(wǎng)絡(luò)的可靠互聯(lián)；支持MPLS標(biāo)準(zhǔn)及相關(guān)應(yīng)用；應(yīng)支持豐富的組播協(xié)議。

三、網(wǎng)絡(luò)優(yōu)化及升級改造的目標(biāo)

在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上向著高性能、精細(xì)化和易管理的方向發(fā)展，主要達(dá)到以下六個方面的目標(biāo)：

（1）合理的網(wǎng)絡(luò)結(jié)構(gòu)。通過校園網(wǎng)的整合改造，形成合理的校園網(wǎng)絡(luò)架構(gòu)，提供穩(wěn)定、可靠、高效和靈活的業(yè)務(wù)承載平臺，滿足學(xué)校多業(yè)務(wù)多應(yīng)用的需求。

（2）先進(jìn)性和實用性。網(wǎng)絡(luò)設(shè)計應(yīng)本著實用與先進(jìn)的原則，一方面能滿足校園網(wǎng)應(yīng)用系統(tǒng)的數(shù)據(jù)傳輸要求，為各信息點提供網(wǎng)絡(luò)傳輸服務(wù)；另一方面又要體現(xiàn)網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)結(jié)合起來，充分考慮到校園網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。

（3）網(wǎng)絡(luò)的可擴(kuò)展性。由于業(yè)務(wù)的發(fā)展，對校園網(wǎng)的需求是不斷變化的，面對不斷變化的需求，網(wǎng)絡(luò)應(yīng)當(dāng)能夠做出快速和有效的反應(yīng)。

（4）網(wǎng)絡(luò)的可靠性。網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是校園網(wǎng)絡(luò)各個應(yīng)用系統(tǒng)正常運行的保證，應(yīng)采用高可靠性的網(wǎng)絡(luò)產(chǎn)品和完備的網(wǎng)絡(luò)備份策略，對于不同層次的設(shè)備和線路進(jìn)行不同級別的可靠性設(shè)計，使網(wǎng)絡(luò)具有故障自愈的能力。

（5）網(wǎng)絡(luò)的標(biāo)準(zhǔn)化。網(wǎng)絡(luò)設(shè)計中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標(biāo)準(zhǔn)。網(wǎng)絡(luò)技術(shù)選擇采用開放的標(biāo)準(zhǔn)技術(shù)，并且要有適度的前瞻性。選用的網(wǎng)絡(luò)技術(shù)必須具備開放性和通用性，能與多廠家、多品牌設(shè)備互連互通。

（6）網(wǎng)絡(luò)的可管理性。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)路由配置、安全措施日益復(fù)雜，網(wǎng)絡(luò)的維護(hù)量隨之增加，整個網(wǎng)絡(luò)的可管理性變得尤為重要。因此，校園網(wǎng)網(wǎng)絡(luò)運行維護(hù)管理應(yīng)當(dāng)具有統(tǒng)一的網(wǎng)絡(luò)管理平臺，不僅實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，同時實現(xiàn)對網(wǎng)絡(luò)策略的管理和不同協(xié)議的多級維護(hù)。

四、網(wǎng)絡(luò)優(yōu)化及升級改造的內(nèi)容

目前，中國海洋大學(xué)的校園網(wǎng)絡(luò)由嶗山校區(qū)、魚山校區(qū)和浮山校區(qū)三個校區(qū)網(wǎng)絡(luò)組成。升級改造后的網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 升級改造后校園網(wǎng)拓?fù)浣Y(jié)構(gòu)

1.校園網(wǎng)核心設(shè)備升級

改變現(xiàn)有用戶管理模式，從基于客戶端軟件的802.1X認(rèn)證的管理模式逐步轉(zhuǎn)變到基于PPPOE/IPOE的用戶管理模式，由分散式管理轉(zhuǎn)為集中式管理，降低管理難度。

（1）設(shè)備性能的要求

校園網(wǎng)核心設(shè)備的升級改造不能僅僅是單純地更換一臺更高性能的核心設(shè)備，關(guān)鍵是更換了核心設(shè)備后，能夠為校園網(wǎng)增加更多的功能，并且能夠滿足未來幾年的發(fā)展需求。

核心設(shè)備要求具有3T以上的吞吐率、960Mpps的包轉(zhuǎn)發(fā)率，配置的所有板卡能夠?qū)崿F(xiàn)線速轉(zhuǎn)發(fā)，在同時處理大量ACL（訪問控制列表）條目（5000以上）、開啟URPF（單播反向路由檢測）、流量采集（net flow）、端口限速、端口鏡像（port mirror）等功能時，設(shè)備仍然具有良好的性能，同時對組播具有良好的支持能力。

