文/辛華龍

以網(wǎng)絡(luò)和信息為基礎(chǔ)，以統(tǒng)一規(guī)劃、分布實施為主要特征的數(shù)字化校園，已經(jīng)成為高校信息化建設(shè)的主流，信息標準體系、安全保障體系、運維保障體系，已經(jīng)成為目前學(xué)校信息化建設(shè)與運行維護的重點。中國海洋大學(xué)通過校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、寬帶認證計費、有線無線統(tǒng)一化認證和數(shù)據(jù)中心安全等技術(shù)，在建設(shè)數(shù)字化校園的基礎(chǔ)上，提高校園網(wǎng)絡(luò)的可管理性。

現(xiàn)存問題

在中國海洋大學(xué)校園網(wǎng)建設(shè)初期，學(xué)校就已意識到網(wǎng)絡(luò)管理和數(shù)據(jù)中心安全的重要性。網(wǎng)絡(luò)管理的基礎(chǔ)，是管理當(dāng)時幾千個在網(wǎng)用戶。對于用戶的網(wǎng)絡(luò)行為管理、認證、計費，中國海洋大學(xué)采用串聯(lián)網(wǎng)關(guān)配合宿舍區(qū)使用802.1X技術(shù)，學(xué)生宿舍的認證方式使用客戶端軟件配合交換機802.1X協(xié)議，教學(xué)區(qū)和圖書館使用Web方式進行認證，認證過后所有上網(wǎng)流量進行計費，并記錄上網(wǎng)行為，以便進行日后追溯。這種用戶管理方式在早期非常流行，也是目前很多高校還在繼續(xù)沿用的用戶管理方式。但隨著中國海洋大學(xué)在網(wǎng)用戶數(shù)量不斷增加，使用802.1X的計費方式給網(wǎng)絡(luò)與信息中心的運維工作增加了很大的工作量，而且接入交換機每次更新都需要購買支持802.1X協(xié)議的交換機，花費巨大。互聯(lián)網(wǎng)出口串聯(lián)網(wǎng)關(guān)的方式，也因用戶量增加導(dǎo)致出口帶寬的增加，原有計費網(wǎng)關(guān)已經(jīng)成為校園網(wǎng)發(fā)展的瓶頸。

在數(shù)據(jù)中心安全方面，中國海洋大學(xué)在當(dāng)時使用了核心交換機加硬件防火墻模塊的部署方式，為了增加防火墻模塊的利用率，還使用了防火墻虛擬化技術(shù)，由虛擬防火墻構(gòu)建以防護中國海洋大學(xué)校園網(wǎng)出口及數(shù)據(jù)中心的安全網(wǎng)關(guān)。隨著學(xué)校數(shù)據(jù)中心規(guī)模的擴展及校園網(wǎng)一卡通的應(yīng)用，數(shù)據(jù)中心的安全及穩(wěn)定性受到網(wǎng)絡(luò)與信息中心越來越多的關(guān)注，而交換機插防火墻模塊的部署方式，其應(yīng)用層深層檢測防御機制的缺失、硬件架構(gòu)穩(wěn)定性差及部署結(jié)構(gòu)復(fù)雜的缺點，也讓學(xué)校網(wǎng)絡(luò)與信息中心重新審視改變這種部署方式的必要性。

新一代校園網(wǎng)建設(shè)目標

數(shù)字化校園網(wǎng)的建設(shè)，需要建設(shè)高可用的數(shù)據(jù)中心基礎(chǔ)設(shè)施、統(tǒng)一的數(shù)據(jù)中心基礎(chǔ)應(yīng)用和核心應(yīng)用服務(wù)以及資源豐富的數(shù)字化學(xué)習(xí)、管理系統(tǒng)。這些豐富應(yīng)用的前提，是建設(shè)一個高可靠性、安全可管理的園區(qū)網(wǎng)。校園網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)平臺是“路”，教學(xué)資源、數(shù)字化應(yīng)用等資源是“車”，對于學(xué)校網(wǎng)絡(luò)與信息中心來說，不僅僅需要一個安全可靠的“路”，還需要這條“路”有較高的透明度及可管理性，才能讓數(shù)字化應(yīng)用資源為全校師生提供更人性化的服務(wù)，才能構(gòu)建滿足學(xué)校教、學(xué)、科研、管理與服務(wù)要求的開放性、協(xié)同化運行支撐環(huán)境，為校內(nèi)、外各類人員提供完善的個性化服務(wù)支持，為學(xué)校的教學(xué)、科研和管理提供完善的數(shù)字化支撐平臺。

也正是基于以上幾點問題，以及建設(shè)數(shù)字化校園的必要性，讓學(xué)校網(wǎng)絡(luò)與信息中心決定優(yōu)化網(wǎng)絡(luò)架構(gòu)，提高中國海洋大學(xué)校園網(wǎng)可管理性，構(gòu)建新一代數(shù)字化校園網(wǎng)。為了少走彎路，拓寬視野，學(xué)校網(wǎng)絡(luò)與信息中心在2011年組織參觀調(diào)研了多所985高校，吸取兄弟學(xué)校數(shù)字化網(wǎng)絡(luò)建設(shè)經(jīng)驗，組織專家進行論證，逐步形成中國海洋大學(xué)下一代校園網(wǎng)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)模型。

