文 /趙欽 王振華 安杰

北京郵電大學(xué)校園網(wǎng)最初于1994年建立，至今經(jīng)歷了二十多年的持續(xù)建設(shè)。從三節(jié)點(diǎn)環(huán)狀園區(qū)網(wǎng)到星型園區(qū)網(wǎng)，再到2018年初完成的三校區(qū)環(huán)狀光纖網(wǎng)，校園網(wǎng)已經(jīng)從最初為科研、圖書館等少數(shù)部門服務(wù)的小規(guī)模網(wǎng)絡(luò)，發(fā)展成為全校師生教學(xué)、科研、辦公、生活服務(wù)的多業(yè)務(wù)承載的多校區(qū)大規(guī)模寬帶網(wǎng)絡(luò)。

北京郵電大學(xué)沙河校區(qū)位于北京市昌平區(qū)沙河高教園區(qū)東南部，總用地面積約1348畝，總建筑面積約70萬平方米，整體建成后將能夠容納16000名學(xué)生?；A(chǔ)網(wǎng)絡(luò)建設(shè)是北京郵電大學(xué)沙河校區(qū)智慧校園建設(shè)的一項(xiàng)重要內(nèi)容。沙河校區(qū)一期網(wǎng)絡(luò)建設(shè)涉及教學(xué)實(shí)驗(yàn)綜合樓、學(xué)生宿舍雁北園、行政辦公樓、學(xué)生食堂、教工食堂和學(xué)生活動(dòng)中心。沙河校區(qū)二期網(wǎng)絡(luò)建設(shè)涉及學(xué)生宿舍雁南園、圖書館和信息樓。

現(xiàn)狀與問題

隨著學(xué)校信息化程度不斷提高，校園網(wǎng)早已成為校園里不可缺少的基礎(chǔ)設(shè)施，在西土城路校區(qū)的網(wǎng)絡(luò)建設(shè)和運(yùn)維管理工作中，不斷涌現(xiàn)出新的挑戰(zhàn)。

首先，用戶接入需求從有線轉(zhuǎn)變到無線。桌面互聯(lián)網(wǎng)時(shí)代，用戶終端主要是臺(tái)式電腦，通過有線網(wǎng)絡(luò)接入校園網(wǎng)；即使筆記本電腦逐漸成為主流的工具，由于它們同時(shí)配備了以太網(wǎng)接口和Wi-Fi模塊，有線網(wǎng)絡(luò)仍然能夠滿足用戶需求。移動(dòng)互聯(lián)網(wǎng)時(shí)代，智能手機(jī)和平板電腦開始大量出現(xiàn)，這些終端只能通過Wi-Fi或3G/4G接入網(wǎng)絡(luò)，甚至越來越多的筆記本電腦開始不配備以太網(wǎng)接口，只提供有線接入的校園網(wǎng)已經(jīng)無法滿足用戶需求。

圖1 北京郵電大學(xué)沙河校區(qū)規(guī)劃

其次，用戶入網(wǎng)設(shè)備從終端擴(kuò)展到網(wǎng)關(guān)。桌面互聯(lián)網(wǎng)時(shí)代，用戶終端經(jīng)過集線器或二層交換機(jī)連接到校園網(wǎng)三層設(shè)備，網(wǎng)絡(luò)管理系統(tǒng)能夠感知用戶終端的鏈路狀態(tài)，便于故障排查和準(zhǔn)入策略控制。隨著無線終端增多，用戶開始安裝帶NAT功能的無線路由器，不僅增加了網(wǎng)絡(luò)故障點(diǎn)和排查難度，還給準(zhǔn)入控制帶來了困難，同時(shí)導(dǎo)致了無線頻譜資源的干擾和浪費(fèi)，也讓用戶產(chǎn)生了額外的經(jīng)濟(jì)成本和時(shí)間開銷。另外，一些科研團(tuán)隊(duì)將專用設(shè)備及服務(wù)器連到用戶接入網(wǎng)絡(luò)，超出了原先設(shè)計(jì)的工作場景，造成了一系列網(wǎng)絡(luò)異常事件。

