田愛(ài)寶，宋文文，張 婷

（1.中國(guó)石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，山東青島266580；2.中國(guó)石油大學(xué)（華東）計(jì)算機(jī)與通信工程學(xué)院，山東青島266580）

新型校園網(wǎng)絡(luò)的設(shè)計(jì)

田愛(ài)寶1，宋文文1，張 婷2

（1.中國(guó)石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，山東青島266580；2.中國(guó)石油大學(xué)（華東）計(jì)算機(jī)與通信工程學(xué)院，山東青島266580）

隨著網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展，校園網(wǎng)絡(luò)在運(yùn)維管理、網(wǎng)絡(luò)安全、多業(yè)務(wù)服務(wù)等方面越來(lái)越顯得力不從心，無(wú)法滿足校園信息化業(yè)務(wù)的需求。新型校園網(wǎng)絡(luò)將網(wǎng)絡(luò)扁平化，網(wǎng)絡(luò)控制層與轉(zhuǎn)發(fā)層分離、網(wǎng)絡(luò)管理層與用戶管理層分離，多業(yè)務(wù)網(wǎng)絡(luò)支撐等理念，利用虛擬化、多鏈路捆綁、SDN、IPoE、防火墻等技術(shù)，提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率、縮短業(yè)務(wù)部署時(shí)間、加強(qiáng)網(wǎng)絡(luò)安全防御、減小網(wǎng)絡(luò)管理難度、提升網(wǎng)絡(luò)整體水平。

校園網(wǎng)；扁平化；SDN；多業(yè)務(wù)

中國(guó)石油大學(xué)（華東）校園網(wǎng)絡(luò)經(jīng)過(guò)20年的發(fā)展，歷經(jīng)了20世紀(jì)90年代的校園網(wǎng)從無(wú)到有，新世紀(jì)的以路由交換為主的千兆以太網(wǎng)兩代網(wǎng)絡(luò)，在校園網(wǎng)信息化發(fā)展中做出了巨大貢獻(xiàn)。隨著校園信息化建設(shè)的發(fā)展，校園網(wǎng)絡(luò)作為信息化基礎(chǔ)越來(lái)越重要，不僅需要為信息系統(tǒng)提供網(wǎng)絡(luò)支撐，還要為用戶提供高速、穩(wěn)定、安全、便捷的網(wǎng)絡(luò)接入服務(wù)。在新時(shí)代下，辦公管理信息化、云計(jì)算大規(guī)模應(yīng)用、多媒體教學(xué)技術(shù)不斷更新、網(wǎng)絡(luò)教學(xué)逐漸鋪開(kāi)，傳統(tǒng)校園網(wǎng)絡(luò)在新應(yīng)用、新業(yè)務(wù)面前顯得力不從心，網(wǎng)絡(luò)無(wú)法滿足新業(yè)務(wù)新應(yīng)用的需求，網(wǎng)絡(luò)管理越來(lái)越復(fù)雜，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)絡(luò)需要朝新型的網(wǎng)絡(luò)發(fā)展。

一、設(shè)計(jì)思路

校園網(wǎng)絡(luò)面臨著復(fù)雜的網(wǎng)絡(luò)管理、復(fù)雜的業(yè)務(wù)需求、復(fù)雜的用戶群體，故在網(wǎng)絡(luò)設(shè)計(jì)中需要采用較為先進(jìn)的網(wǎng)絡(luò)技術(shù)，合理的網(wǎng)絡(luò)設(shè)計(jì)思路，達(dá)到簡(jiǎn)化網(wǎng)絡(luò)管理的目的，提升網(wǎng)絡(luò)安全水平，滿足不同用戶的網(wǎng)絡(luò)需求。

網(wǎng)絡(luò)結(jié)構(gòu)扁平化分為網(wǎng)絡(luò)物理結(jié)構(gòu)扁平化和邏輯結(jié)構(gòu)扁平化。高校校園網(wǎng)一般可以分成兩部分，即數(shù)據(jù)中心網(wǎng)絡(luò)和園區(qū)網(wǎng)絡(luò)，數(shù)據(jù)中心網(wǎng)絡(luò)基本上僅限于一個(gè)機(jī)房?jī)?nèi)部或直連的兩個(gè)或多個(gè)機(jī)房，物理鏈路簡(jiǎn)單，可以采取物理鏈路和邏輯鏈路扁平化的結(jié)構(gòu)；受物理位置和鏈路的限制，園區(qū)網(wǎng)比較分散，可以采用傳統(tǒng)的三層物理結(jié)構(gòu)之上實(shí)現(xiàn)邏輯結(jié)構(gòu)的扁平化。

