范智勇 曾于弼

摘 要 分析了高校校園網(wǎng)在混合運營模式下存在的不足，通過產(chǎn)權(quán)結(jié)構(gòu)調(diào)整，實施網(wǎng)絡架構(gòu)優(yōu)化，進一步明晰了運營各方的責任界面，重新定義了安全邊界，實現(xiàn)路由上收扁平化，安全上收集中化。實際應用表明，網(wǎng)絡架構(gòu)優(yōu)化能有效簡化網(wǎng)絡管理，實現(xiàn)校園網(wǎng)絡運營的開放共贏。

【關鍵詞】混合運營模式 網(wǎng)絡架構(gòu) 扁平化

高校校園網(wǎng)經(jīng)過不同階段的發(fā)展，逐漸趨向采取混合運營模式，學校以市場換技術(shù)和資金的方式，引入第三方共同參與網(wǎng)絡的運營，即自建自營與授權(quán)運營相結(jié)合。這種模式能有效緩解學校的資金和技術(shù)壓力，在短期內(nèi)快速改善校園網(wǎng)絡質(zhì)量，但在后續(xù)運營過程中所出現(xiàn)的使用、維護、安全等方面的問題，也制約著校園網(wǎng)的進一步發(fā)展。本文以莆田學院為例，分析混合運營模式的不足，通過網(wǎng)絡架構(gòu)優(yōu)化實現(xiàn)更合理化的網(wǎng)絡運營。

1 混合運營模式存在的問題

莆田學院校園網(wǎng)經(jīng)過多年的建設，從最初的自建自營，到現(xiàn)在的多運營商合作運營，逐漸實現(xiàn)了全校的網(wǎng)絡覆蓋。整體網(wǎng)絡采用核心層、匯聚層、接入層三級網(wǎng)絡架構(gòu)，其中接入層負責用戶的接入、802.1X認證準入控制、ARP動態(tài)檢測等，匯聚層設備做為三層網(wǎng)關，核心層負責全網(wǎng)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。校園網(wǎng)的運營屬于典型的混合運營模式，主干網(wǎng)絡以分期付款的方式由電信墊資建設，接入層既有校方自建的部分，又有電信、鐵通投資建設的部分。隨著網(wǎng)絡規(guī)模的不斷擴大，該模式所存在的一些弊端也逐漸呈現(xiàn)出來：

1.1 接入邊界不清，安全難以管控

校園網(wǎng)的接入邊界基本由第三方負責建設和運營，設備和鏈路的產(chǎn)權(quán)、使用權(quán)在合同期內(nèi)歸屬第三方，導致校方對于邊界的擴展難以監(jiān)管。同時，受制于接入設備的功能，邊界的安全防范手段有限，主要通過實施802.1X認證，在接入層設備的端口上對用戶進行訪問授權(quán)和控制。邊界的安全取決于運維人員是否主動在端口上配置認證準入策略，而那些不啟用802.1X認證的端口則成為可被利用的安全短板，甚至第三方可利用這一機制自由擴展邊界，在學校的網(wǎng)絡上開展自己的業(yè)務。實際運營過程中，校方很難對大量的設備進行排查監(jiān)控，導致接入邊界存在安全隱患，而其他層級的設備又缺乏相應的安全防范，從而加劇整個網(wǎng)絡的風險。

1.2 設備型號不一、兼容性差

多年的建設和部署，形成網(wǎng)絡設備品牌雜、型號多、功能參差不齊的情況。特別是第三方的設備多為集團采購，型號和品牌更換頻繁，同時為了節(jié)省投資，經(jīng)常采用一些低端的產(chǎn)品。設備的功能、性能難以滿足實際應用的需求，出現(xiàn)不支持ARP防范、不能很好地兼容身份認證系統(tǒng)、不支持下發(fā)嚴格的準入策略等問題，不僅無法滿足管理上的要求，也直接影響用戶的使用體驗。

1.3 產(chǎn)權(quán)結(jié)構(gòu)混亂、管理層級過多，部署和維護難度大

三層架構(gòu)下的網(wǎng)絡建設，需要耗費大量精力在接入層、匯聚層設備的功能配置上，部署難度大，且對實施人員的技術(shù)要求比較高。匯聚層、核心層同時部署二、三層協(xié)議，縱向關聯(lián)度較大，導致故障定位需要多方溝通和協(xié)調(diào)。而整網(wǎng)的設備產(chǎn)權(quán)結(jié)構(gòu)混亂，出現(xiàn)第三方之間的網(wǎng)絡建設交叉的情況，不僅加大了故障的排查難度，而且易出現(xiàn)相互間的不信任和推諉，極大的影響了運維服務質(zhì)量。

2 網(wǎng)絡架構(gòu)優(yōu)化與應用分析

基于校園網(wǎng)開放性運營的發(fā)展趨勢，為了解決當前運營所存在的問題，必須改變現(xiàn)有校園網(wǎng)設備層次和能力層次倒掛的局面，實施網(wǎng)絡架構(gòu)優(yōu)化。本次改造中，在現(xiàn)有網(wǎng)絡的基礎上，由學校投資部署了新的核心交換機、身份認證計費系統(tǒng)、流量控制設備，實現(xiàn)扁平化大二層架構(gòu)，并進一步明晰了網(wǎng)絡產(chǎn)權(quán)結(jié)構(gòu)和運維責任界面。

2.1 扁平化網(wǎng)絡架構(gòu)設計

如圖1所示，將傳統(tǒng)的三層網(wǎng)絡架構(gòu)調(diào)整為大二層扁平結(jié)構(gòu)，整個網(wǎng)絡劃分為業(yè)務控制層和寬帶接入層。業(yè)務控制層由核心層設備組成，提供網(wǎng)絡中的用戶接入控制、業(yè)務功能實現(xiàn)等，寬帶接入層由接入層、匯聚層組成，負責二層數(shù)據(jù)轉(zhuǎn)發(fā)、VLAN透傳和端口隔離等。

