基于扁平化架構(gòu)的多校區(qū)校園網(wǎng)絡(luò)建設(shè)與精細(xì)化管理研究

陳堅(jiān)

摘要：通過對主校區(qū)核心交換機(jī)和主干鏈路進(jìn)行更新和升級，采用扁平化的架構(gòu)模式提升整體校園網(wǎng)的性能和可靠性。利用BRAS設(shè)備作為全校師生統(tǒng)一認(rèn)證和計(jì)費(fèi)的網(wǎng)絡(luò)設(shè)備，將用戶管理、安全控制、業(yè)務(wù)控制等各種功能有機(jī)地集成在一起，實(shí)現(xiàn)包括有線和無線用戶、覆蓋校園宿舍、公共場所等不同區(qū)域多種接入認(rèn)證統(tǒng)一管理。

關(guān)鍵詞：校園網(wǎng)絡(luò)建設(shè)；扁平化架構(gòu)；精細(xì)化管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）28-0128-02

A Study on the Multi-campus Network Construction and Refined Management Based on a Delayering Framework

CHEN Jian

（Jiangsu United Institute of Vocational Technology， Nanjing Branch of Finance and Economics， Nanjing 210004， China）

Abstract： By updating and escalating the core switches add trunk links on the main campus， it applies a delayering framework to improve the performance and reliability of the whole campus network. It uses BRAS devices as the unified authentication and billing network equipment for all the staff and students， and integrates all the functions of user administration， security control and business control， so as to achieve the unified administration of access and authentication of both cable and wireless users， covering campus residence halls and public areas.

Key words： campus network construction； delayering framework； refined management

隨著職業(yè)類院校辦學(xué)規(guī)模的不斷擴(kuò)大、人數(shù)的快速增長，普遍存在著多校區(qū)辦學(xué)的狀況。同一個(gè)學(xué)校，2個(gè)或2個(gè)以上不同地域的校區(qū)之間，迫切需要解決跨校區(qū)教學(xué)管理、教育資源優(yōu)化與共享等關(guān)鍵問題。這就需要將多校區(qū)的網(wǎng)絡(luò)進(jìn)行整合，進(jìn)行有線無線統(tǒng)一認(rèn)證來實(shí)現(xiàn)用戶的精細(xì)化管理。

校園網(wǎng)絡(luò)架構(gòu)正從復(fù)雜化的多層架構(gòu)向扁平化架構(gòu)方向發(fā)展。扁平化的架構(gòu)模式并非必須或一定就是物理聯(lián)接層次上的減少，而是指網(wǎng)絡(luò)邏輯層次的簡化。扁平化的網(wǎng)絡(luò)有著更高的效率也更有利于管理。

扁平化的核心區(qū)域由能力最強(qiáng)、功能最豐富的多業(yè)務(wù)控制網(wǎng)關(guān)，即運(yùn)營商級的BRAS設(shè)備提供集中的業(yè)務(wù)控制和管理，在提供功能和業(yè)務(wù)時(shí)，發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢。

1 多校區(qū)校園網(wǎng)絡(luò)建設(shè)

對主校區(qū)交換機(jī)和主干鏈路進(jìn)行更新和升級（萬兆骨干），提升整體校園網(wǎng)的性能和可靠性。在主校區(qū)新增一臺(tái)認(rèn)證網(wǎng)關(guān)以及一套認(rèn)證計(jì)費(fèi)系統(tǒng)，將現(xiàn)網(wǎng)中交換組網(wǎng)架構(gòu)變?yōu)楸馄交酚山M網(wǎng)架構(gòu)，建設(shè)一張多個(gè)校區(qū)統(tǒng)一的校園網(wǎng)。實(shí)現(xiàn)學(xué)校多校區(qū)用戶的統(tǒng)一接入認(rèn)證管理，多校區(qū)出口帶寬的統(tǒng)一調(diào)度，以及多校區(qū)聯(lián)合組網(wǎng)下業(yè)務(wù)的統(tǒng)一部署，并提供用戶的精細(xì)化管理和差異化服務(wù)，給接入用戶最優(yōu)的上網(wǎng)體驗(yàn)。

