李白燕　鄭州

摘 要：傳統(tǒng)的校園網(wǎng)建設(shè)主要采用：核心層—匯聚層—接入層的三層網(wǎng)絡(luò)架構(gòu)，一般均使用三層數(shù)據(jù)交換的網(wǎng)絡(luò)架構(gòu)方式，由于三層交換機(jī)擁有端口數(shù)高、接口傳輸快速和較強(qiáng)的數(shù)據(jù)通訊及交換性能，可以滿足校園網(wǎng)建設(shè)的高帶寬、快速互聯(lián)和轉(zhuǎn)發(fā)的需求。但是，這種網(wǎng)絡(luò)架構(gòu)在當(dāng)前校園用戶量激增的情況下，各種應(yīng)用系統(tǒng)和業(yè)務(wù)平臺迅速增加，網(wǎng)絡(luò)寬帶流量激增和復(fù)雜的情況下，會存在一些問題，基于扁平化架構(gòu)精細(xì)化管理校園網(wǎng)絡(luò)，不僅能解決帶寬網(wǎng)絡(luò)接入的傳統(tǒng)問題，而且也能面對下一代網(wǎng)絡(luò)提供針對IPv6的完善支持和規(guī)?；渴饝?yīng)用，并與認(rèn)證方式實(shí)現(xiàn)完善融合。

關(guān)鍵詞：扁平化；校園網(wǎng)絡(luò)；精細(xì)化；管理；維護(hù)

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2016）17-0048-04

近年來，教育信息化建設(shè)迅速發(fā)展，以教育部“三通”工程為契機(jī)，校園網(wǎng)絡(luò)不斷完善和升級，相關(guān)部門都在努力探索在當(dāng)前復(fù)雜網(wǎng)絡(luò)條件下，校園網(wǎng)絡(luò)的不同需求和更優(yōu)的解決方案。傳統(tǒng)的校園網(wǎng)絡(luò)架構(gòu)中，最多考慮的問題是校園網(wǎng)的帶寬和端口密度，這是由于早期的校園網(wǎng)更多需求的是校園內(nèi)部簡單的互聯(lián)互通的應(yīng)用，因此對于校內(nèi)的接入端口和互聯(lián)帶寬更為依賴。隨著用戶數(shù)量越來越多，用戶接入訪問呈多元化、多樣化形式，面對校園網(wǎng)的應(yīng)用系統(tǒng)、業(yè)務(wù)平臺迅速增加，帶寬流量要求激增和復(fù)雜等現(xiàn)實(shí)問題，對當(dāng)前校園網(wǎng)絡(luò)本身的性能、多業(yè)務(wù)支撐能力、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)穩(wěn)定性方面也帶來了更大的挑戰(zhàn)：投資成本加大、管理工作量增加、多套賬號密碼導(dǎo)致用戶體驗差、網(wǎng)絡(luò)安全威脅增加等。如何通過校園網(wǎng)這個平臺，對當(dāng)前學(xué)校的各類信息化應(yīng)用提供良好的承載，并且能夠為未來準(zhǔn)備較強(qiáng)的擴(kuò)展能力，這是目前校園網(wǎng)建設(shè)的挑戰(zhàn)。

一、傳統(tǒng)校園網(wǎng)技術(shù)架構(gòu)及弊端分析

傳統(tǒng)的校園網(wǎng)的建設(shè)思路主要采用：核心層—匯聚層—接入層的三層網(wǎng)絡(luò)架構(gòu)，一般均使用三層數(shù)據(jù)交換的網(wǎng)絡(luò)架構(gòu)方式，由于三層交換機(jī)擁有端口數(shù)高、接口傳輸快速和較強(qiáng)的數(shù)據(jù)通訊及交換性能，通過可以滿足校園網(wǎng)建設(shè)的高帶寬、快速互聯(lián)和轉(zhuǎn)發(fā)的需求。傳統(tǒng)的校園網(wǎng)三層結(jié)構(gòu)及功能劃分模型如圖1所示。

核心層：提供高速接口，實(shí)現(xiàn)核心高速轉(zhuǎn)發(fā)。

匯聚層：提供用戶在校園網(wǎng)中的DHCP地址分配和用戶的三層中轉(zhuǎn)功能；在校園網(wǎng)中，除了提供IP單播報文的轉(zhuǎn)發(fā)外，還必須能夠支持組播功能，提供組播視頻流的復(fù)制和下發(fā)。另外，需要在匯聚層的三層接口上開啟相應(yīng)的ACL訪問控制功能，QoS服務(wù)質(zhì)量保障等功能，隨著IPv6在校園網(wǎng)的部署，還需要提供用戶的IPv6功能，如無狀態(tài)IPv6地址分配、IPv6單播和組播轉(zhuǎn)發(fā)等。