建設(shè)方案

網(wǎng)絡(luò)架構(gòu)優(yōu)化改變原有認證方式

整個中國海洋大學(xué)校園網(wǎng)由多個模塊構(gòu)成，園區(qū)接入?yún)^(qū)、數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、節(jié)點接入?yún)^(qū)等。而隨著學(xué)校校園網(wǎng)各類業(yè)務(wù)、應(yīng)用和用戶承載的快速發(fā)展以及對校園網(wǎng)絡(luò)精細化管理要求的提升，網(wǎng)絡(luò)與信息中心設(shè)想構(gòu)建一個高性能、精細化和易管理的下一代校園網(wǎng)。通過對現(xiàn)有校園網(wǎng)絡(luò)的結(jié)構(gòu)優(yōu)化，簡化學(xué)校校園網(wǎng)網(wǎng)絡(luò)架構(gòu)，減輕接入交換機、匯聚交換機網(wǎng)絡(luò)職能，接入及匯聚層交換機只負責(zé)高速轉(zhuǎn)發(fā)，所有其他功能由三大校區(qū)的核心交換機替代，降低網(wǎng)絡(luò)運維成本，提高轉(zhuǎn)發(fā)速度。用戶認證計費方面選擇運營商使用多年的BRAS（寬帶接入）系統(tǒng)，確認了在宿舍區(qū)使用PPPoE技術(shù)，院系區(qū)教學(xué)區(qū)使用IPoE技術(shù)，通過三大校區(qū)的核心交換機設(shè)備，管理學(xué)校幾萬在網(wǎng)用戶。通過PPPoE的輕客戶端（Windows自帶客戶端撥號軟件）和IPoE的無客戶端方式，網(wǎng)絡(luò)與信息中心可以很輕松地管理幾萬在網(wǎng)用戶，也因園區(qū)網(wǎng)架構(gòu)的簡化，接入層和匯聚層設(shè)備可以選用較低檔次的網(wǎng)絡(luò)設(shè)備。同時，BRAS開放式的架構(gòu)，讓學(xué)校可以自主選擇支持標準Radius協(xié)議的后臺認證計費服務(wù)器，甚至自我開發(fā)一套認證計費系統(tǒng)，從整體上降低CAPEX（Capital Expenditure）和OPEX(Operating Expense)。

數(shù)據(jù)中心安全管理是重中之重

數(shù)據(jù)中心作為數(shù)字化校園的大腦，需要高速、穩(wěn)定、安全和易維護的網(wǎng)絡(luò)架構(gòu)來構(gòu)建。數(shù)據(jù)中心使用網(wǎng)絡(luò)虛擬化技術(shù)，不僅可以最大限度地利用網(wǎng)絡(luò)設(shè)備本身的資源，還可以降低運維成本，增加網(wǎng)絡(luò)中心工作效率。而數(shù)據(jù)中心的安全防護，更是網(wǎng)絡(luò)中心一直在重點考慮的部分。使用盡可能少的安全設(shè)備，提供涵蓋七層網(wǎng)絡(luò)模型的安全防護功能，實現(xiàn)快速轉(zhuǎn)發(fā)，并保護越來越多的服務(wù)器。

提高原有網(wǎng)絡(luò)設(shè)備利用率

建設(shè)下一代數(shù)字化校園網(wǎng)，升級網(wǎng)絡(luò)設(shè)備，進行網(wǎng)絡(luò)改造，勢必會購買新的網(wǎng)絡(luò)設(shè)備，淘汰舊的網(wǎng)絡(luò)設(shè)備，原有校園網(wǎng)網(wǎng)絡(luò)設(shè)備如何利用，也是學(xué)校網(wǎng)絡(luò)與信息中心在此次網(wǎng)絡(luò)升級改造時考慮的重點。通過專家論證，決定繼續(xù)使用淘汰下來的網(wǎng)絡(luò)設(shè)備，原有核心交換機作為新校區(qū)匯聚交換機，部分低端交換機用來搭建學(xué)校網(wǎng)絡(luò)學(xué)院網(wǎng)絡(luò)實驗室，為網(wǎng)絡(luò)中心運維人員及計算機學(xué)院學(xué)生進行運維測試和學(xué)習(xí)提供實驗環(huán)境。

