文/王偉林 陳松

職業(yè)院校有線無線一體化改造實踐

文/王偉林 陳松

南京信息職業(yè)技術(shù)學(xué)院占地約900多畝，擁有學(xué)生約12000人，教師約1000人。學(xué)院原辦公有線網(wǎng)絡(luò)采用核心層、匯聚層與接入層三層網(wǎng)絡(luò)邏輯架構(gòu)，匯聚層與核心層之間采用路由轉(zhuǎn)發(fā)，數(shù)據(jù)轉(zhuǎn)發(fā)效率不高，此外主機會受到同一Vlan內(nèi)部ARP攻擊與廣播包的安全威脅，Vlan內(nèi)部主機不能正常上網(wǎng)的現(xiàn)象時有發(fā)生，網(wǎng)絡(luò)維護工作量大，用戶上網(wǎng)穩(wěn)定性不佳。校園有線網(wǎng)絡(luò)只能滿足基本辦公需求，隨著個人移動終端應(yīng)用普及，需要在校園所有樓宇和主要室外區(qū)域覆蓋校園無線網(wǎng)絡(luò)，方便用戶使用移動終端隨時隨地上網(wǎng)。在校園網(wǎng)建設(shè)初期，學(xué)生宿舍沒有覆蓋校園有線網(wǎng)，學(xué)生上網(wǎng)大都通過辦理運營商寬帶業(yè)務(wù)，直接接入運營商網(wǎng)絡(luò)，不能直接訪問校園網(wǎng)資源。學(xué)生用戶希望既能夠直接訪問校園網(wǎng)資源，又可以選擇運營商網(wǎng)絡(luò)接入訪問。校園網(wǎng)3.0要求有線無線網(wǎng)絡(luò)統(tǒng)一管理并實行一體化認(rèn)證計費，為了給使用智能手機等小型移動終端設(shè)備的用戶帶來便捷的體驗，要求用戶無需每次輸入用戶名密碼認(rèn)證，用戶能夠高速訪問校內(nèi)視頻資源，因此校園網(wǎng)采用扁平化結(jié)構(gòu)。

研究設(shè)計

校園有線網(wǎng)絡(luò)扁平化改造

圖1為改造之前的辦公網(wǎng)絡(luò)結(jié)構(gòu)圖，辦公部分采用傳統(tǒng)的三層（接入層、匯聚層、核心層）網(wǎng)絡(luò)架構(gòu)。

將原先網(wǎng)絡(luò)中的匯聚層交換機撤銷三層相關(guān)配置，校園網(wǎng)Bras以下均是二層交換設(shè)備。將辦公有線網(wǎng)絡(luò)使用QinQ（嵌套的Vlan）技術(shù)定義雙層Vlan標(biāo)簽，即接入層交換機每個端口單獨Vlan。此外，原先有線用戶主機使用靜態(tài)IP地址改為動態(tài)IP地址自動獲取方式。邏輯結(jié)構(gòu)如圖2所示。

無線局域網(wǎng)建設(shè)

1.校園無線局域網(wǎng)建設(shè)

大型場所如高校、機場、大型商場等由于覆蓋范圍廣，為便于維護和管理采用基于FIT AP模式部署WLAN。如圖3所示，所有AP通過有線方式與網(wǎng)絡(luò)中的AC互聯(lián)，AP啟動以后發(fā)送請求數(shù)據(jù)包（包含AP型號、序列號等信息）尋找AC，AC回復(fù)相應(yīng)數(shù)據(jù)包，含AC的IP地址信息，通過AP和AC建立連接通道，AP在AC上注冊成功，從而AC向AP下發(fā)配置并管理AP的運行，用戶可以在無線網(wǎng)絡(luò)服務(wù)范圍內(nèi)無感知漫游。項目采用Bras作為用戶接入網(wǎng)關(guān)，用戶認(rèn)證數(shù)據(jù)庫存放Radius服務(wù)器，Bras實現(xiàn)網(wǎng)絡(luò)承載、向用戶推送Web認(rèn)證頁面、匯聚用戶流量，以及實現(xiàn)實現(xiàn)用戶接入的認(rèn)證、計費和管理功能，有效完成用戶個性化接入如QOS（Quality of Service，服務(wù)質(zhì)量）、接入帶寬和訪問控制等。本項目所有室內(nèi)AP均采用POE（Power Over Ethernet，基于以太網(wǎng)供電）模式供電。對于無線用戶數(shù)據(jù)流量的處理，項目采用AP本地轉(zhuǎn)發(fā)方式，AC只負(fù)責(zé)對AP的管理，不承載用戶業(yè)務(wù)流量，所有業(yè)務(wù)流量通過AP本地轉(zhuǎn)發(fā)后直接通過校園網(wǎng)到Bras設(shè)備。