接入層：直接面向用戶連接和訪問的部分，并進(jìn)行業(yè)務(wù)和帶寬分配，實(shí)現(xiàn)VLAN邏輯網(wǎng)絡(luò)隔離。同時，為了避免目前大量存在的ARP攻擊問題，還必須在接入層交換機(jī)上開啟DHCP偵聽和ARP動態(tài)檢測（一般三層交換機(jī)才能提供這一類的功能）。

以上這種架構(gòu)下，校園網(wǎng)絡(luò)用戶數(shù)量增加，應(yīng)用系統(tǒng)、業(yè)務(wù)平臺的激增，網(wǎng)絡(luò)流量越發(fā)復(fù)雜，會存在這樣一些問題：

（1）策略部署配置和管理復(fù)雜。傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)中，核心層、匯聚層、接入層三個層面都在實(shí)現(xiàn)對接入用戶的控制和管理，每層都同樣實(shí)現(xiàn)了相同的部分功能，管理員要在網(wǎng)絡(luò)中針對用戶的網(wǎng)絡(luò)接入或系統(tǒng)部署，都要對網(wǎng)絡(luò)各個層面的設(shè)備支持的相應(yīng)功能進(jìn)行一一配置，還要考慮到各個層面設(shè)備的支持性能，這就使得在網(wǎng)絡(luò)中部署新的業(yè)務(wù)系統(tǒng)變得非常復(fù)雜和困難。各層控制分散，出現(xiàn)問題后，排除故障定位難、恢復(fù)時間長，恢復(fù)設(shè)置又要設(shè)計多個層面的設(shè)備。

（2）接入層設(shè)備性能導(dǎo)致設(shè)備功能的穩(wěn)定性較差。核心層設(shè)備執(zhí)行了最簡單的轉(zhuǎn)發(fā)，其他功能相對較弱，而網(wǎng)絡(luò)邊緣負(fù)責(zé)匯聚和接入的設(shè)備，為滿足用戶接入需要對功能的要求卻較多，導(dǎo)致網(wǎng)絡(luò)層與能力層的嚴(yán)重不匹配。一般情況下設(shè)備匯聚和接入的性能一般也不是很高、功能和穩(wěn)定性也比較差，所以在實(shí)際網(wǎng)絡(luò)架構(gòu)過程中，經(jīng)常出現(xiàn)故障，效果不理想。

（3）內(nèi)網(wǎng)安全隔離無法實(shí)現(xiàn)細(xì)分。因采用三層交換架構(gòu)，單臺設(shè)備只支持4095個VID標(biāo)識，不能實(shí)現(xiàn)內(nèi)網(wǎng)安全隔離的VLAN精確細(xì)分，容易導(dǎo)致大量的用戶、應(yīng)用處于同一個域內(nèi)，無法有效地進(jìn)行隔離，域之間相互的網(wǎng)絡(luò)干擾嚴(yán)重。如：普遍存在的ARP病毒、DHCP欺騙等問題，導(dǎo)致用戶在接入網(wǎng)絡(luò)后問題頻發(fā)，網(wǎng)管難以應(yīng)付，如果借助在接入層設(shè)備上啟動DHCP監(jiān)聽和動態(tài)ARP監(jiān)測來解決，又會造成運(yùn)行維護(hù)工作量大、網(wǎng)絡(luò)策略配置復(fù)雜等新的問題，也增加了接入層設(shè)備的處理壓力，會導(dǎo)致可靠性降低。

（4）無法實(shí)現(xiàn)對用戶的精細(xì)化管理。為了實(shí)現(xiàn)接入網(wǎng)絡(luò)的認(rèn)證管理，通常都會采用接入層的802.1x協(xié)議，由于它是基于Client/Server的訪問控制和認(rèn)證，在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到端口上的設(shè)備進(jìn)行認(rèn)證，也就是無法實(shí)現(xiàn)用戶的速率控制、訪問行為控制和用戶流量控制等；同時，由于802.1x功能同樣在邊緣的接入層交換機(jī)上實(shí)現(xiàn)的，同樣帶來了大量接入層交換機(jī)運(yùn)行維護(hù)困難，在遇到802.1x攻擊時，接入層交換機(jī)很容易出現(xiàn)問題導(dǎo)致斷網(wǎng)。

