一、引言
現(xiàn)今各高校對網(wǎng)絡(luò)的發(fā)展建設(shè)越來越重視,校園網(wǎng)與信息化的建設(shè)速度直接影響教育信息化的發(fā)展速度,高校校園網(wǎng)絡(luò)與信息化建設(shè)水平已經(jīng)成為提高學(xué)校核心競爭力的關(guān)鍵因素,網(wǎng)絡(luò)教學(xué)、網(wǎng)上學(xué)習(xí)已經(jīng)是教學(xué)工作中的常規(guī)手段。豐富網(wǎng)絡(luò)資源,建設(shè)高速、便捷、穩(wěn)定的校園網(wǎng)絡(luò),才能更好地承載更多的網(wǎng)絡(luò)教學(xué)手段和網(wǎng)絡(luò)學(xué)習(xí)需求。
經(jīng)過研究和確定,遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)目前正處于升級改造的時期,其網(wǎng)絡(luò)結(jié)構(gòu)和管理方式有待于改造升級,對遼寧對外經(jīng)貿(mào)學(xué)院的校園網(wǎng)改造研究在高校校園網(wǎng)建設(shè)中具有代表性和普遍性意義。本文以遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)改造方案的實施為例,對高校校園網(wǎng)網(wǎng)絡(luò)改造進行研究。
二、現(xiàn)狀分析
遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)的現(xiàn)狀:遼寧對外經(jīng)貿(mào)學(xué)院的校園網(wǎng)是網(wǎng)絡(luò)信息化集成系統(tǒng)的路基、網(wǎng)絡(luò)教學(xué)平臺工作的基礎(chǔ)設(shè)施、提高教學(xué)和管理水平的根本,同時也是溝通學(xué)校校園網(wǎng)內(nèi)外部網(wǎng)絡(luò)的橋梁和紐帶。
遼寧對外經(jīng)貿(mào)學(xué)院目前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括光纖線路、底層交換機、核心接入等設(shè)備,已經(jīng)使用了很多年,設(shè)備早已進入老化期,具體表現(xiàn)為硬件老化、經(jīng)常死機、網(wǎng)絡(luò)延時長等等。校園網(wǎng)中有大量使用多媒體文件共享和一部分密集型應(yīng)用,消耗了大部分的校園網(wǎng)帶寬,同時網(wǎng)絡(luò)應(yīng)用仍然在不斷擴展,網(wǎng)絡(luò)用戶不斷增加,接入終端樣式越來越多,網(wǎng)絡(luò)擁堵現(xiàn)象越來越突出。
三、大二層網(wǎng)絡(luò)架構(gòu)
大二層網(wǎng)絡(luò)架構(gòu)的出現(xiàn)解決了當(dāng)前三層網(wǎng)絡(luò)結(jié)構(gòu)中出現(xiàn)的一些難以根治的網(wǎng)絡(luò)問題。與傳統(tǒng)的VLAN 終結(jié)在接入層交換機的做法不同,大二層網(wǎng)絡(luò)架構(gòu)中的所有VLAN 都可以延展到所有匯聚層、接入層交換機的VLAN 結(jié)構(gòu)中,不但能夠解決當(dāng)前網(wǎng)絡(luò)管理中的各種問題,而且能夠很好地適應(yīng)數(shù)據(jù)中心今后的發(fā)展。
下面從當(dāng)前大部分高校校園網(wǎng)中存在的問題開始,詳細介紹大二層網(wǎng)絡(luò)架構(gòu)的設(shè)計理念、特點、先進性,以及大二層網(wǎng)絡(luò)架構(gòu)在遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)絡(luò)改造中解決的原校園網(wǎng)中存在的網(wǎng)絡(luò)問題。
1.校園網(wǎng)存在的問題
