陳博
摘要:隨著近幾年高校智慧校園建設(shè)的全面展開,傳統(tǒng)的三層校園網(wǎng)架構(gòu)已不能很好承載日益豐富的校園應(yīng)用,粗放式的校園網(wǎng)管理方式已經(jīng)不適應(yīng)今后的發(fā)展需要。本文針對校園網(wǎng)架構(gòu)的現(xiàn)狀進行了面向下一代的校園網(wǎng)可演進架構(gòu)方案的研究分析。
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)架構(gòu);智慧校園;改造方案
中圖分類號:TP393? ? ? ? 文獻標(biāo)識碼:A
文章編號:1009-3044(2019)18-0015-03
1 概述
隨著社會信息化的高速發(fā)展和智慧校園建設(shè)的全面展開,一方面校內(nèi)用網(wǎng)用戶數(shù)量成倍增加,每用戶控制終端數(shù)超過一臺;另一方面用戶所使用的網(wǎng)絡(luò)應(yīng)用數(shù)量更是呈現(xiàn)爆發(fā)式增長,應(yīng)用類型由單一的http應(yīng)用態(tài)勢轉(zhuǎn)變?yōu)橐詇ttp和流媒體為主,p2p等多協(xié)議全面鋪開的態(tài)勢。
當(dāng)下,網(wǎng)絡(luò)應(yīng)用已滲透入校園生活的各個層面,用戶對網(wǎng)絡(luò)的依賴度越來越高,可以說離開網(wǎng)絡(luò)已無法辦事。校園網(wǎng)過去的定位即負(fù)責(zé)用戶接入已遠遠不能滿足現(xiàn)有用戶的需要。將校園網(wǎng)改造成一張高性能、精細化、易運維的下一代網(wǎng)絡(luò)已刻不容緩。
2 改造方案研究
2.1 組網(wǎng)模式選擇
當(dāng)今校園網(wǎng)的建設(shè)主要存在兩種建設(shè)思路:基于扁平化架構(gòu)的路由組網(wǎng)模式和傳統(tǒng)的三層交換式組網(wǎng)模式[1]。以下就這兩種網(wǎng)絡(luò)改造方案做具體比較:
(1)交換組網(wǎng)模式(如圖1所示)
在傳統(tǒng)的交換式組網(wǎng)模式下,網(wǎng)絡(luò)通常被劃分為核心、匯聚、接入三個層面,各個層面分別實現(xiàn)不同的業(yè)務(wù)功能。核心層設(shè)備在網(wǎng)絡(luò)中一般部署很少的業(yè)務(wù),主要在網(wǎng)絡(luò)中負(fù)責(zé)高速轉(zhuǎn)發(fā)的工作,匯聚層設(shè)備要求較高,主要負(fù)責(zé)IPV4\IPV6終結(jié)、IPV4\IPV6單播及組播的控制和ACL、QoS等功能,然而在架構(gòu)中最廉價的接入層設(shè)備則要部署很多安全和接入控制功能,包括用戶隔離、速率限制、DHCP偵聽、動態(tài)ARP檢測、PVLAN等功能。
可以看出,在這種組網(wǎng)模式下校園網(wǎng)中最容易出現(xiàn)的故障即接入設(shè)備損壞會給網(wǎng)絡(luò)運維人員帶來很大的工作量,除去替換設(shè)備的協(xié)調(diào)問題,接入設(shè)備繁多的配置寫入和調(diào)試將耗費大量的時間,從而延遲網(wǎng)絡(luò)故障的恢復(fù),對用戶造成極大的影響。
(2)路由組網(wǎng)模式(如圖2所示)
