范智勇 曾于弼

摘 要 分析了高校校园网在混合运营模式下存在的不足，通过产权结构调整，实施网络架构优化，进一步明晰了运营各方的责任界面，重新定义了安全边界，实现路由上收扁平化，安全上收集中化。实际应用表明，网络架构优化能有效简化网络管理，实现校园网络运营的开放共赢。

【关键词】混合运营模式 网络架构 扁平化

高校校园网经过不同阶段的发展，逐渐趋向采取混合运营模式，学校以市场换技术和资金的方式，引入第三方共同参与网络的运营，即自建自营与授权运营相结合。这种模式能有效缓解学校的资金和技术压力，在短期内快速改善校园网络质量，但在后续运营过程中所出现的使用、维护、安全等方面的问题，也制约着校园网的进一步发展。本文以莆田学院为例，分析混合运营模式的不足，通过网络架构优化实现更合理化的网络运营。

1 混合运营模式存在的问题

莆田学院校园网经过多年的建设，从最初的自建自营，到现在的多运营商合作运营，逐渐实现了全校的网络覆盖。整体网络采用核心层、汇聚层、接入层三级网络架构，其中接入层负责用户的接入、802.1X认证准入控制、ARP动态检测等，汇聚层设备做为三层网关，核心层负责全网数据的高速转发。校园网的运营属于典型的混合运营模式，主干网络以分期付款的方式由电信垫资建设，接入层既有校方自建的部分，又有电信、铁通投资建设的部分。随着网络规模的不断扩大，该模式所存在的一些弊端也逐渐呈现出来：

1.1 接入边界不清，安全难以管控

校园网的接入边界基本由第三方负责建设和运营，设备和链路的产权、使用权在合同期内归属第三方，导致校方对于边界的扩展难以监管。同时，受制于接入设备的功能，边界的安全防范手段有限，主要通过实施802.1X认证，在接入层设备的端口上对用户进行访问授权和控制。边界的安全取决于运维人员是否主动在端口上配置认证准入策略，而那些不启用802.1X认证的端口则成为可被利用的安全短板，甚至第三方可利用这一机制自由扩展边界，在学校的网络上开展自己的业务。实际运营过程中，校方很难对大量的设备进行排查监控，导致接入边界存在安全隐患，而其他层级的设备又缺乏相应的安全防范，从而加剧整个网络的风险。

1.2 设备型号不一、兼容性差

多年的建设和部署，形成网络设备品牌杂、型号多、功能参差不齐的情况。特别是第三方的设备多为集团采购，型号和品牌更换频繁，同时为了节省投资，经常采用一些低端的产品。设备的功能、性能难以满足实际应用的需求，出现不支持ARP防范、不能很好地兼容身份认证系统、不支持下发严格的准入策略等问题，不仅无法满足管理上的要求，也直接影响用户的使用体验。

1.3 产权结构混乱、管理层级过多，部署和维护难度大

三层架构下的网络建设，需要耗费大量精力在接入层、汇聚层设备的功能配置上，部署难度大，且对实施人员的技术要求比较高。汇聚层、核心层同时部署二、三层协议，纵向关联度较大，导致故障定位需要多方沟通和协调。而整网的设备产权结构混乱，出现第三方之间的网络建设交叉的情况，不仅加大了故障的排查难度，而且易出现相互间的不信任和推诿，极大的影响了运维服务质量。

2 网络架构优化与应用分析

基于校园网开放性运营的发展趋势，为了解决当前运营所存在的问题，必须改变现有校园网设备层次和能力层次倒挂的局面，实施网络架构优化。本次改造中，在现有网络的基础上，由学校投资部署了新的核心交换机、身份认证计费系统、流量控制设备，实现扁平化大二层架构，并进一步明晰了网络产权结构和运维责任界面。

2.1 扁平化网络架构设计

如图1所示，将传统的三层网络架构调整为大二层扁平结构，整个网络划分为业务控制层和宽带接入层。业务控制层由核心层设备组成，提供网络中的用户接入控制、业务功能实现等，宽带接入层由接入层、汇聚层组成，负责二层数据转发、VLAN透传和端口隔离等。

