葛蘇慧 劉偉 張德民

青島工學(xué)院信息工程系，山東 青島 266300

1 概述

各種網(wǎng)絡(luò)前沿技術(shù)日新月異，作為IT業(yè)務(wù)重要組件之一的園區(qū)網(wǎng)是校園信息化建設(shè)的重要基石。作為改善用戶體驗(yàn)的承載層，園區(qū)網(wǎng)的結(jié)構(gòu)也在不斷演進(jìn)，同時(shí)為了滿足隨需接入、海量結(jié)點(diǎn)、業(yè)務(wù)隔離等多種需求，以及物聯(lián)網(wǎng)、云計(jì)算等建設(shè)熱點(diǎn)的需要，校園園區(qū)網(wǎng)的發(fā)展需要達(dá)到更高的要求。本文結(jié)合園區(qū)網(wǎng)技術(shù)的發(fā)展趨勢(shì)，采用隔離技術(shù)，架構(gòu)了大型校園園區(qū)網(wǎng)絡(luò)的建設(shè)模型。

2 大型校園園區(qū)網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)

大型校園園區(qū)網(wǎng)業(yè)務(wù)類型清晰，隨著技術(shù)的不斷變革，亟須建立一個(gè)使用前沿技術(shù)、擴(kuò)展能力強(qiáng)，并且能最大限度地覆蓋所有功能區(qū)域的核心網(wǎng)絡(luò)，將大型校園園區(qū)網(wǎng)內(nèi)的客戶端和終端設(shè)備相連，并向外連接廣域網(wǎng)，最終形成邏輯合理、內(nèi)網(wǎng)與外網(wǎng)之間交互通信的校園園區(qū)網(wǎng)系統(tǒng)，同時(shí)基于硬件架構(gòu)開(kāi)發(fā)各種系統(tǒng)應(yīng)用和共享信息庫(kù)，從而建立滿足辦公業(yè)務(wù)、監(jiān)控系統(tǒng)和管理需要的軟硬件環(huán)境，為校園內(nèi)教師、學(xué)生及管理服務(wù)人員提供統(tǒng)一的平臺(tái)環(huán)境、充分的網(wǎng)絡(luò)信息服務(wù)。校園園區(qū)網(wǎng)的架構(gòu)需要滿足以下需求：

該校園園區(qū)網(wǎng)分為辦公區(qū)、教學(xué)區(qū)、宿舍區(qū)、圖書館、會(huì)議廳等，各區(qū)域之間需要進(jìn)行業(yè)務(wù)隔離；管理信息系統(tǒng)要監(jiān)控教學(xué)樓、圖書館電子閱覽室、辦公樓走廊、宿舍樓走廊、會(huì)議廳等；圖書館和教學(xué)區(qū)需要一定的無(wú)線設(shè)備，來(lái)滿足學(xué)生隨時(shí)隨地上網(wǎng)的需求。關(guān)于可靠性及擴(kuò)展性，需要重點(diǎn)考慮以下方面：

大型校園園區(qū)網(wǎng)通常擁有幾萬(wàn)人的師生規(guī)模，對(duì)應(yīng)著幾萬(wàn)個(gè)信息點(diǎn)，一個(gè)網(wǎng)絡(luò)內(nèi)通常幾百臺(tái)設(shè)備，管理、維護(hù)難度大；關(guān)于可靠性方面，全網(wǎng)冗余部署，很容易造成網(wǎng)絡(luò)環(huán)路，所以需要部署VRRP+MSTP來(lái)避免廣播風(fēng)暴[1]；安全的無(wú)線網(wǎng)絡(luò)需求相對(duì)較多，尤其是在園區(qū)的出口，安全性是需要重點(diǎn)考慮的因素；校園內(nèi)多個(gè)部門既有共享又有獨(dú)立的業(yè)務(wù)需求，如果某些部門之間有業(yè)務(wù)交互的要求，可以把這些部門的服務(wù)器單獨(dú)部署，并在相對(duì)應(yīng)部門的VPN中向外發(fā)布此段網(wǎng)絡(luò)的路由，從而實(shí)現(xiàn)部門之間相互訪問(wèn)的目的；各部門將需要共享的資源放在共享服務(wù)器上，組成一個(gè)共享域，各個(gè)縱向系統(tǒng)可以主動(dòng)訪問(wèn)共享域的資源，但共享域不能訪問(wèn)縱向系統(tǒng)，這樣可以保證縱向系統(tǒng)的安全隔離；并且實(shí)現(xiàn)了不同系統(tǒng)對(duì)安全性、QoS、各類資源分類管理的目的，保證了系統(tǒng)之間業(yè)務(wù)的相對(duì)獨(dú)立性；關(guān)于禁止訪問(wèn)的問(wèn)題，各業(yè)務(wù)系統(tǒng)之間的通信需要提供不同的訪問(wèn)方法，同時(shí)保障訪問(wèn)的安全性。