2.有線無線一體化認(rèn)證

為了方便用戶登錄校園有線和無線網(wǎng)，采用有線無線一體化認(rèn)證解決方案，所有校園網(wǎng)用戶通過學(xué)院統(tǒng)一認(rèn)證平臺Bras設(shè)備采用Web portal方式認(rèn)證計費，無線網(wǎng)接入不再使用單獨認(rèn)證。用戶單個賬號支持兩種不同類型的無線終端同時上網(wǎng)，將臺式機、筆記本電腦和平板電腦歸為同一類型終端，而智能手機歸結(jié)為另一類型的終端，用戶使用筆記本電腦采用有線或無線方式上網(wǎng)的同時,可以使用手機訪問校園無線網(wǎng)。為了便于智能手機上網(wǎng)認(rèn)證方便，手機用戶第一次訪問校園無線網(wǎng)需要使用Web Portal輸入用戶名和密碼認(rèn)證，認(rèn)證的同時系統(tǒng)將自動綁定其手機無線網(wǎng)卡的MAC（Media Access Control，媒體訪問接入子層）地址，之后該手機只要連接校園無線網(wǎng)信號系統(tǒng)自動認(rèn)證其MAC地址，而無需用戶再次進行Web Portal認(rèn)證，如果用戶更換手機可以通過自助服務(wù)系統(tǒng)自行將原先系統(tǒng)自動登記的手機信息刪除并用新手機進行初次認(rèn)證。

圖1 改造之前的辦公網(wǎng)絡(luò)結(jié)構(gòu)

圖2 扁平化改造后的辦公網(wǎng)絡(luò)結(jié)構(gòu)

3.基于接入端與邊界的流控管理

為了充分利用內(nèi)部帶寬資源與有效防止校園網(wǎng)出口擁塞，采用基于用戶接入端與校園網(wǎng)邊界流控相結(jié)合的方式。

圖4為用戶接入校園網(wǎng)通過Bras設(shè)備認(rèn)證并按照認(rèn)證設(shè)備預(yù)先設(shè)置好的帶寬策略做用戶接入流量限制，將視頻或FTP資源直接接在校園網(wǎng)核心交換，用戶按照校內(nèi)帶寬限制策略訪問這些校內(nèi)資源。用戶訪問外網(wǎng)時，數(shù)據(jù)經(jīng)過校園網(wǎng)邊界流控設(shè)備，進行單用戶限制訪問外網(wǎng)帶寬與根據(jù)應(yīng)用數(shù)據(jù)從不同出口轉(zhuǎn)發(fā)。例如：分配用戶接入校內(nèi)訪問一律分配10Mbps帶寬，用戶訪問校內(nèi)視頻與FTP等資源以及用戶之間的訪問均可以達到10Mbps，而用戶訪問Internet數(shù)據(jù)經(jīng)過邊界流控設(shè)備，流控設(shè)備識別用戶設(shè)備特征，如果手機終端則訪問外網(wǎng)1.5Mbps，其他類型終端訪問外網(wǎng)4Mbps，網(wǎng)絡(luò)游戲應(yīng)用、網(wǎng)頁訪問數(shù)據(jù)等；通過識別并從電信出口轉(zhuǎn)發(fā)，迅雷等軟件下載應(yīng)用數(shù)據(jù)從移動出口轉(zhuǎn)發(fā)。

圖3 基于FIT AP模式架構(gòu)的WLAN

與運營商共建共享網(wǎng)絡(luò)平臺

南京信息職業(yè)技術(shù)學(xué)院共有20棟學(xué)生宿舍，設(shè)計有線網(wǎng)絡(luò)采用EPON（Ethernet passive

optical network ，以太網(wǎng)無源光）網(wǎng)絡(luò)布置方案。EPON是一種新型的光纖接入網(wǎng)技術(shù)，其典型的拓?fù)浣Y(jié)構(gòu)為樹型，它采用點到多點結(jié)構(gòu)、無源光纖傳輸，在以太網(wǎng)之上提供多種業(yè)務(wù)。因此，它綜合了PON技術(shù)和以太網(wǎng)技術(shù)的優(yōu)點：低成本、高帶寬、擴展性強、靈活快速的服務(wù)重組、與現(xiàn)有以太網(wǎng)的兼容性和方便的管理等特性，是目前以太網(wǎng)最佳的組網(wǎng)方式。

