尹忆民， 郝宇红， 孙浩志， 种连荣

（北京大学医学部信息通讯中心，北京 100191）

0 引 言

随着信息网络技术的迅速发展和教育信息化的不断推进，高校信息化的程度越来越高，校园网作为信息管理和信息交换的基础平台，在高等院校教学、科研、管理等工作中发挥了不可替代的重要作用．近年来，随着网络规模的不断扩大，用户数量不断增加，各种业务快速发展，对校园网的运行性能、安全管理、运营维护提出了新的挑战．

医学部校园网络基础结构为2000年建设的千兆网络，采用传统的三层布网结构及粗放式的用户管理．经过多年运行，现有的以三层交换机为核心的传统校园网络性能已滞后于业务发展的需求，同时网络缺乏安全防护，对用户没有有效的隔离措施和保障手段，导致相互干扰、影响，网络稳定性差，问题频出．为改善校园网整体状况，提高校园网络的稳定性及安全性，决定采用扁平化组网结构对现有网络进行改造．

1 组网方式比较

三层结构的组网方式在校园网早期的建设中发挥了很大作用，保证了高速的局域网络互联互通．但该结构是建立在粗放式管理的理念上，对整个网络缺乏相应的控制和管理手段，用户之间互相影响，ARP攻击、DHCP仿冒等对网络的攻击现象经常发生．广播信息泛滥，网络带宽被大量占用，难以实现灵活的基于身份、时间、位置等的用户控制．

扁平化的网络架构不是意味着物理层次的减少，而是逻辑层次的扁平化．是将用户和业务控制集中化，由能力最强、功能最丰富的核心设备实现集中的业务控制和管理．核心设备在实现基于每个用户的安全管理的同时，提供高性能的业务保障．而汇聚和接入设备，只提供用户接入的基本功能．这种简单化的架构使得网络有更高的效率，维护与管理也愈加方便．

2 建设目标

建设以高性能、多业务路由器为核心的扁平化新一代校园网络，满足高吞吐的ipv4／ipv6数据传输．能够基于逻辑端口、用户身份下发各类控制属性，部署精细的校园网管理策略．能够实现用户之间和业务之间的有效隔离，避免相互之间的干扰和影响，给每用户提供干净、独享的网络环境．新结构简化网络层次结构，使得网络运行更加高效，运维管理更加精细，业务开展更加便捷．

3 改造方案

3．1 功能描述

新结构校园网络简化了组网的层次结构，将原逻辑三层结构分为核心、接入二层，所有的业务管理控制都在核心层完成，接入层只是完成简单的二层功能．

3．1．1 核心层功能

（1）基于用户的认证接入控制

（2）ipv4／ipv6地址动态分配

（3）动态生成vlan接口、QinQ终结

（4）vlan路由、转发vlan间数据

（5）基于用户的ACL控制策略分发

（6）运行动态路由协议、配置静态路由

（7）Arp攻击、ddos攻击防护，广播抑制

3．1．2 接入层功能

（1）完成QinQ透传

（2）用户接入端口的vlan隔离

（3）端口环路检测

图1 扁平化网络层次结构

3．2 关键技术

3．2．1 QinQ技术

为实现用户之间的有效隔离，必须能够划分基于每个用户端口的vlan．传统802．1q只能支持4k个vlan，不能满足大用户量的校园网络部署，利用QinQ技术可解决这一问题．

QinQ技术是基于IEEE802．1ad，它是在原有的802．1Q报文的基础上又增加一层802．1Q标签实现，使vlan数量增加到4K＊4K．其中一层标识用户网络，另一层标识骨干网络，实现用户私网vlan标签被封装在骨干vlan标签中，使带有两层vlan标签的数据报文穿越骨干网络．

图2 QinQ报文结构

QinQ封装主要发生在汇聚设备与接入设备连接的端口上进行．QinQ终结主要是指对QinQ报文的双层TAG进行识别，然后根据后续的转发行为对双层TAG进行剥离或继续传送，QinQ终结是在核心路由器的子接口上执行．