在路由組網(wǎng)模式下,網(wǎng)絡(luò)的物理結(jié)構(gòu)可以不做變化,仍然是接入、匯聚、核心,但是邏輯結(jié)構(gòu)轉(zhuǎn)變?yōu)閮蓪咏Y(jié)構(gòu),即寬帶接入層和業(yè)務(wù)控制層。寬帶接入層對應(yīng)著交換組網(wǎng)模式中的接入和匯聚層,而業(yè)務(wù)控制層對應(yīng)著交換組網(wǎng)模式中的核心層。
路由組網(wǎng)模式的二層架構(gòu)相較于傳統(tǒng)交換組網(wǎng)模式的三層架構(gòu)最主要的區(qū)別在于將之前大部分分散在接入、匯聚層上實現(xiàn)的功能幾乎全部集中在核心層設(shè)備上實現(xiàn)。也就是說寬帶接入層主要負(fù)責(zé)終端的網(wǎng)絡(luò)接入,業(yè)務(wù)控制層主要負(fù)責(zé)業(yè)務(wù)的部署和控制功能的下發(fā)。
在校園網(wǎng)發(fā)展的早期采用交換式三層架構(gòu)有其歷史原因。首先,由于硬件參數(shù)所限核心設(shè)備的性能不足以支撐全網(wǎng)的業(yè)務(wù)控制;其次,采購多臺高性能核心設(shè)備需要大量資金投入,早期高校完全無法承擔(dān)。而在技術(shù)飛速發(fā)展的今天,核心網(wǎng)絡(luò)設(shè)備的功能和性能越來越強大,足夠承擔(dān)核心和匯聚統(tǒng)一的功能,因此將傳統(tǒng)的核心和匯聚組合成業(yè)務(wù)控制層,一方面減少網(wǎng)絡(luò)層次,將接入和匯聚設(shè)備從業(yè)務(wù)控制的壓力下解放出來,用足性能做高速轉(zhuǎn)發(fā),從而解決由接入、匯聚層網(wǎng)絡(luò)設(shè)備的性能瓶頸造成的網(wǎng)絡(luò)擁塞;另一方面,相較于交換組網(wǎng)模式,接入層故障只需要找到替換設(shè)備,直接導(dǎo)入接入層的通用配置即可上線使用,給網(wǎng)絡(luò)運維人員帶來極大的便利,也縮短了故障恢復(fù)的時間。
綜合來說路由組網(wǎng)模式是未來網(wǎng)絡(luò)發(fā)展的趨勢,它代表著網(wǎng)絡(luò)向下一代演進的方向,它帶給用戶的不僅僅是技術(shù)的先進性,還有對未來投資的保護。
2.2 設(shè)備功能分解
(1)Radius服務(wù)器負(fù)責(zé)用戶信息收集和整理,生成報表,用戶計費,也負(fù)責(zé)根據(jù)用戶登錄信息,通知核心路由器下發(fā)對應(yīng)的訪問策略。
(2)核心路由器負(fù)責(zé)用戶接入,終結(jié)QinQ,給用戶分配地址、下發(fā)訪問策略,將用戶的接入信息轉(zhuǎn)發(fā)到Radius服務(wù)器[2]。
(3)匯聚交換機負(fù)責(zé)打QinQ第二次標(biāo)記,進行vlan擴展,同時匯聚端口,將連接接入交換機的多個千兆接口,匯聚成1-2個萬兆端口,與核心路由器互連。
(4)接入交換機負(fù)責(zé)通過每端口1個vlan的方式進行用戶隔離,保證不同端口下的用戶在不同廣播域內(nèi),避免相同廣播域中某一端口產(chǎn)生的ARP攻擊、廣播風(fēng)暴影響接入的所有用戶。
(5)防火墻負(fù)責(zé)校內(nèi)用戶訪問公網(wǎng)時的地址轉(zhuǎn)換,以及提供對校園網(wǎng)邊界的安全防護。
3 網(wǎng)絡(luò)業(yè)務(wù)的實現(xiàn)
3.1 用戶接入的實現(xiàn)
(1)辦公教學(xué)區(qū)的用戶接入