（2）用戶管理功能的要求

為了實現(xiàn)管理的簡單化，將現(xiàn)有的802.1X的認(rèn)證計費方式逐步過渡到PPPOE方式或IPOE方式。

與802.1X計費方式相比，PPPOE具有以下優(yōu)勢：①串在網(wǎng)絡(luò)里的計費網(wǎng)關(guān)可以旁掛做認(rèn)證和計費服務(wù)器，一勞永逸地解決了性能瓶頸的問題，而改成使用高性能網(wǎng)絡(luò)設(shè)備做用戶終結(jié)，極大提升學(xué)校核心設(shè)備的轉(zhuǎn)發(fā)能力與高可靠性；②不再使用專用客戶端，直接使用Windows系統(tǒng)自帶的撥號功能，即可完成撥號認(rèn)證，簡化客戶端管理；③從分散式管理到集中式管理，IT運維人員只需要管理兩臺核心設(shè)備和計費系統(tǒng)，降低管理費用；④接入交換機僅僅需要普通的傻瓜交換機，能劃分VLAN就可以，不再需要支持802.1X的交換機，降低更換交換機的成本。

在部署時，接入交換機與匯聚交換機直接二層Trunk打通到核心層設(shè)備。所有的用戶管理功能全部集中到一臺或兩臺核心設(shè)備。當(dāng)內(nèi)網(wǎng)PC需要上網(wǎng)時，需要建立PPPOE連接，輸入用戶名和密碼，認(rèn)證通過后，給PC分配IP地址，此時后臺AAA數(shù)據(jù)庫會產(chǎn)生用戶名、IP、VLAN-ID、時長等數(shù)據(jù)的表項，通過后臺計費系統(tǒng)可以對用戶進(jìn)行管理。

（3）多業(yè)務(wù)安全性的要求

某些承載于校園網(wǎng)上的學(xué)校信息系統(tǒng)由于業(yè)務(wù)本身的安全需求，要求與網(wǎng)上其他的訪問流量進(jìn)行安全隔離。除了采取VLAN劃分、ACL訪問控制這些安全措施，未來的校園網(wǎng)絡(luò)必須在業(yè)務(wù)接入、業(yè)務(wù)隔離、業(yè)務(wù)安全、業(yè)務(wù)技術(shù)支持等各項內(nèi)容上加強功能支持。

MPLS VPN是一種利用多協(xié)議標(biāo)簽交換 （MPLS）技術(shù)來產(chǎn)生虛擬專網(wǎng)的方法，是一種在運營商網(wǎng)絡(luò)中成熟使用的方法，可以實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信，既能保證業(yè)務(wù)的安全隔離，又能保證業(yè)務(wù)的服務(wù)質(zhì)量。

MPLS VPN可基于IP網(wǎng)絡(luò)結(jié)構(gòu)開啟橫向或縱向的VPN網(wǎng)絡(luò)，通過啟用MPLS VPN技術(shù)，實現(xiàn)多套子網(wǎng)VPN的接入和隔離。橫向上通過MPLS L3 VPN（一種基于路由方式的MPLS VPN解決方案）實現(xiàn)子網(wǎng)VPN內(nèi)部（一個業(yè)務(wù)子網(wǎng)內(nèi)）各區(qū)域（各學(xué)科院）路由的相互導(dǎo)入，從而完成其內(nèi)部的報文數(shù)據(jù)轉(zhuǎn)發(fā)。在縱向上，還可以結(jié)合數(shù)據(jù)中心服務(wù)器區(qū)域建立縱向VPN業(yè)務(wù)的互通。另外可將分布在全校范圍的保安、監(jiān)控、校園智能卡等業(yè)務(wù)“VPN化”，將其安全獨立地運行于其自有內(nèi)部業(yè)務(wù)中，建立虛擬化的多個獨立網(wǎng)絡(luò)。

部署新的核心設(shè)備后，可以開啟MPLS L3 VPN功能，把校園智能卡系統(tǒng)的Client機、校園智能卡Server從現(xiàn)有網(wǎng)絡(luò)里虛擬出來，路由表獨立，其他業(yè)務(wù)不會影響到校園智能卡業(yè)務(wù)，邏輯上來看，校園智能卡業(yè)務(wù)就是單獨的一套網(wǎng)絡(luò)。這樣做既保證了關(guān)鍵業(yè)務(wù)的安全性，又節(jié)省了資金，降低管理費用和管理難度。