2.1.1業(yè)務控制層

部署兩臺臺功能豐富、性能強大的核心交換機作為三層網(wǎng)關，采用虛擬化技術(shù)，結(jié)合鏈路聚合實現(xiàn)全網(wǎng)雙歸雙活。將原有部署在接入層交換機上的802.1X認證功能上收到核心交換機上，配合身份認證計費管理系統(tǒng)，實現(xiàn)基于用戶身份的實名認證。出口流量控制與身份認證計費系統(tǒng)聯(lián)動，可按照流量、時長等制定差異化的帶寬服務，從而實現(xiàn)靈活的、精細化的校園網(wǎng)認證計費管理。出口網(wǎng)關負責路由、NAT、鏈路負載均衡等業(yè)務，并集成豐富的防火墻功能，構(gòu)筑安全的出口邊界。

2.1.2寬帶接入層

寬帶接入層設備只啟用二層VLAN功能，為接入交換機的每個端口劃分單獨VLAN，實施端口隔離，有效防范ARP欺騙和DHCP仿冒。用戶通過802.1X客戶端認證上網(wǎng)，遵循統(tǒng)一下發(fā)的準入策略，可以做到防代理、防私設地址等桌面端的功能限制，從而最大限度保障接入端的網(wǎng)絡安全。

2.1.3邏輯功能區(qū)域劃分

為保證第三方之間在網(wǎng)絡運營上的獨立性，避免網(wǎng)絡交叉建設產(chǎn)生的使用和維護上的爭議，將整個校園網(wǎng)從邏輯上劃分為接入網(wǎng)絡區(qū)、核心網(wǎng)絡區(qū)、出口網(wǎng)絡區(qū)。其中，核心網(wǎng)絡區(qū)由學校投資建設，確保校方掌握整個網(wǎng)絡的運營主動權(quán)，基于這一公共網(wǎng)絡平臺，面向第三方開放出口網(wǎng)絡區(qū)和接入網(wǎng)絡區(qū)的運營接口，對外允許提供出口帶寬服務，對內(nèi)允許提供用戶端接入服務，從而改變原有復雜的網(wǎng)絡產(chǎn)權(quán)結(jié)構(gòu)，為引入多運營商競爭機制提供平臺基礎。

2.2 應用效果分析

2.2.1理清產(chǎn)權(quán)結(jié)構(gòu)，簡化網(wǎng)絡管理

通過邏輯功能區(qū)域的劃分，理清了網(wǎng)絡產(chǎn)權(quán)結(jié)構(gòu)，明晰了各運營方的責任界面，提高了服務的效率。扁平化的大二層網(wǎng)絡實現(xiàn)了網(wǎng)絡的集中管理，極大簡化了網(wǎng)絡結(jié)構(gòu)，也減輕了網(wǎng)絡部署和維護的工作量。原先分布在接入層和匯聚層上的繁雜的配置工作，只需在核心交換機上就能完成集中部署，寬帶接入層只需做簡單的VLAN劃分和端口隔離配置。校園網(wǎng)由多層管理簡化成核心層管理為主的架構(gòu)，降低了日常維護中的故障排查難度，大大縮短了網(wǎng)絡故障定位及恢復得時間，也降低了維護人員的技術(shù)要求。

2.2.2易于擴展和部署，有效保護現(xiàn)有投資

扁平化的網(wǎng)絡結(jié)構(gòu)弱化了寬帶接入層設備的關鍵性、重要性和復雜度，這樣一方面解決了接入層不同品牌交換機的兼容性問題，節(jié)省了改善網(wǎng)絡所需的設備升級投資。另一方面，寬帶接入層不涉及業(yè)務層面，部署IPV6等新業(yè)務時，可以擺脫對接入設備的功能依賴，不僅使網(wǎng)絡具有更好的擴展性，而且能有效保護現(xiàn)有投資。

2.2.3重新定義安全邊界，實現(xiàn)集中式管理

重新定義了安全邊界，既符合網(wǎng)絡開放性運營的需求，又收緊了安全邊界。接入層通過端口隔離有效保障了用戶之間的安全，認證上收到核心層之后，可以對全網(wǎng)實施集中的安全控制，而且易于進行流量管理和用戶行為分析，杜絕接入層的安全隱患。

3 結(jié)語

混合運營模式具有高度的靈活性，是一種適合高校校情發(fā)展的網(wǎng)絡運營方式。通過網(wǎng)絡架構(gòu)調(diào)整，使整個網(wǎng)絡結(jié)構(gòu)變得更加合理，能有效解決接入邊界安全、設備兼容性等問題，充分發(fā)揮混合運營模式的優(yōu)勢。網(wǎng)絡層級的簡化，降低了運維的工作量和難度，有助于提升網(wǎng)絡運營的服務質(zhì)量，實現(xiàn)多方共贏。

參考文獻

[1]魏東，王璟珉.校園網(wǎng)絡建設運營模式的比較分析研究[J].山東青年管理干部學院學報，2007，126（2）：85-87.

[2]湯小康.扁平化的校園網(wǎng)絡架構(gòu)設計[J].信息與電腦，2014（07）：61-62.

[3]張代華，陳宓宓等.基于扁平化和精細化管理的校園網(wǎng)基礎平臺建設[J].軟件，2014，35（08）：59-62.

[4]吳乃忠.基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設研究[J].電子世界，2012（18）：28-29.

作者單位

莆田學院現(xiàn)代教育技術(shù)中心 福建省莆田市 351100