哈爾濱工程大學(xué)：校園網(wǎng)扁平化改造優(yōu)化管理

文/吳宇平 徐俊波 張智萍

哈爾濱工程大學(xué)：校園網(wǎng)扁平化改造優(yōu)化管理

文/吳宇平 徐俊波 張智萍

經(jīng)過(guò)BRAS扁平化校園網(wǎng)建設(shè)后，網(wǎng)絡(luò)報(bào)修數(shù)量下降，處理網(wǎng)絡(luò)故障難度降低，故障定位快速精準(zhǔn)，減少了校園網(wǎng)運(yùn)維工作量，提升了校園網(wǎng)管理效率。

校園網(wǎng)存在問(wèn)題

哈爾濱工程大學(xué)校園網(wǎng)采用三層組網(wǎng)結(jié)構(gòu)，IPv4/IPv6雙棧訪(fǎng)問(wèn)互聯(lián)網(wǎng)，拓?fù)浣Y(jié)構(gòu)比較完整，但運(yùn)行環(huán)境復(fù)雜，網(wǎng)絡(luò)故障較多，排查困難，日常運(yùn)維的工作量大，認(rèn)證計(jì)費(fèi)也不統(tǒng)一，特別是隨著學(xué)校的發(fā)展和建設(shè)，上網(wǎng)人數(shù)逐年增加，網(wǎng)絡(luò)應(yīng)用也越來(lái)越豐富多樣。在校園網(wǎng)實(shí)際運(yùn)行中，存在管理運(yùn)維復(fù)雜、上網(wǎng)監(jiān)管困難等問(wèn)題，校園網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)行模式已不能滿(mǎn)足管理和服務(wù)的需要，矛盾日益突出。

網(wǎng)絡(luò)管理運(yùn)維復(fù)雜

1.網(wǎng)絡(luò)優(yōu)化工作量大

學(xué)校IPv4網(wǎng)絡(luò)共7條出口鏈路，連接4個(gè)不同的運(yùn)營(yíng)商。由于運(yùn)營(yíng)商的路由數(shù)目眾多，而且路由信息更新較快，所以需要定期檢查并及時(shí)更新出口路由表，進(jìn)行路由優(yōu)化。同時(shí)，為保證網(wǎng)絡(luò)的正常應(yīng)用，需要通過(guò)流控設(shè)備長(zhǎng)期對(duì)校園網(wǎng)流量進(jìn)行優(yōu)化，限制P2P、流媒體等應(yīng)用，緩解校園網(wǎng)出口壓力。

2.日常網(wǎng)絡(luò)運(yùn)維復(fù)雜

圖1 哈爾濱工程大學(xué)校園網(wǎng)拓?fù)?/p>

現(xiàn)在的校園網(wǎng)結(jié)構(gòu)、用戶(hù)管理和IP管理方式給日常運(yùn)維帶來(lái)巨大的工作量。例如，802.1X客戶(hù)端相關(guān)故障、用戶(hù)操作電腦配置IP相關(guān)信息、IP地址沖突問(wèn)題等故障最為突出，且解決上述問(wèn)題占用時(shí)間多，處理故障較為困難。根據(jù)2013年3月～2014年3月網(wǎng)絡(luò)故障統(tǒng)計(jì)，故障總數(shù)量為1750個(gè)，其中線(xiàn)路故障數(shù)量為927個(gè)，占據(jù)總故障量的53%，而處理線(xiàn)路故障只占運(yùn)維總工作量的很少一部分。其他類(lèi)型故障數(shù)量的總和為校園網(wǎng)故障總數(shù)量的47%，而處理這些故障耗費(fèi)了巨大的運(yùn)維工作量。

3.IP地址不夠用與浪費(fèi)現(xiàn)象并存

由于學(xué)校用戶(hù)使用靜態(tài)公網(wǎng)IP地址，學(xué)生畢業(yè)離?；蚴墙坦ぷ儎?dòng)工作樓宇時(shí)，辦公網(wǎng)IP地址不能及時(shí)回收，造成IP地址的浪費(fèi)、IP地址與用戶(hù)信息存在不一致、IP地址被其他人盜用等問(wèn)題。同時(shí)，在公寓網(wǎng)和家屬區(qū)用戶(hù)也采用公網(wǎng)靜態(tài)IP地址，同樣存在IP地址不能及時(shí)回收、造成IP地址浪費(fèi)等問(wèn)題。

