文/陈波 顾益明 高伟勋

在智慧校园建设如火如荼的当下，校园网作为信息化建设的根基存在，其重要性不言而喻。上海师范大学现有的校园网建设于2009 年，设备性能、带宽承载能力等相比于学校“十三五”期间的信息化要求显得有些滞后。为此，学校于2018 年对学校校园网进行了第三次升级改造工作。通过此次改造，更新了校园网的基础设施、提高了校园网的传输带宽、优化了校园网的结构、融合了校园网各业务系统，为后续高校信息化建设打好基础。

校园网建设背景

上海师范大学校园网从上世纪90 年代末期开始建设，规模从单校区单核心到现在多校区多出口、同轴电缆退光缆进、千兆到楼宇百兆到桌面等多方面一点一滴发展壮大。学校有两个校区相邻50 公里，校区间有2 条不同路由光缆互联互备，有2 个校园网Internet 出口，接入点分别位于两个校区。校园网基础建设已覆盖全校区，截至2017 年统计光缆接入楼宇224 幢楼宇、光缆敷设累计241km、在用信息点4.07 万个、300 余台服务器、1700 个AP、1000 个高清安防摄像头等。校园网内除基本Internet 访问业务外，还建设有一卡通专网、财务内网、医疗专网等，以及门禁、安防、视频转播（组播）等各类业务系统。

改造前的校园网是2009 年部署的，当时的校园网形成了两个校区、三台核心路由交换机万兆互连的环形基础交换网，核心交换网带宽容量提升到万兆交换能力，出口策略路由器及各个大区域汇聚均采用双链路的方式连接到两台不同的核心设备，达到链路与设备双冗余，以保证整个校园网络骨干层的网络健壮性。校园网有2 个Internet 出口和1 个城域网出口，通过策略路由器依据已定义策略进行流量匹配和路由转发，如图1 所示。

校园网从2009 部署完成后，未有结构及设备方面比较大的改动和升级，部分不足之处也渐渐显现。首先，网络设备老旧，校园网面临性能、扩容、维保等各方面的限制；其次，新业务不断涌现，带宽升级、安全隔离要求提高；第三，奉贤校区经电信出口流量必须经过徐汇校区核心再返回奉贤，路径不合理，并且一旦两校区主干光缆故障，奉贤校区流量无Internet 访问权限。鉴于以上原因及信息化发展等各方面考虑，学校于2018 年对校园网实施整体升级改造工作。

图1 2009 年校园网拓扑图

校园网设计与部署

校园网设计方案

学校“十三五”规划中信息化建设的目标是一网两库三平台，其中的一网就是校园网，要求通过建设一张校园网，满足所有信息化业务的需求，在同一张基础校园网上承载2 个基础数据库和3 个核心业务平台。因此，此次校园网改造项目不仅是对老旧设备的更换，还有更高的要求。

1.校园网需求分析

首先是升级硬件平台。内容包括：老旧设备需要更新，通过更换新设备以提高校园网络基础设施硬件的稳定性及先进性；提高校园网络安全管控能力，增补和提高校园网安全需求。

第二是优化网络架构。现网存在奉贤校区单核心、出口策略单核心、Internet 访问数据流径不合理等缺陷，有必要优化设计符合学校实际情况的新校园网络拓扑，提高校园网络的高可用性。

第三是加强校园网承载能力。学校目前存在十几项相互独立的网络业务，如一卡通系统、门禁系统、财务系统、医疗系统、安防系统、语音系统等等，有些采用物理专网方式、有些采用vpn方式、有些混用在校园网上。新的校园网需要有多业务的承载力，在保证业务运营的独立性、安全性同时满足各业务运营的需求。