建設(shè)校園網(wǎng)的目的是為了提高學(xué)校師生的學(xué)習(xí)、教學(xué)、科研和綜合信息服務(wù)的水平和質(zhì)量。在過去的十年中,校園網(wǎng)經(jīng)過多次的增加設(shè)備、擴展網(wǎng)絡(luò),其網(wǎng)絡(luò)結(jié)構(gòu)變得越來越復(fù)雜,管理運維的工作難度不斷加大,校園信息化建設(shè)工作面臨著越來越多的挑戰(zhàn)。
校園網(wǎng)存在的問題有:
(1)單點核心設(shè)備,在網(wǎng)絡(luò)中存在單點故障,有安全隱患。對于骨干網(wǎng)絡(luò)不采用冗余會導(dǎo)致整個網(wǎng)絡(luò)癱瘓。樓間匯聚交換機的配置中,為了避免環(huán)路,接入層與匯聚層設(shè)備需要啟用復(fù)雜的MSTP生成樹協(xié)議。配置的復(fù)雜造成了管理的復(fù)雜,要求網(wǎng)絡(luò)管理員對整網(wǎng)的狀況以及每臺設(shè)備的配置情況十分的熟悉,一旦出現(xiàn)網(wǎng)絡(luò)故障,能夠在出現(xiàn)網(wǎng)絡(luò)問題時快速定位問題所在,并解決問題。
(2)局域網(wǎng)安全隱患。在現(xiàn)網(wǎng)環(huán)境中,每棟樓中的所有用戶都在一個局域網(wǎng)中,容易存在ARP攻擊、網(wǎng)關(guān)欺騙等問題,導(dǎo)致全樓網(wǎng)絡(luò)癱瘓,從而影響網(wǎng)絡(luò)的性能,排查困難,網(wǎng)絡(luò)管理員疲于應(yīng)對。
(3)設(shè)備老化,大部分接入設(shè)備和匯聚設(shè)備老化嚴(yán)重,部分交換機型號已經(jīng)停產(chǎn),一旦出現(xiàn)故障,很難在短時間內(nèi)找到替換配件,這樣造成了設(shè)備的安全隱患,影響網(wǎng)絡(luò)用戶的使用,短時間內(nèi)無法恢復(fù)。
(4)認(rèn)證設(shè)備負擔(dān)過重,上網(wǎng)認(rèn)證設(shè)備串聯(lián)到網(wǎng)絡(luò)出口中,存在單點故障。該設(shè)備要對學(xué)校所有用戶進行認(rèn)證、流量計費,造成該設(shè)備的負擔(dān)過重,一但出現(xiàn)故障,則造成全校斷網(wǎng),影響面兒很大。
(5)網(wǎng)絡(luò)運營過程中,無法按照用戶類別來單獨控制每臺設(shè)備的網(wǎng)絡(luò)使用情況。很多房間內(nèi)裝配了無線路由器,無法根據(jù)固定IP來控制帶寬,從而造成網(wǎng)絡(luò)用戶共享帶寬。如果從樓間交換機端口上限制的話,若同一路由器下的用戶,有人掛機下載,或者看視頻,將直接影響其他人使用網(wǎng)絡(luò),造成有人怨聲載道、有人偷著樂,造成很多人對自己的網(wǎng)絡(luò)狀況不滿,網(wǎng)絡(luò)管理員接到投訴不斷,而又礙于顏面難以徹底解決。
(6)在數(shù)據(jù)中心的建設(shè)中,現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)無法適應(yīng)數(shù)據(jù)中心的需求,特別是虛擬化層面的支持程度比較差,無法對服務(wù)器群進行統(tǒng)一安全防護。
2.大二層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計理念
校園網(wǎng)的一大特點是,用戶高度密集,在一個樓宇內(nèi)聚集了幾百甚至上千的用戶,并且每個用戶手中不止一臺上網(wǎng)設(shè)備。扁平化大二層網(wǎng)絡(luò)的設(shè)計理念是:管理方便,易于部署,維護簡單。
管理方便:體現(xiàn)在扁平化大二層網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)上,扁平化的大二層網(wǎng)絡(luò)結(jié)構(gòu)簡單,將網(wǎng)絡(luò)中大量的匯聚交換機、接入交換機作為邏輯二層設(shè)備,在這些設(shè)備上只需要做簡單的VLAN劃分和端口隔離配置就能夠很好地管理網(wǎng)絡(luò),核心設(shè)備作為三層網(wǎng)關(guān),開啟路由功能、認(rèn)證功能以及安全管理的相關(guān)功能。