4.網(wǎng)絡(luò)接入安全管理較弱

校園網(wǎng)接入層安全管理較弱，不能做到從接入層杜絕網(wǎng)絡(luò)病毒的傳播，網(wǎng)絡(luò)病毒突發(fā)性高，導(dǎo)致單用戶(hù)傳播網(wǎng)絡(luò)病毒影響其他用戶(hù)上網(wǎng)等問(wèn)題。

5.出口帶寬缺乏有效管理

校園網(wǎng)Internet出口帶寬有限，部分用戶(hù)無(wú)限制地使用出口帶寬或者使用P2P工具進(jìn)行下載。過(guò)多的P2P下載，造成出口擁塞，出口的擁塞又會(huì)造成更多用戶(hù)加入帶寬的爭(zhēng)搶?zhuān)率钩隹诟訐砣?，這必將導(dǎo)致網(wǎng)絡(luò)丟包嚴(yán)重，大量數(shù)據(jù)包重復(fù)發(fā)送，進(jìn)一步擁塞整個(gè)網(wǎng)絡(luò)，其最終結(jié)果就是整個(gè)網(wǎng)絡(luò)出現(xiàn)擁塞，所有用戶(hù)不能正常上網(wǎng)。所以，需要限制校園網(wǎng)用戶(hù)使用P2P下載，保障校園網(wǎng)用戶(hù)對(duì)瀏覽網(wǎng)頁(yè)、查收郵件、即時(shí)通信等關(guān)鍵應(yīng)用的使用。

認(rèn)證計(jì)費(fèi)問(wèn)題

1.認(rèn)證客戶(hù)端兼容性差

公寓網(wǎng)和家屬區(qū)采用基于802.1X的客戶(hù)端認(rèn)證，雖然能夠快速定位到故障用戶(hù)，但同時(shí)也帶來(lái)很多問(wèn)題。例如，上網(wǎng)終端必須安裝與設(shè)備廠(chǎng)商配套的802.1X客戶(hù)端軟件，而且該軟件與操作系統(tǒng)的TCP/IP協(xié)議棧是強(qiáng)耦合關(guān)系，所以對(duì)應(yīng)不同的操作系統(tǒng)（如Windows、MAC OS、Linux等）的不同版本，存在客戶(hù)端版本兼容性問(wèn)題和無(wú)響應(yīng)客戶(hù)端問(wèn)題。

2.計(jì)費(fèi)策略不靈活

目前無(wú)法按照校內(nèi)流量、校外流量、IPv6流量進(jìn)行統(tǒng)計(jì)，所以無(wú)法實(shí)現(xiàn)按照不同流量的分離計(jì)費(fèi)；不能實(shí)現(xiàn)按時(shí)長(zhǎng)、按流量、按包月的混合計(jì)費(fèi)策略；不能對(duì)校園有線(xiàn)網(wǎng)、無(wú)線(xiàn)網(wǎng)進(jìn)行統(tǒng)一的認(rèn)證計(jì)費(fèi)；不能實(shí)現(xiàn)同一賬號(hào)在不同網(wǎng)絡(luò)場(chǎng)景對(duì)應(yīng)不同的計(jì)費(fèi)策略和漫游等功能。

3.認(rèn)證計(jì)費(fèi)系統(tǒng)與廠(chǎng)商設(shè)備緊耦合

不同廠(chǎng)商對(duì)802.1X協(xié)議有不同的私有化協(xié)議，存在不同廠(chǎng)商網(wǎng)絡(luò)設(shè)備與認(rèn)證計(jì)費(fèi)系統(tǒng)之間802.1X協(xié)議報(bào)文兼容問(wèn)題，使學(xué)校采購(gòu)接入設(shè)備時(shí)必須使用認(rèn)證計(jì)費(fèi)廠(chǎng)商的網(wǎng)絡(luò)設(shè)備。

4.公寓網(wǎng)破解防代理情況嚴(yán)重

公寓網(wǎng)存在一個(gè)寢室使用一個(gè)賬號(hào)進(jìn)行破解防代理共享上網(wǎng)的情況很多，不但給校園網(wǎng)絡(luò)的管理帶來(lái)麻煩，而且造成費(fèi)用流失。因此，如何真正有效防止校園網(wǎng)中的代理使用，是非常重要、緊迫的需求。