2.校园网设计目标

主干更宽：校园网核心具备升级到百G 的能力，楼栋之间通过10G 链路连接，千兆到桌面。

出口更快：校园网出口根据需要进行扩容，满足高速上网的要求，对上网行为进行合理管理，有效保障教学科研 。

使用更便捷：任何时间、任何地点、任何设备能够方便的接入校园网。

管理更有效：可视化图形方式管控，云服务简化管理，引入SDN 网络，通过控制器管理网络流量。

安全更可控：专用安全设备部署，完善网络准入，加入大数据分析，保障校园网络安全 。

运行更可靠：设备集群部署和多点灾备，单点故障时网络正常可靠运行 。

3.校园网设计方案

依据校园网设计目标和需求分析，结合校园网现有的物理资源情况，经过充分讨论和研究，在现有校园网架构的基础上进行调整和优化，将校园网设计成特有的由路由器和交换机组成的“物理双平面”运营级校园网络，如图2 所示。

校园网采用传统园区网三层拓扑架构——核心层、汇聚层和接入层组成。核心层分布于两个校区，通过裸光纤实现万兆互联。核心层由3 台路由器和4 台高性能交换机组成，采用上下两层物理设备架构，搭建了路由器平面和交换机平面两个骨干平面，把原有的学校校内业务和对外访问业务在硬件层面上做了资源预分配：（1）校区内和两校区间业务流量走交换平面，所有去往外网的流量从交换机直接上行至路由平面，校园多出口放在路由平面上，可共享给两校区；（2）重要业务流量如视频教学、视频会议等可使用MPLS隧道承载在路由器平面上，与其他承载在交换机平面上的校内MPLS 业务分走不同物理平面；（3）各业务MPLS 具备在双平面上实现冗余，保证业务不中断；（4）路由器平面可以利用MPLS QOS 特性实现在传统路由协议组成的路由网络基础之上承载具有MPLS TE 能力的、可感知链路情况的业务隧道，保证业务的连续不中断和快速倒换能力。

图2 校园网拓扑设计

汇聚层基本满足双链路万兆连接核心层不同的两台设备，以保证链路及设备的冗余性。汇聚层和核心层之间仅使用3 层路由协议进行网络互通，减少二层网络排障难度、增强网络稳定性。校园网全网运行mpls 协议，通过mpls 建立各类VPN 实例，从而隔离不同的专业业务，实现一网承载。

校园网数据中心按照区域及重要性目前分割成3 个部分，徐汇、奉贤各有一个普通IDC，在徐汇另外特别建设了一个满足二级等保要求的数据中心，所有重要业务部署在该区域。

学校有多出口，分别位于徐汇、奉贤两校区，通过路由平面设备按用户类型进行流分类，将Internet 网络流量合理分配到各个ISP，如图3所示。各个校园网出口处部署防火墙以提高校园网安全。

校园网部署实施

校园网作为高校信息化的神经系统，任何节点一旦有中断都会影响相关区域的信息化业务，给学校教学、科研、办公造成一定的影响。此次校园网改造项目会更新出口设备、核心设备、汇聚设备以及接入设备等，涉及校园网中断影响面大、更新的设备数量多等方面。同时，考虑到利用寒假期间割接会碰到春节假期，施工人员的调配、工作的积极性都会有影响，割接工作就需要分解到日常双休日及其他节假日中，从而使得此次项目的实施周期拉长。上述种种原因造成了此次校园网改造的部署难度大，因此前期准备方案需要细致周密。

图3 校园网流量策略设计

鉴于项目实施割接的时间分散的特点，部署过程中就需要化整为零，细分步骤，按照割接一点恢复一点的原则，尽可能降低由网络割接引起的校园网中断影响。除了接入层设备外，汇聚层、核心层、出口层网络割接内容被分割成13个子单元，从2017 年12 月30 日开始利用11 个双休日及小长假分步骤实施，项目持续至2018 年6 月1 日止。

