面向下一代的校園網改造方案研究

2019-08-08 06:23:04 電腦知識與技術2019年18期

陳博

摘要:隨著近幾年高校智慧校園建設的全面展開,傳統的三層校園網架構已不能很好承載日益豐富的校園應用,粗放式的校園網管理方式已經不適應今後的發展需要。本文針對校園網架構的現狀進行了面向下一代的校園網可演進架構方案的研究分析。

關鍵詞:校園網;網絡架構;智慧校園;改造方案

中圖分類號:TP393        文獻標識碼:A

文章編號:1009-3044(2019)18-0015-03

1 概述

隨著社會信息化的高速發展和智慧校園建設的全面展開,一方面校內用網用戶數量成倍增加,每用戶控制終端數超過一台;另一方面用戶所使用的網絡應用數量更是呈現爆發式增長,應用類型由單一的http應用態勢轉變爲以http和流媒體爲主,p2p等多協議全面鋪開的態勢。

當下,網絡應用已滲透入校園生活的各個層面,用戶對網絡的依賴度越來越高,可以說離開網絡已無法辦事。校園網過去的定位即負責用戶接入已遠遠不能滿足現有用戶的需要。將校園網改造成一張高性能、精細化、易運維的下一代網絡已刻不容緩。

2 改造方案研究

2.1 組網模式選擇

當今校園網的建設主要存在兩種建設思路:基于扁平化架構的路由組網模式和傳統的三層交換式組網模式[1]。以下就這兩種網絡改造方案做具體比較:

(1)交換組網模式(如圖1所示)

在傳統的交換式組網模式下,網絡通常被劃分爲核心、彙聚、接入三個層面,各個層面分別實現不同的業務功能。核心層設備在網絡中一般部署很少的業務,主要在網絡中負責高速轉發的工作,彙聚層設備要求較高,主要負責IPV4\IPV6終結、IPV4\IPV6單播及組播的控制和ACL、QoS等功能,然而在架構中最廉價的接入層設備則要部署很多安全和接入控制功能,包括用戶隔離、速率限制、DHCP偵聽、動態ARP檢測、PVLAN等功能。

可以看出,在這種組網模式下校園網中最容易出現的故障即接入設備損壞會給網絡運維人員帶來很大的工作量,除去替換設備的協調問題,接入設備繁多的配置寫入和調試將耗費大量的時間,從而延遲網絡故障的恢複,對用戶造成極大的影響。

(2)路由組網模式(如圖2所示)

在路由組網模式下,網絡的物理結構可以不做變化,仍然是接入、彙聚、核心,但是邏輯結構轉變爲兩層結構,即寬帶接入層和業務控制層。寬帶接入層對應著交換組網模式中的接入和彙聚層,而業務控制層對應著交換組網模式中的核心層。

路由組網模式的二層架構相較于傳統交換組網模式的三層架構最主要的區別在于將之前大部分分散在接入、彙聚層上實現的功能幾乎全部集中在核心層設備上實現。也就是說寬帶接入層主要負責終端的網絡接入,業務控制層主要負責業務的部署和控制功能的下發。

在校園網發展的早期采用交換式三層架構有其曆史原因。首先,由于硬件參數所限核心設備的性能不足以支撐全網的業務控制;其次,采購多台高性能核心設備需要大量資金投入,早期高校完全無法承擔。而在技術飛速發展的今天,核心網絡設備的功能和性能越來越強大,足夠承擔核心和彙聚統一的功能,因此將傳統的核心和彙聚組合成業務控制層,一方面減少網絡層次,將接入和彙聚設備從業務控制的壓力下解放出來,用足性能做高速轉發,從而解決由接入、彙聚層網絡設備的性能瓶頸造成的網絡擁塞;另一方面,相較于交換組網模式,接入層故障只需要找到替換設備,直接導入接入層的通用配置即可上線使用,給網絡運維人員帶來極大的便利,也縮短了故障恢複的時間。

綜合來說路由組網模式是未來網絡發展的趨勢,它代表著網絡向下一代演進的方向,它帶給用戶的不僅僅是技術的先進性,還有對未來投資的保護。

2.2 設備功能分解

(1)Radius服務器負責用戶信息收集和整理,生成報表,用戶計費,也負責根據用戶登錄信息,通知核心路由器下發對應的訪問策略。

(2)核心路由器負責用戶接入,終結QinQ,給用戶分配地址、下發訪問策略,將用戶的接入信息轉發到Radius服務器[2]。

(3)彙聚交換機負責打QinQ第二次標記,進行vlan擴展,同時彙聚端口,將連接接入交換機的多個千兆接口,彙聚成1-2個萬兆端口,與核心路由器互連。

(4)接入交換機負責通過每端口1個vlan的方式進行用戶隔離,保證不同端口下的用戶在不同廣播域內,避免相同廣播域中某一端口産生的ARP攻擊、廣播風暴影響接入的所有用戶。

(5)防火牆負責校內用戶訪問公網時的地址轉換,以及提供對校園網邊界的安全防護。

3 網絡業務的實現

3.1 用戶接入的實現

(1)辦公教學區的用戶接入

辦公教學區內的用戶相對穩定,考慮到盡量減少用戶終端設備的配置,采用設置動態獲取IP地址的方式進行接入。用戶動態獲得校內地址後,即可登錄進校園網,訪問所有內網資源。一旦用戶終端需要獲取因特網資源,其向公網發出的請求會被核心路由器截獲,由核心路由器將用戶的請求重定向至Radius服務器,由Radius服務器向用戶推送權限認證的Portal頁面,用戶需要提供有相應權限的賬號信息,Radius服務器對照數據庫中用戶屬性返回給核心路由器,則核心路由器根據該屬性動態分配給用戶相應的訪問權限[3],用戶即可自由地進行操作(如圖4所示)。