網(wǎng)絡(luò)扁平化能有效解決單點(diǎn)故障，通過(guò)多鏈路捆綁實(shí)現(xiàn)鏈路帶寬成倍增加，減少網(wǎng)絡(luò)跳數(shù)，消除了匯聚層三層轉(zhuǎn)發(fā)性能瓶頸，提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。同時(shí)，減少匯聚層IP策略，將IP層策略集中到核心控制層，簡(jiǎn)化網(wǎng)絡(luò)管理，提高管理效率。

傳統(tǒng)網(wǎng)絡(luò)中，基礎(chǔ)網(wǎng)絡(luò)與用戶（認(rèn)證）管理結(jié)合緊密，甚至很多網(wǎng)絡(luò)（認(rèn)證）管理的控制層位于網(wǎng)絡(luò)的接入層，如802.1x認(rèn)證，一方面存在網(wǎng)絡(luò)管理復(fù)雜、設(shè)備不兼容等問(wèn)題；另一方面由于用戶認(rèn)證信息無(wú)法漫游導(dǎo)致用戶在校園網(wǎng)上需要使用多個(gè)賬號(hào)或網(wǎng)絡(luò)訪問(wèn)受限等問(wèn)題。

用戶（認(rèn)證）管理與基礎(chǔ)網(wǎng)絡(luò)分離后，用戶管理系統(tǒng)獨(dú)立于基礎(chǔ)網(wǎng)絡(luò)，由網(wǎng)絡(luò)接入設(shè)備、認(rèn)證計(jì)費(fèi)系統(tǒng)等組成，只負(fù)責(zé)所有用戶信息的管理，權(quán)限管理與分配，通過(guò)標(biāo)準(zhǔn)協(xié)議和接口實(shí)現(xiàn)用戶根據(jù)自己的權(quán)限在不同網(wǎng)絡(luò)和設(shè)備間的漫游，提高網(wǎng)絡(luò)的移動(dòng)性，同時(shí)可更好地與第三方軟硬件平臺(tái)對(duì)接，實(shí)現(xiàn)未來(lái)應(yīng)用系統(tǒng)與網(wǎng)絡(luò)的對(duì)接，達(dá)到用戶權(quán)限隨行的效果。

校園網(wǎng)是一套極其復(fù)雜的系統(tǒng)，除了正常提供用戶接入網(wǎng)絡(luò)外，校園網(wǎng)需要承載各種類(lèi)型的專用網(wǎng)絡(luò)，如一卡通網(wǎng)絡(luò)、財(cái)務(wù)專網(wǎng)等專用隔離的網(wǎng)絡(luò)。新型校園網(wǎng)絡(luò)需要提供支持多業(yè)務(wù)網(wǎng)絡(luò)服務(wù)，結(jié)合SDN、虛擬化等技術(shù)方便快速地開(kāi)展業(yè)務(wù)網(wǎng)絡(luò)服務(wù)，提高網(wǎng)絡(luò)利用率，縮短業(yè)務(wù)網(wǎng)絡(luò)部署時(shí)間。

SDN將原來(lái)網(wǎng)絡(luò)設(shè)備里的控制功能提取出來(lái)交由中心控制節(jié)點(diǎn)進(jìn)行集中控制，也就是“控制轉(zhuǎn)發(fā)分離”。通過(guò)“控制轉(zhuǎn)發(fā)分離”，網(wǎng)絡(luò)設(shè)備只需要負(fù)責(zé)數(shù)據(jù)包的轉(zhuǎn)發(fā)，而將復(fù)雜的網(wǎng)絡(luò)控制功能交由集中的控制器去處理。通過(guò)中心的控制節(jié)點(diǎn)進(jìn)行集中控制，也讓整網(wǎng)的轉(zhuǎn)發(fā)效率更高。“控制轉(zhuǎn)發(fā)分離”后，由集中的控制器去對(duì)接上層業(yè)務(wù)系統(tǒng)，控制器可以屏蔽下層復(fù)雜的網(wǎng)絡(luò)協(xié)議和技術(shù)細(xì)節(jié)，將下層網(wǎng)絡(luò)變成端口、帶寬等資源提交上層業(yè)務(wù)系統(tǒng)。上層業(yè)務(wù)系統(tǒng)也只需要和集中的控制器打交道，而不再需要去向全網(wǎng)所有設(shè)備下發(fā)指令，或者人工將業(yè)務(wù)需求變成一條一條網(wǎng)絡(luò)設(shè)備命令行遠(yuǎn)程登錄到設(shè)備上進(jìn)行配置，在開(kāi)展多業(yè)務(wù)網(wǎng)絡(luò)服務(wù)中能極大地簡(jiǎn)化網(wǎng)絡(luò)配置管理，縮短業(yè)務(wù)部署時(shí)間。

