劉鵬 王光武 孫謙

摘要：校園網(wǎng)絡作為承載著高教各項事業(yè)的信息與業(yè)務的重要平臺，其性能發(fā)揮的好壞不僅關系到學校整網(wǎng)運行效果，更關系到整體學校教育信息化事業(yè)的發(fā)展。隨著學校信息化程度的不斷深化，傳統(tǒng)三層架構網(wǎng)絡部分瓶頸問題逐漸暴露，大二層網(wǎng)絡架構應運而生，可實現(xiàn)網(wǎng)絡高性能、易管理、即插即用的發(fā)展目標，是網(wǎng)絡建設與改造的必由之路。

關鍵詞：校園網(wǎng)絡；大二層；易管理

中圖分類號：G434 文獻標識碼：A 文章編號：1007-9416（2018）06-0227-01

1989年國家教委頒發(fā)《國家教育管理信息系統(tǒng)總體規(guī)劃綱要》。1994年，我國政府開始投資建設中國教育和科研計算機網(wǎng)（簡稱Cernet）。在此重大工程建設的推動下，我國各地高校逐步開始了校園網(wǎng)的建設，自此進入校園網(wǎng)絡建設時代。校園網(wǎng)絡作為學校信息交互與管理的重要平臺，在學校教學、科研、管理、信息服務等方面，發(fā)揮著不可替代的作用。

1 我校校園網(wǎng)絡結構與網(wǎng)絡認證現(xiàn)狀

我校校園網(wǎng)絡2001年投入使用，同樣采用當時流行的“核心—匯聚—接入”三層架構與802.1X客戶端認證模式。核心層建設在校園數(shù)據(jù)中心內(nèi)，通過三臺高性能網(wǎng)絡交換機實現(xiàn)數(shù)據(jù)轉發(fā)，各樓宇通過匯聚設備實現(xiàn)三層路由的構建，通過接入設備實現(xiàn)各信息點的高密接入，各接入終端通過認證設備廠商配套802.1x軟件實現(xiàn)上網(wǎng)認證。

三層架構的組網(wǎng)方式在校園網(wǎng)絡建設初期發(fā)揮了很大作用，達到了校園內(nèi)各節(jié)點高速接入與互通，實現(xiàn)了上網(wǎng)實名認證等功能。但該模式在管理上相對粗放，隨著網(wǎng)絡業(yè)務的不斷增加，數(shù)據(jù)流量的快速增長，隱含的問題逐漸暴露：（1）網(wǎng)絡管理與配置復雜，由于三層結構各層負責相應功能，導致所有設備配置不一，出現(xiàn)網(wǎng)絡調(diào)整或故障發(fā)生，配置更改與排查定位相對復雜；（2）對邊緣設備性能要求高，數(shù)控制功能也均部署在此，其穩(wěn)定性及可靠性對整體網(wǎng)絡影響較大；（3）核心層配置相對簡單，只負責數(shù)據(jù)轉發(fā)，性能發(fā)揮不足，存在資源浪費問題；（4）隨著終端形式的不斷增加，廠商配套802.1x認證軟件采用私有標準，導致軟件對不同操作系統(tǒng)及不同版本兼容性差。

2 校園網(wǎng)絡架構及網(wǎng)絡認證改造思路

隨著目前網(wǎng)絡產(chǎn)品的日新月異，交換設備不斷升級，校園網(wǎng)絡模式也隨之更新?lián)Q代。以高性能、高可靠、多業(yè)務、強功能為核心的大二層架構的新一代校園網(wǎng)絡已經(jīng)成為主流[1]。所謂大二層網(wǎng)絡架構，即整體網(wǎng)絡劃分為核心業(yè)務層與網(wǎng)絡接入層。將傳統(tǒng)三層架構中的匯聚層與接入層融為一層，該層僅提供vlan隔離與用戶接入功能，不涉及業(yè)務部署，因此對其所需支持功能要求較低，以此簡化了邊緣設備配置，降低了用戶接入成本，減輕了后期維護壓力。同時所有數(shù)據(jù)交換、業(yè)務控制、功能實現(xiàn)等全部交付核心業(yè)務層來實現(xiàn)，由于核心設備的高可靠特性與強大的數(shù)據(jù)轉發(fā)能力，為應用和業(yè)務部署提供了性能保障。