2.1 縱向隔離

伴隨著技術(shù)的不斷發(fā)展，在園區(qū)網(wǎng)中出現(xiàn)了很多廣泛使用的技術(shù)，如虛擬局域網(wǎng)VLAN、訪問(wèn)控制列表ACL、生成樹(shù)協(xié)議STP、多生成樹(shù)協(xié)議MSTP、虛擬路由器冗余協(xié)議VRRP、多協(xié)議標(biāo)簽交換MPLS VPN、智能彈性架構(gòu)IRF2等

[2]。但對(duì)于建有多個(gè)分校、規(guī)模較大的校園園區(qū)網(wǎng)，無(wú)論業(yè)務(wù)系統(tǒng)集中還是分布部署，都可能存在跨VPN的業(yè)務(wù)互訪和資源共享，所以更適合使用MPLS L3 VPN技術(shù)。這種三層的MPLS VPN技術(shù)，主要通過(guò)VPN實(shí)例所對(duì)應(yīng)接口的綁定關(guān)系和路由選擇方法，完成VPN通道之間的通信，通過(guò)路由控制策略的導(dǎo)入及導(dǎo)出方式，來(lái)完成VPN虛擬通道之間的靈活互訪，同時(shí)提供可靠性檢驗(yàn)、多鏈路負(fù)載均衡等技術(shù)，因此擁有靈活控制的優(yōu)勢(shì)，對(duì)于大型校園園區(qū)網(wǎng)的總校和分校，網(wǎng)絡(luò)覆蓋范圍較大、終端數(shù)量較多的業(yè)務(wù)特點(diǎn)，可以提供很便捷的服務(wù)。大型校園園區(qū)網(wǎng)縱向隔離拓?fù)淙鐖D1所示。

圖1 大型校園園區(qū)網(wǎng)縱向隔離拓?fù)鋱D

采用MPLS VPN進(jìn)行網(wǎng)絡(luò)的縱向分割，保證了辦公、監(jiān)控和教學(xué)業(yè)務(wù)的邏輯隔離。在一個(gè)物理網(wǎng)絡(luò)上實(shí)現(xiàn)各種業(yè)務(wù)，通過(guò)縱向分割的方法，隔離不同的部門，但屬于同一系統(tǒng)內(nèi)的資源可以直接訪問(wèn)。使用共享的VPN技術(shù)，從而滿足辦公和監(jiān)控業(yè)務(wù)系統(tǒng)的互訪，并且整體設(shè)計(jì)了無(wú)線網(wǎng)絡(luò)及其安全，通過(guò)管理平臺(tái)統(tǒng)一管理。通過(guò)部署MPLS VPN，實(shí)現(xiàn)了整個(gè)系統(tǒng)的縱向隔離，不僅達(dá)到了現(xiàn)在業(yè)務(wù)隔離和共享訪問(wèn)的目的，提供了穩(wěn)定的邏輯架構(gòu)網(wǎng)絡(luò)方案，也滿足了今后業(yè)務(wù)繼續(xù)發(fā)展的要求，對(duì)大型校園園區(qū)網(wǎng)的信息化建設(shè)而言，可以提供很好的技術(shù)支撐。

