基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設(shè)研究

常州工程職業(yè)技術(shù)學(xué)院 吳乃忠

基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設(shè)研究

常州工程職業(yè)技術(shù)學(xué)院 吳乃忠

傳統(tǒng)三層或更多層架構(gòu)的校園網(wǎng)在高校網(wǎng)絡(luò)建設(shè)初期對校園應(yīng)用和高校信息化的推進發(fā)揮了巨大作用，但隨著高校校園網(wǎng)各類業(yè)務(wù)、應(yīng)用和用戶承載的快速拓展以及對校園網(wǎng)絡(luò)精細(xì)化管理的要求提升，基于扁平化架構(gòu)的下一代校園網(wǎng)應(yīng)運而生，高性能、精細(xì)化和易管理無疑是下一代校園網(wǎng)建設(shè)的三大目標(biāo)。

扁平化；架構(gòu)；業(yè)務(wù)承載；部署；論證

1.前言

早在1994年隨著以CERNET為標(biāo)志的金智建設(shè)工程的興起以及人們對信息網(wǎng)絡(luò)服務(wù)要求的不斷提高，全國高校掀起了校園網(wǎng)建設(shè)的高潮，第一代的校園網(wǎng)作為信息管理和信息交換的網(wǎng)絡(luò)平臺，在高等院校教學(xué)、科研、管理等工作中發(fā)揮了不可替代的重要作用。近年來隨著高校信息化和校園網(wǎng)對安全需求、運營需求、管理需求和性能需求的不斷提升，下一代校園網(wǎng)的建設(shè)成為高校信息化建設(shè)的一項主要基礎(chǔ)性工作。

2.傳統(tǒng)校園網(wǎng)的三層“倒掛”架構(gòu)

傳統(tǒng)三層或者多層架構(gòu)校園網(wǎng)只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的控制和管理手段，用戶之間互相影響，類似ARP攻擊、DHCP仿冒、IP仿冒等對網(wǎng)絡(luò)的攻擊現(xiàn)象經(jīng)常發(fā)生，校園網(wǎng)絡(luò)對于用戶的審計和控制功能較弱也導(dǎo)致了網(wǎng)絡(luò)的無序使用，業(yè)務(wù)承載方面缺乏針對性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障，也難以實現(xiàn)靈活的基于身份、時間、位置等的用戶控制。

這種三層倒掛架構(gòu)一個形象的比喻就是核心層是大馬拉小車，資源浪費但績效一般，而接入層是小馬拉大車，能力有限卻責(zé)任重大。

由圖1可以看出，傳統(tǒng)校園網(wǎng)架構(gòu)的主要特點是：

1)實現(xiàn)一個業(yè)務(wù)功能需要由多個業(yè)務(wù)層面共同配合完成；

2)靠近邊緣的設(shè)備要求其功能卻很多，影響了實現(xiàn)效果和性能；

3)各層之間沒有有效的隔離措施和保障手段，導(dǎo)致相互的干擾影響；

4)校園網(wǎng)中設(shè)備特別是邊緣設(shè)備的穩(wěn)定性和可靠性不高帶來了管理、維護上的巨大壓力。

3.發(fā)展扁平化網(wǎng)絡(luò)架構(gòu)的必然趨勢

當(dāng)前不同規(guī)模和不同區(qū)域的學(xué)校在建設(shè)高校校園網(wǎng)時普遍遇到的問題是：

1)如何適應(yīng)和滿足國家政策和法律法規(guī)對于校園網(wǎng)用戶的行為要求；

2)如何滿足各類業(yè)務(wù)、各類應(yīng)用和不同需求的用戶的各種承載的拓展；

3)如何降低校園網(wǎng)的管理難度和維護工作量。

要解決這些問題必須要從網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式上面進行變革，而扁平化的架構(gòu)正好切中了解決這些問題的關(guān)鍵。從下圖可以看出扁平化網(wǎng)絡(luò)架構(gòu)將原有各層的功能在邏輯上面進行了重新界定和劃分，使得各層設(shè)備各盡其能，也可以看出構(gòu)建和發(fā)展扁平化網(wǎng)絡(luò)架構(gòu)是一個必然趨勢。

3.1 網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)層次從復(fù)雜化向簡單化發(fā)展

高校校園網(wǎng)發(fā)展扁平化網(wǎng)絡(luò)最初是源自于運營商大規(guī)模網(wǎng)絡(luò)發(fā)展的經(jīng)驗，而扁平化并不是意味著網(wǎng)絡(luò)物理層次的減少，而是網(wǎng)絡(luò)邏輯層次的扁平。構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個層次模糊的功能區(qū)分清晰化，不同層次之間各司其職，有利于管理和維護，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。

