基于扁平化架構(gòu)的多校區(qū)校園網(wǎng)絡(luò)建設(shè)與精細化管理研究

陳堅

摘要：通過對主校區(qū)核心交換機和主干鏈路進行更新和升級，采用扁平化的架構(gòu)模式提升整體校園網(wǎng)的性能和可靠性。利用BRAS設(shè)備作為全校師生統(tǒng)一認證和計費的網(wǎng)絡(luò)設(shè)備，將用戶管理、安全控制、業(yè)務(wù)控制等各種功能有機地集成在一起，實現(xiàn)包括有線和無線用戶，覆蓋校園宿舍、公共場所等不同區(qū)域多種接入認證統(tǒng)一管理。

關(guān)鍵詞：校園網(wǎng)絡(luò)建設(shè)；扁平化架構(gòu)；精細化管

中圖分類號：G717 文獻標志碼：A 文章編號：1673-9094-（2018）09C-0069-03

職業(yè)類院校如果有2個或2個以上不同地域的校區(qū)，就需要解決跨校區(qū)教學管理、教育資源優(yōu)化與共享等關(guān)鍵問題。這就需要將多校區(qū)的網(wǎng)絡(luò)進行整合，進行有線無線統(tǒng)一認證來實現(xiàn)用戶的精細化管理。

校園網(wǎng)絡(luò)架構(gòu)正從復(fù)雜化的多層架構(gòu)向扁平化架構(gòu)方向發(fā)展。扁平化的架構(gòu)模式并非必須或一定就是物理聯(lián)接層次上的減少，而是指網(wǎng)絡(luò)邏輯層次的簡化。扁平化的網(wǎng)絡(luò)有著更高的效率，也更有利于管理。扁平化的核心區(qū)域由能力最強、功能最豐富的多業(yè)務(wù)控制網(wǎng)關(guān)，即運營商級的BRAS設(shè)備提供集中的業(yè)務(wù)控制和管理，在提供功能和業(yè)務(wù)時，發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢。

一、多校區(qū)校園網(wǎng)絡(luò)建設(shè)

對主校區(qū)交換機和主干鏈路進行更新和升級（萬兆骨干），整體提升校園網(wǎng)的性能，需在主校區(qū)新增1臺認證網(wǎng)關(guān)以及1套認證計費系統(tǒng)，將現(xiàn)網(wǎng)中交換組網(wǎng)架構(gòu)變?yōu)楸馄交酚山M網(wǎng)架構(gòu)，建設(shè)一張多個校區(qū)統(tǒng)一的校園網(wǎng)，實現(xiàn)學校多校區(qū)用戶的統(tǒng)一接入認證管理，多校區(qū)出口帶寬的統(tǒng)一調(diào)度，以及多校區(qū)聯(lián)合組網(wǎng)下業(yè)務(wù)的統(tǒng)一部署，并提供用戶的精細化管理和差異化服務(wù)，給接入用戶最優(yōu)的上網(wǎng)體驗。

主校區(qū)交換機在更新升級的同時，構(gòu)成了校園網(wǎng)業(yè)務(wù)接入層。接入交換機負責用戶接入，實現(xiàn)每個用戶之間的VLAN隔離，匯聚交換機負責VLAN數(shù)量擴展，核心交換機負責匯聚并透傳所有用戶報文到BRAS上終結(jié)。

（一）核心網(wǎng)絡(luò)的高可靠設(shè)計

當整網(wǎng)通過扁平化組網(wǎng)構(gòu)建了強核心的網(wǎng)絡(luò)，作為網(wǎng)絡(luò)核心的BRAS設(shè)備的可靠性便成為了整個校園網(wǎng)高效穩(wěn)定工作的關(guān)鍵。BRAS設(shè)備可以通過以下設(shè)計來保證自身的穩(wěn)定：一是設(shè)備自身的冗余設(shè)計。BRAS設(shè)備應(yīng)具備可插拔的冗余引擎、冗余電源、冗余風扇的設(shè)計，以避免任意一個單點故障所造成的整個設(shè)備故障的可能。二是雙核心虛擬化的設(shè)計。預(yù)算經(jīng)費充足時，可以購置2臺BARS設(shè)備，通過虛擬化的功能實現(xiàn)多路由器系統(tǒng)的統(tǒng)一管理和控制。將多臺物理設(shè)備虛擬化成一臺邏輯設(shè)備，使多臺物理設(shè)備協(xié)同工作，擴展系統(tǒng)容量，簡化網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)策略，提升網(wǎng)絡(luò)運營效率，大幅降低運維成本，提升網(wǎng)絡(luò)的收斂速度。同時，通過構(gòu)建雙核心的核心網(wǎng)絡(luò)，將建立整體的雙鏈路架構(gòu)，所有匯聚交換機到核心設(shè)備都有兩條鏈路可以使用，同時保證了物理鏈路的穩(wěn)定性。