2.2 橫向整合

在大型校園園區(qū)網(wǎng)的實(shí)現(xiàn)中，可以分別在匯聚層與核心層，使用IRF2技術(shù)進(jìn)行橫向整合，通過(guò)設(shè)備的橫向整合，消除了網(wǎng)絡(luò)環(huán)路，避免了VRRP+MSTP協(xié)議的部署，同時(shí)降低了網(wǎng)絡(luò)中的路由數(shù)量,并提高了網(wǎng)絡(luò)收斂速度[3]。橫向整合架構(gòu)圖如圖2所示，將多臺(tái)物理的設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，構(gòu)成一個(gè)邏輯的管理及轉(zhuǎn)發(fā)結(jié)點(diǎn)。在網(wǎng)絡(luò)接入層設(shè)計(jì)擴(kuò)展性一般具有較高的難度，伴隨新技術(shù)的不斷演進(jìn)，以及大型校園園區(qū)網(wǎng)對(duì)信息技術(shù)基礎(chǔ)設(shè)施快速發(fā)展的需求，在大規(guī)模模塊化網(wǎng)絡(luò)的擴(kuò)展性方面，傳統(tǒng)的核心層已經(jīng)能夠得到很好的支撐，但在接入層常常會(huì)面臨難以滿足擴(kuò)展性要求的問(wèn)題，因?yàn)榻尤雽泳W(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，通常是二層接入方式，因此設(shè)備與端口的擴(kuò)展會(huì)使網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)一步復(fù)雜化，這就需要一種新的架構(gòu)模式來(lái)解決這些問(wèn)題。

圖2 端到端的校園園區(qū)網(wǎng)橫向整合IRF2架構(gòu)

根據(jù)當(dāng)前用戶接入數(shù)量逐漸增長(zhǎng)的趨勢(shì)，IRF2技術(shù)相應(yīng)的解決策略是：通過(guò)擴(kuò)展IRF2整個(gè)系統(tǒng)接入層的端口數(shù)量，來(lái)達(dá)到增加成員的目的。擴(kuò)展之后的系統(tǒng)不會(huì)影響網(wǎng)絡(luò)的其它部分，達(dá)到了平滑擴(kuò)展的目的；然而對(duì)于有更高上行帶寬要求的服務(wù)，可以使用擴(kuò)展IRF2系統(tǒng)中上行聚合鏈路中成員的數(shù)量，達(dá)到平滑升級(jí)帶寬的需要[4]。在接入層復(fù)雜的環(huán)境中實(shí)行IRF2整合，將9個(gè)或者更多的物理網(wǎng)絡(luò)結(jié)點(diǎn)邏輯化為單一設(shè)備，可以消除接入層環(huán)路，并滿足綁定鏈路的高帶寬和可靠性級(jí)聯(lián)。通過(guò)這樣的虛擬化技術(shù)，就可以形成一個(gè)簡(jiǎn)潔的網(wǎng)狀校園園區(qū)網(wǎng)架構(gòu)，網(wǎng)絡(luò)層通過(guò)已經(jīng)綁定的單邏輯鏈路相連，從而消除了環(huán)路。接入層不需設(shè)計(jì)致使網(wǎng)絡(luò)變復(fù)雜的生成樹(shù)協(xié)議，同時(shí)已經(jīng)邏輯化為一個(gè)單一結(jié)點(diǎn)的客戶端，更不需要在其網(wǎng)關(guān)上使用VRRP協(xié)議。

為了滿足園區(qū)網(wǎng)樹(shù)型、無(wú)環(huán)、輻射的拓?fù)浣Y(jié)構(gòu)，并且減少運(yùn)維管理的費(fèi)用，端到端方式的IRF2部署成功解決了這些問(wèn)題。網(wǎng)絡(luò)中數(shù)據(jù)流宏觀走向與簡(jiǎn)化后的拓?fù)浠疽恢?，?shù)據(jù)流在網(wǎng)絡(luò)中的路由清晰明確。通過(guò)增加IRF2結(jié)點(diǎn)設(shè)備的方法，完成自身的擴(kuò)展，不會(huì)影響整個(gè)網(wǎng)絡(luò)全局的邏輯結(jié)構(gòu)，也不會(huì)改變上下各層之間服務(wù)協(xié)議的交互，因此這種方法體現(xiàn)了更加優(yōu)化的宏觀架構(gòu)[5]。綜上所述，將承載上層應(yīng)用的多個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)進(jìn)行橫向整合、屏蔽二層擴(kuò)展之后，大型校園園區(qū)網(wǎng)的部署更加簡(jiǎn)化，維護(hù)費(fèi)用降低，但并不影響網(wǎng)絡(luò)的邏輯拓?fù)浜吐酚汕闆r，可擴(kuò)展性也大大改善。