對于校園網(wǎng)中可能存在的一些特殊的應(yīng)用，如異地部署的虛擬化遷移技術(shù)，要求分布在不同校區(qū)的兩個網(wǎng)段之間實現(xiàn)二層的網(wǎng)絡(luò)互聯(lián)。通過基于標(biāo)簽交換的VPLS功能，可以在以路由器為骨干的核心網(wǎng)上模擬出一個二層的數(shù)據(jù)通道，提供這些節(jié)點之間點到點或多點之間的虛擬LAN VPN功能。

2.數(shù)據(jù)中心網(wǎng)絡(luò)升級改造

數(shù)據(jù)中心網(wǎng)絡(luò)的升級改造不僅僅要滿足現(xiàn)階段數(shù)據(jù)中心接入需求，也要滿足未來虛擬化、云計算環(huán)境中數(shù)據(jù)中心接入需求；同時，數(shù)據(jù)中心也是校園網(wǎng)內(nèi)所有信息系統(tǒng)的承載區(qū)域，數(shù)據(jù)中心的高性能和健全的安全防護(hù)措施是全校各業(yè)務(wù)系統(tǒng)高效運行的保障。

（1）數(shù)據(jù)中心基礎(chǔ)架構(gòu)部署

目前，學(xué)校有大約100臺服務(wù)器，全部為千兆端口。隨著技術(shù)的發(fā)展，萬兆接口價格的下降，萬兆接口服務(wù)器數(shù)量會有突發(fā)式增長，而且服務(wù)器虛擬化技術(shù)將大量應(yīng)用于數(shù)據(jù)中心。數(shù)據(jù)中心服務(wù)器物理數(shù)量雖然在減少，但是邏輯虛擬服務(wù)器的數(shù)量卻在線性增加。為了滿足學(xué)校現(xiàn)有數(shù)據(jù)中心接入需求，同時滿足未來幾年內(nèi)虛擬機及10GE接口服務(wù)器的大量使用，數(shù)據(jù)中心應(yīng)參照圖2所示的模式進(jìn)行網(wǎng)絡(luò)部署：

圖2 數(shù)據(jù)中心網(wǎng)絡(luò)部署

使用TOR（Top of Rack）的接入手段部署接入交換機，方便布線，減少布線成本及施工難度。嶗山校區(qū)中心機房中每個橫排6個機柜共享部署兩臺交換機做冗余，服務(wù)器雙上聯(lián)，分別連接到兩臺接入交換機。為了管理更少的交換機，可以使用帶有虛擬機箱功能的數(shù)據(jù)中心接入交換機，通過專用集群接口，把多臺交換機邏輯虛擬成為一臺，而學(xué)校整個數(shù)據(jù)中心最多只需要管理兩臺接入交換機，極大地降低管理費用。同時，為了提高數(shù)據(jù)中心接入交換機的可靠性及性能，數(shù)據(jù)中心接入交換機應(yīng)使用萬兆上聯(lián)接口，雙電源。

兩臺數(shù)據(jù)中心匯聚交換機，要求能夠支持高密度萬兆，不但可以滿足所有數(shù)據(jù)中心接入交換機的匯聚連接，同時也可以滿足萬兆服務(wù)器的直接接入提供。數(shù)據(jù)中心匯聚交換機要具有未來大量萬兆服務(wù)器的接入擴(kuò)展能力，也要具有40GE甚至100GE的支持能力。

（2）數(shù)據(jù)中心物理服務(wù)器安全部署

數(shù)據(jù)中心采取旁路部署防火墻來保證安全，雖然物理上防火墻是旁路部署，但是邏輯上，防火墻還是串接在鏈路上。旁路部署防火墻除了可以對內(nèi)網(wǎng)的各個VLAN做細(xì)粒度的控制，也具有較好的擴(kuò)展性。當(dāng)發(fā)現(xiàn)一組防火墻的性能不能滿足需求時，可以通過增加一組防火墻旁掛來提升性能。服務(wù)器與服務(wù)器之間互訪需要穿越防火墻，受到防火墻保護(hù)。

為了滿足性能，解決防火墻的瓶頸問題，數(shù)據(jù)中心防火墻選擇萬兆防火墻。防火墻采取HA部署，當(dāng)一臺防火墻出現(xiàn)問題，另一臺會馬上接管，可以做到Session不中斷。

（3）數(shù)據(jù)中心虛擬服務(wù)器安全

學(xué)校未來數(shù)據(jù)中心要采用虛擬化技術(shù)，在一個實體物理服務(wù)器內(nèi)的各個VM之間透過內(nèi)部虛擬交換機V-Switch進(jìn)行通信，而這些流量完全是在內(nèi)部交互完成，將無法為外部的實體物理防火墻或者其他安全設(shè)備所見，數(shù)據(jù)中心設(shè)備必須具有VM之間的流量控制與監(jiān)測的能力。