5.有線(xiàn)網(wǎng)、無(wú)線(xiàn)網(wǎng)賬號(hào)不統(tǒng)一

現(xiàn)有的校園網(wǎng)結(jié)構(gòu)與認(rèn)證計(jì)費(fèi)系統(tǒng)不能實(shí)現(xiàn)校園網(wǎng)用戶(hù)上網(wǎng)賬號(hào)有線(xiàn)無(wú)線(xiàn)一體化，用戶(hù)訪(fǎng)問(wèn)不同的網(wǎng)絡(luò)需要不同的用戶(hù)名和密碼，導(dǎo)致接入網(wǎng)絡(luò)不便捷，且上網(wǎng)賬號(hào)與全校統(tǒng)一身份認(rèn)證和信息門(mén)戶(hù)對(duì)接已成為當(dāng)前趨勢(shì)。

6.網(wǎng)絡(luò)接入場(chǎng)景復(fù)雜，認(rèn)證模式單一

校園網(wǎng)有多種網(wǎng)絡(luò)應(yīng)用場(chǎng)景，如辦公網(wǎng)、公寓網(wǎng)、家屬區(qū)、無(wú)線(xiàn)網(wǎng)、留學(xué)生公寓等。校園網(wǎng)接入終端類(lèi)型也較多，如PC、平板電腦、智能手機(jī)、打印機(jī)、攝像頭、IP電話(huà)等。不同的網(wǎng)絡(luò)場(chǎng)景、不同的接入終端，需要不同的認(rèn)證方式和計(jì)費(fèi)策略。

出口帶寬壓力較大

校園網(wǎng)出口帶寬即使在流控設(shè)備管控下，7條出口鏈路2.8G均已跑滿(mǎn)。盡管校園網(wǎng)的規(guī)模在擴(kuò)大，網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提升，出口帶寬在增加，但是各種網(wǎng)絡(luò)應(yīng)用也更加豐富，特別是某些用戶(hù)和應(yīng)用（如P2P、視頻等應(yīng)用）過(guò)多的占用校園網(wǎng)出口資源，出口帶寬的增長(zhǎng)速度與訪(fǎng)問(wèn)流量的提升速度已經(jīng)是一種矛盾。

用戶(hù)上網(wǎng)監(jiān)管困難

1.用戶(hù)開(kāi)通上網(wǎng)服務(wù)復(fù)雜

辦公網(wǎng)、公寓網(wǎng)、家屬區(qū)開(kāi)通上網(wǎng)流程復(fù)雜，既不方便校園網(wǎng)用戶(hù)使用網(wǎng)絡(luò)，又給網(wǎng)絡(luò)信息中心工作人員帶來(lái)更多的工作量。

2.對(duì)上網(wǎng)用戶(hù)缺乏有效管理

對(duì)校園辦公網(wǎng)用戶(hù)沒(méi)有做到準(zhǔn)入認(rèn)證，管理不夠嚴(yán)格，存在IP地址與用戶(hù)信息不符的情況，導(dǎo)致對(duì)用戶(hù)缺乏有效管理。

3.缺乏用戶(hù)上網(wǎng)行為監(jiān)管

時(shí)常出現(xiàn)盜用IP地址，修改MAC地址，合法網(wǎng)絡(luò)用戶(hù)無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)問(wèn)題。同時(shí)，需要對(duì)用戶(hù)的網(wǎng)絡(luò)行為進(jìn)行監(jiān)管，而現(xiàn)在校園網(wǎng)對(duì)上網(wǎng)行為管理不強(qiáng)，沒(méi)有對(duì)上網(wǎng)的行為進(jìn)行監(jiān)控記錄，不能完全做到用戶(hù)IP地址可溯源，無(wú)法滿(mǎn)足保密和上級(jí)安全部門(mén)的管理要求。

因此，作為校園信息化最為重要的基礎(chǔ)網(wǎng)絡(luò)設(shè)施，現(xiàn)階段校園網(wǎng)已不能滿(mǎn)足對(duì)其管理和服務(wù)的需要。

