王安

【摘要】隨著高校信息化建設(shè)的初步完成，各高校已經(jīng)陸續(xù)完成了基礎(chǔ)信息化建設(shè)。但在建設(shè)過程中標準不一致、拓撲結(jié)構(gòu)不一致，導致目前高校網(wǎng)絡(luò)的結(jié)構(gòu)各有不同，也讓各高校的下一步信息化建設(shè)方向各不相同。筆者根據(jù)個人工作經(jīng)驗，通過目前高校組網(wǎng)的一種傳統(tǒng)標準模型入手，通過將模型進行調(diào)整、修改，將高校信息化的模型調(diào)整為易于擴展的模型談一下自己的看法。

【關(guān)鍵詞】網(wǎng)絡(luò) 信息化 核心交換機 BRAS 防火墻

一、本次建設(shè)目的及現(xiàn)網(wǎng)情況概述

目前，高校的信息化建設(shè)在2014年左右基本完覆蓋，包括有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)均已建立，網(wǎng)絡(luò)模型也相對成熟。14年后高校信息化改造的主要目的，一是為了替換部分14年建設(shè)未替換的設(shè)備，此部分設(shè)備（如網(wǎng)絡(luò)的匯聚交換機）已經(jīng)在網(wǎng)運行7-8年，存在一定安全隱患；另一方面，目前校園網(wǎng)的關(guān)鍵節(jié)點，如出口防火墻、BRAS設(shè)備多數(shù)均為一臺，存在一定的單點故障風險。此外，傳統(tǒng)網(wǎng)絡(luò)模型中以BRAS為核心的組網(wǎng)模式也不方便學校后期對網(wǎng)絡(luò)的維護以及規(guī)模的擴大，因此本次網(wǎng)絡(luò)改造在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備上都有所調(diào)整。下面以某高校為例，對相關(guān)改造進行情況說明。

二、防火墻改造說明

目前學校已有一臺H3C M9006防火墻設(shè)備，為提高設(shè)備性能，降低設(shè)備壓力，同時避免單點故障，建議本次擴容一臺相同型號的防火墻，兩臺防火墻與上下行網(wǎng)絡(luò)設(shè)備之間采取全冗余連接；為了保證系統(tǒng)的可靠性，建議配置兩臺防火墻為雙機熱備方式，在實現(xiàn)安全控制的同時保證線路的可靠性，同時可以與動態(tài)路由策略組合，實現(xiàn)流量負載分擔；

M9006支持先進的虛擬防火墻架構(gòu)（SOP）技術(shù)，通過在同一臺物理設(shè)備上劃分多個基于容器的虛擬防火墻來實現(xiàn)對用戶多個業(yè)務(wù)獨立安全策略部署的需求。且某一虛擬防火墻故障不會對其他虛擬防火墻和整個物理系統(tǒng)產(chǎn)生任何影響。當用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時，可以通過添加或者減少虛擬防火墻的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴展問題，簡化了網(wǎng)絡(luò)管理的復雜度。

M9000的SCF架構(gòu)突破了傳統(tǒng)雙機熱備技術(shù)，支持集群后多板卡進行主/備、主/主、1：1及N：N等多種部署方式。業(yè)界獨創(chuàng)的N：N備份技術(shù)，每一塊業(yè)務(wù)板卡既是承載自身流量的主板，同時也分布式的對其他業(yè)務(wù)板進行備份。相比傳統(tǒng)的雙機熱各，多板卡的N：N熱備提高了高達50%的用戶數(shù)據(jù)處理效能，同時在板卡故障、業(yè)務(wù)升級時保障安全業(yè)務(wù)零中斷。統(tǒng)一的管理平面，簡化管理員配置復雜度的同時，有效解決雙機配置同步帶來的配置不一致問題，在可維護性、高可靠性和切換時間方面也有了質(zhì)的提升，可以做到各種情況下的毫秒級切換。業(yè)務(wù)處理主備技術(shù)保證來回路徑快速收斂一致，無需復雜的配置。

三、BRAS改造說明

學校目前已有一臺H3C SR8808-X BRAS設(shè)備。隨著校園網(wǎng)規(guī)模的擴大，對接口、性能的要求的提高，本身作為路由器的BRAS設(shè)備雖然性能上足夠承載目前及未來幾年學校的應(yīng)用，但依然會有端口擴展形態(tài)較少、組網(wǎng)維護復雜的情況，因此本次將BRAS在網(wǎng)絡(luò)中的位置進行調(diào)整，由核心層設(shè)備轉(zhuǎn)變?yōu)榕話煊诤诵慕粨Q機，不再作為核心設(shè)備進行數(shù)據(jù)轉(zhuǎn)發(fā)而是專門進行數(shù)據(jù)的處理以及有線網(wǎng)絡(luò)的認證。同時考慮到學校目前有線網(wǎng)的使用人數(shù)要求，以及穩(wěn)定性考慮，本次將新增一臺BRAS設(shè)備，和原先的設(shè)備進行雙機虛擬化，保證穩(wěn)定性及設(shè)備性能。