在主校區(qū)新增1臺(tái)統(tǒng)一認(rèn)證網(wǎng)關(guān)（BRAS設(shè)備）和1套認(rèn)證計(jì)費(fèi)系統(tǒng)，構(gòu)成校園網(wǎng)的業(yè)務(wù)控制層，負(fù)責(zé)對學(xué)校所有用戶統(tǒng)一的接入控制、認(rèn)證計(jì)費(fèi)以及精細(xì)化管理。

主校區(qū)交換機(jī)在更新升級的同時(shí)，構(gòu)成了校園網(wǎng)業(yè)務(wù)接入層。接入交換機(jī)負(fù)責(zé)用戶接入，實(shí)現(xiàn)每個(gè)用戶之間的VLAN隔離，匯聚交換機(jī)負(fù)責(zé)VLAN數(shù)量擴(kuò)展，核心交換機(jī)負(fù)責(zé)匯聚并透傳所有用戶報(bào)文到BRAS上終結(jié)。

1.1 核心網(wǎng)絡(luò)的高可靠設(shè)計(jì)

當(dāng)整網(wǎng)通過扁平化組網(wǎng)構(gòu)建了強(qiáng)核心的網(wǎng)絡(luò)，作為網(wǎng)絡(luò)核心的BRAS設(shè)備的可靠性便成為了整個(gè)校園網(wǎng)高效穩(wěn)定工作的關(guān)鍵。BRAS設(shè)備可以通過以下設(shè)計(jì)來保證自身的穩(wěn)定：

設(shè)備自身的冗余設(shè)計(jì)。BRAS設(shè)備應(yīng)具備可插拔的冗余引擎、冗余電源、冗余風(fēng)扇的設(shè)計(jì)，以避免任意一個(gè)單點(diǎn)故障所造成的整個(gè)設(shè)備故障的可能。

雙核心虛擬化的設(shè)計(jì)。預(yù)算經(jīng)費(fèi)充足時(shí)，可以購置2臺(tái)BARS設(shè)備，通過虛擬化的功能實(shí)現(xiàn)多路由器系統(tǒng)的統(tǒng)一管理和控制。將多臺(tái)物理設(shè)備邏輯成一臺(tái)設(shè)備，使多臺(tái)物理設(shè)備協(xié)同工作，擴(kuò)展系統(tǒng)容量，簡化網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)策略，提升網(wǎng)絡(luò)運(yùn)營效率，大幅降低運(yùn)維成本，提升網(wǎng)絡(luò)的收斂速度。同時(shí)，通過構(gòu)建雙核心的核心網(wǎng)絡(luò)，核心網(wǎng)絡(luò)將建立整體的雙鏈路架構(gòu)，所有匯聚交換機(jī)到核心設(shè)備都有兩條鏈路可以使用，同時(shí)保證了物理鏈路的穩(wěn)定性。

1.2 校區(qū)互聯(lián)的鏈路需求

先確定主校區(qū)作為所有校區(qū)的統(tǒng)一出口，所有校區(qū)的用戶的外網(wǎng)訪問和認(rèn)證都需要通過主校區(qū)互聯(lián)光纜完成，這對鏈路的帶寬質(zhì)量有了較高的要求。全部采用裸光纖，光纖兩端配置萬兆模塊構(gòu)建萬兆鏈路，以保證校區(qū)互聯(lián)線路的質(zhì)量。

1.3 主校區(qū)設(shè)備及業(yè)務(wù)部署

在部署上，新增的BRAS配置萬兆/千兆接口復(fù)合板，下行采用萬兆鏈路與主校區(qū)核心交換機(jī)互聯(lián)，提供用戶的高速接入，上行采用萬兆鏈路與出口防火墻互聯(lián)，滿足出口帶寬的要求。同時(shí)BRAS配置三層網(wǎng)關(guān)業(yè)務(wù)，作為用戶接入網(wǎng)絡(luò)的認(rèn)證網(wǎng)關(guān)及DHCP Server，配合認(rèn)證計(jì)費(fèi)系統(tǒng)實(shí)現(xiàn)用戶的接入和訪問控制。

