劉鵬 王光武 孫謙

摘要：校園網絡作為承載著高教各項事業(yè)的信息與業(yè)務的重要平臺，其性能發(fā)揮的好壞不僅關系到學校整網運行效果，更關系到整體學校教育信息化事業(yè)的發(fā)展。隨著學校信息化程度的不斷深化，傳統(tǒng)三層架構網絡部分瓶頸問題逐漸暴露，大二層網絡架構應運而生，可實現網絡高性能、易管理、即插即用的發(fā)展目標，是網絡建設與改造的必由之路。

關鍵詞：校園網絡；大二層；易管理

中圖分類號：G434 文獻標識碼：A 文章編號：1007-9416（2018）06-0227-01

1989年國家教委頒發(fā)《國家教育管理信息系統(tǒng)總體規(guī)劃綱要》。1994年，我國政府開始投資建設中國教育和科研計算機網（簡稱Cernet）。在此重大工程建設的推動下，我國各地高校逐步開始了校園網的建設，自此進入校園網絡建設時代。校園網絡作為學校信息交互與管理的重要平臺，在學校教學、科研、管理、信息服務等方面，發(fā)揮著不可替代的作用。

1 我校校園網絡結構與網絡認證現狀

我校校園網絡2001年投入使用，同樣采用當時流行的“核心—匯聚—接入”三層架構與802.1X客戶端認證模式。核心層建設在校園數據中心內，通過三臺高性能網絡交換機實現數據轉發(fā)，各樓宇通過匯聚設備實現三層路由的構建，通過接入設備實現各信息點的高密接入，各接入終端通過認證設備廠商配套802.1x軟件實現上網認證。

三層架構的組網方式在校園網絡建設初期發(fā)揮了很大作用，達到了校園內各節(jié)點高速接入與互通，實現了上網實名認證等功能。但該模式在管理上相對粗放，隨著網絡業(yè)務的不斷增加，數據流量的快速增長，隱含的問題逐漸暴露：（1）網絡管理與配置復雜，由于三層結構各層負責相應功能，導致所有設備配置不一，出現網絡調整或故障發(fā)生，配置更改與排查定位相對復雜；（2）對邊緣設備性能要求高，數控制功能也均部署在此，其穩(wěn)定性及可靠性對整體網絡影響較大；（3）核心層配置相對簡單，只負責數據轉發(fā)，性能發(fā)揮不足，存在資源浪費問題；（4）隨著終端形式的不斷增加，廠商配套802.1x認證軟件采用私有標準，導致軟件對不同操作系統(tǒng)及不同版本兼容性差。

2 校園網絡架構及網絡認證改造思路

隨著目前網絡產品的日新月異，交換設備不斷升級，校園網絡模式也隨之更新?lián)Q代。以高性能、高可靠、多業(yè)務、強功能為核心的大二層架構的新一代校園網絡已經成為主流[1]。所謂大二層網絡架構，即整體網絡劃分為核心業(yè)務層與網絡接入層。將傳統(tǒng)三層架構中的匯聚層與接入層融為一層，該層僅提供vlan隔離與用戶接入功能，不涉及業(yè)務部署，因此對其所需支持功能要求較低，以此簡化了邊緣設備配置，降低了用戶接入成本，減輕了后期維護壓力。同時所有數據交換、業(yè)務控制、功能實現等全部交付核心業(yè)務層來實現，由于核心設備的高可靠特性與強大的數據轉發(fā)能力，為應用和業(yè)務部署提供了性能保障。

在上網認證方面，以便捷靈活的PORTAL認證取代了原有的802.1x認證。PORTAL認證也稱為WEB認證，用戶層面無需安裝任何客戶端軟件，當用戶接入網絡需要訪問互聯(lián)網資源時，僅通過操作系統(tǒng)自帶的瀏覽器自動彈出的WEB PORTAL頁面，需要提供已注冊的用戶名及密碼方可認證成功并訪問對應互聯(lián)網資源。簡化用戶認證過程，提升網絡使用體驗[2]。

3 大二層架構與PORTAL認證的改造與實現

3.1 核心部分

通過虛擬化技術，將兩臺業(yè)界高性能核心交換機虛擬為一臺，搭配雙電源雙引擎，高密度萬/千兆板卡，通過單/多模光纖上聯(lián)認證、流控、防火墻、出口負載等設備。實現核心至出口負載全部萬兆互聯(lián)。

3.2 出口負載部分

出口負載至ISP方面，根據不同ISP帶寬、IP地址以及用戶訪問資源情況，校園辦公、教學、科研等樓宇，全部采用Cernet實地址，用戶訪問教育網資源無須進行NAT轉換。學生宿舍用戶全部采用內網地址，通過NAT進行教育網與互聯(lián)網訪問。

3.3 樓宇匯聚部分

各樓宇匯聚設備刪減原有網關及路由協(xié)議配置，進行vlan透傳模式改造，所有網關配置上移至核心層，僅與底層接入設備提供用戶接入。核心與接入實現直連路由轉發(fā)模式，核心交換機僅有1條默認路由作為Internet訪問轉發(fā)。

3.4 用戶接入

用戶接入方面，采用DHCP+PORTAL認證模式，取消了原有出口網關認證方式。即將原有認證服務網關PORTAL響應機制下移至核心層，通過核心設備強大的性能優(yōu)勢，完成PORTAL彈出及用戶認證過程。撤銷原有DHCP服務器，所有IP地址管理與下發(fā)全部交由核心交換機完成。

此種模式優(yōu)勢在于：減輕認證網關壓力，避免性能瓶頸與源地址依賴等問題；DHCP與PORTAL認證集成，實現用戶接入網絡IP獲取的同時，MAC地址、接入時間、位置信息的精確同步記錄；數據實時統(tǒng)計，包括在線人數，網絡資源使用情況等信息。

4 結語

經過近1年時間的運行測試與后續(xù)優(yōu)化，逐步完成了我校校園網絡大二層改造。實踐證明，大二層網絡架構突破了傳統(tǒng)三層網絡架構的部分瓶頸問題，達到了用戶即插即用的使用體驗，實現了校園網高性能和易管理的預期效果。整體網絡結構更加合理，數據轉發(fā)更為高效，網絡運維和管理難度明顯降低，運維壓力與效率顯著提高，開放性及拓展性優(yōu)勢明顯[3]。因此可表明，大二層網絡架構是今后校園網絡建設與發(fā)展的必由之路。

參考文獻

[1]申繼年，丘家學.校園網組網架構的比較與分析三層交換架vs扁平純路由器架構[J].中國教育網絡，2012，（1）：44-45.

[2]繆其勇.基于扁平化理論優(yōu)化設計校園網[J].電腦知識與技術，2014，（18）：4155-4157.

[3]覃毅.校園網絡扁平化架構設計與實施[J].農業(yè)網絡信息，2015，（7）：20-22.

Abstract：The campus network is an important platform for carrying information and business of various higher education undertakings. The performance of the campus network not only affects the operation effect of the entire school network， but also relates to the development of the overall school education informatization. With the continuous intensification of the degree of informationization in schools， some bottlenecks in the traditional three-tier architecture network are gradually exposed. The second-tier network architecture emerges at the historic moment and can achieve the high-performance， easy-to-manage， plug-and-play development goals of the network. It is a network construction. The only road to improvement.

Key words：campus network； second floor； manageability