3.校園網(wǎng)出口升級

升級現(xiàn)有的Cisco 7609路由器和Juniper MX960路由器，使它們具有冗余的硬件配置，相應(yīng)的萬兆接入能力。兩臺設(shè)備同時作為出口路由器，Juniper MX960為校園網(wǎng)的主出口路由器，Cisco 7609路由器為青島節(jié)點的主接入路由器，兩臺設(shè)備互為備份，當(dāng)其中的某臺設(shè)備出現(xiàn)故障時，另一臺設(shè)備能接管工作，提高校園網(wǎng)和青島節(jié)點的出口可靠性。

在安全措施方面，核心設(shè)備與出口路由器之間串聯(lián)防火墻，作為出口防火墻，必須滿足以下功能：支持策略路由和大容量路由表；訪問控制；DDOS防御；大容量NAT；輸出NAT的LOG，滿足安全部門的要求。

部署防火墻時，為了解決單點故障，建議部署兩臺，組成HA，同時Session實時備份，當(dāng)主防火墻出現(xiàn)問題，備份防火墻馬上接管，Session不會中斷。

4.IP地址規(guī)劃

為便于進(jìn)行設(shè)備管理、路由協(xié)議及流量控制，必須在網(wǎng)絡(luò)升級改造實施前進(jìn)行有效合理的IP地址規(guī)劃。IP地址規(guī)劃的基本原則是唯一性、連續(xù)性和可擴(kuò)展性。在校園網(wǎng)中，涉及Loopback地址、互聯(lián)IP地址、業(yè)務(wù)VPN內(nèi)IP地址、用戶接入IP地址四種類型。

（1）Loopback地址。為每一臺設(shè)備創(chuàng)建一個Loopback接口，并在該接口上單獨指定一個IP地址作為管理地址；使用32位掩碼的地址作為Loopback地址；Loopback地址也作為Router-ID參與各種路由協(xié)議計算。

（2）互聯(lián)地址。兩臺或多臺網(wǎng)絡(luò)設(shè)備互連接口使用的地址，一般在點到點鏈路上使用/30掩碼，設(shè)備互聯(lián)地址沿用原有互聯(lián)地址，新增設(shè)備時，按照原有互聯(lián)地址順序使用；相對核心的設(shè)備，使用較小的一個地址；互聯(lián)地址通常在聚合后發(fā)布，規(guī)劃使用連續(xù)的可聚合地址。

（3）業(yè)務(wù)VPN內(nèi)IP地址。采用VPN技術(shù)邏輯隔離后的各業(yè)務(wù)系統(tǒng)IP地址，包括各種服務(wù)器、主機、網(wǎng)關(guān)；網(wǎng)關(guān)設(shè)備使用該網(wǎng)絡(luò)里最大的地址；校園智能卡系統(tǒng)使用原IP網(wǎng)段，通過VPN隔離。

（4）用戶接入IP地址。學(xué)?，F(xiàn)有公網(wǎng)IP地址192個C類，其中一個C類地址為青島節(jié)點互聯(lián)使用。為了統(tǒng)一管理，提高IP地址使用效率，規(guī)劃全部采用DHCP動態(tài)分配。

5.VLAN規(guī)劃

VLAN的部署建議使用QINQ技術(shù)，也叫VLAN嵌套技術(shù)，使用QINQ技術(shù)可以做到每個用戶一個VLAN，方便管理，能夠解決各種二層攻擊行為。部署方式為將每個接入交換機的每個接入端口劃分到不同的VLAN，同時匯聚交換機要支持QINQ技術(shù)，匯聚交換機在上聯(lián)核心時打上外層標(biāo)簽，然后核心層設(shè)備解開雙層標(biāo)簽，完成轉(zhuǎn)發(fā)。

6.路由規(guī)劃

（1）接入用戶子網(wǎng)IGP路由

校園網(wǎng)內(nèi)部網(wǎng)關(guān)協(xié)議使用OSPF協(xié)議實現(xiàn)IPv4/IPv6路由互通，在核心設(shè)備上面實現(xiàn)IP地址匯總路由，根據(jù)DHCP POOL地址進(jìn)行規(guī)劃和路由分發(fā)。