易于部署:在網(wǎng)絡(luò)中,核心以下的設(shè)備有匯聚設(shè)備和接入設(shè)備,這兩種設(shè)備的配置基本一致,可以使用配置工具,實現(xiàn)配置信息的批量下發(fā),快速部署好眾多的匯聚設(shè)備和接入設(shè)備,極大地提高了工作效率。不論是有線網(wǎng)用戶還是無線網(wǎng)用戶,認(rèn)證點統(tǒng)一集中在核心設(shè)備,部署容易。
維護簡單:扁平化大二層網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)簡單,設(shè)備配置少,出現(xiàn)的故障隨之減少,從而網(wǎng)絡(luò)維護工作量也大幅度降低。校園網(wǎng)的維護工作效率,很大程度上取決于管理員對網(wǎng)絡(luò)所出現(xiàn)問題的及時準(zhǔn)確定位,扁平化大二層網(wǎng)絡(luò)結(jié)構(gòu)中的管理層中可以實現(xiàn)把用戶和端口對應(yīng)起來,明確用戶是從哪個端口接入上網(wǎng),利用supervlan+subvlan技術(shù),可以輕松定位用戶到具體的端口上。
3.大二層網(wǎng)絡(luò)結(jié)構(gòu)的特點
相對于三層網(wǎng)絡(luò)結(jié)構(gòu),扁平化大二層網(wǎng)絡(luò)結(jié)構(gòu)具有以下幾個特點:
(1)網(wǎng)絡(luò)層次簡化:核心設(shè)備作三層網(wǎng)關(guān),匯聚和接入設(shè)備全部為純二層配置。
(2)認(rèn)證和業(yè)務(wù)控制集中:核心路由器在網(wǎng)絡(luò)中作為綜合性的接入管理平臺管理全網(wǎng)用戶賬號認(rèn)證、IP地址分配、計費、計流量等工作。
(3)有線無線統(tǒng)一管理:實現(xiàn)有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)雙網(wǎng)統(tǒng)一管理、統(tǒng)一認(rèn)證。
(4)實現(xiàn)設(shè)備批量配置管理:核心路由器下面的大量接入設(shè)備基本上配置相同,使用網(wǎng)絡(luò)設(shè)備配置自動下發(fā)工具,可以在短時間內(nèi)快速完成對下層匯聚和接入設(shè)備的配置下發(fā)工作,從而大大減少了現(xiàn)場工作人員的工作量。
(5)用戶定位精準(zhǔn):實現(xiàn)直接定位用戶到接入層交換機的某個端口,可以很好地滿足精確定位需求,縮短網(wǎng)絡(luò)管理員的排查時間,提高工作效率。
(6)通過VSF技術(shù),核心設(shè)備可以實現(xiàn)跨設(shè)備的鏈路聚合,與匯聚層設(shè)備通過聚合鏈路連接,在簡化網(wǎng)絡(luò)配置的同時,提高了網(wǎng)絡(luò)連接的可靠性,保證了網(wǎng)絡(luò)的穩(wěn)定性。
4.新一代網(wǎng)絡(luò)解決方案的先進性
新一代校園網(wǎng)網(wǎng)絡(luò)架構(gòu)——扁平化大二層網(wǎng)絡(luò)解決方案很好地解決了當(dāng)前遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)存在的問題。通過PPPoE、IPoE上網(wǎng)認(rèn)證方式,對校內(nèi)上網(wǎng)用戶進行身份合法性驗證,拒絕非注冊用戶通過校園網(wǎng)絡(luò)上網(wǎng),實現(xiàn)網(wǎng)絡(luò)事件可以準(zhǔn)確地追蹤到人,增加了網(wǎng)絡(luò)的安全性。以太網(wǎng)接入技術(shù)具有高速度、部署容易、成本低等特點,為高校和廣大用戶所喜愛。
(1)PPPoE上網(wǎng)方式現(xiàn)在普遍應(yīng)用于網(wǎng)絡(luò)運營商,PPPoE、IPoE在管控網(wǎng)絡(luò)用戶方面具有很多優(yōu)勢。
節(jié)省IP地址資源,簡化用戶使用。PPPoE、IPoE上網(wǎng)方式實現(xiàn)動態(tài)分配IP地址,更加合理地管理學(xué)校的IP地址資源。有效控制網(wǎng)絡(luò)病毒蔓延,減少病毒攻擊。
