李向龍，楊貴福，蘇衛(wèi)華

（東北師范大學，吉林 長春 130024）

一、引言

為全面貫徹落實教育信息化“十三五”規(guī)劃總體部署，東北師范大學從網(wǎng)絡結構入手，對校園網(wǎng)絡整體技術路線和結構進行了調(diào)整，旨在提高校園網(wǎng)絡支撐和服務能力，更好地服務于教育教學以及學校管理。

二、校園網(wǎng)絡現(xiàn)狀

1.網(wǎng)絡結構

學校校園網(wǎng)采用傳統(tǒng)的“接入-匯聚-核心”的三層網(wǎng)絡結構，用戶采用802.1x 客戶端方式上網(wǎng)，結構如圖1 所示。

圖1 傳統(tǒng)的三層網(wǎng)絡結構

在這種廣為使用的傳統(tǒng)三層網(wǎng)絡架構中，每層承擔了校園網(wǎng)的一部分功能：①接入層負責用戶的接入，啟用端口隔離，降低局域網(wǎng)內(nèi)終端之間的相互影響。②匯聚層作為網(wǎng)絡的中間環(huán)節(jié)，承擔了用戶認證轉(zhuǎn)發(fā)和地址分配的功能，校園網(wǎng)大部分功能都通過匯聚實現(xiàn)。③核心層提供高速率接入服務，與各樓宇之間通過路由方式進行數(shù)據(jù)的傳輸。

2.存在的問題

（1）現(xiàn)有三層組網(wǎng)方式，用戶的網(wǎng)關在樓宇內(nèi)的匯聚交換機上，無法實現(xiàn)移動終端的無縫漫游，加之802.1x 客戶端的兼容性較差，因此用戶使用智能終端受到限制。

（2）“互聯(lián)網(wǎng)+”環(huán)境下，各種信息化應用層出不窮，需求多變，三層網(wǎng)絡結構的靈活性和擴展性無法滿足當前信息化發(fā)展需求，業(yè)務擴展受到限制。

（3）核心層設備性能未能得到充分利用，匯聚層設備可選擇性少，認證計費功能分散實施，管理和維護成本較高。

三、解決方案

1.技術選擇

網(wǎng)絡是在不斷發(fā)展和快速進步的，在不同的歷史時期有不同的需求和對應的解決方案。早期的校園網(wǎng)建設重點在于解決連接問題、關注接入端口密度和出口帶寬。而隨著網(wǎng)絡上的應用越來越豐富、需求越來越復雜，我們對網(wǎng)絡本身的靈活性、彈性以及可擴展性提出了更高的要求。因此，本次校園網(wǎng)絡升級的重點就是簡化網(wǎng)絡結構，降低復雜程度和運維難度，具備面向未來平滑的擴展和支撐能力。網(wǎng)絡結構設計上需要滿足多業(yè)務承載下的高性能需求和精細化管理的要求，以及可以提供良好的管理和擴展能力。

根據(jù)校園網(wǎng)絡存在的問題和面向未來的信息化發(fā)展需求，學校借鑒運營商大規(guī)模網(wǎng)絡建設和發(fā)展的辦法，充分調(diào)研部分高校網(wǎng)絡運行情況后，決定從校園網(wǎng)整體的架構上解決目前存在的問題，采取的方案是將匯聚層交換機功能上移至核心設備，實行二層扁平式的校園網(wǎng)絡架構。

2.方案優(yōu)勢

所謂二層扁平式的網(wǎng)絡架構，并不是改變網(wǎng)絡結構的物理連接模式，而是從設備所承載的功能上進行劃分，在邏輯上將網(wǎng)絡劃分為業(yè)務控制層和用戶接入層。從實際的校園網(wǎng)物理結構來看，網(wǎng)絡的扁平式架構和業(yè)務功能劃分如圖2 所示。

