劉鵬 王光武 孫謙

摘要：校園網(wǎng)絡(luò)作為承載著高教各項事業(yè)的信息與業(yè)務(wù)的重要平臺，其性能發(fā)揮的好壞不僅關(guān)系到學(xué)校整網(wǎng)運行效果，更關(guān)系到整體學(xué)校教育信息化事業(yè)的發(fā)展。隨著學(xué)校信息化程度的不斷深化，傳統(tǒng)三層架構(gòu)網(wǎng)絡(luò)部分瓶頸問題逐漸暴露，大二層網(wǎng)絡(luò)架構(gòu)應(yīng)運而生，可實現(xiàn)網(wǎng)絡(luò)高性能、易管理、即插即用的發(fā)展目標，是網(wǎng)絡(luò)建設(shè)與改造的必由之路。

關(guān)鍵詞：校園網(wǎng)絡(luò)；大二層；易管理

中圖分類號：G434 文獻標識碼：A 文章編號：1007-9416（2018）06-0227-01

1989年國家教委頒發(fā)《國家教育管理信息系統(tǒng)總體規(guī)劃綱要》。1994年，我國政府開始投資建設(shè)中國教育和科研計算機網(wǎng)（簡稱Cernet）。在此重大工程建設(shè)的推動下，我國各地高校逐步開始了校園網(wǎng)的建設(shè)，自此進入校園網(wǎng)絡(luò)建設(shè)時代。校園網(wǎng)絡(luò)作為學(xué)校信息交互與管理的重要平臺，在學(xué)校教學(xué)、科研、管理、信息服務(wù)等方面，發(fā)揮著不可替代的作用。

1 我校校園網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)認證現(xiàn)狀

我校校園網(wǎng)絡(luò)2001年投入使用，同樣采用當時流行的“核心—匯聚—接入”三層架構(gòu)與802.1X客戶端認證模式。核心層建設(shè)在校園數(shù)據(jù)中心內(nèi)，通過三臺高性能網(wǎng)絡(luò)交換機實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，各樓宇通過匯聚設(shè)備實現(xiàn)三層路由的構(gòu)建，通過接入設(shè)備實現(xiàn)各信息點的高密接入，各接入終端通過認證設(shè)備廠商配套802.1x軟件實現(xiàn)上網(wǎng)認證。

三層架構(gòu)的組網(wǎng)方式在校園網(wǎng)絡(luò)建設(shè)初期發(fā)揮了很大作用，達到了校園內(nèi)各節(jié)點高速接入與互通，實現(xiàn)了上網(wǎng)實名認證等功能。但該模式在管理上相對粗放，隨著網(wǎng)絡(luò)業(yè)務(wù)的不斷增加，數(shù)據(jù)流量的快速增長，隱含的問題逐漸暴露：（1）網(wǎng)絡(luò)管理與配置復(fù)雜，由于三層結(jié)構(gòu)各層負責(zé)相應(yīng)功能，導(dǎo)致所有設(shè)備配置不一，出現(xiàn)網(wǎng)絡(luò)調(diào)整或故障發(fā)生，配置更改與排查定位相對復(fù)雜；（2）對邊緣設(shè)備性能要求高，數(shù)控制功能也均部署在此，其穩(wěn)定性及可靠性對整體網(wǎng)絡(luò)影響較大；（3）核心層配置相對簡單，只負責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，性能發(fā)揮不足，存在資源浪費問題；（4）隨著終端形式的不斷增加，廠商配套802.1x認證軟件采用私有標準，導(dǎo)致軟件對不同操作系統(tǒng)及不同版本兼容性差。

2 校園網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)認證改造思路

隨著目前網(wǎng)絡(luò)產(chǎn)品的日新月異，交換設(shè)備不斷升級，校園網(wǎng)絡(luò)模式也隨之更新?lián)Q代。以高性能、高可靠、多業(yè)務(wù)、強功能為核心的大二層架構(gòu)的新一代校園網(wǎng)絡(luò)已經(jīng)成為主流[1]。所謂大二層網(wǎng)絡(luò)架構(gòu)，即整體網(wǎng)絡(luò)劃分為核心業(yè)務(wù)層與網(wǎng)絡(luò)接入層。將傳統(tǒng)三層架構(gòu)中的匯聚層與接入層融為一層，該層僅提供vlan隔離與用戶接入功能，不涉及業(yè)務(wù)部署，因此對其所需支持功能要求較低，以此簡化了邊緣設(shè)備配置，降低了用戶接入成本，減輕了后期維護壓力。同時所有數(shù)據(jù)交換、業(yè)務(wù)控制、功能實現(xiàn)等全部交付核心業(yè)務(wù)層來實現(xiàn)，由于核心設(shè)備的高可靠特性與強大的數(shù)據(jù)轉(zhuǎn)發(fā)能力，為應(yīng)用和業(yè)務(wù)部署提供了性能保障。