以上這些問題將隨著校園網(wǎng)絡(luò)發(fā)展擴(kuò)大，逐步變得復(fù)雜，部署的業(yè)務(wù)系統(tǒng)的疊加，用戶數(shù)的增加和流量爆發(fā)式增長而顯得尤為突出，必將導(dǎo)致校園網(wǎng)運(yùn)行維護(hù)壓力加大、穩(wěn)定性、可靠性降低等現(xiàn)實(shí)問題。

二、扁平化架構(gòu)校園網(wǎng)絡(luò)思路及模式

要避免傳統(tǒng)網(wǎng)絡(luò)架構(gòu)所帶來的運(yùn)行維護(hù)問題，改變當(dāng)前校園網(wǎng)建設(shè)的傳統(tǒng)模式，我們可以借鑒運(yùn)營商成熟的大規(guī)模網(wǎng)絡(luò)建設(shè)和發(fā)展的思路，從校園網(wǎng)架構(gòu)設(shè)計上解決問題。即借用“扁平化的校園網(wǎng)絡(luò)架構(gòu)和精細(xì)化的用戶管理”這一思路。

扁平化：不是簡單的將網(wǎng)絡(luò)的物理層改造成成兩層結(jié)構(gòu)，而是按各自承擔(dān)的功能將網(wǎng)絡(luò)設(shè)備進(jìn)行區(qū)分，通常劃分為業(yè)務(wù)控制和寬帶接入兩個層次。寬帶接入由匯聚和接入層設(shè)備構(gòu)成，提供VLAN二層隔離功能和高帶寬接入，業(yè)務(wù)控制層則由核心層設(shè)備構(gòu)成，提供網(wǎng)絡(luò)中的用戶接入控制、業(yè)務(wù)功能實(shí)現(xiàn)等復(fù)雜功能。

其邏輯結(jié)構(gòu)如圖2所示。

1.校園網(wǎng)的扁平化設(shè)計架構(gòu)

為將校園網(wǎng)絡(luò)進(jìn)行扁平化設(shè)計，我們需將整個網(wǎng)絡(luò)一般分為兩個層面：業(yè)務(wù)控制層由網(wǎng)絡(luò)中的核心層設(shè)備組成，接入層一般由匯聚和接入設(shè)備則構(gòu)成。通過扁平化的網(wǎng)絡(luò)架構(gòu)，接入的IPv4地址由核心設(shè)備DHCP分配，用戶間均可利用VLAN隔離，且地址池可動態(tài)分配用戶地址，避免浪費(fèi)。用戶的IPv6地址可以通過核心層的無狀態(tài)地址分配方式，一般此類網(wǎng)絡(luò)結(jié)構(gòu)中不IPv6不需要匯聚層和接入層的支持。而當(dāng)前校園網(wǎng)中廣泛應(yīng)用的WLAN功能，在扁平化和集中控制的網(wǎng)絡(luò)中，無線一體化架構(gòu)能很好的實(shí)現(xiàn)并應(yīng)用。無線AP與接入層設(shè)備同樣，都是提供了接入網(wǎng)絡(luò)的通道，接入控制、業(yè)務(wù)實(shí)現(xiàn)都由核心層設(shè)備提供，邊緣的AP無需支持。因此，在這種方式下，有效地提供了無線設(shè)備僅需基本的瘦AP頻段、信號、功率等方面的控制即可。

2.扁平化網(wǎng)絡(luò)架構(gòu)的優(yōu)勢

（1）新業(yè)務(wù)系統(tǒng)部署更加靈活

路由核心設(shè)備的高可靠性為應(yīng)用和業(yè)務(wù)的部署提供了保障，業(yè)務(wù)控制和管理由功能豐富的路由核心設(shè)備集中提供，部署業(yè)務(wù)系統(tǒng)更加方便快捷，既能夠保障在提供這些業(yè)務(wù)功能的同時，也能具備較好處理性能。同時，路由設(shè)備也保障這些應(yīng)用和業(yè)務(wù)系統(tǒng)的高可靠性。