隨著BRAS設(shè)備的引入，校園網(wǎng)的結(jié)構(gòu)也變?yōu)楸馄交Y(jié)構(gòu)組網(wǎng)。所謂扁平化的網(wǎng)絡(luò)架構(gòu)，不是意味著網(wǎng)絡(luò)物理層面變?yōu)閮蓪?，而是從網(wǎng)絡(luò)中設(shè)備所承擔的功能上區(qū)分，將網(wǎng)絡(luò)劃分為業(yè)務(wù)控制層和寬帶接入層。寬帶接入層由匯聚和接入層設(shè)備構(gòu)成，僅提供基本的用戶高帶寬接入功能和相互之間的VLAN二層隔離功能；業(yè)務(wù)控制層則由核心層設(shè)備構(gòu)成，提供網(wǎng)絡(luò)中的用戶接入控制、業(yè)務(wù)功能實現(xiàn)等復雜功能。

從實際的校園網(wǎng)物理結(jié)構(gòu)來看，網(wǎng)絡(luò)的層次更加清晰了，不同層次的設(shè)備各司其職，有利于全網(wǎng)的管理維護。

扁平化的網(wǎng)絡(luò)架構(gòu)帶來了很多的優(yōu)勢：

（1）由能力最強，功能最豐富的BRAS設(shè)備提供集中的業(yè)務(wù)控制和管理，有利于功能和業(yè)務(wù)的部署。同時，由于這些功能是由BRAS設(shè)備提供，因此能夠確保在提供這些業(yè)務(wù)和功能時，同樣具備較好的處理性能。另外，BRAS設(shè)備的高可靠性也為這些應(yīng)用和業(yè)務(wù)的部署提供了保障。

（2）由于核心/匯聚/接入設(shè)備只是提供了二層透傳和VLAN隔離這些基本的功能，不涉及到業(yè)務(wù)功能，因此在全網(wǎng)部署新業(yè)務(wù)和新應(yīng)用時，無需考慮其是否支持。同時，由于這些設(shè)備的功能要求簡單，且數(shù)量眾多，因此能夠顯著降低全網(wǎng)設(shè)備的投資和后期的使用維護費用，提高校園網(wǎng)的投資產(chǎn)出比。另外，由于功能的弱化，從而使得這些設(shè)備的可靠性大大提高，有利于全網(wǎng)的穩(wěn)定可靠運行。

（3）扁平化后的校園網(wǎng)更有利于今后的擴展：業(yè)務(wù)功能只涉及到核心側(cè)設(shè)備，因此只需要考慮核心側(cè)設(shè)備是否能夠支持這些業(yè)務(wù)特性即可。對于匯聚和接入層這些邊緣設(shè)備，僅需要考慮端口的擴充和上行帶寬的增加即可。

四、核心交換區(qū)域建設(shè)說明

本次建設(shè)，在網(wǎng)絡(luò)拓撲中新增了核心交換機這一角色，作為校園網(wǎng)整網(wǎng)的核心承載校園網(wǎng)整體業(yè)務(wù)，實現(xiàn)高速數(shù)據(jù)轉(zhuǎn)發(fā)。之所以改變了目前BRAS作為核心的網(wǎng)絡(luò)結(jié)構(gòu)，是因為當BRAS作為網(wǎng)絡(luò)的核心時，由于其下行接口均為三層口，下聯(lián)終端在漫游時存在網(wǎng)關(guān)切換問題（舉例，假設(shè)終端在A區(qū)上線時IP為1.1，網(wǎng)關(guān)為1.254，當終端發(fā)生不中斷漫游時，IP保持1.1進入B區(qū)，而B區(qū)網(wǎng)關(guān)IP 2.254因為不識別A區(qū)的網(wǎng)關(guān)地址無法轉(zhuǎn)發(fā)不同網(wǎng)段的IP）。同時，隨著校園網(wǎng)規(guī)模的擴大，上下行設(shè)備的增多，BRAS設(shè)備的接口擴展性也不如交換機來得豐富。因此本次網(wǎng)絡(luò)建設(shè)引入核心交換機的角色。新增的核心交換機型號為H3C S10510，2臺核心交換機通過萬兆鏈路與防火墻互聯(lián)，以保證上行帶寬，并實現(xiàn)高速數(shù)據(jù)轉(zhuǎn)發(fā)。同時，2臺核心交換機之間通過H3C IRF2技術(shù)實現(xiàn)橫向虛擬化，將兩臺交換機在邏輯上變?yōu)橐慌_，既提高了設(shè)備使用率，同時2臺設(shè)備在邏輯上整合，成倍提高了設(shè)備性能。

五、匯聚層、接入層改造說明

本次改造還涉及部分匯聚及接入交換機的升級及補充。匯聚交換機本次考慮為全光口設(shè)備，匯聚交換機與接入交換機之間通過千兆光纖互聯(lián)，匯聚交換機與核心交換機之間通過萬兆光纖互聯(lián)。為保證設(shè)備的穩(wěn)定性與維護便利性，本次改造涉及的匯聚及接入交換機均支持模塊化雙電源。endprint