2.3 整體部署

通過(guò)IRF2的橫向整合和VPN的縱向隔離技術(shù)，可以充分滿足大型校園園區(qū)網(wǎng)內(nèi)資源交換的目的，實(shí)現(xiàn)校園網(wǎng)組播業(yè)務(wù)、虛擬通道、無(wú)線網(wǎng)絡(luò)、語(yǔ)音視頻等各類服務(wù)，形成了對(duì)實(shí)時(shí)監(jiān)控、跨部門協(xié)作，甚至可控物聯(lián)等業(yè)務(wù)進(jìn)行良好支撐的園區(qū)網(wǎng)絡(luò)架構(gòu)。經(jīng)過(guò)橫向虛擬化及縱向虛擬化技術(shù)整合后，大型虛擬校園園區(qū)網(wǎng)的整體架構(gòu)結(jié)構(gòu)如圖3所示,整個(gè)網(wǎng)絡(luò)通過(guò)MPLS VPN或MCE多跳技術(shù)進(jìn)行路徑虛擬化，從而達(dá)到對(duì)網(wǎng)絡(luò)資源隔離的目的，通過(guò)部署橫向虛擬化及縱向虛擬化技術(shù)，完成整體的虛擬園區(qū)網(wǎng)架構(gòu)。

圖3 虛擬園區(qū)網(wǎng)整體部署

各種鏈路資源及設(shè)備在物理層實(shí)現(xiàn)整合，安全服務(wù)資源及路徑在邏輯層面實(shí)現(xiàn)了全面整合。這樣通過(guò)橫向虛擬化技術(shù)提升網(wǎng)絡(luò)的可管理性、可靠性；通過(guò)縱向虛擬化技術(shù)提高了網(wǎng)絡(luò)的安全性、運(yùn)行性。終端接入設(shè)備的訪問(wèn)權(quán)限得到控制、隔離了數(shù)據(jù)業(yè)務(wù)的傳輸，使資源能夠按需分配，網(wǎng)絡(luò)管理和策略部署得到集中，因此減少了網(wǎng)絡(luò)維護(hù)管理的時(shí)間，為校內(nèi)教師辦公、各級(jí)服務(wù)人員的管理提供了最可靠的保障。通過(guò)進(jìn)一步整合及資源虛擬化，下一代園區(qū)網(wǎng)將通過(guò)虛擬化方法最大限度地將日臻完善的技術(shù)屏蔽在底層，把整個(gè)園區(qū)網(wǎng)整合為一個(gè)矩陣，簡(jiǎn)化邏輯，使網(wǎng)絡(luò)資源、安全服務(wù)都可動(dòng)態(tài)劃分并邏輯隔離，通過(guò)這種方式提供更加強(qiáng)勁的業(yè)務(wù)承載能力，以不斷滿足校園園區(qū)網(wǎng)穩(wěn)健發(fā)展的需求。

3 結(jié)束語(yǔ)

下一代園區(qū)網(wǎng)具有覆蓋范圍廣，承載業(yè)務(wù)強(qiáng)，接入終端和用戶種類繁多，類型豐富等特點(diǎn)，因此需要承載關(guān)鍵業(yè)務(wù)的校園園區(qū)網(wǎng)絡(luò)不斷適應(yīng)這些新的變化，更好的滿足業(yè)務(wù)的繼續(xù)發(fā)展。向著更大、更快、更智能的方向邁進(jìn)是校園園區(qū)網(wǎng)下一步的發(fā)展趨勢(shì)。通過(guò)不斷的技術(shù)完善，作為業(yè)務(wù)發(fā)展基石的下一代園區(qū)網(wǎng)絡(luò)，必將會(huì)更好地滿足業(yè)務(wù)日益擴(kuò)展的需要。

[1]杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐[M].北京:電子工業(yè)出版社,2011年10月.

[2]朱志威. 企業(yè)園區(qū)網(wǎng)的規(guī)劃與設(shè)計(jì)[D]. 山東:山東大學(xué)畢業(yè)論文,2010.6.

[3](美)Diane Teare Catherine Paquet 編, 吳劍章, 余曉, 呂紅艷譯. 園區(qū)網(wǎng)絡(luò)設(shè)計(jì)[M].北京:人民郵電出版社,2011,2.

[4]高榕.中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件導(dǎo)刊,2010,8.

[5]彭亮.小型園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)要點(diǎn)解析[J]. 基礎(chǔ)信息化,2012.9.