校園網(wǎng)升級(jí)改造目標(biāo)

校園網(wǎng)升級(jí)改造目標(biāo)：優(yōu)化校園網(wǎng)絡(luò)結(jié)構(gòu)，使校園網(wǎng)絡(luò)滿(mǎn)足未來(lái)五到八年新業(yè)務(wù)發(fā)展的需要，實(shí)現(xiàn)校園有線(xiàn)網(wǎng)、無(wú)線(xiàn)網(wǎng)一體化，提供多種認(rèn)證方式和多樣靈活的計(jì)費(fèi)策略，提高校園網(wǎng)管理和服務(wù)的水平，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)、用戶(hù)、出口流量的精細(xì)化管理，且與校園信息化進(jìn)行深度融合，提升學(xué)校信息化建設(shè)水平，具體目標(biāo)如下：

網(wǎng)絡(luò)層次簡(jiǎn)化、清晰

通過(guò)校園網(wǎng)升級(jí)改造，將現(xiàn)在三層結(jié)構(gòu)的校園網(wǎng)改造為基于BRAS的扁平化大二層網(wǎng)絡(luò)架構(gòu)。扁平化大二層網(wǎng)絡(luò)改造是從網(wǎng)絡(luò)中設(shè)備所承擔(dān)的功能上分區(qū)，從邏輯結(jié)構(gòu)上將校園網(wǎng)劃分為業(yè)務(wù)控制層和寬帶接入層。

用戶(hù)和業(yè)務(wù)控制集中

校園網(wǎng)核心層采用BRAS設(shè)備，提供集中的業(yè)務(wù)控制和管理，有利于功能和業(yè)務(wù)的部署，更有利于發(fā)揮核心設(shè)備的穩(wěn)定性和可靠性。

降低建設(shè)和運(yùn)維成本

扁平化校園網(wǎng)部署匯聚層和接入層設(shè)備時(shí)，只需考慮設(shè)備具有QinQ和二層VLAN隔離等基本功能，從而有利于降低數(shù)量眾多的匯聚層和接入層設(shè)備投資。而且，由于功能簡(jiǎn)單，也有利于這些設(shè)備的穩(wěn)定可靠運(yùn)行，降低校園網(wǎng)建設(shè)和運(yùn)維成本。

校園網(wǎng)易擴(kuò)展和管理

基于BRAS的扁平化校園網(wǎng)使網(wǎng)絡(luò)更有利于擴(kuò)展，對(duì)新功能、新業(yè)務(wù)提供更好的支持，即匯聚層和接入層設(shè)備只需要考慮接入端口的擴(kuò)充、上行帶寬的增加，網(wǎng)絡(luò)管理更加簡(jiǎn)單、高效。

提高可靠性和安全性

BRAS作為校園網(wǎng)核心，采用全冗余、高可靠網(wǎng)絡(luò)技術(shù)，保障業(yè)務(wù)永續(xù)不中斷。接入層設(shè)備利用VLAN隔離用戶(hù)，避免網(wǎng)絡(luò)病毒傳播，提高校園網(wǎng)的接入層安全。

實(shí)現(xiàn)有線(xiàn)、無(wú)線(xiàn)網(wǎng)一體化

基于BRAS設(shè)備的扁平化網(wǎng)絡(luò)，結(jié)合第三方認(rèn)證計(jì)費(fèi)系統(tǒng)實(shí)現(xiàn)有線(xiàn)網(wǎng)、無(wú)線(xiàn)網(wǎng)融合統(tǒng)一認(rèn)證計(jì)費(fèi)，使校園網(wǎng)用戶(hù)可以在任何一個(gè)地點(diǎn)實(shí)現(xiàn)校園網(wǎng)訪(fǎng)問(wèn)，實(shí)現(xiàn)以下目標(biāo)。

1.統(tǒng)一校園網(wǎng)接入認(rèn)證計(jì)費(fèi)管理平臺(tái)，使用戶(hù)通過(guò)有線(xiàn)網(wǎng)、無(wú)線(xiàn)網(wǎng)接入均使用同一賬號(hào)進(jìn)行認(rèn)證計(jì)費(fèi)；

