大型校園園區(qū)網的部署架構

葛蘇慧 劉偉 張德民

青島工學院信息工程系，山東 青島 266300

1 概述

各種網絡前沿技術日新月異，作為IT業(yè)務重要組件之一的園區(qū)網是校園信息化建設的重要基石。作為改善用戶體驗的承載層，園區(qū)網的結構也在不斷演進，同時為了滿足隨需接入、海量結點、業(yè)務隔離等多種需求，以及物聯網、云計算等建設熱點的需要，校園園區(qū)網的發(fā)展需要達到更高的要求。本文結合園區(qū)網技術的發(fā)展趨勢，采用隔離技術，架構了大型校園園區(qū)網絡的建設模型。

2 大型校園園區(qū)網設計與實現

大型校園園區(qū)網業(yè)務類型清晰，隨著技術的不斷變革，亟須建立一個使用前沿技術、擴展能力強，并且能最大限度地覆蓋所有功能區(qū)域的核心網絡，將大型校園園區(qū)網內的客戶端和終端設備相連，并向外連接廣域網，最終形成邏輯合理、內網與外網之間交互通信的校園園區(qū)網系統(tǒng)，同時基于硬件架構開發(fā)各種系統(tǒng)應用和共享信息庫，從而建立滿足辦公業(yè)務、監(jiān)控系統(tǒng)和管理需要的軟硬件環(huán)境，為校園內教師、學生及管理服務人員提供統(tǒng)一的平臺環(huán)境、充分的網絡信息服務。校園園區(qū)網的架構需要滿足以下需求：

該校園園區(qū)網分為辦公區(qū)、教學區(qū)、宿舍區(qū)、圖書館、會議廳等，各區(qū)域之間需要進行業(yè)務隔離；管理信息系統(tǒng)要監(jiān)控教學樓、圖書館電子閱覽室、辦公樓走廊、宿舍樓走廊、會議廳等；圖書館和教學區(qū)需要一定的無線設備，來滿足學生隨時隨地上網的需求。關于可靠性及擴展性，需要重點考慮以下方面：

大型校園園區(qū)網通常擁有幾萬人的師生規(guī)模，對應著幾萬個信息點，一個網絡內通常幾百臺設備，管理、維護難度大；關于可靠性方面，全網冗余部署，很容易造成網絡環(huán)路，所以需要部署VRRP+MSTP來避免廣播風暴[1]；安全的無線網絡需求相對較多，尤其是在園區(qū)的出口，安全性是需要重點考慮的因素；校園內多個部門既有共享又有獨立的業(yè)務需求，如果某些部門之間有業(yè)務交互的要求，可以把這些部門的服務器單獨部署，并在相對應部門的VPN中向外發(fā)布此段網絡的路由，從而實現部門之間相互訪問的目的；各部門將需要共享的資源放在共享服務器上，組成一個共享域，各個縱向系統(tǒng)可以主動訪問共享域的資源，但共享域不能訪問縱向系統(tǒng)，這樣可以保證縱向系統(tǒng)的安全隔離；并且實現了不同系統(tǒng)對安全性、QoS、各類資源分類管理的目的，保證了系統(tǒng)之間業(yè)務的相對獨立性；關于禁止訪問的問題，各業(yè)務系統(tǒng)之間的通信需要提供不同的訪問方法，同時保障訪問的安全性。

2.1 縱向隔離

伴隨著技術的不斷發(fā)展，在園區(qū)網中出現了很多廣泛使用的技術，如虛擬局域網VLAN、訪問控制列表ACL、生成樹協(xié)議STP、多生成樹協(xié)議MSTP、虛擬路由器冗余協(xié)議VRRP、多協(xié)議標簽交換MPLS VPN、智能彈性架構IRF2等