由于OSPF鏈路的Metric值的設(shè)置對于路由選擇的正確性至關(guān)重要，直接影響到某節(jié)點對第一和第二路由的選擇（不考慮MPLS的決定因素），因此需要根據(jù)具體要求對各鏈路的Metric值做出合理的設(shè)置。對于各條鏈路的Metric值一經(jīng)設(shè)定，一般情況下不作修改。OSPF區(qū)域規(guī)劃為：

1）嶗山校區(qū)、浮山校區(qū)、魚山校區(qū)的核心劃分到OSPF Area0骨干區(qū)域中。

2）各個校區(qū)核心交換機下聯(lián)的區(qū)域匯聚分別單獨劃分不同OSPF分骨干區(qū)域中。

3）出口邊界的路由器劃分到OSPF非骨干區(qū)域中作為1個獨立的OSPF區(qū)域。

4）數(shù)據(jù)中心劃分到OSPF非骨干區(qū)域中作為1個獨立的OSPF區(qū)域。

5）把以前區(qū)域匯聚交換機作為ABR區(qū)域邊界路由改成核心設(shè)備作為ABR區(qū)域邊界路由器。

重新進(jìn)行OSPF區(qū)域規(guī)劃可以使骨干區(qū)域更加穩(wěn)定，對匯聚交換機性能要求低，匯聚設(shè)備只需要維護(hù)本區(qū)域的LSDB鏈路狀態(tài)數(shù)據(jù)庫，同時管理更加方便，區(qū)域間路由過濾或匯總只需要在核心設(shè)備上操作即可。

（2）邊界路由

核心設(shè)備的主要任務(wù)是高速的數(shù)據(jù)轉(zhuǎn)發(fā)及可靠性保證，盡量不要使用策略路由PBR、ACL訪問控制列表等策略。核心設(shè)備和出口路由器之間由現(xiàn)在的靜態(tài)路由改成OSPF動態(tài)路由協(xié)議，劃分1個獨立的OSPF區(qū)域，作為非骨干區(qū)域，通過在區(qū)域邊界路由器上以路由重分發(fā)的方式，把靜態(tài)路由重分發(fā)到OSPF里面來，同時修改重分發(fā)路由的Cost值，達(dá)到路由選擇的目的。其好處是路由重分發(fā)采用的是硬件處理方式，不占用設(shè)備的CPU資源。

（3）業(yè)務(wù)VPN子網(wǎng)路由

在MPLS VPN域里面采用OSPF為底層IGP路由協(xié)議，實現(xiàn)所有P/PE設(shè)備的互通，然后在此基礎(chǔ)之上啟用MP-BGP協(xié)議，在廣域網(wǎng)互聯(lián)接口啟用標(biāo)簽分發(fā)和控制協(xié)議（RSVP/LDP）；將整個廣域網(wǎng)的MPLS協(xié)議全部啟用。然后再針對相應(yīng)的子網(wǎng)建立VPN，VPN內(nèi)部可以維持原有的子網(wǎng)動態(tài)路由協(xié)議，便于與各原有系統(tǒng)間的互通。

學(xué)校校園網(wǎng)是一個統(tǒng)一規(guī)劃和管理的網(wǎng)絡(luò)系統(tǒng)，建議采用單自治域方式，自治域號碼使用分配的AS私有號碼（64512～65535之間）。整個學(xué)校校園網(wǎng)對外呈現(xiàn)為一個獨立的AS，而AS內(nèi)部則通過RR（可以選擇核心節(jié)點作為RR）實現(xiàn)PE之間的IBGP全連接，并采用CIDR和VLSM技術(shù)，路由數(shù)量完全可以控制，不會影響全網(wǎng)的性能。這樣的網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，且在校園內(nèi)無需部署基于跨AS的MPLS VPN，僅當(dāng)外部如CERNET或CERNET2也部署了MPLS VPN且需要互通時才采用跨AS的MPLS VPN部署方式。

針對校園智能卡業(yè)務(wù)，使用L3 VPN承載，所有與校園智能卡相關(guān)的網(wǎng)段都不要使用內(nèi)網(wǎng)OSPF發(fā)布，通過MP-BGP進(jìn)行承載，放到相應(yīng)的三層VPN，達(dá)到隔離的目的。

五、結(jié)論

校園網(wǎng)通過上述的網(wǎng)絡(luò)優(yōu)化及升級改造后，形成合理的校園網(wǎng)絡(luò)架構(gòu)，能夠提供穩(wěn)定、可靠、高效和靈活的業(yè)務(wù)承載平臺，基本能夠滿足現(xiàn)在及將來網(wǎng)絡(luò)及業(yè)務(wù)發(fā)展的需求，并且在未來幾年內(nèi)應(yīng)該都不會過時。