2.簡(jiǎn)化用戶(hù)接入認(rèn)證方式，一次認(rèn)證即可進(jìn)行校園內(nèi)網(wǎng)和互聯(lián)網(wǎng)訪(fǎng)問(wèn)，實(shí)現(xiàn)與校園門(mén)戶(hù)系統(tǒng)對(duì)接，提升用戶(hù)上網(wǎng)體驗(yàn)；

3.部署與設(shè)備獨(dú)立的認(rèn)證計(jì)費(fèi)模式，實(shí)現(xiàn)包括PPPoE認(rèn)證、IPoE 認(rèn)證、Web認(rèn)證等在內(nèi)的多元化認(rèn)證體系，兼容無(wú)線(xiàn)網(wǎng)絡(luò)認(rèn)證和計(jì)費(fèi)；

4.實(shí)現(xiàn)不同用戶(hù)的多種認(rèn)證方式，對(duì)無(wú)線(xiàn)智能終端實(shí)現(xiàn)無(wú)感知認(rèn)證，同時(shí)提供校園網(wǎng)訪(fǎng)客認(rèn)證，提升用戶(hù)網(wǎng)絡(luò)使用體驗(yàn)；

5.實(shí)現(xiàn)多種靈活的計(jì)費(fèi)策略和流量控制方式，合理的優(yōu)化出口帶寬，讓用戶(hù)上網(wǎng)感覺(jué)更快，體驗(yàn)更好。

提升管理運(yùn)維效率

基于BRAS的扁平化校園網(wǎng)建設(shè)后，網(wǎng)絡(luò)報(bào)修數(shù)量下降，處理網(wǎng)絡(luò)故障難度降低，故障定位快速精準(zhǔn)，減少了校園網(wǎng)運(yùn)維工作量，提升校園網(wǎng)管理效率。

合理管理用戶(hù)IP地址

啟用PPPoE認(rèn)證或IPoE認(rèn)證，動(dòng)態(tài)分配用戶(hù)終端IP地址，避免出現(xiàn)大量無(wú)效用戶(hù)占用靜態(tài)IP地址的問(wèn)題，減少I(mǎi)P地址浪費(fèi)。

實(shí)現(xiàn)用戶(hù)精細(xì)化管理

根據(jù)用戶(hù)上網(wǎng)賬號(hào)，在用戶(hù)認(rèn)證時(shí)動(dòng)態(tài)下發(fā)控制屬性，對(duì)用戶(hù)的訪(fǎng)問(wèn)速率、權(quán)限等進(jìn)行控制，從而實(shí)現(xiàn)每一個(gè)校園網(wǎng)用戶(hù)的個(gè)性化控制。同時(shí)，實(shí)現(xiàn)用戶(hù)上網(wǎng)實(shí)名制，對(duì)上網(wǎng)賬號(hào)、MAC地址、IP地址、上線(xiàn)時(shí)間、下線(xiàn)時(shí)間、流量、計(jì)費(fèi)、認(rèn)證日志等進(jìn)行記錄，做到用戶(hù)行為溯源。

實(shí)現(xiàn)與信息化應(yīng)用系統(tǒng)對(duì)接

認(rèn)證計(jì)費(fèi)系統(tǒng)作為用戶(hù)的核心網(wǎng)絡(luò)應(yīng)用，實(shí)現(xiàn)與信息化應(yīng)用系統(tǒng)的對(duì)接，為學(xué)校師生提供便捷、豐富的信息化服務(wù)。

建設(shè)方案

圖2 基于BRAS的扁平化校園網(wǎng)拓?fù)?/p>

以學(xué)校校園信息化建設(shè)規(guī)劃為指導(dǎo)，按照整體規(guī)劃、分步實(shí)施的原則思想進(jìn)行建設(shè)：

在網(wǎng)絡(luò)架構(gòu)方面，采用大二層扁平化網(wǎng)絡(luò)架構(gòu)，核心層選用功能豐富、性能強(qiáng)大、支持多種認(rèn)證方式的BRAS設(shè)備；

在認(rèn)證計(jì)費(fèi)方面，選用能與多個(gè)設(shè)備廠(chǎng)商對(duì)接的第三方認(rèn)證計(jì)費(fèi)系統(tǒng)，采用實(shí)名制認(rèn)證上網(wǎng)，可實(shí)施多種認(rèn)證方式和靈活的計(jì)費(fèi)策略，實(shí)現(xiàn)有線(xiàn)、無(wú)線(xiàn)融合一體化認(rèn)證，且能夠與學(xué)校的一卡通系統(tǒng)、校園信息門(mén)戶(hù)和統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接；

