基于大二層扁平式網(wǎng)絡(luò)模式的探索*

李向龍，楊貴福，蘇衛(wèi)華

（東北師范大學(xué)，吉林 長(zhǎng)春 130024）

一、引言

為全面貫徹落實(shí)教育信息化“十三五”規(guī)劃總體部署，東北師范大學(xué)從網(wǎng)絡(luò)結(jié)構(gòu)入手，對(duì)校園網(wǎng)絡(luò)整體技術(shù)路線和結(jié)構(gòu)進(jìn)行了調(diào)整，旨在提高校園網(wǎng)絡(luò)支撐和服務(wù)能力，更好地服務(wù)于教育教學(xué)以及學(xué)校管理。

二、校園網(wǎng)絡(luò)現(xiàn)狀

1.網(wǎng)絡(luò)結(jié)構(gòu)

學(xué)校校園網(wǎng)采用傳統(tǒng)的“接入-匯聚-核心”的三層網(wǎng)絡(luò)結(jié)構(gòu)，用戶采用802.1x 客戶端方式上網(wǎng)，結(jié)構(gòu)如圖1 所示。

圖1 傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu)

在這種廣為使用的傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)中，每層承擔(dān)了校園網(wǎng)的一部分功能：①接入層負(fù)責(zé)用戶的接入，啟用端口隔離，降低局域網(wǎng)內(nèi)終端之間的相互影響。②匯聚層作為網(wǎng)絡(luò)的中間環(huán)節(jié)，承擔(dān)了用戶認(rèn)證轉(zhuǎn)發(fā)和地址分配的功能，校園網(wǎng)大部分功能都通過(guò)匯聚實(shí)現(xiàn)。③核心層提供高速率接入服務(wù)，與各樓宇之間通過(guò)路由方式進(jìn)行數(shù)據(jù)的傳輸。

2.存在的問(wèn)題

（1）現(xiàn)有三層組網(wǎng)方式，用戶的網(wǎng)關(guān)在樓宇內(nèi)的匯聚交換機(jī)上，無(wú)法實(shí)現(xiàn)移動(dòng)終端的無(wú)縫漫游，加之802.1x 客戶端的兼容性較差，因此用戶使用智能終端受到限制。

（2）“互聯(lián)網(wǎng)+”環(huán)境下，各種信息化應(yīng)用層出不窮，需求多變，三層網(wǎng)絡(luò)結(jié)構(gòu)的靈活性和擴(kuò)展性無(wú)法滿足當(dāng)前信息化發(fā)展需求，業(yè)務(wù)擴(kuò)展受到限制。

（3）核心層設(shè)備性能未能得到充分利用，匯聚層設(shè)備可選擇性少，認(rèn)證計(jì)費(fèi)功能分散實(shí)施，管理和維護(hù)成本較高。

三、解決方案

1.技術(shù)選擇

網(wǎng)絡(luò)是在不斷發(fā)展和快速進(jìn)步的，在不同的歷史時(shí)期有不同的需求和對(duì)應(yīng)的解決方案。早期的校園網(wǎng)建設(shè)重點(diǎn)在于解決連接問(wèn)題、關(guān)注接入端口密度和出口帶寬。而隨著網(wǎng)絡(luò)上的應(yīng)用越來(lái)越豐富、需求越來(lái)越復(fù)雜，我們對(duì)網(wǎng)絡(luò)本身的靈活性、彈性以及可擴(kuò)展性提出了更高的要求。因此，本次校園網(wǎng)絡(luò)升級(jí)的重點(diǎn)就是簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，降低復(fù)雜程度和運(yùn)維難度，具備面向未來(lái)平滑的擴(kuò)展和支撐能力。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上需要滿足多業(yè)務(wù)承載下的高性能需求和精細(xì)化管理的要求，以及可以提供良好的管理和擴(kuò)展能力。

根據(jù)校園網(wǎng)絡(luò)存在的問(wèn)題和面向未來(lái)的信息化發(fā)展需求，學(xué)校借鑒運(yùn)營(yíng)商大規(guī)模網(wǎng)絡(luò)建設(shè)和發(fā)展的辦法，充分調(diào)研部分高校網(wǎng)絡(luò)運(yùn)行情況后，決定從校園網(wǎng)整體的架構(gòu)上解決目前存在的問(wèn)題，采取的方案是將匯聚層交換機(jī)功能上移至核心設(shè)備，實(shí)行二層扁平式的校園網(wǎng)絡(luò)架構(gòu)。

2.方案優(yōu)勢(shì)

所謂二層扁平式的網(wǎng)絡(luò)架構(gòu)，并不是改變網(wǎng)絡(luò)結(jié)構(gòu)的物理連接模式，而是從設(shè)備所承載的功能上進(jìn)行劃分，在邏輯上將網(wǎng)絡(luò)劃分為業(yè)務(wù)控制層和用戶接入層。從實(shí)際的校園網(wǎng)物理結(jié)構(gòu)來(lái)看，網(wǎng)絡(luò)的扁平式架構(gòu)和業(yè)務(wù)功能劃分如圖2 所示。