(2)扁平化大二層網(wǎng)絡(luò)的硬件核心設(shè)備實現(xiàn)雙核心雙鏈路上聯(lián),安全性好,可靠性高。
在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計上,保證可靠性,整個網(wǎng)絡(luò)結(jié)構(gòu)中,從接入到匯聚到核心層的兩臺設(shè)備都支持802.3ad鏈路聚合,均可獨立完成網(wǎng)絡(luò)傳輸任務(wù),實現(xiàn)了鏈路的雙冗余。
5.遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)改造目標(biāo)
將校園網(wǎng)改造為扁平化大二層網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)之后,能夠減少很多網(wǎng)絡(luò)故障的發(fā)生,降低網(wǎng)絡(luò)故障的定位難度,減少了運維工作量,從而能夠有效提升現(xiàn)在的管理運維效率。為今后的信息化建設(shè)提供穩(wěn)定、快捷的網(wǎng)絡(luò)高速公路,實現(xiàn)各類信息化應(yīng)用系統(tǒng)的接入。
四、校園網(wǎng)改造方案
1.PPPoE部署方案
大二層網(wǎng)絡(luò)架構(gòu)設(shè)計中的核心交換機采用高性能路由器、PPPoE接入方式,核心路由器實現(xiàn)PPPoE撥號上網(wǎng)和支持QinQ。QinQ技術(shù)通過在以太幀中堆疊兩個802.1Q報頭,有效地擴展了VLAN數(shù)目,使VLAN的數(shù)目最多可達4096x4096個。QinQ是對802.1Q的擴展,是將用戶私網(wǎng)VLAN tag封裝到公網(wǎng)VLAN tag中,報文帶著兩層tag穿越校園網(wǎng)的骨干網(wǎng)絡(luò),從而為用戶提供一種較為簡單的二層VPN隧道。通過Domain-map實現(xiàn)不同的Domain進入不同的VR,實現(xiàn)不同的IP地址分配。PPPoE實現(xiàn)過程:
用戶通過電腦上的寬帶連接軟件,即PPPoE撥號軟件進行撥號上網(wǎng)的流程如圖1所示。接入交換機的管理模式設(shè)置為Access模式,為不同用戶配置不同的VLAN,接入交換機將用戶的認(rèn)證流封裝在第一層TAG。
在接入交換機上聯(lián)口配置Trunk模式,在匯聚交換機上配置QinQ,認(rèn)證流到達匯聚交換機后封裝第二層TAG。具體流程如圖2所示。
Radius Server根據(jù)用戶名密碼返回給BRAS Framed-pool屬性,給這個用戶分配一個IP地址。BRAS根據(jù)該賬號上所設(shè)置的具體要求,實現(xiàn)按角色進行地址分配和計費。如圖3所示。
用戶通過核心交換機的認(rèn)證后獲得了訪問Internet的權(quán)限,訪問到了外網(wǎng)資源。撥號過程如圖4所示。因為使用了QinQ技術(shù),在整個上網(wǎng)過程中,實現(xiàn)用戶與用戶之間的隔離,提高了網(wǎng)絡(luò)接入的層的安全性。
2.用戶管理方式
對于校園網(wǎng)用戶,針對不同用戶的不同需求,設(shè)置不同的管理方式。辦公用戶采用包月控制方式,宿舍用戶采用流量控制方式。
3.核心設(shè)備雙核心冗余的實現(xiàn)
核心層是校園網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐,負責(zé)對校園網(wǎng)全網(wǎng)用戶的統(tǒng)一認(rèn)證登錄,匯總轉(zhuǎn)發(fā)并響應(yīng)校園網(wǎng)全網(wǎng)用戶的各類網(wǎng)絡(luò)需求。因此核心層采用雙機熱備方式部署兩臺BRAS核心路由器,確保核心層的可靠性。兩臺核心路由器采用萬兆鏈路互連。在認(rèn)證系統(tǒng)中采用與計費軟件關(guān)聯(lián),實現(xiàn)上網(wǎng)賬號統(tǒng)一,一次登錄即可訪問Internet;用戶帶寬等信息從計費系統(tǒng)中設(shè)置,由核心路由來實現(xiàn)的方式,這樣網(wǎng)絡(luò)管理員就可以通過管理用戶上網(wǎng)賬號,實現(xiàn)對不同網(wǎng)絡(luò)需求、不同等級用戶的靈活管理。