(2)宿舍區用戶的接入

在宿舍區提供PPPoE認證,主要考慮到PPPoE適合于宿舍區的應用,它很容易檢查到用戶下線,可通過一個PPP會話的建立和釋放對用戶進行基于時長或流量的統計,計費方式靈活方便;它可以提供動態IP地址分配方式,用戶無須任何配置且windows自帶PPPoe客戶端,維護簡單,無須添加設備就可解決IP地址短缺問題,同時根據分配的IP地址,可以很好地定位用戶在本網內的活動;PPPoE通道互相隔離,能夠天然抵禦ARP欺騙、仿冒源地址攻擊等問題,極大減輕網絡管理員的工作量,並有效保障了整個校園網絡的可靠性和穩定性;同時PPPoE模式已由運營商在大量小區環境下實施,非常成熟。

宿舍區用戶接入時,PPPoE客戶端會廣播發送一個PADI報文,在此報文中包含PPPoE 客戶端想要得到的服務類型信息。核心路由器收到PADI報文之後,將其中請求的服務與自己能夠提供的服務進行比較,如果可以提供,則單播回複一個PADO報文。對于每個用戶的PPPoE會話,都可以根據用戶的身份信息進行相應的訪問權限控制、上下行速率限制以及根據流量、時長等采取不同策略的計費功能(如圖5所示)。

(3)免認證用戶的接入

對于學校工作人員的機器可以采用免認證的接入方式,來提高用戶的上網體驗,通過用戶名和機器MAC的綁定來實現。

這裏的MAC地址綁定有兩種方式,一種就是在後台Radius初始添加賬號時手動輸入用戶的賬號和機器MAC地址進行綁定,用戶訪問網絡進行認證時,後台Radius查找本地數據庫根據綁定關系自動放行。

另一種方式需要用戶撥號到認證計費系統以後,認證計費系統記錄其數據信息,再對其賬號進行一鍵綁定。

3.2 特殊業務的部署

以一卡通系統爲例,這些需要二層互通的業務,采用終端配置固定地址,在核心路由器上通過橋接方式實現各設備之間的二層互通,具體操作上在接入交換機將所有一卡通終端所接的接口劃分在同一個VLAN中,如VLAN 4000;彙聚交換機利用靈活QinQ機制,對特殊VLAN標記,不打第二層VLAN標記,而是實現VLAN透傳;在核心路由器上根據一卡通VLAN標記,在所有接口上配置靜態子接口與之對應,如Xe-0/0/0.4000,Xe-0/0/1.4000將所有一卡通靜態子接口,如Xe-0/0/0.4000,Xe-0/0/1.4000通過橋接方式,劃分在一個二層域內,實現二層互通。

3.3 終端固定IP地址的實現

對于一些服務器或網絡打印機等終端,需要保持其IP地址固定,也可采用DHCP方式獲取地址,但通過在DHCP服務器上的配置綁定,保證同一個MAC地址的DHCP請求每次都被分配到同一個IP地址。

3.4 用戶互訪控制的實現

在路由網絡架構中,用戶和服務器在業務控制層面即核心設備上實現統一的地址規劃管控(如圖6所示)。所有用戶設備對于校內服務器的網絡請求都會經過核心路由器。這種方式帶來的優勢是對用戶和網絡中流量的控制能力更強,管理維護更加簡化,但相應核心設備也需要有強大的性能來提供大量用戶的並發終結,這種所有端口的全線速轉發不會導致網絡整體性能的下降。

另外這種方式下,終結在同一台核心路由器上的客戶端和服務器的互訪流量對彙聚到核心之間的帶寬占用也相應提高。由于改造後整個校園網彙聚和核心之間都采用了萬兆以上的互聯,因此這部分的帶寬占用對網絡整體帶寬影響不大。此外,這種方式下,用戶之間的互訪,如文件共享或打印機共享,均可以通過三層方式實現,即基于IP地址的共享來實現。

4 結束語

通過傳統三層交換方式組建的校園網,從網絡業務管控的角度來看,只滿足了用戶基本的網絡接入需求,而缺乏對于用戶策略層面的業務管控。用戶的網絡訪問過程中沒有針對性的記錄、審計和控制,從而導致了網絡的無序使用。

爲了更好地支撐智慧校園建設,校園網粗放式的管理方式必將向精細化管理方向轉變。一方面,針對網絡中的使用者實現基于用戶身份的行爲控制,做到可控制、可管理。另一方面,針對網絡中的應用實現完善的流量識別和控制能力,保障重要應用系統的網絡承載,包括安全性、帶寬保障、可靠性等方面,做到可識別、可保障[4]。

參考文獻:

[1] 缪其勇.基于扁平化理論優化設計校園網[J].電腦知識與技術,2014.

[2] 史壽樂.基于QinQ協議的校園網扁平化改造設計[D].安徽大學,2014.

[3] 湯小康.高校校園網的精細化管理解決方案[J].信息與電腦(理論版),2014.

[4] 吳乃忠.基于扁平化架構的下一代高校校園網的建設研究[J].電子世界,2012.

【通聯編輯:王力】