圖2 扁平式網(wǎng)絡(luò)架構(gòu)圖

將網(wǎng)絡(luò)設(shè)備按照功能進(jìn)行劃分后，層次更加清晰，不同位置的設(shè)備各司其職，更有利于全網(wǎng)的管理維護(hù)。具體表現(xiàn)在：①充分發(fā)揮核心層設(shè)備的作用。具備更高的性能，能更好地支持各種功能擴(kuò)展和網(wǎng)絡(luò)協(xié)議。②部署新業(yè)務(wù)和新應(yīng)用時(shí)更加靈活，降低運(yùn)行及維護(hù)成本。新架構(gòu)中，匯聚/接入層設(shè)備只提供二層透?jìng)骱蚔LAN 隔離等基本功能，不涉及具體業(yè)務(wù)功能，對(duì)設(shè)備要求較低。同時(shí)，由于匯聚/接入層設(shè)備的功能要求簡(jiǎn)單，且數(shù)量眾多，因此可顯著降低全網(wǎng)設(shè)備的投資和后期使用的維護(hù)費(fèi)用。③更有利于未來(lái)的擴(kuò)展。業(yè)務(wù)功能只涉及核心層設(shè)備，因此只需要考慮核心層設(shè)備是否能夠支持這些業(yè)務(wù)特性即可。對(duì)于匯聚和接入層這些邊緣設(shè)備，僅需要考慮端口的擴(kuò)充和上行帶寬的問(wèn)題即可。

通過(guò)改變傳統(tǒng)的網(wǎng)絡(luò)構(gòu)架，從邏輯上劃分功能邊界，能夠有效解決目前校園網(wǎng)中存在的種種問(wèn)題，提供承載高校信息化應(yīng)用的能力。

四、實(shí)施過(guò)程

1.明確需求

校園網(wǎng)用戶和場(chǎng)景較為復(fù)雜，從身份上區(qū)分有教工、學(xué)生、短期來(lái)校交流培訓(xùn)等其他人員，從場(chǎng)景上區(qū)分，有生活區(qū)、辦公區(qū)、公共區(qū)等。根據(jù)學(xué)校實(shí)際情況，將應(yīng)用場(chǎng)景與身份進(jìn)行劃分，如表1 所示。

從表1 中可以看出，筆者學(xué)校對(duì)教工開(kāi)放網(wǎng)絡(luò)的全部使用權(quán)限，實(shí)現(xiàn)了即連即用，學(xué)生使用網(wǎng)絡(luò)收取費(fèi)用，對(duì)于短期來(lái)校人員實(shí)行院系（部處）審批后，開(kāi)通網(wǎng)絡(luò)準(zhǔn)入權(quán)限。為了最大限度滿足師生的需求，設(shè)定了教工賬號(hào)同時(shí)在線設(shè)備數(shù)量為6 個(gè)，學(xué)生賬號(hào)同時(shí)在線設(shè)備數(shù)量為3 個(gè)，其他人員只能使用無(wú)線網(wǎng)絡(luò)，同時(shí)在線設(shè)備數(shù)量為1 個(gè)。

表1 校園網(wǎng)應(yīng)用場(chǎng)景與身份劃分情況

2.設(shè)備配置

升級(jí)后的拓?fù)鋱D（見(jiàn)圖3）核心設(shè)備采用了Juniper MX960，用作寬帶接入服務(wù)器（Broadband Remote Access Server，簡(jiǎn)稱BRAS），認(rèn)證計(jì)費(fèi)采用深瀾認(rèn)證計(jì)費(fèi)系統(tǒng)。

圖3 校園網(wǎng)絡(luò)核心設(shè)備拓?fù)鋱D

Juniper MX960 和認(rèn)證計(jì)費(fèi)系統(tǒng)均以旁路形式接入網(wǎng)絡(luò)，將原用戶網(wǎng)關(guān)遷移到Juniper MX960 之上，Juniper MX960 承擔(dān)了網(wǎng)關(guān)、用戶地址分配和認(rèn)證的功能，配置如下：

（1）BRAS 配置

①配置dhcp 動(dòng)態(tài)文件，創(chuàng)建demux 接口

②配置本地dhcp 服務(wù)器，并引用dhcp 動(dòng)態(tài)文件

③配置基本的radius 及地址池

④應(yīng)用radius profile

⑤配置動(dòng)態(tài)vlan

⑥在接口上應(yīng)用動(dòng)態(tài)vlan profile

（2）二層交換機(jī)配置

啟用環(huán)路檢測(cè)和端口隔離，防止用戶之間的相互影響。以華三5 系列交換機(jī)配置為例：

①下聯(lián)接入交換機(jī)口

②普通終端接口

五、取得的效果

網(wǎng)絡(luò)架構(gòu)的升級(jí)，對(duì)師生來(lái)說(shuō)，最為顯著的變化就是使用體驗(yàn)的提升，真正實(shí)現(xiàn)了即連即用和無(wú)縫漫游。升級(jí)之后，校園網(wǎng)在線設(shè)備峰值由之前的1.7 萬(wàn)提高到現(xiàn)在的3.3 萬(wàn)，將原來(lái)因無(wú)法安裝客戶端、未能實(shí)名認(rèn)證的用戶納入統(tǒng)一管理。對(duì)管理員來(lái)說(shuō)，充分發(fā)揮核心設(shè)備的性能，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率，對(duì)網(wǎng)絡(luò)行為控制更加靈活和自由，日常故障處理和業(yè)務(wù)調(diào)整更加高效有序。

六、結(jié)語(yǔ)

校園網(wǎng)絡(luò)作為信息化的基礎(chǔ)設(shè)施，在學(xué)校發(fā)展進(jìn)程中有著非常重要的作用，本次升級(jí)簡(jiǎn)化網(wǎng)絡(luò)層級(jí)，支持多業(yè)務(wù)接入，降低運(yùn)維成本，為后續(xù)的網(wǎng)絡(luò)調(diào)整及變更提供了良好的基礎(chǔ)。同時(shí)使校園網(wǎng)絡(luò)在日常管理、性能需求、網(wǎng)絡(luò)安全和用戶使用上更加靈活。