在校園網(wǎng)出口方面，保障校園網(wǎng)業(yè)務(wù)安全、可靠，較強(qiáng)的抗攻擊能力，實(shí)現(xiàn)校園網(wǎng)流量疏堵結(jié)合控制，并對(duì)用戶(hù)上網(wǎng)行為進(jìn)行管控和審計(jì)，追蹤溯源；

在校園網(wǎng)原有設(shè)備方面，各樓宇匯聚層和接入層設(shè)備充分利舊，保護(hù)、節(jié)省原有投資。

扁平化網(wǎng)絡(luò)

扁平化校園網(wǎng)是邏輯上的扁平化，分為校園網(wǎng)核心層、樓宇二層網(wǎng)絡(luò)匯聚層和接入層,如圖2所示。

1.核心層

校園網(wǎng)核心層部署B(yǎng)RAS設(shè)備，負(fù)責(zé)對(duì)校園網(wǎng)用戶(hù)的統(tǒng)一接入和認(rèn)證，匯總和轉(zhuǎn)發(fā)校園網(wǎng)全網(wǎng)用戶(hù)流量，滿(mǎn)足校園網(wǎng)的大用戶(hù)量、高并發(fā)連接數(shù)、多樣化計(jì)費(fèi)的需求。由于核心層是校園網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐，因此采用雙機(jī)熱備方式部署兩臺(tái)BRAS設(shè)備，提高核心層的可靠性。兩臺(tái)BRAS設(shè)備利用萬(wàn)兆鏈路互連，上行也為萬(wàn)兆鏈路，下行連接不同樓宇千兆鏈路和少數(shù)萬(wàn)兆鏈路。同時(shí)，BRAS啟用限制用戶(hù)帶寬的功能，訪(fǎng)問(wèn)校內(nèi)資源和IPv6資源不限帶寬，校外資源限制帶寬。

2.匯聚層

樓宇二層網(wǎng)絡(luò)匯聚仍使用現(xiàn)有匯聚設(shè)備，但需更改匯聚設(shè)備配置，在有線(xiàn)網(wǎng)二層匯聚設(shè)備啟用QinQ功能，封裝用戶(hù)VLAN的內(nèi)層標(biāo)簽。匯聚層設(shè)備將眾多的接入設(shè)備和大量用戶(hù)經(jīng)過(guò)一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶(hù)的數(shù)量。同時(shí)，匯聚層是一個(gè)樓宇匯聚點(diǎn)，轉(zhuǎn)發(fā)本區(qū)域用戶(hù)到其他區(qū)域用戶(hù)的橫向流量，具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各業(yè)務(wù)部門(mén)之間的流量。

3.接入層

接入層是最靠近終端用戶(hù)的網(wǎng)絡(luò)，為用戶(hù)提供各種接入方式的二層設(shè)備。接入層除了需要部署豐富的二層特性外，還需要具備安全、可靠、高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。接入層仍然使用校園網(wǎng)現(xiàn)在運(yùn)行的接入層設(shè)備，但需更改配置。接入層設(shè)備每個(gè)端口配置一個(gè)用戶(hù)VLAN，標(biāo)記為內(nèi)層標(biāo)簽，上連端口設(shè)置為T(mén)RUNK放通所有用戶(hù)VLAN至匯聚設(shè)備。接入層設(shè)備利用VLAN將用戶(hù)隔離，避免ARP病毒問(wèn)題，做到網(wǎng)絡(luò)接入層的安全。

4.無(wú)線(xiàn)網(wǎng)

對(duì)無(wú)線(xiàn)網(wǎng)覆蓋的樓宇進(jìn)行扁平化網(wǎng)絡(luò)改造，無(wú)線(xiàn)網(wǎng)采用本地轉(zhuǎn)發(fā)方式，BRAS設(shè)備對(duì)無(wú)線(xiàn)網(wǎng)用戶(hù)進(jìn)行統(tǒng)一的接入、認(rèn)證和管控。