（2）有利于業(yè)務(wù)系統(tǒng)控制更加集中化

集中化的用戶業(yè)務(wù)控制能夠簡化接入網(wǎng)、簡化校園網(wǎng)管理模型，實(shí)現(xiàn)統(tǒng)一管理平臺和界面。集中化的用戶業(yè)務(wù)控制能夠有效的解決業(yè)務(wù)多樣化帶來的挑戰(zhàn)，減少多套系統(tǒng)帶來的投資成本增多、多套賬號密碼導(dǎo)致用戶體驗差等諸多問題。

（3）增強(qiáng)高可靠性和高穩(wěn)定性

提升了匯聚和接入層設(shè)備的可靠性和穩(wěn)定性，匯聚/接入設(shè)備只需要二層透傳和VLAN隔離這些基本的功能，無需支持新業(yè)務(wù)功能，因此能夠顯著降低全網(wǎng)設(shè)備的投資和后期的使用維護(hù)費(fèi)用，同事，匯聚/接入層設(shè)備功能的弱化，使得這些設(shè)備的可靠性大大提升，有利于全網(wǎng)的穩(wěn)定可靠運(yùn)行。

（4）運(yùn)行維護(hù)更加簡單

扁平化架構(gòu)后的網(wǎng)絡(luò)在功能擴(kuò)展和運(yùn)行維護(hù)將更加方便靈活，因核心層設(shè)備只涉及業(yè)務(wù)功能，因此，只需考慮這些業(yè)務(wù)系統(tǒng)的特性核心層設(shè)備是否能夠支持即可，匯聚和接入層這些邊緣設(shè)備，僅需要考慮端口的擴(kuò)充、帶寬的增加即可。

通過網(wǎng)絡(luò)架構(gòu)的變化，將有效解決目前校園網(wǎng)出現(xiàn)的一些問題，對目前校園網(wǎng)絡(luò)平臺進(jìn)行合理優(yōu)化，更好的承載當(dāng)前教育信息化發(fā)展。架構(gòu)扁平化的校園網(wǎng)絡(luò)即核心層設(shè)備的功能、性能、可靠性和可擴(kuò)展性提出了更高的要求。目前，市場上也有一些企業(yè)對典型的網(wǎng)絡(luò)環(huán)境開發(fā)出了下一代以太網(wǎng)核心路由設(shè)備，能夠提供運(yùn)營商級的以太網(wǎng)路由功能，同時具有高密度的千兆/萬兆接口，并采用高性能ASIC、運(yùn)營商級系統(tǒng)架構(gòu)的高可靠性，已逐步成為構(gòu)建校園網(wǎng)核心網(wǎng)絡(luò)中堅力量，能夠滿足學(xué)校在未來3-5年內(nèi)核心網(wǎng)絡(luò)容量的需求，是面向下一代“智慧校園”網(wǎng)絡(luò)建設(shè)的理想平臺。

三、精細(xì)化管理校園網(wǎng)絡(luò)的思路和優(yōu)勢

我們傳統(tǒng)的校園網(wǎng)絡(luò)通常是粗放型，按照網(wǎng)絡(luò)應(yīng)用維護(hù)控制的角度來說，只滿足了基本的網(wǎng)絡(luò)互連互通的需求，但缺乏相應(yīng)的管理控制，比如：

（1）網(wǎng)絡(luò)使用中無法進(jìn)行實(shí)名制，訪問行為缺乏有效追查記錄，難以實(shí)現(xiàn)用戶權(quán)限的控制，存在未經(jīng)授權(quán)的訪問。

（2）控制訪問缺乏針對性，網(wǎng)絡(luò)帶寬被無序占用，重要業(yè)務(wù)帶寬無法保障，用戶間互相影響，網(wǎng)絡(luò)中得攻擊泛濫，如ARP攻擊/DHCP仿冒/IP仿冒。

精細(xì)化管理校園網(wǎng)絡(luò)，不僅要解決帶寬網(wǎng)絡(luò)接入的傳統(tǒng)問題，而且要面對下一代網(wǎng)絡(luò)提供針對IPv6的完善支持和規(guī)模化部署應(yīng)用，并與認(rèn)證方式實(shí)現(xiàn)完善融合。目前，許多網(wǎng)絡(luò)產(chǎn)品研發(fā)企業(yè)，能針對校園網(wǎng)用戶的需求提供了三種針對IPv6的部署方式：L2TP方式、PPPoE方式、IPoE方式。通過在校園網(wǎng)中部署集中化業(yè)務(wù)控制系統(tǒng)，進(jìn)行精細(xì)化管理，能夠完成身份認(rèn)證、訪問控制、流量計費(fèi)等功能，實(shí)現(xiàn)校園網(wǎng)應(yīng)用的可識別、可跟蹤、可控制和可管理。