在上網(wǎng)認證方面，以便捷靈活的PORTAL認證取代了原有的802.1x認證。PORTAL認證也稱為WEB認證，用戶層面無需安裝任何客戶端軟件，當用戶接入網(wǎng)絡(luò)需要訪問互聯(lián)網(wǎng)資源時，僅通過操作系統(tǒng)自帶的瀏覽器自動彈出的WEB PORTAL頁面，需要提供已注冊的用戶名及密碼方可認證成功并訪問對應(yīng)互聯(lián)網(wǎng)資源。簡化用戶認證過程，提升網(wǎng)絡(luò)使用體驗[2]。

3 大二層架構(gòu)與PORTAL認證的改造與實現(xiàn)

3.1 核心部分

通過虛擬化技術(shù)，將兩臺業(yè)界高性能核心交換機虛擬為一臺，搭配雙電源雙引擎，高密度萬/千兆板卡，通過單/多模光纖上聯(lián)認證、流控、防火墻、出口負載等設(shè)備。實現(xiàn)核心至出口負載全部萬兆互聯(lián)。

3.2 出口負載部分

出口負載至ISP方面，根據(jù)不同ISP帶寬、IP地址以及用戶訪問資源情況，校園辦公、教學(xué)、科研等樓宇，全部采用Cernet實地址，用戶訪問教育網(wǎng)資源無須進行NAT轉(zhuǎn)換。學(xué)生宿舍用戶全部采用內(nèi)網(wǎng)地址，通過NAT進行教育網(wǎng)與互聯(lián)網(wǎng)訪問。

3.3 樓宇匯聚部分

各樓宇匯聚設(shè)備刪減原有網(wǎng)關(guān)及路由協(xié)議配置，進行vlan透傳模式改造，所有網(wǎng)關(guān)配置上移至核心層，僅與底層接入設(shè)備提供用戶接入。核心與接入實現(xiàn)直連路由轉(zhuǎn)發(fā)模式，核心交換機僅有1條默認路由作為Internet訪問轉(zhuǎn)發(fā)。

3.4 用戶接入

用戶接入方面，采用DHCP+PORTAL認證模式，取消了原有出口網(wǎng)關(guān)認證方式。即將原有認證服務(wù)網(wǎng)關(guān)PORTAL響應(yīng)機制下移至核心層，通過核心設(shè)備強大的性能優(yōu)勢，完成PORTAL彈出及用戶認證過程。撤銷原有DHCP服務(wù)器，所有IP地址管理與下發(fā)全部交由核心交換機完成。

此種模式優(yōu)勢在于：減輕認證網(wǎng)關(guān)壓力，避免性能瓶頸與源地址依賴等問題；DHCP與PORTAL認證集成，實現(xiàn)用戶接入網(wǎng)絡(luò)IP獲取的同時，MAC地址、接入時間、位置信息的精確同步記錄；數(shù)據(jù)實時統(tǒng)計，包括在線人數(shù)，網(wǎng)絡(luò)資源使用情況等信息。

4 結(jié)語

經(jīng)過近1年時間的運行測試與后續(xù)優(yōu)化，逐步完成了我校校園網(wǎng)絡(luò)大二層改造。實踐證明，大二層網(wǎng)絡(luò)架構(gòu)突破了傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)的部分瓶頸問題，達到了用戶即插即用的使用體驗，實現(xiàn)了校園網(wǎng)高性能和易管理的預(yù)期效果。整體網(wǎng)絡(luò)結(jié)構(gòu)更加合理，數(shù)據(jù)轉(zhuǎn)發(fā)更為高效，網(wǎng)絡(luò)運維和管理難度明顯降低，運維壓力與效率顯著提高，開放性及拓展性優(yōu)勢明顯[3]。因此可表明，大二層網(wǎng)絡(luò)架構(gòu)是今后校園網(wǎng)絡(luò)建設(shè)與發(fā)展的必由之路。

參考文獻

[1]申繼年，丘家學(xué).校園網(wǎng)組網(wǎng)架構(gòu)的比較與分析三層交換架vs扁平純路由器架構(gòu)[J].中國教育網(wǎng)絡(luò)，2012，（1）：44-45.

[2]繆其勇.基于扁平化理論優(yōu)化設(shè)計校園網(wǎng)[J].電腦知識與技術(shù)，2014，（18）：4155-4157.

[3]覃毅.校園網(wǎng)絡(luò)扁平化架構(gòu)設(shè)計與實施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2015，（7）：20-22.

Abstract：The campus network is an important platform for carrying information and business of various higher education undertakings. The performance of the campus network not only affects the operation effect of the entire school network， but also relates to the development of the overall school education informatization. With the continuous intensification of the degree of informationization in schools， some bottlenecks in the traditional three-tier architecture network are gradually exposed. The second-tier network architecture emerges at the historic moment and can achieve the high-performance， easy-to-manage， plug-and-play development goals of the network. It is a network construction. The only road to improvement.

Key words：campus network； second floor； manageability