再次，用戶組網(wǎng)需求從簡單演進(jìn)到復(fù)雜。傳統(tǒng)的業(yè)務(wù)部門只有少量設(shè)施可接入校園網(wǎng)，隨著校園信息化建設(shè)的快速開展，諸如門禁、水控、一卡通消費(fèi)、節(jié)能減排、安防監(jiān)控、桌面虛擬化等業(yè)務(wù)都要依賴網(wǎng)絡(luò)支撐。由于數(shù)據(jù)的敏感性，這些業(yè)務(wù)通常需要單獨(dú)組網(wǎng)，封閉運(yùn)行，公共服務(wù)業(yè)務(wù)還要求跨校區(qū)通信。同時(shí)，隨著大數(shù)據(jù)分析的需要，業(yè)務(wù)數(shù)據(jù)要在一定程度上能夠向校園網(wǎng)用戶提供在線訪問。面對(duì)這些復(fù)雜的組網(wǎng)需求，現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施難以靈活支持。

由于學(xué)校西土城路校區(qū)的校園網(wǎng)建設(shè)已經(jīng)持續(xù)二十多年，管理模式一時(shí)難以全部改變，以上問題存在了很長時(shí)間。然而，隨著近幾年無線網(wǎng)絡(luò)建設(shè)的開展,逐漸發(fā)現(xiàn)無線網(wǎng)絡(luò)的使用特點(diǎn)在一定程度上可以解決上述問題，尤其是在新校區(qū)應(yīng)用效果更加明顯：

1.無線網(wǎng)絡(luò)可以滿足大量用戶無線終端統(tǒng)一接入的需求；

2.無線網(wǎng)絡(luò)可以避免用戶私自安裝三層設(shè)備，方便運(yùn)營和故障排查；

3.無線網(wǎng)絡(luò)的接入交換機(jī)和控制器可以用隧道的方式組建封閉專網(wǎng)。

設(shè)計(jì)思路

隨著學(xué)校沙河新校區(qū)建設(shè)機(jī)遇的到來，借助全新的網(wǎng)絡(luò)設(shè)計(jì)方案，實(shí)現(xiàn)從根本上跨越網(wǎng)絡(luò)管理模式的障礙，避免重蹈老校區(qū)所面臨的困境。

沙河新校區(qū)校園網(wǎng)的設(shè)計(jì)原則是：無線為主，全面覆蓋，面向全體用戶開放；有線為輔，按需開通，僅接受部門用戶申請(qǐng)。

技術(shù)先進(jìn)性和實(shí)用性

系統(tǒng)建設(shè)要有一定的前瞻性，保證滿足無線應(yīng)用業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)技術(shù)的先進(jìn)性。把先進(jìn)的理念與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到學(xué)校應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢(shì)。在網(wǎng)絡(luò)建成后的3至5年內(nèi)，不會(huì)由于業(yè)務(wù)量的增加導(dǎo)致對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。

高度的可靠性和穩(wěn)定性

網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，無線系統(tǒng)應(yīng)采用成熟的瘦AP網(wǎng)絡(luò)架構(gòu)，采用室內(nèi)放裝的方式進(jìn)行全覆蓋部署。無線設(shè)備要支持802.11a/b/g/n/ac 。無線設(shè)備使用的各項(xiàng)技術(shù)必須與國際主流技術(shù)相一致。系統(tǒng)整體上具有高可用性、易管理性、高安全性、可擴(kuò)展性以及支持高密度。

高性能

為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用對(duì)網(wǎng)絡(luò)帶寬的需求。

易于安裝、操作和管理

良好的組織和管理對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡(luò)應(yīng)該能夠提供方便、靈活、有力的工具，使得無論是安裝、操作還是使用都較為便捷。

可擴(kuò)充性

隨著用戶應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，確保學(xué)校投入產(chǎn)生最大效能。

高度的安全性

無線產(chǎn)品必須具備高安全性。通過對(duì)無線用戶做靈活的認(rèn)證、加密來確保網(wǎng)絡(luò)和用戶的安全性，可對(duì)不同的用戶做不同的安全策略，并且可以對(duì)用戶無線應(yīng)用及訪問的資源做可視化管理。

圖2 無線網(wǎng)架構(gòu)

IPv6

無線設(shè)備必須支持IPv4/IPv6雙棧技術(shù)，并且能夠在純IPv6網(wǎng)絡(luò)環(huán)境中正常工作。

無線網(wǎng)架構(gòu)