1.精細(xì)化管控能構(gòu)建更安全的網(wǎng)絡(luò)秩序

精細(xì)化管理網(wǎng)絡(luò)是強(qiáng)調(diào)基于用戶的控制，他可以基于用戶賬號，實(shí)現(xiàn)基于用戶的控制。能夠?qū)W(wǎng)絡(luò)中的使用者，實(shí)現(xiàn)基于用戶身份的行為控制、流量訪問記錄和審計，實(shí)現(xiàn)對使用者身份、網(wǎng)絡(luò)IP地址及訪問行為的識別。

2.改善與校園無線網(wǎng)絡(luò)的無縫對接

無線網(wǎng)絡(luò)已經(jīng)在校園網(wǎng)內(nèi)非常普及，在圖書館、教室等地方幾乎都能看見學(xué)生在用筆記本電腦、PAD進(jìn)行無線上網(wǎng)，但無論是建設(shè)還是維護(hù)和管理無線網(wǎng)絡(luò)，所產(chǎn)生的成本都比較高。精細(xì)化網(wǎng)絡(luò)管理后，外線網(wǎng)絡(luò)只是提供了一個二層通道，類似于交換機(jī)提供的有線二層通道，無線通道上可以支持IPOE用戶接入管理，所以無線網(wǎng)絡(luò)部需要部署用戶接入管理功能，簡化了成本和管理維護(hù)需求，智能識別用戶的無線接入方式，從而實(shí)現(xiàn)區(qū)別有線方式的針對性的控制和計費(fèi)功能。

3.更好地實(shí)現(xiàn)IPv6/IPv4雙棧組播控制

基于用戶賬號來控制用戶是否允許組播功能，其次他控制用戶的訪問速率，并且把組播數(shù)據(jù)復(fù)制到用戶的PPPoE會話或者VSI接口實(shí)現(xiàn)組播，同時，當(dāng)用戶使用PPPoE或L2TP實(shí)現(xiàn)撥號認(rèn)證時，交換機(jī)支持組播VLAN可以實(shí)現(xiàn)接入層設(shè)備上IPv6/IPv4組播數(shù)據(jù)的復(fù)制。

目前，傳統(tǒng)數(shù)字校園建設(shè)將向更高級的智慧化校園網(wǎng)絡(luò)建設(shè)轉(zhuǎn)型升級，高帶寬、大并發(fā)、移動互聯(lián)、泛在網(wǎng)絡(luò)，將是未來一段時期校園網(wǎng)建設(shè)的目標(biāo)，網(wǎng)絡(luò)建設(shè)將面向應(yīng)用、面向用戶、面向管理為需求出發(fā)點(diǎn)，結(jié)合目前實(shí)際狀況和發(fā)展需要，積極以新的思路和新的模式探索構(gòu)建起真正適合學(xué)校信息化建設(shè)發(fā)展目標(biāo)的網(wǎng)絡(luò)支撐平臺環(huán)境，通過對校園網(wǎng)的扁平化架構(gòu)精細(xì)化管理控制，可更好的實(shí)現(xiàn)基于用戶的網(wǎng)絡(luò)控制、行為管控、流量分配等，提高網(wǎng)絡(luò)安全、穩(wěn)定和可靠性，并且能夠隨著教育信息化的不斷發(fā)展，實(shí)現(xiàn)平滑的演進(jìn)，達(dá)到高性能、易管理和精細(xì)化的目標(biāo)。

參考文獻(xiàn)：

[1]張代華等.基于扁平化和精細(xì)化管理的校園網(wǎng)基礎(chǔ)平臺建設(shè)[J].軟件，2014，35（8）.

[2]劉興光.基于SDN的智能園區(qū)交換網(wǎng)絡(luò)解決方案[J].通訊世界，2015（19）.

[3]覃毅.校園網(wǎng)絡(luò)扁平化架構(gòu)設(shè)計與實(shí)施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2015（7）.

[4]湯小康.高校校園網(wǎng)的精細(xì)化管理解決方案[J].信息與電腦（理論版），2014（7）.

[5]尹憶民等.建設(shè)扁平化新型校園網(wǎng)絡(luò)[J].華東師范大學(xué)學(xué)報，2015.

（編輯：王曉明）