校園網(wǎng)絡(luò)中接入各種網(wǎng)絡(luò)設(shè)備及終端，如網(wǎng)絡(luò)設(shè)備、服務(wù)器、PC、手機(jī)、平板電腦等，不同設(shè)備及終端保存著不同重要性的數(shù)據(jù)。根據(jù)對(duì)數(shù)據(jù)重要性進(jìn)行分析，將網(wǎng)絡(luò)終端和網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行劃分不同安全等級(jí)，采取不同的安全防護(hù)措施，對(duì)于學(xué)校核心數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)用戶非重要數(shù)據(jù)進(jìn)行簡(jiǎn)單保護(hù)或由用戶自行安全保護(hù)等。

二、設(shè)計(jì)方案

根據(jù)校園網(wǎng)功能和特點(diǎn)，結(jié)合設(shè)計(jì)思路，校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

通過(guò)拓?fù)鋱D，校園網(wǎng)絡(luò)采用雙核心交換機(jī)設(shè)計(jì)，通過(guò)雙鏈路連接到多出口路由設(shè)備、用戶認(rèn)證接入設(shè)備、鏈路匯合交換機(jī)和數(shù)據(jù)中心核心交換機(jī)，保障骨干網(wǎng)絡(luò)的高帶寬和網(wǎng)絡(luò)的穩(wěn)定性。在校園網(wǎng)園區(qū)網(wǎng)絡(luò)部分，為了節(jié)省園區(qū)內(nèi)骨干光纜，在各樓宇繼續(xù)保留網(wǎng)絡(luò)匯聚點(diǎn)，取消原有的網(wǎng)絡(luò)匯聚層，更改成鏈路匯合交換機(jī)，向上與核心交換機(jī)采用多鏈路捆綁技術(shù)，滿足高帶寬、高可靠性的需求，向下提供接入交換機(jī)高密度接入能力。園區(qū)網(wǎng)絡(luò)接入交換機(jī)根據(jù)業(yè)務(wù)需求，提供普通用戶上網(wǎng)接入和專用網(wǎng)絡(luò)接入服務(wù)，在條件允許的情況下，在部分接入機(jī)房安裝獨(dú)立的交換機(jī)為專網(wǎng)提供服務(wù)，同時(shí)無(wú)線網(wǎng)有線部分完全融入有線網(wǎng)絡(luò)，PoE交換機(jī)直接接入到鏈路匯合交換機(jī)，將無(wú)線AP作為網(wǎng)絡(luò)終端考慮。

園區(qū)網(wǎng)絡(luò)邏輯網(wǎng)絡(luò)完全按照扁平化大二層網(wǎng)絡(luò)考慮，每個(gè)接入交換機(jī)劃分不同的VLAN，并做好端口隔離，將VLAN通過(guò)鏈路匯合交換機(jī)、核心交換機(jī)透?jìng)鞯接脩艟W(wǎng)絡(luò)接入設(shè)備 （BRAS），用戶通過(guò)IPoE+Portal或PPPoE認(rèn)證后使用路由模式連接到核心交換機(jī)，完成對(duì)互聯(lián)網(wǎng)和數(shù)據(jù)中心的訪問(wèn)。由于用戶網(wǎng)絡(luò)接入設(shè)備（BRAS）處于網(wǎng)絡(luò)核心位置，在網(wǎng)絡(luò)設(shè)計(jì)中考慮使用雙機(jī)熱備的部署模式，并與后臺(tái)計(jì)費(fèi)認(rèn)證系統(tǒng)雙radius服務(wù)器對(duì)接，保證網(wǎng)絡(luò)的穩(wěn)定性。

數(shù)據(jù)中心網(wǎng)絡(luò)相對(duì)獨(dú)立，完全采用扁平化的二層網(wǎng)絡(luò)結(jié)構(gòu)，接入交換機(jī)雙鏈路分別直連到兩臺(tái)數(shù)據(jù)中心核心交換機(jī)，并在網(wǎng)內(nèi)實(shí)現(xiàn)大二層網(wǎng)絡(luò)，滿足虛擬化、云計(jì)算對(duì)網(wǎng)絡(luò)的需求。由于學(xué)校絕大部分?jǐn)?shù)據(jù)均在數(shù)據(jù)中心，且數(shù)據(jù)重要性比較高，故在數(shù)據(jù)中心核心交換機(jī)上增加防火墻、入侵檢測(cè)、Web防護(hù)等網(wǎng)絡(luò)安全板卡或設(shè)備，根據(jù)數(shù)據(jù)中心應(yīng)用系統(tǒng)和數(shù)據(jù)的重要性配置不同的安全策略，滿足對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全防護(hù)。