1.無線系統(tǒng)采用“AC+AP”瘦AP組網(wǎng)模式，沙河校區(qū)的無線控制器與西土城路校區(qū)的無線控制器采用集群模式組網(wǎng)，通過一臺(tái)MASTER控制器進(jìn)行全網(wǎng)的統(tǒng)一管理和配置，按照校區(qū)采用無線控制器N+1備份，如圖2所示。

2.沙河校區(qū)一期無線網(wǎng)采用2臺(tái)無線控制器（每臺(tái)可管理2048個(gè)AP），管理在線運(yùn)行的1740顆無線AP，二期無線網(wǎng)也采用2臺(tái)無線控制器，管理在線運(yùn)行的1144顆無線?？侫P數(shù)量已經(jīng)達(dá)到2884個(gè)。

3.通過一套網(wǎng)管系統(tǒng)實(shí)現(xiàn)對(duì)全網(wǎng)所有設(shè)備和終端的管理。無線網(wǎng)管提供了實(shí)時(shí)監(jiān)視、AP遠(yuǎn)程配置、主動(dòng)報(bào)警和歷史數(shù)據(jù)報(bào)告。它具有專用面板視圖，能快速診斷 RF 覆蓋、可視化監(jiān)控設(shè)備的運(yùn)行狀況和網(wǎng)絡(luò)服務(wù)健康狀況。

4.使用ClearPass統(tǒng)一實(shí)現(xiàn)多個(gè)校區(qū)的無線用戶策略管理，以及無感知認(rèn)證。能夠根據(jù)不同的操作系統(tǒng)和終端類型采用不同的認(rèn)證和安全控制。

認(rèn)證和計(jì)費(fèi)策略

1.沙河校區(qū)廣播了5個(gè)SSID，并且在不同區(qū)域有所區(qū)分，情況如下，如圖3所示。

（1）辦公和教學(xué)區(qū)：BUPT-mobile，BUPT-portal ， BUPT-guest，BUPT-iot，eduroam

（2）宿舍區(qū)：BUPT-mobile，BUPT-portal

2.五個(gè)SSID采用了不同的認(rèn)證方式和計(jì)費(fèi)策略，其中BUPT-mobile和BUPT-portal通過ClearPass做策略控制和終端數(shù)量綁定限制，情況如下：

圖3 沙河校區(qū)無線SSID示意

（1） BUPT-mobile：免費(fèi)訪問互聯(lián)網(wǎng)， 802.1x認(rèn)證，僅給智能終端使用（iOS,Android），筆記本和臺(tái)式機(jī)不能接入使用(Windows，macOS)。

（2）BUPT-portal：收費(fèi)訪問互聯(lián)網(wǎng)，通過ClearPass做準(zhǔn)入認(rèn)證，通過Web Portal做準(zhǔn)出認(rèn)證，所有無線終端都可以接入使用。

（3）BUPT-guest：限時(shí)免費(fèi)訪問互聯(lián)網(wǎng)，Web Portal認(rèn)證，通過訪客的手機(jī)號(hào)注冊(cè)，所有無線終端都可以接入使用，目前的策略是每個(gè)訪客賬號(hào)每月可免費(fèi)使用8小時(shí)。

（4）BUPT-iot：不能訪問互聯(lián)網(wǎng)，僅用于物聯(lián)網(wǎng)設(shè)備（如無線打印機(jī)、無線攝像頭、無線自助服務(wù)機(jī)等）與三校區(qū)內(nèi)校園網(wǎng)用戶之間的通信，通過MAC地址做認(rèn)證，只有網(wǎng)絡(luò)管理員允許的物聯(lián)網(wǎng)設(shè)備才能接入使用。

（5） Eduroam：免費(fèi)訪問互聯(lián)網(wǎng)，僅用于Eduroam聯(lián)盟成員用戶在三校區(qū)的辦公和教學(xué)區(qū)接入使用，通過Eduroam服務(wù)進(jìn)行無線漫游認(rèn)證，本校師生不能接入使用。

隧道專網(wǎng)架構(gòu)