[2]。但對于建有多個分校、規(guī)模較大的校園園區(qū)網，無論業(yè)務系統(tǒng)集中還是分布部署，都可能存在跨VPN的業(yè)務互訪和資源共享，所以更適合使用MPLS L3 VPN技術。這種三層的MPLS VPN技術，主要通過VPN實例所對應接口的綁定關系和路由選擇方法，完成VPN通道之間的通信，通過路由控制策略的導入及導出方式，來完成VPN虛擬通道之間的靈活互訪，同時提供可靠性檢驗、多鏈路負載均衡等技術，因此擁有靈活控制的優(yōu)勢，對于大型校園園區(qū)網的總校和分校，網絡覆蓋范圍較大、終端數量較多的業(yè)務特點，可以提供很便捷的服務。大型校園園區(qū)網縱向隔離拓撲如圖1所示。

圖1 大型校園園區(qū)網縱向隔離拓撲圖

采用MPLS VPN進行網絡的縱向分割，保證了辦公、監(jiān)控和教學業(yè)務的邏輯隔離。在一個物理網絡上實現各種業(yè)務，通過縱向分割的方法，隔離不同的部門，但屬于同一系統(tǒng)內的資源可以直接訪問。使用共享的VPN技術，從而滿足辦公和監(jiān)控業(yè)務系統(tǒng)的互訪，并且整體設計了無線網絡及其安全，通過管理平臺統(tǒng)一管理。通過部署MPLS VPN，實現了整個系統(tǒng)的縱向隔離，不僅達到了現在業(yè)務隔離和共享訪問的目的，提供了穩(wěn)定的邏輯架構網絡方案，也滿足了今后業(yè)務繼續(xù)發(fā)展的要求，對大型校園園區(qū)網的信息化建設而言，可以提供很好的技術支撐。

2.2 橫向整合

在大型校園園區(qū)網的實現中，可以分別在匯聚層與核心層，使用IRF2技術進行橫向整合，通過設備的橫向整合，消除了網絡環(huán)路，避免了VRRP+MSTP協(xié)議的部署，同時降低了網絡中的路由數量,并提高了網絡收斂速度[3]。橫向整合架構圖如圖2所示，將多臺物理的設備虛擬化為一臺邏輯設備，構成一個邏輯的管理及轉發(fā)結點。在網絡接入層設計擴展性一般具有較高的難度，伴隨新技術的不斷演進，以及大型校園園區(qū)網對信息技術基礎設施快速發(fā)展的需求，在大規(guī)模模塊化網絡的擴展性方面，傳統(tǒng)的核心層已經能夠得到很好的支撐，但在接入層常常會面臨難以滿足擴展性要求的問題，因為接入層網絡結構復雜，通常是二層接入方式，因此設備與端口的擴展會使網絡結構進一步復雜化，這就需要一種新的架構模式來解決這些問題。

圖2 端到端的校園園區(qū)網橫向整合IRF2架構

根據當前用戶接入數量逐漸增長的趨勢，IRF2技術相應的解決策略是：通過擴展IRF2整個系統(tǒng)接入層的端口數量，來達到增加成員的目的。擴展之后的系統(tǒng)不會影響網絡的其它部分，達到了平滑擴展的目的；然而對于有更高上行帶寬要求的服務，可以使用擴展IRF2系統(tǒng)中上行聚合鏈路中成員的數量，達到平滑升級帶寬的需要[4]。在接入層復雜的環(huán)境中實行IRF2整合，將9個或者更多的物理網絡結點邏輯化為單一設備，可以消除接入層環(huán)路，并滿足綁定鏈路的高帶寬和可靠性級聯。通過這樣的虛擬化技術，就可以形成一個簡潔的網狀校園園區(qū)網架構，網絡層通過已經綁定的單邏輯鏈路相連，從而消除了環(huán)路。接入層不需設計致使網絡變復雜的生成樹協(xié)議，同時已經邏輯化為一個單一結點的客戶端，更不需要在其網關上使用VRRP協(xié)議。