圖2 扁平式網(wǎng)絡架構圖

將網(wǎng)絡設備按照功能進行劃分后，層次更加清晰，不同位置的設備各司其職，更有利于全網(wǎng)的管理維護。具體表現(xiàn)在：①充分發(fā)揮核心層設備的作用。具備更高的性能，能更好地支持各種功能擴展和網(wǎng)絡協(xié)議。②部署新業(yè)務和新應用時更加靈活，降低運行及維護成本。新架構中，匯聚/接入層設備只提供二層透傳和VLAN 隔離等基本功能，不涉及具體業(yè)務功能，對設備要求較低。同時，由于匯聚/接入層設備的功能要求簡單，且數(shù)量眾多，因此可顯著降低全網(wǎng)設備的投資和后期使用的維護費用。③更有利于未來的擴展。業(yè)務功能只涉及核心層設備，因此只需要考慮核心層設備是否能夠支持這些業(yè)務特性即可。對于匯聚和接入層這些邊緣設備，僅需要考慮端口的擴充和上行帶寬的問題即可。

通過改變傳統(tǒng)的網(wǎng)絡構架，從邏輯上劃分功能邊界，能夠有效解決目前校園網(wǎng)中存在的種種問題，提供承載高校信息化應用的能力。

四、實施過程

1.明確需求

校園網(wǎng)用戶和場景較為復雜，從身份上區(qū)分有教工、學生、短期來校交流培訓等其他人員，從場景上區(qū)分，有生活區(qū)、辦公區(qū)、公共區(qū)等。根據(jù)學校實際情況，將應用場景與身份進行劃分，如表1 所示。

從表1 中可以看出，筆者學校對教工開放網(wǎng)絡的全部使用權限，實現(xiàn)了即連即用，學生使用網(wǎng)絡收取費用，對于短期來校人員實行院系（部處）審批后，開通網(wǎng)絡準入權限。為了最大限度滿足師生的需求，設定了教工賬號同時在線設備數(shù)量為6 個，學生賬號同時在線設備數(shù)量為3 個，其他人員只能使用無線網(wǎng)絡，同時在線設備數(shù)量為1 個。

表1 校園網(wǎng)應用場景與身份劃分情況

2.設備配置

升級后的拓撲圖（見圖3）核心設備采用了Juniper MX960，用作寬帶接入服務器（Broadband Remote Access Server，簡稱BRAS），認證計費采用深瀾認證計費系統(tǒng)。

圖3 校園網(wǎng)絡核心設備拓撲圖

Juniper MX960 和認證計費系統(tǒng)均以旁路形式接入網(wǎng)絡，將原用戶網(wǎng)關遷移到Juniper MX960 之上，Juniper MX960 承擔了網(wǎng)關、用戶地址分配和認證的功能，配置如下：

（1）BRAS 配置

①配置dhcp 動態(tài)文件，創(chuàng)建demux 接口

②配置本地dhcp 服務器，并引用dhcp 動態(tài)文件

③配置基本的radius 及地址池

④應用radius profile

⑤配置動態(tài)vlan

⑥在接口上應用動態(tài)vlan profile

（2）二層交換機配置

啟用環(huán)路檢測和端口隔離，防止用戶之間的相互影響。以華三5 系列交換機配置為例：

①下聯(lián)接入交換機口

②普通終端接口

五、取得的效果

網(wǎng)絡架構的升級，對師生來說，最為顯著的變化就是使用體驗的提升，真正實現(xiàn)了即連即用和無縫漫游。升級之后，校園網(wǎng)在線設備峰值由之前的1.7 萬提高到現(xiàn)在的3.3 萬，將原來因無法安裝客戶端、未能實名認證的用戶納入統(tǒng)一管理。對管理員來說，充分發(fā)揮核心設備的性能，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率，對網(wǎng)絡行為控制更加靈活和自由，日常故障處理和業(yè)務調(diào)整更加高效有序。

六、結語

校園網(wǎng)絡作為信息化的基礎設施，在學校發(fā)展進程中有著非常重要的作用，本次升級簡化網(wǎng)絡層級，支持多業(yè)務接入，降低運維成本，為后續(xù)的網(wǎng)絡調(diào)整及變更提供了良好的基礎。同時使校園網(wǎng)絡在日常管理、性能需求、網(wǎng)絡安全和用戶使用上更加靈活。