由于校醫(yī)院、一卡通、安防等業(yè)務(wù)需要跨校區(qū)開展，并且希望與日?；ヂ?lián)網(wǎng)流量隔離，因此需要建設(shè)各類專用網(wǎng)絡(luò)。沙河校區(qū)采用隧道技術(shù)實(shí)現(xiàn)一張網(wǎng)絡(luò)承載多種業(yè)務(wù)，充分利用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施，快速部署各類專網(wǎng)。采用隧道技術(shù)，主要考慮到3個(gè)方面因素：

1.完整建設(shè)多套覆蓋全校的物理專網(wǎng)成本較高；

2.建設(shè)物理專網(wǎng)對(duì)于多個(gè)校區(qū)的維護(hù)和擴(kuò)展，難度較高；

3.建設(shè)基于MPLS 或VLAN的專網(wǎng)，維護(hù)復(fù)雜，故障排查難。

隧道專網(wǎng)通過集中控制器與基于隧道技術(shù)的無線接入交換機(jī)進(jìn)行組網(wǎng)，如圖4所示。隧道交換機(jī)支持按照不同端口分配不同的專網(wǎng)（VLAN），能夠在同一個(gè)物理交換機(jī)上靈活擴(kuò)展出多個(gè)不同的專網(wǎng)。而且可以根據(jù)實(shí)際需要，隨時(shí)搬遷和重新接入，不需要對(duì)隧道交換機(jī)做任何配置調(diào)整，不需要修改任何現(xiàn)網(wǎng)設(shè)備的配置，即插即用。同時(shí)，通過集中控制器還可以監(jiān)控所有設(shè)備工作狀態(tài)。

圖4 隧道專網(wǎng)架構(gòu)圖

圖5 宿舍AP點(diǎn)位安裝圖

AP部署方案

1.教學(xué)區(qū)

教學(xué)區(qū)采用高密度AP，AP安裝到教室內(nèi)，根據(jù)座位數(shù)量，按照每50個(gè)座位對(duì)應(yīng)一個(gè)AP進(jìn)行規(guī)劃。根據(jù)座位的布局和安裝條件，采用吸頂或壁掛安裝方式，AP盡可能靠近覆蓋區(qū)域，減少對(duì)周圍區(qū)域的頻段干擾。

2.辦公區(qū)

辦公區(qū)采用普通室內(nèi)AP，AP安裝到房間內(nèi)，基本原則按照每個(gè)房間對(duì)應(yīng)1個(gè)AP，根據(jù)房間面積可能安裝1個(gè)或多個(gè)AP，采用吸頂或壁掛安裝方式。

3.宿舍區(qū)

宿舍區(qū)采用普通室內(nèi)AP，AP安裝到房間內(nèi)，按照每間宿舍對(duì)應(yīng)1個(gè)AP，采用吸頂或壁掛安裝方式，AP配有防護(hù)盒，避免學(xué)生破壞或粉刷損壞AP，如圖5所示。

4.食堂、體育館、圖書館和會(huì)議中心

食堂、體育館、圖書館和會(huì)議中心屬于高密度區(qū)，這些區(qū)域采用高密度AP，根據(jù)座位數(shù)量和可容納人數(shù)，按照每50個(gè)座位（人）對(duì)應(yīng)一個(gè)AP進(jìn)行規(guī)劃。采用吸頂、壁掛或座位下隱藏安裝，AP盡可能靠近覆蓋區(qū)域，減少對(duì)周圍區(qū)域的頻段干擾。

5.室外

室外活動(dòng)區(qū)域可以采用室外型AP，AP固定在墻壁或燈桿上，采用POE供電，如圖6所示。重點(diǎn)覆蓋室外固定的公共活動(dòng)區(qū)域，例如圖書館周邊的長椅區(qū)。兩個(gè)室外AP之間的距離不超過200米。根據(jù)活動(dòng)區(qū)域內(nèi)的人數(shù)，按照每個(gè)AP覆蓋80～100人進(jìn)行設(shè)計(jì)。

圖6 室外AP點(diǎn)位安裝圖

使用情況

一期無線網(wǎng)服務(wù)于二年級(jí)學(xué)生和教職工，約3200多人，最大同時(shí)接入終端總數(shù)超過4400個(gè)，其中移動(dòng)終端數(shù)超過3000個(gè)。二期無線網(wǎng)服務(wù)于一年級(jí)新生，約3000多人，最大同時(shí)接入終端總數(shù)超過4100個(gè)，其中移動(dòng)終端數(shù)超過2800個(gè)。除了移動(dòng)終端，其余終端為筆記本電腦、插USB無線網(wǎng)卡的臺(tái)式電腦或物聯(lián)網(wǎng)設(shè)備。