3.2 用戶和業(yè)務(wù)控制的集中化

由能力最強、功能最豐富的核心設(shè)備提供集中的業(yè)務(wù)控制和管理，有利于功能和業(yè)務(wù)的部署，能夠保證在提供功能和業(yè)務(wù)時，有較好的性能，更有利于發(fā)揮核心設(shè)備的穩(wěn)定性可靠性的優(yōu)勢；而匯聚和接入設(shè)備，則提供其力所能及的基本功能，比如一般只提供基本的二層VLAN隔離功能等，因此部署新的業(yè)務(wù)和功能時，無需考慮其是否支持，從而有利于降低數(shù)量眾多的匯聚和接入層設(shè)備投資，而且由于功能簡單，有利于這些設(shè)備的穩(wěn)定可靠運行，使得全網(wǎng)投資的下降，電力和空調(diào)等運行成本相應(yīng)的會大幅降低。

3.3 網(wǎng)絡(luò)架構(gòu)更易于擴展和管理

校園網(wǎng)的功能劃分清晰后，整個網(wǎng)絡(luò)更有利于擴展。核心層設(shè)備由于性能很強可以對新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴充、上行帶寬的增加，管理上面顯得更加簡單。

4.下一代扁平化校園網(wǎng)的建設(shè)目標(biāo)

4.1 高性能

下一代扁平化校園網(wǎng)的高性能主要表現(xiàn)在：

1)IPv6性能相對于IPv4要有大幅提升；

2)為滿足精細(xì)化VLAN劃分的要求，應(yīng)盡可能多的支持多個VLAN；

3)支持QinQ終結(jié)功能，實現(xiàn)VLAN無限擴展；

4)支持硬件的IPv6組播功能，實現(xiàn)組播數(shù)據(jù)流高速轉(zhuǎn)發(fā)。

在這種網(wǎng)絡(luò)架構(gòu)下面可以使用高性能多業(yè)務(wù)路由器作為整個網(wǎng)絡(luò)的核心設(shè)備替代原有架構(gòu)的高端三層交換機，使更多的組播、線速轉(zhuǎn)發(fā)、用戶論證和審計等核心工作由功能和性能均強大的設(shè)備來完成，從而實現(xiàn)整個校園網(wǎng)的高性能。

另一方面高校校園網(wǎng)往往是教學(xué)網(wǎng)、學(xué)生宿舍網(wǎng)、教育網(wǎng)、一卡通專網(wǎng)、財務(wù)專網(wǎng)和科研專網(wǎng)等多個網(wǎng)絡(luò)的混合體，校園網(wǎng)的高性能還要體現(xiàn)在多個網(wǎng)絡(luò)多個業(yè)務(wù)并發(fā)的同時保證性能不下降，實現(xiàn)在同一個物理平臺上構(gòu)建出多個邏輯上完全獨立的網(wǎng)絡(luò)平臺，這些網(wǎng)絡(luò)平臺和主網(wǎng)絡(luò)平臺還要具有相同的功能。

圖1 傳統(tǒng)校園網(wǎng)的三層“倒掛”架構(gòu)

圖2 扁平化的網(wǎng)絡(luò)架構(gòu)圖

4.2 精細(xì)化

下一代扁平化校園網(wǎng)的精細(xì)化主要實現(xiàn)途徑為：

（1）能夠基于邏輯接口實現(xiàn)

采用每個接入終端在核心設(shè)備上對應(yīng)一個邏輯接口的方式，同時在接口上提供速率限制、訪問權(quán)限控制等實現(xiàn)對邏輯接口的獨立和分別控制。

（2）能夠基于每個用戶實現(xiàn)

基于用戶的身份，在用戶認(rèn)證時動態(tài)下發(fā)控制屬性，對用戶的訪問速率、權(quán)限等進行控制，從而實現(xiàn)對每一個校園網(wǎng)用戶的個性化控制。

（3）能夠基于不同類型的接入方式開放或者關(guān)閉相應(yīng)的業(yè)務(wù)功能

比如在WLAN中，由于AP的性能問題，就可以關(guān)閉IPv4、IPv6 multicast業(yè)務(wù)，僅開放單播業(yè)務(wù)，這樣就可以降低接入設(shè)備的壓力，把控制功能后移至核心路由設(shè)備上面。

（4）能夠基于用戶的實名制進行校園網(wǎng)精細(xì)化管理

實現(xiàn)實名制后能夠做到用戶身份和網(wǎng)絡(luò)行為的一一對應(yīng)，做到基于用戶角色的控制，實現(xiàn)用戶訪問網(wǎng)絡(luò)的計費、審計、日志等功能，做到有據(jù)可查。

此外還可以通過對校園網(wǎng)應(yīng)用中的流量監(jiān)控和實時采集分析，可以動態(tài)感知具體的應(yīng)用類型和資源占用情況，就可以實時掌握校園網(wǎng)內(nèi)的流量特征和用戶行為特征，對于一些隱患可以及時采取措施來應(yīng)對異常流量的攻擊。