3．2．2 动态vlan技术

在新的网络结构中，为限制RP攻击、DHCP仿冒、及各类无效的广播数据，给用户创造干净的网络环境，要采用划分vlan的方式对用户进行隔离．QinQ模式解决vlan数量问题，可以在接入设备上建立基于端口的vlan．但要识别并终结这些用户vlan，核心设备必须支持动态vlan的建立，并且要能够识别和终结QinQ配置的内层vlan id及外层vlan id，能动态生成每个用户的vlan接口，从而建立起vlan间的路由，转发vlan间的数据．

3．3 具体应用

3．3．1 网络改造概述

医学部校园共建设信息点1万2千多个，活跃用户超过8000人．本次改造采用两台JuniperMX960高端路由器作为核心设备，替换原有三层交换机，集中实现所有控制、管理功能，构成二层纯路由结构．在学生区、教学区、办公区、家属区部署四台汇聚交换机，汇聚各区域的楼宇接入设备，在汇聚设备上配置vlan trunk和QinQ透传．接入设备配置基于每端口的vlan，完成终端用户的接入．ipv4／ipv6地址由核心设备统一动态分配．用户接入后，可由核心设备下发基于用户的各项管控策略，在保障传输性能的同时实现网络精细化管理．

3．3．2 具体实施

本次网络改造属于网络格局的整体改变，要在新的架构上部署新设备、新管理策略，在实施过程中克服了多厂商设备兼容、配置磨合、用户使用习惯等适应性问题．目前，校园网络已完成全部配置迁移及用户迁移，并通过逐步优化运行参数，细化管理策略，使得网络进入稳定运行的阶段．

（1）核心层

核心路由器作为用户管理和业务管理的核心，配置产生动态vlan的profile，识别并终结QinQ报文．动态生成基于每个用户session的状态接口，在接口上下发用户管理策略，实现基于用户身份的行为控制、资源授权、带宽管理．配置基于单用户、物理接口板、路由引擎三个层面的ARP、ddos攻击防护策略，将网络攻击消除在最外层，不对核心引擎产生影响，保障核心设备稳定运行．

（2）接入层

在接入层只做vlan划分，在汇聚设备与接入设备互联接口上启用QinQ，每一互联接口分配一个外层vlan id，外层vlan范围是（1100－1500）．在接入设备上配置基于每端口的内层vlan，内层vlan范围为（500－999）．不同楼宇用户内层vlan id可重复，由外层vlan id区分用户．这样，一方面将用户互相隔离，互不干扰，另一方面利用vlan id实现用户的查找定位．

（3）ipv4／ipv6双栈

核心设备同时支持ipv4／ipv6双栈，在保证ipv4用户安全接入的同时，通过dhcpv6协议统一下发动态ipv6地址，为每用户动态生成ipv6状态接口，满足ipv6用户接入，并可在状态接口上下发ipv6用户管理策略，实现ipv4／ipv6统一的用户管理．

3．3．3 相关配置

（1）核心设备配置

（2）接入设备配置

（a）楼宇汇聚

（b）楼宇接入

图3 校园网络拓扑图

4 改造效果

经过本次校园网络扁平化改造，网络结构趋于合理，数据转发效率提高，骨干链路吞吐量由千兆提高到万兆．在新的结构上，部署了全网的安全防护策略，增强了安全防护功能，在接入网络上，利用QinQ技术对用户进行了有效的隔离防护，抑制无效的广播流量，杜绝了网络上常见的ARP、DHCP仿冒等攻击行为，运行质量得到很大改善．同时，新的结构可以针对每个用户部署更加精细化的管理策略，为今后部署新的应用、新的管理策略打下了良好的基础．

［1］ 陈卫民．基于QinQ技术的高校校园网研究［J］．湖南城市学院学报（自然科学版）2011，20（2）：66－68．

［2］ 申继年，邱家学．校园网组网架构的比较与分析［J］．中国教育网络，2012（1）：44－45．