在上網(wǎng)認證方面，以便捷靈活的PORTAL認證取代了原有的802.1x認證。PORTAL認證也稱為WEB認證，用戶層面無需安裝任何客戶端軟件，當用戶接入網(wǎng)絡需要訪問互聯(lián)網(wǎng)資源時，僅通過操作系統(tǒng)自帶的瀏覽器自動彈出的WEB PORTAL頁面，需要提供已注冊的用戶名及密碼方可認證成功并訪問對應互聯(lián)網(wǎng)資源。簡化用戶認證過程，提升網(wǎng)絡使用體驗[2]。

3 大二層架構與PORTAL認證的改造與實現(xiàn)

3.1 核心部分

通過虛擬化技術，將兩臺業(yè)界高性能核心交換機虛擬為一臺，搭配雙電源雙引擎，高密度萬/千兆板卡，通過單/多模光纖上聯(lián)認證、流控、防火墻、出口負載等設備。實現(xiàn)核心至出口負載全部萬兆互聯(lián)。

3.2 出口負載部分

出口負載至ISP方面，根據(jù)不同ISP帶寬、IP地址以及用戶訪問資源情況，校園辦公、教學、科研等樓宇，全部采用Cernet實地址，用戶訪問教育網(wǎng)資源無須進行NAT轉換。學生宿舍用戶全部采用內(nèi)網(wǎng)地址，通過NAT進行教育網(wǎng)與互聯(lián)網(wǎng)訪問。

3.3 樓宇匯聚部分

各樓宇匯聚設備刪減原有網(wǎng)關及路由協(xié)議配置，進行vlan透傳模式改造，所有網(wǎng)關配置上移至核心層，僅與底層接入設備提供用戶接入。核心與接入實現(xiàn)直連路由轉發(fā)模式，核心交換機僅有1條默認路由作為Internet訪問轉發(fā)。

3.4 用戶接入

用戶接入方面，采用DHCP+PORTAL認證模式，取消了原有出口網(wǎng)關認證方式。即將原有認證服務網(wǎng)關PORTAL響應機制下移至核心層，通過核心設備強大的性能優(yōu)勢，完成PORTAL彈出及用戶認證過程。撤銷原有DHCP服務器，所有IP地址管理與下發(fā)全部交由核心交換機完成。

此種模式優(yōu)勢在于：減輕認證網(wǎng)關壓力，避免性能瓶頸與源地址依賴等問題；DHCP與PORTAL認證集成，實現(xiàn)用戶接入網(wǎng)絡IP獲取的同時，MAC地址、接入時間、位置信息的精確同步記錄；數(shù)據(jù)實時統(tǒng)計，包括在線人數(shù)，網(wǎng)絡資源使用情況等信息。

4 結語

經(jīng)過近1年時間的運行測試與后續(xù)優(yōu)化，逐步完成了我校校園網(wǎng)絡大二層改造。實踐證明，大二層網(wǎng)絡架構突破了傳統(tǒng)三層網(wǎng)絡架構的部分瓶頸問題，達到了用戶即插即用的使用體驗，實現(xiàn)了校園網(wǎng)高性能和易管理的預期效果。整體網(wǎng)絡結構更加合理，數(shù)據(jù)轉發(fā)更為高效，網(wǎng)絡運維和管理難度明顯降低，運維壓力與效率顯著提高，開放性及拓展性優(yōu)勢明顯[3]。因此可表明，大二層網(wǎng)絡架構是今后校園網(wǎng)絡建設與發(fā)展的必由之路。

參考文獻

[1]申繼年，丘家學.校園網(wǎng)組網(wǎng)架構的比較與分析三層交換架vs扁平純路由器架構[J].中國教育網(wǎng)絡，2012，（1）：44-45.

[2]繆其勇.基于扁平化理論優(yōu)化設計校園網(wǎng)[J].電腦知識與技術，2014，（18）：4155-4157.

[3]覃毅.校園網(wǎng)絡扁平化架構設計與實施[J].農(nóng)業(yè)網(wǎng)絡信息，2015，（7）：20-22.

Abstract：The campus network is an important platform for carrying information and business of various higher education undertakings. The performance of the campus network not only affects the operation effect of the entire school network， but also relates to the development of the overall school education informatization. With the continuous intensification of the degree of informationization in schools， some bottlenecks in the traditional three-tier architecture network are gradually exposed. The second-tier network architecture emerges at the historic moment and can achieve the high-performance， easy-to-manage， plug-and-play development goals of the network. It is a network construction. The only road to improvement.

Key words：campus network； second floor； manageability