4.3 易管理

下一代扁平化校園網(wǎng)的易管理主要體現(xiàn)在：

1)能夠?qū)崿F(xiàn)用戶之間和業(yè)務(wù)之間的有效隔離，避免相互之間的干擾和影響，做到業(yè)務(wù)可細(xì)分、用戶可隔離；

2)能夠?qū)τ脩舻母鞣N信息如用戶帳號、MAC地址、IP地址、上線時間及其訪問行為進行識別和實時記錄，做到可實時跟蹤、可歷史追查；

3)能夠?qū)崿F(xiàn)基于用戶身份的行為控制，諸如可訪問的資源權(quán)限、對網(wǎng)絡(luò)帶寬的占用等方面的控制，做到行為可控制、身份可管理；

4)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)應(yīng)用的精細(xì)化管理，實現(xiàn)完善的流量識別和控制能力，保障重要應(yīng)用系統(tǒng)的網(wǎng)絡(luò)承載，包括其安全性、帶寬保障、可靠性等方面實現(xiàn)應(yīng)用可識別、資源可保障。

在新的網(wǎng)絡(luò)結(jié)構(gòu)中，用戶認(rèn)證可以通過WEB方式進行，使得學(xué)校的師生不必安裝撥號客戶端，認(rèn)證功能通過IE瀏覽器即可方便地完成身份認(rèn)證過程。認(rèn)證平臺也可調(diào)用學(xué)校統(tǒng)一的LDAP用戶數(shù)據(jù)庫，以實現(xiàn)統(tǒng)一身份認(rèn)證。用戶的訪問權(quán)限、上網(wǎng)速率以及其他跟上網(wǎng)相關(guān)的行為管理由RADIUS系統(tǒng)根據(jù)用戶身份下發(fā)相應(yīng)的策略給核心業(yè)務(wù)路由器來實現(xiàn)。這使得網(wǎng)絡(luò)具備較高的控制能力和可管理性，運維管理更加方便。

在這架構(gòu)下，有線、無線（含校內(nèi)師生、訪客）用戶均可通過同一套設(shè)備、同一套軟件、同一用戶身份驗證服務(wù)器，經(jīng)過一次認(rèn)證，即可根據(jù)預(yù)先設(shè)置的策略訪問相應(yīng)的資源，而不必進行多次認(rèn)證。

5.結(jié)語

對原有校園網(wǎng)架構(gòu)升級改造為扁平化的網(wǎng)絡(luò)架構(gòu)后對于系統(tǒng)管理員和普通用戶而言，其應(yīng)用效果表現(xiàn)在：

1)一個簡單的的網(wǎng)絡(luò)架構(gòu)：也就是將原有的多達三層或更多層的校園網(wǎng)結(jié)構(gòu)簡化為了二層結(jié)構(gòu)，即業(yè)務(wù)控制層（核心網(wǎng)絡(luò)層）和寬帶接入層（接入層），在邏輯意義上面實現(xiàn)了網(wǎng)絡(luò)結(jié)構(gòu)的平滑過渡。

2)一個多業(yè)務(wù)的系統(tǒng)：指網(wǎng)絡(luò)平臺支持用戶接入、認(rèn)證、審計、計費、帶寬管理、行為控制，同時也支持MPLS VPN、IPv6、組播業(yè)務(wù)的應(yīng)用和快速部署。

3)一個統(tǒng)一身份認(rèn)證的平臺：實現(xiàn)了有線、無線用戶的任意漫游，也實現(xiàn)了不同系統(tǒng)之間用戶的統(tǒng)一認(rèn)證，避免重復(fù)地多次認(rèn)證，提高用戶了體驗。

4)一個透明的網(wǎng)絡(luò)：校園網(wǎng)對用戶仍然是透明的，用戶無需關(guān)心網(wǎng)絡(luò)流量如何轉(zhuǎn)發(fā)，用戶無論在哪里登錄，都可以獲得相同的訪問權(quán)限和帶寬保障。

[1]劉紫燕,黃義成,胡鋒.業(yè)務(wù)感知技術(shù)的下一代校園網(wǎng)QoS研究與仿真[J].計算機工程與科學(xué),2011,33(8):58-62.

[2]申繼年,邱家學(xué).校園網(wǎng)組網(wǎng)架構(gòu)的比較與分析三層交換架構(gòu)vs扁平純路由架構(gòu)[J].中國教育網(wǎng)絡(luò),2012(1).

[3]涂慶華,馬躍勇,李華峰,王成.南京理工大學(xué):IPv6校園網(wǎng)扁平化部署[OL].http://www.edu.cn/IPv6_xyw_7949/20120621/t20120621_796153.shtml,2012-6-21.