构建基于大二层扁平化网络架构下的教育实名认证校园网

2017-11-30姚正超长沙职业技术学院

数码世界 2017年11期

姚正超长沙职业技术学院

姚正超长沙职业技术学院

《国家十三五规划纲要》明确提出拓展网络经济空间，构筑现代基础设施网络；同时，随着国家对职业教育重视程度的提升，高职院校正处于高速发展期。随着校园的扩大，老的校园网络存在结构复杂、运维难度大、成本高等缺点，已经无法满足日益增长的业务系统和网络用户的需求，亟待升级改造。在升级改造老网络时，绝大多数网络管理员为方便管理，不约而同地选择日趋完善的大二层扁平化网络架构，打造虚拟化数据中心，实现资源共享。面对足够开放的网络应用、日益增长的业务系统和参差不齐的网络用户，网络管理员如何保障逐步壮大的校园网安全可控、高效可用呢？基于大二层扁平化架构下的校园网，可以采用构建教育实名认证+上网行为管理的模式来解决上述问题。

大二层扁平化实名认证

《国家十三五规划纲要》明确提出拓展网络经济空间，构筑现代基础设施网络；同时，随着国家对职业教育重视程度的提升，高职院校正处于高速发展期。随着校园的扩大，老的校园网络存在结构复杂、运维难度大、成本高等缺点，已经无法满足日益增长的业务系统和网络用户的需求，亟待升级改造。在升级改造老网络时，绝大多数网络管理员为方便管理，不约而同地选择日趋完善的大二层扁平化网络架构，打造“虚拟化”数据中心，实现资源共享。面对足够开放的网络应用、日益增长的业务系统和参差不齐的网络用户，网络管理员如何保障逐步壮大的校园网安全可控、高效可用呢？基于大二层扁平化架构下的校园网，可以采用构建教育实名认证+上网行为管理的模式来解决上述问题。那么，如何构建基于大二层扁平化网络架构下的教育实名认证校园网呢？我认为可从以下几点着手：

1 大二层扁平化网络架构是构建教育实名认证校园网的基础

1.1 什么是大二层扁平化网络架构？

所谓大二层扁平化网络实际上是针对当前最火热的虚拟化数据中心的虚拟机动态迁移这一特定需求而提出的概念。众所周知，在虚拟化数据中心里，一台物理服务器被虚拟化为多台逻辑服务器，被称为虚拟机；每台虚拟机都可以独立运行，都有自己的软件系统，此外，每台虚拟机在网络层面有自己独立的MAC地址和IP地址。而虚拟机动态迁移是指将虚拟机从一个物理服务器迁移到另一个物理服务器，并且要保证在迁移过程中，虚拟机的业务不能中断。为了实现虚拟机动态迁移时，在网络层面要求迁移时不仅虚拟机的IP地址不变、而且运行状态也必须保持（例如TCP会话状态），这就要求迁移的起始和目标位置必须在同一个二层网络域之中。

同样地，在构建安全、高效、可控的校园网时，其网络架构可应用逻辑二层结构，将多台核心交换机运用“虚拟化”技术，从逻辑上整合成一台交换机；其网络拓扑结构明晰，便于维护、方便管理。

1.2 大二层扁平化网络架构是构建教育实名认证校园网的基础。

运用“虚拟化”技术，将多台核心交换机虚拟成一台交换机，实现大二层扁平化网络架构。此种模式支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。相对于传统业务集群系统，它突破了每个框至少要有一块主控单元正常运行的限制。通过集群+堆叠的无环大二层扁平化网络设计，它既能保障网络的高可靠性，又能保障网络的高稳定性。BRAS负责统一接入校园网用户，汇总全网用户流量，可以很方便的对校园网的所有用户流量做统一管理监控；BRAS是数据转发的枢纽，通常需要部署两台采用主、备方式，实时将用户的接入信息备份到备用设备上，当主设备的链路、接口、单板或者整机出现故障时，能够快速将业务切换至备用设备；BRAS一般与认证服务器协同工作。

因此可见，采用大二层扁平化网络架构，网络用户都在BRAS上接入，为教育实名认证提供了接入用户数据采集的基础。

2 统一身份单点登录是构建教育实名认证校园网的根本

今年，湖南省教育厅印发了《湖南省教育网络安全综合治理行动方案》的通知（湘教通〔2017〕146号），通知明确要求各高等院校应加快推进教育实名制上网工作。因此可见，构建教育实名认证的校园网势在必行。那么，如何构建教育实名认证的校园网络，我认为统一身份认证，实证校园网单点登录是其根本任务。

首先，构建教育实名认证校园网应具备统一身份认证平台。统一身份认证平台是校园网内各信息系统业务平台的身份入口，校园网是各信息系统业务平台正常运行的网络支撑和保障；只有两者高度融合，在校园网的支撑下，依托统一身份认证平台，杜绝不明身份的用户侵入，才能实现各信息系统的安全、稳定、高效运行。

其次，构建教育实名认证校园网应具备单点登录功能。校园网承载的信息系统种类繁多，有门户网站、办公OA、综合教务管理系统、学工管理系统、人事管理系统、科研管理系统、图书管理系统等，每个信息系统均有其登录界面。无论是教师还是学生，访问校园网内的这些信息系统时，都要求输入用户名和密码。校园网只有具备单点登录功能、实时记录登录信息，才能使访问用户操作校内业务系统更加简便、无需重复登录。

因此可见，建设统一身份认证平台、实现单点登录功能是构建教育实名认证校园网的根本任务。

3 “虚拟化”数据中心是构建教育实名认证校园网的关键

数据、信息等资源共享是校园网络建设的初衷，是推进教育信息化的基本目标。校园网内实现资源共建共享，不断提升数据、信息等资源的利用率，需要打造开放的数据中心。在云计算、大数据、宽带网、无线互联网等信息技术发展的大时代背景下，从传统IDC到VDC的转变已逐渐成为现实。所以，构建教育实名认证校园网，建设“虚拟化”数据中心成为关键任务。

“虚拟化”数据中心一般分为三个层次，即网络虚拟化、存储虚拟化、计算虚拟化；它是将云计算概念运用于数据中心的一种新型的数据中心形态；其好处在于简化运维、提高设备利用率，降低成本、增加业务布署的灵活性。

教育实名制认证对服务器配置和数据完备等要求相当高。为确保认证平滑，数据中心一般需要三台服务器：认证服务器、备份服务器、逃生服务器。采用“虚拟化”数据中心能保障校园网中的教育实名认证信息可靠、可用、安全。

4 案例分享

下图为教育实名认证校园网建设拓扑简图。图中，两台ME60为主备BRAS，汇聚接入用户上网IP，负责出口选路，实现双机热备；两台S12708为核心，通过专用线缆互连，逻辑虚拟成一台核心，构成逻辑大二层，实现扁平化；用户认证信息存放在“虚拟化”数据中心上，认证账号采用省教育厅统一下发的教育实名制账号，有线用户pppoe认证、无线用户portal认证，办公OA系统作为单点登录平台，构建成基于大二层扁平化网络架构下的教育实名认证校园网。此例在我院实施、效果良好。