（二）校區(qū)互聯(lián)的鏈路需求

先確定主校區(qū)作為所有校區(qū)的統(tǒng)一出口，所有校區(qū)用戶的外網(wǎng)訪問和認證都需要通過主校區(qū)互聯(lián)光纜完成，這對鏈路的帶寬質(zhì)量有了較高的要求。全部采用裸光纖，光纖兩端配置萬兆模塊構(gòu)建萬兆鏈路，以保證校區(qū)互聯(lián)線路的質(zhì)量。

（三）主校區(qū)設(shè)備及業(yè)務(wù)部署

新增的BRAS配置萬兆/千兆接口復(fù)合板，下行采用萬兆鏈路與主校區(qū)核心交換機互聯(lián)，提供用戶的高速接入，上行采用萬兆鏈路與出口防火墻互聯(lián)，滿足出口帶寬的要求。同時BRAS配置三層網(wǎng)關(guān)業(yè)務(wù)，作為用戶接入網(wǎng)絡(luò)的認證網(wǎng)關(guān)及DHCP Server，配合認證計費系統(tǒng)實現(xiàn)用戶的接入和訪問控制。

新增的認證計費系統(tǒng)部署在主校區(qū)的數(shù)據(jù)中心，安裝Portal組件及Radius組件，配合BRAS實現(xiàn)全校用戶有線、無線一體化的IPOE接入+WEB Portal認證、計費和授權(quán)功能，為保證可靠性，認證計費系統(tǒng)采用集群方式部署。

學校的交換機作為校園網(wǎng)的業(yè)務(wù)接入層網(wǎng)絡(luò)，進行二層業(yè)務(wù)部署：接入交換機配置每端口1個VLAN，實現(xiàn)用戶之間的2層隔離；匯聚交換機配置QinQ（VLAN嵌套），實現(xiàn)VLAN數(shù)量的擴展；核心交換機配置2層業(yè)務(wù)，實現(xiàn)用戶流量的匯聚和透傳到BRAS側(cè)終結(jié)。每個用戶到BRAS之間是2層鏈路，而每個用戶之間又是2層管道化隔離的。

（四）多校區(qū)業(yè)務(wù)快速統(tǒng)一部署

由于業(yè)務(wù)控制的集中化，方便了新業(yè)務(wù)的部署，無需各校區(qū)的匯聚和接入設(shè)備支持具體的業(yè)務(wù)特性，更無需在各校區(qū)的匯聚和接入設(shè)備上進行復(fù)雜的業(yè)務(wù)配置，新業(yè)務(wù)只需要在BRAS統(tǒng)一配置部署即可，大大減少了學校維護人員的工作量。

（五）有線無線一體化

經(jīng)過改造后的交換租網(wǎng)，用戶接入認證完全由主校區(qū)的BRAS和認證平臺統(tǒng)一來負責所有用戶終端的有線/無線一體化的認證。用戶認證方式如圖1所示。

二、 用戶的精細化管理

（一）用戶接入

用戶統(tǒng)一采用IPoE方式進行接入，用戶通過DHCP獲取地址，獲得免費訪問校內(nèi)資源權(quán)限，需要訪問校外資源時由出口BRAS自動重定向到統(tǒng)一認證系統(tǒng)的Portal認證界面，用戶輸入用戶名密碼認證通過后，認證系統(tǒng)返回用戶屬性，BRAS根據(jù)用戶屬性，動態(tài)修改用戶訪問權(quán)限，用戶即可訪問校外資源，并由統(tǒng)一認證系統(tǒng)提供用戶訪問報表的統(tǒng)計信息。