新增的認(rèn)證計(jì)費(fèi)系統(tǒng)部署在主校區(qū)的數(shù)據(jù)中心，安裝Portal組件及Radius組件，配合BRAS實(shí)現(xiàn)全校用戶有線、無線一體化的IPOE接入+WEB Portal認(rèn)證、計(jì)費(fèi)和授權(quán)功能，為保證可靠性，認(rèn)證計(jì)費(fèi)系統(tǒng)采用集群方式部署。

學(xué)校的交換機(jī)作為校園網(wǎng)的業(yè)務(wù)接入層網(wǎng)絡(luò)，進(jìn)行二層業(yè)務(wù)部署：接入交換機(jī)配置每端口1個(gè)VLAN，實(shí)現(xiàn)用戶之間的2層隔離；匯聚交換機(jī)配置QinQ（VLAN嵌套）實(shí)現(xiàn)VLAN數(shù)量的擴(kuò)展；核心交換機(jī)配置2層業(yè)務(wù)，實(shí)現(xiàn)用戶流量的匯聚和透傳到BRAS側(cè)終結(jié)。每個(gè)用戶到BRAS之間是2層鏈路，而每個(gè)用戶之間又是2層管道化隔離的。

1.4 多校區(qū)業(yè)務(wù)快速統(tǒng)一部署

由于業(yè)務(wù)控制的集中化（部署和管理均在BRAS上實(shí)現(xiàn)），極大方便了新業(yè)務(wù)的部署，無需各校區(qū)的匯聚和接入設(shè)備支持具體的業(yè)務(wù)特性，更無需在各校區(qū)的匯聚和接入設(shè)備上進(jìn)行復(fù)雜的業(yè)務(wù)配置（只需負(fù)責(zé)2層透傳），新業(yè)務(wù)只需要在BRAS統(tǒng)一配置部署即可，大大減少了學(xué)校維護(hù)人員的工作量。

1.5 有線無線一體化

傳統(tǒng)交換組網(wǎng)中難以實(shí)現(xiàn)有線無線一體化，因?yàn)橛芯€無線用戶采用了不同的認(rèn)證網(wǎng)關(guān)，通常有線用戶的認(rèn)證網(wǎng)關(guān)在交換機(jī)上或者出口網(wǎng)關(guān)上，無線用戶的認(rèn)證網(wǎng)關(guān)在AC上，并且需要采用不同的認(rèn)證方式來進(jìn)行認(rèn)證（有線、無線各一套），學(xué)校不僅要維護(hù)多套設(shè)備和系統(tǒng)，帶來了運(yùn)維和管理的壓力；而且由于認(rèn)證系統(tǒng)的不統(tǒng)一，導(dǎo)致用戶的接入認(rèn)證方式不一致，體驗(yàn)度較差。

而經(jīng)過改本次造后，用戶接入認(rèn)證完全由主校區(qū)的BRAS和認(rèn)證平臺(tái)統(tǒng)一來負(fù)責(zé)所有用戶終端的有線/無線一體化的認(rèn)證。用戶認(rèn)證方式的如下圖所示：

（1）無線控制器不再作為認(rèn)證點(diǎn)，只負(fù)責(zé)AP的管理、頻段劃分、功率和信道的調(diào)整；前端的AP則和有線交換機(jī)一樣，只是提供用戶接入的二層彼此隔離的通道。（在系統(tǒng)架構(gòu)上就保證了不再感染二層局域網(wǎng)內(nèi)互聯(lián)傳播的病毒，例如前期網(wǎng)上流行的各種勒索病毒）。

（2）紅色箭頭部分代表無線AC對AP的CAPWAP隧道，僅僅用來作為AC對AP的管理和控制通道，流量較小，對AC的性能和壓力影響較小，無線網(wǎng)絡(luò)更加穩(wěn)定。