部署方案按照先边缘后中心的思路，分步骤将除核心层网络外的汇聚层、出口层网络先行进行调整；然后将核心层设备上线接管原有设备，应用新的策略机制；最后割接IDC 机房网络。每项割接工作完成后，除现场业务测试外，均试运行1 至2 周时间后进行下一项割接工作，充分降低割接对网络的影响。例如项目先割接其中4 台汇聚层设备，割接内容是对相应位置的网络设备进行1 ∶1 替换。对应的割接计划是将新设备按现有网络配置进行预配置、上架、上电，做好新旧设备端口对应表，待割接时按顺序拔插端口线路即可。通过前期细致、周密的准备，基本将网络割接中断时间控制在1 小时以内，既减少用户断网时间也提高了割接工作的准确性，割接完成后基本没有网络故障报修。在核心层网络设备割接时，需要将4 台核心交换机、3 台策略路由器同时上线，设备分布于2 个校区，不仅需要调整端口线路还要调整出口访问策略。为此，在割接前将设备上架、上电、预配置，先将这批核心互联组成实际使用拓扑，按照规划的网络业务模型进行单点测试。功能、业务流测试通过后，将该批设备做配置调整后镶嵌在现有核心网的ospf 骨干域中，相当于给现有核心网加了件马夹，仅参与路由学习不影响现有业务。在割接当天，撤下原有核心设备的同时切换物理线路、调整出口连接并增加其他策略路由配置。设备一台一台更换，影响的范围也控制在相应区域，基本未造成全校断网的情况，一个双休日就顺利完成割接。

另一方面为提高校园网运维能力，通过部署网络管理平台，实现现有校园网设备日常监控、拓扑展示、故障报警、配置备份等自动化运维手段，提高校园网运维效率。图4 展示管理平台实现对现网设备自动备份的结果。

图4 配置自动备份

此次重大网络改造工作过程中，安全生产非常重要，体现在以下几个方面。首先是人员及设备安全。割接过程中，许多大型设备需要拆箱、搬运、上架、新接电源，人员和设备的磕磕碰碰、强电安全等方面都不容忽视。其次是割接安全，校园网不能因为割接工作不当造成扩大范围的断网事故。此次割接工程中，割接计划书必须提前一周提交，校方和施工方通过反复核对计划书内容以保障割接步骤及方案合理、准确。而且割接前2 天召开例会，就物料准备、人员安排、割接程序等内容作细致安排。最后是网络安全。割接计划书中重点有一块内容是业务校验测试，通过多方位测试方式杜绝由校园网割接产生新业务等原因引起的安全漏洞，利用防火墙、VPN、访问控制列表等手段保障业务安全可靠。

校园网实施效果

截至2018 年11 月前，除部分接入设备还在陆续更新外，汇聚、核心、出口、IDC 等重要网络环节都已完成升级改造过程。目前校园网运行稳定，整个项目实施周期内未发生安全责任事故及用户大范围中断反馈。

此次改造后，校园网在提高带宽承载能力、新业务开展、网络安全等各方面实现进步。校园网主干链路带宽总和达到40Gbps，满足承载校内各类高带宽、高传输质量的需求；学生寝室带宽升级，满足运营商100M 带宽业务的运行能力。校园网全面实施IPv4/IPv6 双栈运行，以响应中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版（IPv6）规模部署行动计划》。全网贯彻MPLS VPN 业务，实现业务隔离到端口，将网络安全管控到底。同时通过优化管理模式，校园网为寝室网内的运营商用户打通资源壁垒，寝室内申请运营商套餐的同学可以使用运营商网络直接访问校内网络资源；新增代拨号功能，支持用户使用寝室运营商账号直接连接校园网无线信号，实现校园内账号漫游。

新校园网拓扑结构层次清晰、稳定可靠，并且具备良好的可扩展性；千兆接入、万兆汇聚、十万兆核心的无阻塞网络架构，满足未来网络需要承载更多的业务，以及提供更多的优质服务的需求，同时满足校园网未来5～10 年持续发展需求；充分利用现有的网络资源（比如已建光缆、已有网络出口），合理利用现有的网络结构；一网多业务承载，包括但不限于语音、数据、图像业务，既保证业务运营的独立性、安全性，同时网络满足业务运营的需求。