中國海洋大學(xué)：提高數(shù)字校園網(wǎng)絡(luò)精細(xì)化管理水平

文/辛華龍

以網(wǎng)絡(luò)和信息為基礎(chǔ)，以統(tǒng)一規(guī)劃、分布實(shí)施為主要特征的數(shù)字化校園，已經(jīng)成為高校信息化建設(shè)的主流，信息標(biāo)準(zhǔn)體系、安全保障體系、運(yùn)維保障體系，已經(jīng)成為目前學(xué)校信息化建設(shè)與運(yùn)行維護(hù)的重點(diǎn)。中國海洋大學(xué)通過校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、寬帶認(rèn)證計(jì)費(fèi)、有線無線統(tǒng)一化認(rèn)證和數(shù)據(jù)中心安全等技術(shù)，在建設(shè)數(shù)字化校園的基礎(chǔ)上，提高校園網(wǎng)絡(luò)的可管理性。

現(xiàn)存問題

在中國海洋大學(xué)校園網(wǎng)建設(shè)初期，學(xué)校就已意識(shí)到網(wǎng)絡(luò)管理和數(shù)據(jù)中心安全的重要性。網(wǎng)絡(luò)管理的基礎(chǔ)，是管理當(dāng)時(shí)幾千個(gè)在網(wǎng)用戶。對于用戶的網(wǎng)絡(luò)行為管理、認(rèn)證、計(jì)費(fèi)，中國海洋大學(xué)采用串聯(lián)網(wǎng)關(guān)配合宿舍區(qū)使用802.1X技術(shù)，學(xué)生宿舍的認(rèn)證方式使用客戶端軟件配合交換機(jī)802.1X協(xié)議，教學(xué)區(qū)和圖書館使用Web方式進(jìn)行認(rèn)證，認(rèn)證過后所有上網(wǎng)流量進(jìn)行計(jì)費(fèi)，并記錄上網(wǎng)行為，以便進(jìn)行日后追溯。這種用戶管理方式在早期非常流行，也是目前很多高校還在繼續(xù)沿用的用戶管理方式。但隨著中國海洋大學(xué)在網(wǎng)用戶數(shù)量不斷增加，使用802.1X的計(jì)費(fèi)方式給網(wǎng)絡(luò)與信息中心的運(yùn)維工作增加了很大的工作量，而且接入交換機(jī)每次更新都需要購買支持802.1X協(xié)議的交換機(jī)，花費(fèi)巨大?；ヂ?lián)網(wǎng)出口串聯(lián)網(wǎng)關(guān)的方式，也因用戶量增加導(dǎo)致出口帶寬的增加，原有計(jì)費(fèi)網(wǎng)關(guān)已經(jīng)成為校園網(wǎng)發(fā)展的瓶頸。

在數(shù)據(jù)中心安全方面，中國海洋大學(xué)在當(dāng)時(shí)使用了核心交換機(jī)加硬件防火墻模塊的部署方式，為了增加防火墻模塊的利用率，還使用了防火墻虛擬化技術(shù)，由虛擬防火墻構(gòu)建以防護(hù)中國海洋大學(xué)校園網(wǎng)出口及數(shù)據(jù)中心的安全網(wǎng)關(guān)。隨著學(xué)校數(shù)據(jù)中心規(guī)模的擴(kuò)展及校園網(wǎng)一卡通的應(yīng)用，數(shù)據(jù)中心的安全及穩(wěn)定性受到網(wǎng)絡(luò)與信息中心越來越多的關(guān)注，而交換機(jī)插防火墻模塊的部署方式，其應(yīng)用層深層檢測防御機(jī)制的缺失、硬件架構(gòu)穩(wěn)定性差及部署結(jié)構(gòu)復(fù)雜的缺點(diǎn)，也讓學(xué)校網(wǎng)絡(luò)與信息中心重新審視改變這種部署方式的必要性。

新一代校園網(wǎng)建設(shè)目標(biāo)