截至2018年1月，北郵沙河校區(qū)一期無線網(wǎng)絡(luò)從2015年9月開始已經(jīng)穩(wěn)定運(yùn)行兩年半，一期無線網(wǎng)單獨(dú)運(yùn)行期間，入流量峰值超過2Gbps，非假期時(shí)段的入流量平均值大約1Gbps。截至2018年3月，二期無線網(wǎng)絡(luò)從2017年9月開始已經(jīng)穩(wěn)定運(yùn)行半年。一期和二期無線網(wǎng)絡(luò)共同運(yùn)行期間，無線網(wǎng)入流量峰值達(dá)到7.6Gbps，非假期時(shí)段的入流量平均值大約2Gbps。

圖7 沙河校區(qū)網(wǎng)絡(luò)出口流量年圖（2017.2～2018.1）

圖8 沙河校區(qū)網(wǎng)絡(luò)出口流量月圖（2018.03.01～2018.03.28）

二期無線網(wǎng)從2017年9月開始啟用，圖7可以看到一期無線網(wǎng)獨(dú)立運(yùn)行期間的流量情況，以及與兩期無線網(wǎng)共同運(yùn)行時(shí)的對(duì)比。圖8可以看到2018年3月兩期無線網(wǎng)共同運(yùn)行期間的每天流量情況。

全無線網(wǎng)絡(luò)的接入方式滿足了個(gè)人用戶在各種場景下的用網(wǎng)需求。在教學(xué)區(qū)，師生可以在任意一間教室內(nèi)將自己攜帶的無線終端快速接入校園網(wǎng)，不必再尋找墻壁網(wǎng)口，也不必再咨詢教室管理員，并且支持大量終端同時(shí)接入。在宿舍區(qū)，學(xué)生在無線網(wǎng)絡(luò)中訪問校內(nèi)外網(wǎng)絡(luò)資源，除了個(gè)別游戲和個(gè)別終端在高峰期略有延時(shí)以外，各種IPv4和IPv6應(yīng)用都可以正常工作，同時(shí)運(yùn)維人員排除網(wǎng)絡(luò)故障的速度大大提高。在辦公區(qū)，免費(fèi)為臺(tái)式電腦配備了USB無線網(wǎng)卡，教職工可以正常訪問校內(nèi)辦公系統(tǒng)和校外網(wǎng)絡(luò)資源。

全無線網(wǎng)絡(luò)的接入方式也為部門用戶提供了便利。無線打印機(jī)和無線攝像頭等自帶無線接入能力的設(shè)備，經(jīng)管理員配置后可以快速接入網(wǎng)絡(luò)，避免了耗費(fèi)人力物力的弱電改造工程，保持了新校區(qū)的嶄新面貌。針對(duì)沒有無線接入能力但是基于x86架構(gòu)研制的設(shè)備，可以通過添加USB無線網(wǎng)卡的方式改造為無線接入終端；針對(duì)部門用戶的網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)攝像頭、一卡通數(shù)據(jù)網(wǎng)關(guān)等不存在無線能力或USB接口的純有線設(shè)備，采取按需申請(qǐng)開通有線網(wǎng)接口的方式接入；針對(duì)教學(xué)科研服務(wù)器、公共教學(xué)機(jī)房主機(jī)等部門用戶自建局域網(wǎng)絡(luò)接入校園網(wǎng)的場景，采取按需申請(qǐng)開通光纖接口的方式接入?；緷M足了部門用戶在各種場景下的用網(wǎng)需求。

展望未來

黨的十九大報(bào)告明確提出“推動(dòng)新型工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化同步發(fā)展”。信息化水平成為一個(gè)城市或地區(qū)現(xiàn)代化水平和綜合實(shí)力的重要標(biāo)志。北京郵電大學(xué)的信息化建設(shè)任重而道遠(yuǎn)，我們將依托學(xué)校的資源優(yōu)勢(shì)，積極學(xué)習(xí)外界新技術(shù)新模式，勇于創(chuàng)新，為高校的信息化建設(shè)做出更多貢獻(xiàn)。