（3）綠色虛線部分是正常用戶的上網(wǎng)流量，可以看到這部分流量都是直接終結(jié)到BRAS（扁平化網(wǎng)絡(luò)的核心）上的，對于數(shù)量和流量不斷增加的無線終端來說，提供更高的轉(zhuǎn)發(fā)性能和穩(wěn)定性。

2 用戶的精細(xì)化管理

從校園網(wǎng)發(fā)展的方向看，傳統(tǒng)網(wǎng)絡(luò)的粗放式管理的方式已經(jīng)不適應(yīng)校園網(wǎng)的發(fā)展需求。在本次扁平化改造中采用BRAS作為校園網(wǎng)的業(yè)務(wù)控制設(shè)備，配合精細(xì)化管理系統(tǒng)實(shí)現(xiàn)校園網(wǎng)接入用戶的精細(xì)化管理功能。

2.1 用戶接入

用戶統(tǒng)一采用IPoE方式進(jìn)行接入，用戶通過DHCP獲取地址，獲得免費(fèi)訪問校內(nèi)資源權(quán)限，需要訪問校外資源時(shí)由出口BRAS自動(dòng)重定向到統(tǒng)一認(rèn)證系統(tǒng)的Portal認(rèn)證界面，用戶輸入用戶名密碼認(rèn)證通過后，認(rèn)證系統(tǒng)返回用戶屬性，BRAS根據(jù)用戶屬性，動(dòng)態(tài)修改用戶訪問權(quán)限，用戶即可訪問校外資源，并由統(tǒng)一認(rèn)證系統(tǒng)提供用戶訪問報(bào)表的統(tǒng)計(jì)信息。

扁平化的校園身份認(rèn)證中心負(fù)責(zé)構(gòu)建所有用戶的身份信息倉庫，并通過和多業(yè)務(wù)控制網(wǎng)關(guān)、上網(wǎng)行為管理聯(lián)動(dòng)做到對入網(wǎng)用戶的一次準(zhǔn)入準(zhǔn)出及上網(wǎng)行為的審計(jì)功能。所有身份認(rèn)證相關(guān)服務(wù)器通過虛擬化平臺(tái)進(jìn)行構(gòu)建，有效地整合數(shù)據(jù)中心IT基礎(chǔ)設(shè)施資源及IT操作。

扁平化出口安全層與傳統(tǒng)網(wǎng)絡(luò)類似，通過防火墻、上網(wǎng)行為管理、負(fù)載均衡等多種安全設(shè)備構(gòu)建校園網(wǎng)安全邊界，對校園網(wǎng)出口流量進(jìn)行安全過濾和審計(jì)。

（1）BRAS在用戶終端接入網(wǎng)絡(luò)獲取IP地址的同時(shí)，就能夠同步記錄下用戶的MAC地址、所在的具體位置（精確到交換機(jī)端口，包括內(nèi)層VLAN ID和外層VLAN ID）、接入網(wǎng)絡(luò)的時(shí)間、獲取的IP地址等多種信息，配合身份準(zhǔn)入系統(tǒng)對每個(gè)用戶細(xì)致的訪問權(quán)限、上下行速率的控制，從而實(shí)現(xiàn)用戶接入網(wǎng)絡(luò)的可識(shí)別、可管理、可控制，而這個(gè)過程用戶沒有任何感知。

（2）BRAS配合身份準(zhǔn)入系統(tǒng)可以通過五元組（用戶身份、接入方式、終端類型、接入時(shí)間、接入地點(diǎn)）的靈活組合形成不同用戶的訪問策略：

①比如教職員工和學(xué)生在同一個(gè)物理網(wǎng)絡(luò)中所擁有的權(quán)限是不一致的，教職員工可以24小時(shí)不間斷的在線，但是學(xué)生用戶在晚上11：00點(diǎn)后就不能繼續(xù)使用互聯(lián)網(wǎng)服務(wù)，這個(gè)就是根據(jù)用戶身份和接入時(shí)間的組合策略；或者可以根據(jù)接入地點(diǎn)在圖書館提供24小時(shí)的互聯(lián)網(wǎng)服務(wù)，但是在學(xué)生宿舍晚上11：00以后就必須斷線，這個(gè)就是按照接入地點(diǎn)形成的控制策略。