數(shù)字化校園網(wǎng)的建設(shè)，需要建設(shè)高可用的數(shù)據(jù)中心基礎(chǔ)設(shè)施、統(tǒng)一的數(shù)據(jù)中心基礎(chǔ)應(yīng)用和核心應(yīng)用服務(wù)以及資源豐富的數(shù)字化學(xué)習(xí)、管理系統(tǒng)。這些豐富應(yīng)用的前提，是建設(shè)一個(gè)高可靠性、安全可管理的園區(qū)網(wǎng)。校園網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)是“路”，教學(xué)資源、數(shù)字化應(yīng)用等資源是“車”，對于學(xué)校網(wǎng)絡(luò)與信息中心來說，不僅僅需要一個(gè)安全可靠的“路”，還需要這條“路”有較高的透明度及可管理性，才能讓數(shù)字化應(yīng)用資源為全校師生提供更人性化的服務(wù)，才能構(gòu)建滿足學(xué)校教、學(xué)、科研、管理與服務(wù)要求的開放性、協(xié)同化運(yùn)行支撐環(huán)境，為校內(nèi)、外各類人員提供完善的個(gè)性化服務(wù)支持，為學(xué)校的教學(xué)、科研和管理提供完善的數(shù)字化支撐平臺(tái)。

也正是基于以上幾點(diǎn)問題，以及建設(shè)數(shù)字化校園的必要性，讓學(xué)校網(wǎng)絡(luò)與信息中心決定優(yōu)化網(wǎng)絡(luò)架構(gòu)，提高中國海洋大學(xué)校園網(wǎng)可管理性，構(gòu)建新一代數(shù)字化校園網(wǎng)。為了少走彎路，拓寬視野，學(xué)校網(wǎng)絡(luò)與信息中心在2011年組織參觀調(diào)研了多所985高校，吸取兄弟學(xué)校數(shù)字化網(wǎng)絡(luò)建設(shè)經(jīng)驗(yàn)，組織專家進(jìn)行論證，逐步形成中國海洋大學(xué)下一代校園網(wǎng)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)模型。

建設(shè)方案

網(wǎng)絡(luò)架構(gòu)優(yōu)化改變原有認(rèn)證方式

整個(gè)中國海洋大學(xué)校園網(wǎng)由多個(gè)模塊構(gòu)成，園區(qū)接入?yún)^(qū)、數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、節(jié)點(diǎn)接入?yún)^(qū)等。而隨著學(xué)校校園網(wǎng)各類業(yè)務(wù)、應(yīng)用和用戶承載的快速發(fā)展以及對校園網(wǎng)絡(luò)精細(xì)化管理要求的提升，網(wǎng)絡(luò)與信息中心設(shè)想構(gòu)建一個(gè)高性能、精細(xì)化和易管理的下一代校園網(wǎng)。通過對現(xiàn)有校園網(wǎng)絡(luò)的結(jié)構(gòu)優(yōu)化，簡化學(xué)校校園網(wǎng)網(wǎng)絡(luò)架構(gòu)，減輕接入交換機(jī)、匯聚交換機(jī)網(wǎng)絡(luò)職能，接入及匯聚層交換機(jī)只負(fù)責(zé)高速轉(zhuǎn)發(fā)，所有其他功能由三大校區(qū)的核心交換機(jī)替代，降低網(wǎng)絡(luò)運(yùn)維成本，提高轉(zhuǎn)發(fā)速度。用戶認(rèn)證計(jì)費(fèi)方面選擇運(yùn)營商使用多年的BRAS（寬帶接入）系統(tǒng)，確認(rèn)了在宿舍區(qū)使用PPPoE技術(shù)，院系區(qū)教學(xué)區(qū)使用IPoE技術(shù)，通過三大校區(qū)的核心交換機(jī)設(shè)備，管理學(xué)校幾萬在網(wǎng)用戶。通過PPPoE的輕客戶端（Windows自帶客戶端撥號軟件）和IPoE的無客戶端方式，網(wǎng)絡(luò)與信息中心可以很輕松地管理幾萬在網(wǎng)用戶，也因園區(qū)網(wǎng)架構(gòu)的簡化，接入層和匯聚層設(shè)備可以選用較低檔次的網(wǎng)絡(luò)設(shè)備。同時(shí)，BRAS開放式的架構(gòu)，讓學(xué)?？梢宰灾鬟x擇支持標(biāo)準(zhǔn)Radius協(xié)議的后臺(tái)認(rèn)證計(jì)費(fèi)服務(wù)器，甚至自我開發(fā)一套認(rèn)證計(jì)費(fèi)系統(tǒng)，從整體上降低CAPEX（Capital Expenditure）和OPEX(Operating Expense)。