扁平化的校園身份認證中心負責構(gòu)建所有用戶的身份信息倉庫，并通過和多業(yè)務(wù)控制網(wǎng)關(guān)、上網(wǎng)行為管理聯(lián)動，做到對入網(wǎng)用戶的一次準入準出及上網(wǎng)行為的審計功能。所有身份認證相關(guān)服務(wù)器通過虛擬化平臺進行構(gòu)建，有效地整合數(shù)據(jù)中心IT基礎(chǔ)設(shè)施資源及IT操作。

扁平化出口安全層與傳統(tǒng)網(wǎng)絡(luò)類似，通過防火墻、上網(wǎng)行為管理、負載均衡等多種安全設(shè)備構(gòu)建校園網(wǎng)安全邊界，對校園網(wǎng)出口流量進行安全過濾和審計。

1.BRAS在用戶終端接入網(wǎng)絡(luò)獲取IP地址的同時，就能夠同步記錄下用戶的MAC地址、所在的具體位置（精確到交換機端口，包括內(nèi)層VLAN ID和外層VLAN ID）、接入網(wǎng)絡(luò)的時間、獲取的IP地址等多種信息，配合身份準入系統(tǒng)對每個用戶細致的訪問權(quán)限、上下行速率的控制，從而實現(xiàn)用戶接入網(wǎng)絡(luò)的可識別、可管理、可控制，而這個過程用戶沒有任何感知。

2. BRAS配合身份準入系統(tǒng)可以通過五元組（用戶身份、接入方式、終端類型、接入時間、接入地點）的靈活組合形成不同用戶的訪問策略：比如教職員工和學生在同一個物理網(wǎng)絡(luò)中所擁有的權(quán)限是不一致的，教職員工可以24小時不間斷地在線，但是學生用戶在晚上11：00后就不能繼續(xù)使用互聯(lián)網(wǎng)服務(wù)，這個就是根據(jù)用戶身份和接入時間的組合策略；或者可以根據(jù)接入地點在圖書館提供24小時的互聯(lián)網(wǎng)服務(wù)，但是在學生宿舍晚上11：00以后就必須斷線，這個就是按照接入地點形成的控制策略。

（二）Radius可靠性

一般的身份準入系統(tǒng)都提供2種方式的備份機制，以防止單點故障的產(chǎn)生。

1.主備模式：在BRAS的身份準入系統(tǒng)指向中可以有2套身份準入的地址指向主備身份準入系統(tǒng)，當主身份準入系統(tǒng)損壞了，BRAS檢測到身份準入系統(tǒng)不可達后將自動切換到備身份準入系統(tǒng)上運行；而在平時主身份準入和備身份準入也將實時同步用戶信息，實現(xiàn)用戶信息的實時備份，用戶在主身份準入系統(tǒng)壞掉后切換到備身份準入無需再次認證。

2.逃生模式：身份準入系統(tǒng)還能提供一種逃生模式，在逃生模式下，當身份準入系統(tǒng)宕機，身份準入系統(tǒng)將自動開啟逃生模式，而這個時候身份準入系統(tǒng)將不提供認證審核及計費請求，即用戶無論采用什么賬戶名密碼均可登陸網(wǎng)絡(luò)，保障了網(wǎng)絡(luò)的持續(xù)可用性。

（三）多校區(qū)出口統(tǒng)一調(diào)度

優(yōu)化改造后，可實現(xiàn)多校區(qū)出口鏈路的統(tǒng)一調(diào)度，各校區(qū)的接入用戶在主校區(qū)BRAS上統(tǒng)一接入后，由后臺的認證計費系統(tǒng)根據(jù)賬號下發(fā)不同的訪問策略和選路策略給BRAS，再由BRAS控制不同用戶走不同校區(qū)的出口，而用戶的選路策略可以由管理員在認證系統(tǒng)上靈活定義的。

綜上所述，通過改造，把認證網(wǎng)關(guān)和認證系統(tǒng)統(tǒng)一，使得傳統(tǒng)交換網(wǎng)絡(luò)中的有線和無線兩張網(wǎng)融合成一張網(wǎng)，用戶無論采用無線或有線方式上網(wǎng)，接入認證管理都是同一套系統(tǒng)，不僅給用戶帶來一致性的體驗，也給學校減輕了運維和管理的壓力，從而實現(xiàn)真正意義上有線無線一體化的校園網(wǎng)。

責任編輯：曹鴻驊