②校園網(wǎng)中，往往一個(gè)用戶會(huì)同時(shí)擁有移動(dòng)手機(jī)和筆記本電腦兩個(gè)終端，對應(yīng)于同一個(gè)帳號(hào)，移動(dòng)手機(jī)可以使用每月6元的包月策略，但是筆記本終端必須按照時(shí)長來計(jì)費(fèi)。這個(gè)就是按照終端類型進(jìn)行的差異化服務(wù)。對于用戶來說網(wǎng)絡(luò)會(huì)變得非常智能，網(wǎng)絡(luò)會(huì)因你所需而改變。相信這樣的管理方式和計(jì)費(fèi)策略是現(xiàn)有校園網(wǎng)無法做到的。

2.2 Radius可靠性

一般的身份準(zhǔn)入系統(tǒng)都提供2種方式的備份機(jī)制，以防止單點(diǎn)故障的產(chǎn)生。

（1）主備模式：在BRAS的身份準(zhǔn)入系統(tǒng)指向中可以有2套身份準(zhǔn)入的地址指向主備身份準(zhǔn)入系統(tǒng)，當(dāng)主身份準(zhǔn)入系統(tǒng)壞了后，BRAS檢測到身份準(zhǔn)入系統(tǒng)不可達(dá)后將自動(dòng)切換到備身份準(zhǔn)入系統(tǒng)上運(yùn)行；而在平時(shí)主身份準(zhǔn)入和備身份準(zhǔn)入也將實(shí)時(shí)同步用戶信息，實(shí)現(xiàn)用戶信息的實(shí)時(shí)備份，用戶在主身份準(zhǔn)入系統(tǒng)壞掉后切換到備身份準(zhǔn)入無需再次認(rèn)證。

（2）逃生模式：身份準(zhǔn)入系統(tǒng)還能提供一種逃生模式，在逃生模式下當(dāng)身份準(zhǔn)入系統(tǒng)宕機(jī)，身份準(zhǔn)入系統(tǒng)將自動(dòng)開啟逃生模式，而這個(gè)時(shí)候身份準(zhǔn)入系統(tǒng)將不提供認(rèn)證審核及計(jì)費(fèi)請求，即用戶無論采用什么賬戶名密碼均可登陸網(wǎng)絡(luò)，保障了網(wǎng)絡(luò)的持續(xù)可用性。

（3）多校區(qū)出口統(tǒng)一調(diào)度：優(yōu)化改造后，可實(shí)現(xiàn)多校區(qū)出口鏈路的統(tǒng)一調(diào)度，具體實(shí)現(xiàn)思路是各校區(qū)的接入用戶在主校區(qū)的BRAS上統(tǒng)一接入后，由后臺(tái)的認(rèn)證計(jì)費(fèi)系統(tǒng)根據(jù)賬號(hào)下發(fā)不同的訪問策略和選路策略給BRAS，再由BRAS控制不同用戶走不同校區(qū)的出口，而用戶的選路策略可以由管理員在認(rèn)證系統(tǒng)上靈活定義的。

綜上所述，通過改造，把認(rèn)證網(wǎng)關(guān)和認(rèn)證系統(tǒng)統(tǒng)一、使得傳統(tǒng)交換網(wǎng)絡(luò)中的有線和無線兩張網(wǎng)融合成一張網(wǎng)，用戶無論采用無線或有線方式上網(wǎng)，接入認(rèn)證管理都是同一套系統(tǒng)，不僅給用戶帶來一致性的體驗(yàn)，也給學(xué)校減輕了運(yùn)維和管理的壓力，從而實(shí)現(xiàn)真正意義上有線無線一體化的校園網(wǎng)。

【通聯(lián)編輯：王力】