4.網(wǎng)絡(luò)設(shè)備的選型
在今后的校園網(wǎng)改造中,應(yīng)選擇高性能路由器作為網(wǎng)絡(luò)的核心設(shè)備,為校園網(wǎng)提供高性能的數(shù)據(jù)轉(zhuǎn)發(fā)。核心路由器提供高密度的線速10G以太網(wǎng)端口作為BRAS設(shè)備提供PPPoE、IPoE用戶接入。匯聚交換機和接入交換機選用全線速交換機,實現(xiàn)局域網(wǎng)內(nèi)信息的快速轉(zhuǎn)發(fā)。全網(wǎng)采用核心路由器與城市熱點計費服務(wù)器協(xié)同工作、共同管理上網(wǎng)賬號的方式保證校園網(wǎng)快速、高效、有序、安全地運轉(zhuǎn)。遼寧對外經(jīng)貿(mào)學(xué)院大二層網(wǎng)絡(luò)架構(gòu)設(shè)計如圖5所示。
五、改造后的效果
通過對遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)改造建設(shè)的研究,扁平化大二層網(wǎng)絡(luò)架構(gòu)的設(shè)計方案比較適合對當(dāng)前普通高校校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的改造建設(shè)。遼寧對外經(jīng)貿(mào)學(xué)院校園網(wǎng)經(jīng)過本次網(wǎng)絡(luò)改造,很好地解決了之前校園網(wǎng)存在的網(wǎng)絡(luò)問題,實現(xiàn)了以下改造目標(biāo)。
(1)采用雙核心、宿舍區(qū)域雙鏈路上聯(lián),解決了單點核心設(shè)備故障存在的整網(wǎng)癱瘓等安全隱患。
(2)更換了80%的樓間匯聚、接入交換機,解決了網(wǎng)絡(luò)設(shè)備老化問題。
(3)采用QinQ封裝技術(shù)、扁平化大二層網(wǎng)絡(luò)結(jié)構(gòu),提高了網(wǎng)絡(luò)性能,有效解決了局域網(wǎng)全網(wǎng)網(wǎng)絡(luò)風(fēng)暴等安全隱患。
(4)新網(wǎng)設(shè)備運行穩(wěn)定,故障少,一定程度上減輕了網(wǎng)絡(luò)管理人員的工作壓力,解決了過去因設(shè)備老化、網(wǎng)絡(luò)環(huán)境復(fù)雜、用戶不斷增加等原因造成的網(wǎng)絡(luò)問題。
(5)使用專業(yè)的上網(wǎng)行為管理設(shè)備記錄上網(wǎng)行為,解決了上網(wǎng)用戶網(wǎng)絡(luò)行為復(fù)雜無法管控的問題。
(6)采用專用核心交換機統(tǒng)一管理服務(wù)器,為今后獨立保障服務(wù)器群的信息安全提供線路和設(shè)備環(huán)境。
(7)通過PPPoE、IPoE上網(wǎng)認(rèn)證方式,實現(xiàn)上網(wǎng)用戶精確管理。
本文以遼寧對外經(jīng)貿(mào)學(xué)院的校園網(wǎng)改造為例,對新一代校園網(wǎng)改造進行研究。本著合理規(guī)劃、可持續(xù)發(fā)展的原則對現(xiàn)有的校園網(wǎng)網(wǎng)絡(luò)構(gòu)架進行升級改造,改造后的校園網(wǎng)網(wǎng)絡(luò)傳輸速度更快,數(shù)據(jù)處理能力更強,用戶體驗?zāi)軌虻玫礁纳?,網(wǎng)絡(luò)管理人員工作量減輕,從而故障處理將會更加及時,達到了改善現(xiàn)有網(wǎng)絡(luò)環(huán)境、提高網(wǎng)絡(luò)資源利用率、提高網(wǎng)絡(luò)教學(xué)質(zhì)量、提高高校信息化發(fā)展進程的目的。為今后進一步擴展校園網(wǎng)網(wǎng)絡(luò)鏈路,增加各種網(wǎng)絡(luò)應(yīng)用,建設(shè)物聯(lián)網(wǎng)等奠定了基礎(chǔ)。