2.1.1业务控制层

部署两台台功能丰富、性能强大的核心交换机作为三层网关，采用虚拟化技术，结合链路聚合实现全网双归双活。将原有部署在接入层交换机上的802.1X认证功能上收到核心交换机上，配合身份认证计费管理系统，实现基于用户身份的实名认证。出口流量控制与身份认证计费系统联动，可按照流量、时长等制定差异化的带宽服务，从而实现灵活的、精细化的校园网认证计费管理。出口网关负责路由、NAT、链路负载均衡等业务，并集成丰富的防火墙功能，构筑安全的出口边界。

2.1.2宽带接入层

宽带接入层设备只启用二层VLAN功能，为接入交换机的每个端口划分单独VLAN，实施端口隔离，有效防范ARP欺骗和DHCP仿冒。用户通过802.1X客户端认证上网，遵循统一下发的准入策略，可以做到防代理、防私设地址等桌面端的功能限制，从而最大限度保障接入端的网络安全。

2.1.3逻辑功能区域划分

为保证第三方之间在网络运营上的独立性，避免网络交叉建设产生的使用和维护上的争议，将整个校园网从逻辑上划分为接入网络区、核心网络区、出口网络区。其中，核心网络区由学校投资建设，确保校方掌握整个网络的运营主动权，基于这一公共网络平台，面向第三方开放出口网络区和接入网络区的运营接口，对外允许提供出口带宽服务，对内允许提供用户端接入服务，从而改变原有复杂的网络产权结构，为引入多运营商竞争机制提供平台基础。

2.2 应用效果分析

2.2.1理清产权结构，简化网络管理

通过逻辑功能区域的划分，理清了网络产权结构，明晰了各运营方的责任界面，提高了服务的效率。扁平化的大二层网络实现了网络的集中管理，极大简化了网络结构，也减轻了网络部署和维护的工作量。原先分布在接入层和汇聚层上的繁杂的配置工作，只需在核心交换机上就能完成集中部署，宽带接入层只需做简单的VLAN划分和端口隔离配置。校园网由多层管理简化成核心层管理为主的架构，降低了日常维护中的故障排查难度，大大缩短了网络故障定位及恢复得时间，也降低了维护人员的技术要求。

2.2.2易于扩展和部署，有效保护现有投资

扁平化的网络结构弱化了宽带接入层设备的关键性、重要性和复杂度，这样一方面解决了接入层不同品牌交换机的兼容性问题，节省了改善网络所需的设备升级投资。另一方面，宽带接入层不涉及业务层面，部署IPV6等新业务时，可以摆脱对接入设备的功能依赖，不仅使网络具有更好的扩展性，而且能有效保护现有投资。

2.2.3重新定义安全边界，实现集中式管理

重新定义了安全边界，既符合网络开放性运营的需求，又收紧了安全边界。接入层通过端口隔离有效保障了用户之间的安全，认证上收到核心层之后，可以对全网实施集中的安全控制，而且易于进行流量管理和用户行为分析，杜绝接入层的安全隐患。

3 结语

混合运营模式具有高度的灵活性，是一种适合高校校情发展的网络运营方式。通过网络架构调整，使整个网络结构变得更加合理，能有效解决接入边界安全、设备兼容性等问题，充分发挥混合运营模式的优势。网络层级的简化，降低了运维的工作量和难度，有助于提升网络运营的服务质量，实现多方共赢。

参考文献

[1]魏东，王璟珉.校园网络建设运营模式的比较分析研究[J].山东青年管理干部学院学报，2007，126（2）：85-87.

[2]汤小康.扁平化的校园网络架构设计[J].信息与电脑，2014（07）：61-62.

[3]张代华，陈宓宓等.基于扁平化和精细化管理的校园网基础平台建设[J].软件，2014，35（08）：59-62.

[4]吴乃忠.基于扁平化架构的下一代高校校园网的建设研究[J].电子世界，2012（18）：28-29.

作者单位

莆田学院现代教育技术中心 福建省莆田市 351100