數(shù)據(jù)中心安全管理是重中之重

數(shù)據(jù)中心作為數(shù)字化校園的大腦，需要高速、穩(wěn)定、安全和易維護(hù)的網(wǎng)絡(luò)架構(gòu)來構(gòu)建。數(shù)據(jù)中心使用網(wǎng)絡(luò)虛擬化技術(shù)，不僅可以最大限度地利用網(wǎng)絡(luò)設(shè)備本身的資源，還可以降低運(yùn)維成本，增加網(wǎng)絡(luò)中心工作效率。而數(shù)據(jù)中心的安全防護(hù)，更是網(wǎng)絡(luò)中心一直在重點(diǎn)考慮的部分。使用盡可能少的安全設(shè)備，提供涵蓋七層網(wǎng)絡(luò)模型的安全防護(hù)功能，實(shí)現(xiàn)快速轉(zhuǎn)發(fā)，并保護(hù)越來越多的服務(wù)器。

提高原有網(wǎng)絡(luò)設(shè)備利用率

建設(shè)下一代數(shù)字化校園網(wǎng)，升級網(wǎng)絡(luò)設(shè)備，進(jìn)行網(wǎng)絡(luò)改造，勢必會(huì)購買新的網(wǎng)絡(luò)設(shè)備，淘汰舊的網(wǎng)絡(luò)設(shè)備，原有校園網(wǎng)網(wǎng)絡(luò)設(shè)備如何利用，也是學(xué)校網(wǎng)絡(luò)與信息中心在此次網(wǎng)絡(luò)升級改造時(shí)考慮的重點(diǎn)。通過專家論證，決定繼續(xù)使用淘汰下來的網(wǎng)絡(luò)設(shè)備，原有核心交換機(jī)作為新校區(qū)匯聚交換機(jī)，部分低端交換機(jī)用來搭建學(xué)校網(wǎng)絡(luò)學(xué)院網(wǎng)絡(luò)實(shí)驗(yàn)室，為網(wǎng)絡(luò)中心運(yùn)維人員及計(jì)算機(jī)學(xué)院學(xué)生進(jìn)行運(yùn)維測試和學(xué)習(xí)提供實(shí)驗(yàn)環(huán)境。

基于無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的統(tǒng)一管理

數(shù)字化校園的建設(shè)，離不開無線網(wǎng)絡(luò)的建設(shè)，無線網(wǎng)絡(luò)作為校園有線網(wǎng)絡(luò)的補(bǔ)充，如何讓無線網(wǎng)絡(luò)在數(shù)字化校園建設(shè)的基礎(chǔ)上，為師生帶來更好的用戶體驗(yàn)，是學(xué)校網(wǎng)絡(luò)與信息中心建設(shè)無線網(wǎng)絡(luò)的原動(dòng)力。中國海洋大學(xué)的無線網(wǎng)絡(luò)除了要具有安全、穩(wěn)定、高速等特質(zhì)之外，還要保證用戶在任意地點(diǎn)、任意時(shí)間，實(shí)現(xiàn)有線無線統(tǒng)一賬號接入校園網(wǎng)。有線無線的統(tǒng)一化認(rèn)證，既降低了網(wǎng)絡(luò)中心運(yùn)維成本，又提高了網(wǎng)絡(luò)服務(wù)水平?；诒馄交南乱淮@網(wǎng)，BRAS的IPoE技術(shù)可以作為有線網(wǎng)和無線網(wǎng)的統(tǒng)一認(rèn)證技術(shù)，通過IPoE + Web Portal技術(shù)，無論用戶使用有線還是無線方式連接到網(wǎng)絡(luò)，都會(huì)基于瀏覽器統(tǒng)一打開Portal頁面進(jìn)行認(rèn)證，使用一個(gè)賬號，就可以在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)上享用校園網(wǎng)資源。

網(wǎng)絡(luò)扁平化升級改造

通過為期一年多的設(shè)備選型，專家論證，組織招標(biāo)，學(xué)校確定了構(gòu)架中國海洋大學(xué)園區(qū)網(wǎng)和數(shù)據(jù)中心網(wǎng)絡(luò)的產(chǎn)品類型。