除了上述網(wǎng)絡(luò)轉(zhuǎn)發(fā)層，網(wǎng)絡(luò)控制管理層是整個(gè)網(wǎng)絡(luò)的大腦，由傳統(tǒng)的網(wǎng)絡(luò)管理、監(jiān)控系統(tǒng)和SDN控制器等組成，對(duì)下負(fù)責(zé)對(duì)網(wǎng)絡(luò)硬件設(shè)備下發(fā)網(wǎng)絡(luò)參數(shù)和策略，對(duì)上提供用戶管理界面，并開(kāi)放與第三方系統(tǒng)對(duì)接接口。從邏輯上，網(wǎng)絡(luò)控制管理層從網(wǎng)絡(luò)設(shè)備中獨(dú)立出來(lái)，由計(jì)算機(jī)性能更高的服務(wù)器等硬件進(jìn)行網(wǎng)絡(luò)路徑和策略的計(jì)算，這也符合SDN網(wǎng)絡(luò)的邏輯。由于新一代校園網(wǎng)絡(luò)建設(shè)有一定的周期，故網(wǎng)絡(luò)控制管理層中傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)逐步過(guò)渡到軟件定義網(wǎng)絡(luò)、軟件定義存儲(chǔ)等軟件定義所有系統(tǒng)的控制器。

借助SDN技術(shù)，新型校園網(wǎng)絡(luò)不在是傳統(tǒng)的校園網(wǎng)，不僅只提供用戶接入互聯(lián)網(wǎng)服務(wù)，而是一張多業(yè)務(wù)網(wǎng)絡(luò)。通過(guò)在SDN控制器上少量的操作即可完成一張業(yè)務(wù)網(wǎng)絡(luò)的部署。如某業(yè)務(wù)網(wǎng)需要將校園網(wǎng)內(nèi)任何地方的兩個(gè)不同交換機(jī)的端口互通，只需在SDN控制中創(chuàng)建一個(gè)租戶網(wǎng)，并將這兩個(gè)端口加入該網(wǎng)，SDN控制器自動(dòng)計(jì)算轉(zhuǎn)發(fā)路徑并將數(shù)據(jù)下發(fā)到相關(guān)交換機(jī)，交換機(jī)即可按照路徑轉(zhuǎn)發(fā)，如圖2所示。

圖2 SDN網(wǎng)絡(luò)轉(zhuǎn)發(fā)圖

新型校園網(wǎng)絡(luò)涉及較多的新技術(shù)、新理念，在實(shí)施過(guò)程中會(huì)面臨到成本較高、網(wǎng)絡(luò)較難整合等相關(guān)問(wèn)題，同時(shí)節(jié)省投資、充分利舊的思路，可以考慮總體設(shè)計(jì)分步實(shí)施的方式完成校園網(wǎng)的升級(jí)換代。在設(shè)備選型過(guò)程中，必須考慮設(shè)備支持Openflow、Open Daylight等SDN相關(guān)協(xié)議，支持MPLSVPN、虛擬化等功能，可以與傳統(tǒng)網(wǎng)絡(luò)對(duì)接等需求。

三、結(jié)論

新型校園網(wǎng)絡(luò)改變傳統(tǒng)網(wǎng)絡(luò)中架構(gòu)和理念，總結(jié)了傳統(tǒng)網(wǎng)絡(luò)的優(yōu)缺點(diǎn)，取長(zhǎng)補(bǔ)短，并提升了網(wǎng)絡(luò)的可擴(kuò)展性、可移動(dòng)性、可管理性，并提供了多業(yè)務(wù)支撐，能有效解決當(dāng)前網(wǎng)絡(luò)面臨的各種問(wèn)題，同時(shí)采用較為先進(jìn)的網(wǎng)絡(luò)技術(shù)和管理手段，提升網(wǎng)絡(luò)管理水平，并為未來(lái)業(yè)務(wù)發(fā)展提供了足夠的空間。

［1］吳旭東，柳炳祥.校園網(wǎng)網(wǎng)絡(luò)規(guī)劃的設(shè)計(jì)與實(shí)現(xiàn)［J］.電腦開(kāi)發(fā)與應(yīng)用，2011，24（11）:64-65.

［2］吳圣潔，夏添.數(shù)據(jù)中心網(wǎng)絡(luò)扁平化設(shè)計(jì)［J］.微型電腦應(yīng)用，2013，29（11）:27-30.

［3］劉維，姚錦衛(wèi).高校校園網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)系統(tǒng)研究［J］.現(xiàn)代計(jì)算機(jī)，2008（5）:93-94.

［4］趙慧玲，馮明，史凡.SDN——未來(lái)網(wǎng)絡(luò)演進(jìn)的重要趨勢(shì)［J］.電信學(xué)，2012（11）:1-5.

［5］伏曉，蔡圣聞，謝立.網(wǎng)絡(luò)安全管理技術(shù)研究［J］.計(jì)算機(jī)科學(xué)，2009，36（2）:15-19，54.

（編輯：楊馥紅）

TP393

A

1673-8454（2015）11-0067-03