辦公教學(xué)區(qū)內(nèi)的用戶相對穩(wěn)定,考慮到盡量減少用戶終端設(shè)備的配置,采用設(shè)置動態(tài)獲取IP地址的方式進行接入。用戶動態(tài)獲得校內(nèi)地址后,即可登錄進校園網(wǎng),訪問所有內(nèi)網(wǎng)資源。一旦用戶終端需要獲取因特網(wǎng)資源,其向公網(wǎng)發(fā)出的請求會被核心路由器截獲,由核心路由器將用戶的請求重定向至Radius服務(wù)器,由Radius服務(wù)器向用戶推送權(quán)限認(rèn)證的Portal頁面,用戶需要提供有相應(yīng)權(quán)限的賬號信息,Radius服務(wù)器對照數(shù)據(jù)庫中用戶屬性返回給核心路由器,則核心路由器根據(jù)該屬性動態(tài)分配給用戶相應(yīng)的訪問權(quán)限[3],用戶即可自由地進行操作(如圖4所示)。
(2)宿舍區(qū)用戶的接入
在宿舍區(qū)提供PPPoE認(rèn)證,主要考慮到PPPoE適合于宿舍區(qū)的應(yīng)用,它很容易檢查到用戶下線,可通過一個PPP會話的建立和釋放對用戶進行基于時長或流量的統(tǒng)計,計費方式靈活方便;它可以提供動態(tài)IP地址分配方式,用戶無須任何配置且windows自帶PPPoe客戶端,維護簡單,無須添加設(shè)備就可解決IP地址短缺問題,同時根據(jù)分配的IP地址,可以很好地定位用戶在本網(wǎng)內(nèi)的活動;PPPoE通道互相隔離,能夠天然抵御ARP欺騙、仿冒源地址攻擊等問題,極大減輕網(wǎng)絡(luò)管理員的工作量,并有效保障了整個校園網(wǎng)絡(luò)的可靠性和穩(wěn)定性;同時PPPoE模式已由運營商在大量小區(qū)環(huán)境下實施,非常成熟。
宿舍區(qū)用戶接入時,PPPoE客戶端會廣播發(fā)送一個PADI報文,在此報文中包含PPPoE 客戶端想要得到的服務(wù)類型信息。核心路由器收到PADI報文之后,將其中請求的服務(wù)與自己能夠提供的服務(wù)進行比較,如果可以提供,則單播回復(fù)一個PADO報文。對于每個用戶的PPPoE會話,都可以根據(jù)用戶的身份信息進行相應(yīng)的訪問權(quán)限控制、上下行速率限制以及根據(jù)流量、時長等采取不同策略的計費功能(如圖5所示)。
(3)免認(rèn)證用戶的接入
對于學(xué)校工作人員的機器可以采用免認(rèn)證的接入方式,來提高用戶的上網(wǎng)體驗,通過用戶名和機器MAC的綁定來實現(xiàn)。
這里的MAC地址綁定有兩種方式,一種就是在后臺Radius初始添加賬號時手動輸入用戶的賬號和機器MAC地址進行綁定,用戶訪問網(wǎng)絡(luò)進行認(rèn)證時,后臺Radius查找本地數(shù)據(jù)庫根據(jù)綁定關(guān)系自動放行。
另一種方式需要用戶撥號到認(rèn)證計費系統(tǒng)以后,認(rèn)證計費系統(tǒng)記錄其數(shù)據(jù)信息,再對其賬號進行一鍵綁定。
3.2 特殊業(yè)務(wù)的部署
以一卡通系統(tǒng)為例,這些需要二層互通的業(yè)務(wù),采用終端配置固定地址,在核心路由器上通過橋接方式實現(xiàn)各設(shè)備之間的二層互通,具體操作上在接入交換機將所有一卡通終端所接的接口劃分在同一個VLAN中,如VLAN 4000;匯聚交換機利用靈活QinQ機制,對特殊VLAN標(biāo)記,不打第二層VLAN標(biāo)記,而是實現(xiàn)VLAN透傳;在核心路由器上根據(jù)一卡通VLAN標(biāo)記,在所有接口上配置靜態(tài)子接口與之對應(yīng),如Xe-0/0/0.4000,Xe-0/0/1.4000將所有一卡通靜態(tài)子接口,如Xe-0/0/0.4000,Xe-0/0/1.4000通過橋接方式,劃分在一個二層域內(nèi),實現(xiàn)二層互通。