秉承基于扁平化網(wǎng)絡(luò)來構(gòu)建下一代數(shù)字化校園園區(qū)網(wǎng)，學(xué)校網(wǎng)絡(luò)與信息中心在校園網(wǎng)核心部署三大校區(qū)帶有BRAS功能的高端以太網(wǎng)路由器，承載全校五萬師生的上網(wǎng)流量及用戶管理功能。核心設(shè)備的升級，帶動(dòng)全網(wǎng)扁平化的改變，原有的三層網(wǎng)絡(luò)架構(gòu)通過兩臺(tái)高端以太網(wǎng)路由器的加入，使得匯聚層及接入層的大部分功能遷移到兩臺(tái)核心設(shè)備上，匯聚及接入設(shè)備弱化，由原來的物理三層架構(gòu)變?yōu)檫壿嫸蛹軜?gòu)，網(wǎng)絡(luò)中心僅僅需要維護(hù)三大校區(qū)的核心設(shè)備就可以管理整個(gè)校園網(wǎng)。出口防火墻由原來的交換機(jī)插防火墻板卡的方式轉(zhuǎn)為部署兩臺(tái)高性能防火墻，增加出口網(wǎng)絡(luò)穩(wěn)定性的同時(shí)，也因使用了防火墻的虛擬化技術(shù)，兩臺(tái)防火墻虛擬為一臺(tái)防火墻，降低了運(yùn)維的工作量。同時(shí)，數(shù)據(jù)中心的部署，大量使用了虛擬化技術(shù)，接入交換機(jī)的虛擬機(jī)箱技術(shù)，數(shù)據(jù)中心核心防火墻的Cluster技術(shù)，進(jìn)一步幫助學(xué)校降低了運(yùn)維成本，同時(shí)核心防火墻的旁掛部署模式，也解決了使用一組防火墻防護(hù)學(xué)校數(shù)據(jù)中心十幾個(gè)VLAN之間互相訪問的安全控制需求。

圖1 下一代數(shù)字化校園扁平化管理

此次網(wǎng)絡(luò)升級改造是分步驟進(jìn)行的，目前已經(jīng)完成所有園區(qū)網(wǎng)核心、出口及數(shù)據(jù)中心新購設(shè)備的升級替換工作，正在逐步啟用核心設(shè)備的BRAS功能，實(shí)施完成后，宿舍區(qū)的802.1X的認(rèn)證方式更改為PPPoE的認(rèn)證計(jì)費(fèi)方式，教學(xué)區(qū)和圖書館的串聯(lián)城市熱點(diǎn)服務(wù)器的認(rèn)證方式會(huì)改成IPoE + Web Portal方式，城市熱點(diǎn)計(jì)費(fèi)服務(wù)器旁掛在核心設(shè)備上，作為Radius服務(wù)器及計(jì)費(fèi)服務(wù)器繼續(xù)為中國海洋大學(xué)使用。升級改造淘汰下來的核心交換機(jī)，也已經(jīng)作為新建南隴口校區(qū)的匯聚交換機(jī)，其他低端交換機(jī)作為網(wǎng)絡(luò)學(xué)院的網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備繼續(xù)使用。這樣，原有認(rèn)證計(jì)費(fèi)的維護(hù)成本降低，城市熱點(diǎn)串聯(lián)在出口的性能瓶頸得到了解決，同時(shí)也充分利用了現(xiàn)有的網(wǎng)絡(luò)設(shè)備，避免了資源浪費(fèi)。

為了達(dá)到在中國海洋大學(xué)校區(qū)內(nèi)任何地方都能享受數(shù)字化校園服務(wù)的目標(biāo)，網(wǎng)絡(luò)與信息中心目前正在進(jìn)行無線網(wǎng)絡(luò)的論證工作，簡化網(wǎng)絡(luò)架構(gòu)，提高數(shù)字化校園園區(qū)網(wǎng)可管理性，是中國海洋大學(xué)衡量無線廠商產(chǎn)品及方案的重要依據(jù)。核心網(wǎng)絡(luò)升級改造完成后，基于核心路由器的BRAS解決方案，會(huì)把無線網(wǎng)絡(luò)的認(rèn)證納入進(jìn)來，實(shí)現(xiàn)有線無線的統(tǒng)一化認(rèn)證，使得中國海洋大學(xué)師生通過一個(gè)賬號，就可以無縫使用有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的資源。同時(shí)，統(tǒng)一認(rèn)證后，無線網(wǎng)的可管理性將會(huì)增加，并降低其運(yùn)維成本。