學(xué)生宿舍有線網(wǎng)絡(luò)由運營商建設(shè)，ONU（Optical Network Unit, 光網(wǎng)絡(luò)單元）放置于每宿舍套間連接宿舍的交換機，POS（Passive Optical Splitter, 無源分光器）位于OLT（Optical Line Terminal, 光線路終端）與ONU之間，由于是無源設(shè)備，幾乎可以適應(yīng)所有環(huán)境，一般一個POS 的分線率為8和16，并可以進行多級連接，OLT設(shè)備放置于中心機房，OLT設(shè)備采用多業(yè)務(wù)出口分別連接校園網(wǎng)和運營商網(wǎng)絡(luò)。

當(dāng)學(xué)生宿舍用戶使用網(wǎng)線將終端設(shè)備連接網(wǎng)絡(luò)接口時，將會自動獲取到校園網(wǎng)分配的IP地址，如果該用戶訪問校園網(wǎng)，通過Web Portal方式認(rèn)證計費；如果該用戶需要直接訪問運營商的網(wǎng)絡(luò)，則使用PPPOE方式直接通過運營商Bras設(shè)備認(rèn)證計費。

圖4 基于網(wǎng)關(guān)與邊界流控管理

項目實施成效

1.有線網(wǎng)扁平化改造提高了數(shù)據(jù)轉(zhuǎn)發(fā)效率與網(wǎng)絡(luò)穩(wěn)定性。由于校園有線網(wǎng)采用扁平化架構(gòu)，網(wǎng)絡(luò)中減少路由轉(zhuǎn)發(fā)，提高了數(shù)據(jù)轉(zhuǎn)發(fā)效率，并且使用QinQ技術(shù)最大限度地有效隔離接入層交換機端口之間的攻擊，提高內(nèi)網(wǎng)穩(wěn)定性。

2.無線網(wǎng)提供了用戶上網(wǎng)的便捷。無線網(wǎng)AC采用冗余架構(gòu)保障無線骨干網(wǎng)的可靠性。對于無線用戶數(shù)據(jù)流量的處理，采用AP本地轉(zhuǎn)發(fā)方式使得AC實現(xiàn)輕載，不再成為性能瓶頸。

3.網(wǎng)絡(luò)認(rèn)證人性化與智能化。有線無線一體化認(rèn)證保證全院每一臺終端有線無線方式上網(wǎng)都經(jīng)由統(tǒng)一認(rèn)證平臺，而且也由統(tǒng)一平臺記錄上網(wǎng)日志，方便認(rèn)證與日志管理。手機只要認(rèn)證一次便會記錄手機MAC地址，以后在系統(tǒng)內(nèi)部通過手機MAC地址認(rèn)證，給用戶達到“免認(rèn)證”的體驗，實現(xiàn)了網(wǎng)絡(luò)智能化。

4.網(wǎng)絡(luò)資源豐富。學(xué)校部署了豐富的教學(xué)視頻資源，可以直接連接校園網(wǎng)核心交換，學(xué)生在內(nèi)網(wǎng)訪問校內(nèi)資源時要經(jīng)過認(rèn)證，記錄訪問日志，并且內(nèi)網(wǎng)的高帶寬提供保障了資源訪問的流暢。

5.靈活的帶寬管理。采用接入端與網(wǎng)關(guān)雙重流控方案部署，有效保證了校內(nèi)帶寬資源充分利用，校園網(wǎng)出口帶寬資源合理利用。

6.與運營商共建共享實現(xiàn)雙贏。學(xué)生宿舍區(qū)域與運營商合作共建EPON多業(yè)務(wù)寬帶，對于高校來說，減少了網(wǎng)絡(luò)建設(shè)資金投入，也將網(wǎng)絡(luò)接入的維護任務(wù)交給運營商，不僅節(jié)約了網(wǎng)絡(luò)維護的成本，由于運營商維護效率要求較高，也將會提高校園網(wǎng)用戶的滿意度。

(作者單位為南京信息職業(yè)技術(shù)學(xué)院圖文信息中心)