3.3 終端固定IP地址的實現(xiàn)
對于一些服務(wù)器或網(wǎng)絡(luò)打印機等終端,需要保持其IP地址固定,也可采用DHCP方式獲取地址,但通過在DHCP服務(wù)器上的配置綁定,保證同一個MAC地址的DHCP請求每次都被分配到同一個IP地址。
3.4 用戶互訪控制的實現(xiàn)
在路由網(wǎng)絡(luò)架構(gòu)中,用戶和服務(wù)器在業(yè)務(wù)控制層面即核心設(shè)備上實現(xiàn)統(tǒng)一的地址規(guī)劃管控(如圖6所示)。所有用戶設(shè)備對于校內(nèi)服務(wù)器的網(wǎng)絡(luò)請求都會經(jīng)過核心路由器。這種方式帶來的優(yōu)勢是對用戶和網(wǎng)絡(luò)中流量的控制能力更強,管理維護更加簡化,但相應(yīng)核心設(shè)備也需要有強大的性能來提供大量用戶的并發(fā)終結(jié),這種所有端口的全線速轉(zhuǎn)發(fā)不會導(dǎo)致網(wǎng)絡(luò)整體性能的下降。
另外這種方式下,終結(jié)在同一臺核心路由器上的客戶端和服務(wù)器的互訪流量對匯聚到核心之間的帶寬占用也相應(yīng)提高。由于改造后整個校園網(wǎng)匯聚和核心之間都采用了萬兆以上的互聯(lián),因此這部分的帶寬占用對網(wǎng)絡(luò)整體帶寬影響不大。此外,這種方式下,用戶之間的互訪,如文件共享或打印機共享,均可以通過三層方式實現(xiàn),即基于IP地址的共享來實現(xiàn)。
4 結(jié)束語
通過傳統(tǒng)三層交換方式組建的校園網(wǎng),從網(wǎng)絡(luò)業(yè)務(wù)管控的角度來看,只滿足了用戶基本的網(wǎng)絡(luò)接入需求,而缺乏對于用戶策略層面的業(yè)務(wù)管控。用戶的網(wǎng)絡(luò)訪問過程中沒有針對性的記錄、審計和控制,從而導(dǎo)致了網(wǎng)絡(luò)的無序使用。
為了更好地支撐智慧校園建設(shè),校園網(wǎng)粗放式的管理方式必將向精細化管理方向轉(zhuǎn)變。一方面,針對網(wǎng)絡(luò)中的使用者實現(xiàn)基于用戶身份的行為控制,做到可控制、可管理。另一方面,針對網(wǎng)絡(luò)中的應(yīng)用實現(xiàn)完善的流量識別和控制能力,保障重要應(yīng)用系統(tǒng)的網(wǎng)絡(luò)承載,包括安全性、帶寬保障、可靠性等方面,做到可識別、可保障[4]。
參考文獻:
[1] 繆其勇.基于扁平化理論優(yōu)化設(shè)計校園網(wǎng)[J].電腦知識與技術(shù),2014.
[2] 史壽樂.基于QinQ協(xié)議的校園網(wǎng)扁平化改造設(shè)計[D].安徽大學(xué),2014.
[3] 湯小康.高校校園網(wǎng)的精細化管理解決方案[J].信息與電腦(理論版),2014.
[4] 吳乃忠.基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設(shè)研究[J].電子世界,2012.
【通聯(lián)編輯:王力】