5.校園網(wǎng)出口

在校園網(wǎng)扁平化建設(shè)基礎(chǔ)上，對(duì)校園網(wǎng)出口進(jìn)行升級(jí)改造，包括出口防火墻、流控設(shè)備、應(yīng)用緩存設(shè)備。

（1）新增出口防火墻

由于原有一臺(tái)防火墻對(duì)應(yīng)4個(gè)運(yùn)營(yíng)商的互聯(lián)網(wǎng)出口，雙向吞吐量為12G，而該防火墻性能吞吐量為20G，并發(fā)400萬(wàn)連接，4大運(yùn)營(yíng)商出口連接在一臺(tái)防火墻上，對(duì)防火墻的負(fù)擔(dān)很大。因此，新增加一臺(tái)防火墻設(shè)備，實(shí)現(xiàn)對(duì)原出口防火墻負(fù)載分擔(dān)，同時(shí)起到互為備份的作用，消除出口防火墻單點(diǎn)故障。

（2）擴(kuò)容流控容量

擴(kuò)容流控容量，實(shí)現(xiàn)對(duì)所有出口的流量進(jìn)行控制和應(yīng)用識(shí)別，有效地控制P2P下載和視頻的流量大小，保障關(guān)鍵網(wǎng)絡(luò)應(yīng)用和服務(wù)的帶寬，滿(mǎn)足大多數(shù)用戶(hù)群體的需求。同時(shí)，與行為審計(jì)配合工作，對(duì)校園網(wǎng)用戶(hù)上網(wǎng)行為進(jìn)行監(jiān)控管理和可溯源，為校園網(wǎng)絡(luò)行為管理提供安全保障。

部署流量控制設(shè)備可以有效解決Internet出口帶寬濫用問(wèn)題，主要包括：應(yīng)用流量識(shí)別，分析、識(shí)別Internet出口的各種應(yīng)用，解決Internet出口各種新應(yīng)用層出不窮的問(wèn)題，實(shí)時(shí)分析Internet出口各種網(wǎng)絡(luò)應(yīng)用，實(shí)現(xiàn)流量管理控制的可視化。因此，對(duì)應(yīng)用流量進(jìn)行控制，實(shí)現(xiàn)校園網(wǎng)Internet出口應(yīng)用有序化、合理化。

（3）部署應(yīng)用緩存加速系統(tǒng)

校園網(wǎng)訪(fǎng)問(wèn)外網(wǎng)的流量，下載和視頻應(yīng)用占校園網(wǎng)出口帶寬70%以上，如何保障在限制下載和視頻應(yīng)用的同時(shí)，保證用戶(hù)的上網(wǎng)體驗(yàn)，使用戶(hù)在采取流控策略后，用戶(hù)的下載和視頻應(yīng)用依然有很好的體驗(yàn)。因此，在對(duì)出口流量進(jìn)行限制的同時(shí)，通過(guò)在校內(nèi)部署應(yīng)用緩存設(shè)備，將部分用戶(hù)訪(fǎng)問(wèn)的外網(wǎng)流量重定向到內(nèi)網(wǎng)的緩存服務(wù)器上，由校園內(nèi)網(wǎng)緩存設(shè)備向用戶(hù)提供服務(wù)，減少用戶(hù)訪(fǎng)問(wèn)外網(wǎng)的流量。

認(rèn)證計(jì)費(fèi)

根據(jù)學(xué)校不同的網(wǎng)絡(luò)應(yīng)用場(chǎng)景采用PPPoE認(rèn)證、IPoE認(rèn)證（見(jiàn)表1），以及不同的計(jì)費(fèi)策略，并實(shí)現(xiàn)校園網(wǎng)用戶(hù)準(zhǔn)入認(rèn)證。同時(shí)，通過(guò)第三方認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)學(xué)校用戶(hù)實(shí)現(xiàn)精細(xì)化運(yùn)營(yíng)管理，支持校園網(wǎng)內(nèi)不同類(lèi)型用戶(hù)的業(yè)務(wù)區(qū)分，并根據(jù)不同類(lèi)型用戶(hù)業(yè)務(wù)需求采取靈活的計(jì)費(fèi)策略（見(jiàn)表2）。