為了滿足園區(qū)網樹型、無環(huán)、輻射的拓撲結構，并且減少運維管理的費用，端到端方式的IRF2部署成功解決了這些問題。網絡中數據流宏觀走向與簡化后的拓撲基本一致，數據流在網絡中的路由清晰明確。通過增加IRF2結點設備的方法，完成自身的擴展，不會影響整個網絡全局的邏輯結構，也不會改變上下各層之間服務協(xié)議的交互，因此這種方法體現了更加優(yōu)化的宏觀架構[5]。綜上所述，將承載上層應用的多個網絡結點進行橫向整合、屏蔽二層擴展之后，大型校園園區(qū)網的部署更加簡化，維護費用降低，但并不影響網絡的邏輯拓撲和路由情況，可擴展性也大大改善。

2.3 整體部署

通過IRF2的橫向整合和VPN的縱向隔離技術，可以充分滿足大型校園園區(qū)網內資源交換的目的，實現校園網組播業(yè)務、虛擬通道、無線網絡、語音視頻等各類服務，形成了對實時監(jiān)控、跨部門協(xié)作，甚至可控物聯等業(yè)務進行良好支撐的園區(qū)網絡架構。經過橫向虛擬化及縱向虛擬化技術整合后，大型虛擬校園園區(qū)網的整體架構結構如圖3所示,整個網絡通過MPLS VPN或MCE多跳技術進行路徑虛擬化，從而達到對網絡資源隔離的目的，通過部署橫向虛擬化及縱向虛擬化技術，完成整體的虛擬園區(qū)網架構。

圖3 虛擬園區(qū)網整體部署

各種鏈路資源及設備在物理層實現整合，安全服務資源及路徑在邏輯層面實現了全面整合。這樣通過橫向虛擬化技術提升網絡的可管理性、可靠性；通過縱向虛擬化技術提高了網絡的安全性、運行性。終端接入設備的訪問權限得到控制、隔離了數據業(yè)務的傳輸，使資源能夠按需分配，網絡管理和策略部署得到集中，因此減少了網絡維護管理的時間，為校內教師辦公、各級服務人員的管理提供了最可靠的保障。通過進一步整合及資源虛擬化，下一代園區(qū)網將通過虛擬化方法最大限度地將日臻完善的技術屏蔽在底層，把整個園區(qū)網整合為一個矩陣，簡化邏輯，使網絡資源、安全服務都可動態(tài)劃分并邏輯隔離，通過這種方式提供更加強勁的業(yè)務承載能力，以不斷滿足校園園區(qū)網穩(wěn)健發(fā)展的需求。

3 結束語

下一代園區(qū)網具有覆蓋范圍廣，承載業(yè)務強，接入終端和用戶種類繁多，類型豐富等特點，因此需要承載關鍵業(yè)務的校園園區(qū)網絡不斷適應這些新的變化，更好的滿足業(yè)務的繼續(xù)發(fā)展。向著更大、更快、更智能的方向邁進是校園園區(qū)網下一步的發(fā)展趨勢。通過不斷的技術完善，作為業(yè)務發(fā)展基石的下一代園區(qū)網絡，必將會更好地滿足業(yè)務日益擴展的需要。

[1]杭州華三通信技術有限公司.新一代網絡建設理論與實踐[M].北京:電子工業(yè)出版社,2011年10月.

[2]朱志威. 企業(yè)園區(qū)網的規(guī)劃與設計[D]. 山東:山東大學畢業(yè)論文,2010.6.

[3](美)Diane Teare Catherine Paquet 編, 吳劍章, 余曉, 呂紅艷譯. 園區(qū)網絡設計[M].北京:人民郵電出版社,2011,2.

[4]高榕.中小型企業(yè)園區(qū)網絡設計與實現[J]. 軟件導刊,2010,8.

[5]彭亮.小型園區(qū)網絡的設計要點解析[J]. 基礎信息化,2012.9.