基于無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的統(tǒng)一管理

數(shù)字化校園的建設(shè)，離不開無線網(wǎng)絡(luò)的建設(shè)，無線網(wǎng)絡(luò)作為校園有線網(wǎng)絡(luò)的補充，如何讓無線網(wǎng)絡(luò)在數(shù)字化校園建設(shè)的基礎(chǔ)上，為師生帶來更好的用戶體驗，是學(xué)校網(wǎng)絡(luò)與信息中心建設(shè)無線網(wǎng)絡(luò)的原動力。中國海洋大學(xué)的無線網(wǎng)絡(luò)除了要具有安全、穩(wěn)定、高速等特質(zhì)之外，還要保證用戶在任意地點、任意時間，實現(xiàn)有線無線統(tǒng)一賬號接入校園網(wǎng)。有線無線的統(tǒng)一化認證，既降低了網(wǎng)絡(luò)中心運維成本，又提高了網(wǎng)絡(luò)服務(wù)水平?；诒馄交南乱淮@網(wǎng)，BRAS的IPoE技術(shù)可以作為有線網(wǎng)和無線網(wǎng)的統(tǒng)一認證技術(shù)，通過IPoE + Web Portal技術(shù)，無論用戶使用有線還是無線方式連接到網(wǎng)絡(luò)，都會基于瀏覽器統(tǒng)一打開Portal頁面進行認證，使用一個賬號，就可以在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)上享用校園網(wǎng)資源。

網(wǎng)絡(luò)扁平化升級改造

通過為期一年多的設(shè)備選型，專家論證，組織招標，學(xué)校確定了構(gòu)架中國海洋大學(xué)園區(qū)網(wǎng)和數(shù)據(jù)中心網(wǎng)絡(luò)的產(chǎn)品類型。

秉承基于扁平化網(wǎng)絡(luò)來構(gòu)建下一代數(shù)字化校園園區(qū)網(wǎng)，學(xué)校網(wǎng)絡(luò)與信息中心在校園網(wǎng)核心部署三大校區(qū)帶有BRAS功能的高端以太網(wǎng)路由器，承載全校五萬師生的上網(wǎng)流量及用戶管理功能。核心設(shè)備的升級，帶動全網(wǎng)扁平化的改變，原有的三層網(wǎng)絡(luò)架構(gòu)通過兩臺高端以太網(wǎng)路由器的加入，使得匯聚層及接入層的大部分功能遷移到兩臺核心設(shè)備上，匯聚及接入設(shè)備弱化，由原來的物理三層架構(gòu)變?yōu)檫壿嫸蛹軜?gòu)，網(wǎng)絡(luò)中心僅僅需要維護三大校區(qū)的核心設(shè)備就可以管理整個校園網(wǎng)。出口防火墻由原來的交換機插防火墻板卡的方式轉(zhuǎn)為部署兩臺高性能防火墻，增加出口網(wǎng)絡(luò)穩(wěn)定性的同時，也因使用了防火墻的虛擬化技術(shù)，兩臺防火墻虛擬為一臺防火墻，降低了運維的工作量。同時，數(shù)據(jù)中心的部署，大量使用了虛擬化技術(shù)，接入交換機的虛擬機箱技術(shù)，數(shù)據(jù)中心核心防火墻的Cluster技術(shù)，進一步幫助學(xué)校降低了運維成本，同時核心防火墻的旁掛部署模式，也解決了使用一組防火墻防護學(xué)校數(shù)據(jù)中心十幾個VLAN之間互相訪問的安全控制需求。

圖1 下一代數(shù)字化校園扁平化管理

此次網(wǎng)絡(luò)升級改造是分步驟進行的，目前已經(jīng)完成所有園區(qū)網(wǎng)核心、出口及數(shù)據(jù)中心新購設(shè)備的升級替換工作，正在逐步啟用核心設(shè)備的BRAS功能，實施完成后，宿舍區(qū)的802.1X的認證方式更改為PPPoE的認證計費方式，教學(xué)區(qū)和圖書館的串聯(lián)城市熱點服務(wù)器的認證方式會改成IPoE + Web Portal方式，城市熱點計費服務(wù)器旁掛在核心設(shè)備上，作為Radius服務(wù)器及計費服務(wù)器繼續(xù)為中國海洋大學(xué)使用。升級改造淘汰下來的核心交換機，也已經(jīng)作為新建南隴口校區(qū)的匯聚交換機，其他低端交換機作為網(wǎng)絡(luò)學(xué)院的網(wǎng)絡(luò)實驗室設(shè)備繼續(xù)使用。這樣，原有認證計費的維護成本降低，城市熱點串聯(lián)在出口的性能瓶頸得到了解決，同時也充分利用了現(xiàn)有的網(wǎng)絡(luò)設(shè)備，避免了資源浪費。

為了達到在中國海洋大學(xué)校區(qū)內(nèi)任何地方都能享受數(shù)字化校園服務(wù)的目標，網(wǎng)絡(luò)與信息中心目前正在進行無線網(wǎng)絡(luò)的論證工作，簡化網(wǎng)絡(luò)架構(gòu)，提高數(shù)字化校園園區(qū)網(wǎng)可管理性，是中國海洋大學(xué)衡量無線廠商產(chǎn)品及方案的重要依據(jù)。核心網(wǎng)絡(luò)升級改造完成后，基于核心路由器的BRAS解決方案，會把無線網(wǎng)絡(luò)的認證納入進來，實現(xiàn)有線無線的統(tǒng)一化認證，使得中國海洋大學(xué)師生通過一個賬號，就可以無縫使用有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的資源。同時，統(tǒng)一認證后，無線網(wǎng)的可管理性將會增加，并降低其運維成本。