表1 學(xué)校各網(wǎng)絡(luò)場(chǎng)景的認(rèn)證方式

1.認(rèn)證方式

學(xué)校校園網(wǎng)按照網(wǎng)絡(luò)應(yīng)用場(chǎng)景可分為辦公網(wǎng)、公寓網(wǎng)、家屬區(qū)網(wǎng)和無(wú)線(xiàn)網(wǎng)，根據(jù)不同網(wǎng)絡(luò)場(chǎng)景的特點(diǎn)采用相應(yīng)的認(rèn)證方式。校園網(wǎng)用戶(hù)在認(rèn)證通過(guò)前，不能訪(fǎng)問(wèn)IPv4/IPv6網(wǎng)絡(luò)，用戶(hù)一次認(rèn)證后即可訪(fǎng)問(wèn)IPv4/IPv6雙棧網(wǎng)絡(luò)。

表2 學(xué)校各網(wǎng)絡(luò)場(chǎng)景的計(jì)費(fèi)策略

2.計(jì)費(fèi)策略

學(xué)校校園網(wǎng)按照網(wǎng)絡(luò)應(yīng)用場(chǎng)景可分為辦公網(wǎng)、公寓網(wǎng)、家屬區(qū)網(wǎng)、無(wú)線(xiàn)網(wǎng)，根據(jù)不同網(wǎng)絡(luò)場(chǎng)景的實(shí)施不同的計(jì)費(fèi)策略，常用的計(jì)費(fèi)策略主要包括：包月、按流量計(jì)費(fèi)、按時(shí)長(zhǎng)計(jì)費(fèi)，以及這三種計(jì)費(fèi)方式的組合策略。

應(yīng)用系統(tǒng)對(duì)接

第三方認(rèn)證計(jì)費(fèi)管理系統(tǒng)需要與學(xué)校以下信息化應(yīng)用系統(tǒng)對(duì)接：

1.與一卡通系統(tǒng)對(duì)接

第三方認(rèn)證計(jì)費(fèi)管理系統(tǒng)與校園一卡通系統(tǒng)對(duì)接，用戶(hù)可以通過(guò)一卡通多媒體自助終端進(jìn)行網(wǎng)費(fèi)轉(zhuǎn)賬。

2.與校園信息門(mén)戶(hù)系統(tǒng)對(duì)接

第三方認(rèn)證計(jì)費(fèi)管理系統(tǒng)與校園信息門(mén)戶(hù)對(duì)接，通過(guò)門(mén)戶(hù)系統(tǒng)可查看用戶(hù)上網(wǎng)賬號(hào)相關(guān)信息。

3.與收費(fèi)平臺(tái)對(duì)接

可實(shí)現(xiàn)用戶(hù)通過(guò)自助平臺(tái)利用第三方支付方式交納網(wǎng)費(fèi)。

用戶(hù)管理

1.開(kāi)戶(hù)

教工與學(xué)生通過(guò)認(rèn)證計(jì)費(fèi)系統(tǒng)的自助服務(wù)進(jìn)行自助開(kāi)戶(hù)。

2.交費(fèi)

繳費(fèi)方式包括：現(xiàn)金、一卡通轉(zhuǎn)賬、第三方支付平臺(tái)、支票、校內(nèi)轉(zhuǎn)賬。

3.銷(xiāo)戶(hù)

認(rèn)證計(jì)費(fèi)系統(tǒng)通過(guò)學(xué)校離校系統(tǒng)提供的離校人員信息進(jìn)行賬號(hào)凍結(jié)，并可在指定時(shí)間進(jìn)行銷(xiāo)戶(hù)。

通過(guò)校園網(wǎng)扁平化改造建設(shè)，學(xué)校將建設(shè)完成邏輯上的基于BRAS扁平化大二層校園網(wǎng)以及部署第三方認(rèn)證計(jì)費(fèi)系統(tǒng)。改造后的校園網(wǎng)將為學(xué)校師生提供更加便捷的網(wǎng)絡(luò)服務(wù)，提升學(xué)校信息化基礎(chǔ)網(wǎng)絡(luò)建設(shè)水平，為學(xué)校信息化應(yīng)用系統(tǒng)的使用和推廣奠定了基礎(chǔ)。

（作者單位為哈爾濱工程大學(xué)信息化處）