面向下一代的校园网改造方案研究
2019-08-08陈博
陈博
摘要:随着近几年高校智慧校园建设的全面展开,传统的三层校园网架构已不能很好承载日益丰富的校园应用,粗放式的校园网管理方式已经不适应今后的发展需要。本文针对校园网架构的现状进行了面向下一代的校园网可演进架构方案的研究分析。
关键词:校园网;网络架构;智慧校园;改造方案
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)18-0015-03
1 概述
随着社会信息化的高速发展和智慧校园建设的全面展开,一方面校内用网用户数量成倍增加,每用户控制终端数超过一台;另一方面用户所使用的网络应用数量更是呈现爆发式增长,应用类型由单一的http应用态势转变为以http和流媒体为主,p2p等多协议全面铺开的态势。
当下,网络应用已渗透入校园生活的各个层面,用户对网络的依赖度越来越高,可以说离开网络已无法办事。校园网过去的定位即负责用户接入已远远不能满足现有用户的需要。将校园网改造成一张高性能、精细化、易运维的下一代网络已刻不容缓。
2 改造方案研究
2.1 组网模式选择
当今校园网的建设主要存在两种建设思路:基于扁平化架构的路由组网模式和传统的三层交换式组网模式[1]。以下就这两种网络改造方案做具体比较:
(1)交换组网模式(如图1所示)
在传统的交换式组网模式下,网络通常被划分为核心、汇聚、接入三个层面,各个层面分别实现不同的业务功能。核心层设备在网络中一般部署很少的业务,主要在网络中负责高速转发的工作,汇聚层设备要求较高,主要负责IPV4\IPV6终结、IPV4\IPV6单播及组播的控制和ACL、QoS等功能,然而在架构中最廉价的接入层设备则要部署很多安全和接入控制功能,包括用户隔离、速率限制、DHCP侦听、动态ARP检测、PVLAN等功能。
可以看出,在这种组网模式下校园网中最容易出现的故障即接入设备损坏会给网络运维人员带来很大的工作量,除去替换设备的协调问题,接入设备繁多的配置写入和调试将耗费大量的时间,从而延迟网络故障的恢复,对用户造成极大的影响。
(2)路由组网模式(如图2所示)
在路由组网模式下,网络的物理结构可以不做变化,仍然是接入、汇聚、核心,但是逻辑结构转变为两层结构,即宽带接入层和业务控制层。宽带接入层对应着交换组网模式中的接入和汇聚层,而业务控制层对应着交换组网模式中的核心层。
路由组网模式的二层架构相较于传统交换组网模式的三层架构最主要的区别在于将之前大部分分散在接入、汇聚层上实现的功能几乎全部集中在核心层设备上实现。也就是说宽带接入层主要负责终端的网络接入,业务控制层主要负责业务的部署和控制功能的下发。
在校园网发展的早期采用交换式三层架构有其历史原因。首先,由于硬件参数所限核心设备的性能不足以支撑全网的业务控制;其次,采购多台高性能核心设备需要大量资金投入,早期高校完全无法承担。而在技术飞速发展的今天,核心网络设备的功能和性能越来越强大,足够承担核心和汇聚统一的功能,因此将传统的核心和汇聚组合成业务控制层,一方面减少网络层次,将接入和汇聚设备从业务控制的压力下解放出来,用足性能做高速转发,从而解决由接入、汇聚层网络设备的性能瓶颈造成的网络拥塞;另一方面,相较于交换组网模式,接入层故障只需要找到替换设备,直接导入接入层的通用配置即可上线使用,给网络运维人员带来极大的便利,也缩短了故障恢复的时间。
综合来说路由组网模式是未来网络发展的趋势,它代表着网络向下一代演进的方向,它带给用户的不仅仅是技术的先进性,还有对未来投资的保护。
2.2 设备功能分解
(1)Radius服务器负责用户信息收集和整理,生成报表,用户计费,也负责根据用户登录信息,通知核心路由器下发对应的访问策略。
(2)核心路由器负责用户接入,终结QinQ,给用户分配地址、下发访问策略,将用戶的接入信息转发到Radius服务器[2]。
(3)汇聚交换机负责打QinQ第二次标记,进行vlan扩展,同时汇聚端口,将连接接入交换机的多个千兆接口,汇聚成1-2个万兆端口,与核心路由器互连。
(4)接入交换机负责通过每端口1个vlan的方式进行用户隔离,保证不同端口下的用户在不同广播域内,避免相同广播域中某一端口产生的ARP攻击、广播风暴影响接入的所有用户。
(5)防火墙负责校内用户访问公网时的地址转换,以及提供对校园网边界的安全防护。
3 网络业务的实现
3.1 用户接入的实现
(1)办公教学区的用户接入
办公教学区内的用户相对稳定,考虑到尽量减少用户终端设备的配置,采用设置动态获取IP地址的方式进行接入。用户动态获得校内地址后,即可登录进校园网,访问所有内网资源。一旦用户终端需要获取因特网资源,其向公网发出的请求会被核心路由器截获,由核心路由器将用户的请求重定向至Radius服务器,由Radius服务器向用户推送权限认证的Portal页面,用户需要提供有相应权限的账号信息,Radius服务器对照数据库中用户属性返回给核心路由器,则核心路由器根据该属性动态分配给用户相应的访问权限[3],用户即可自由地进行操作(如图4所示)。
(2)宿舍区用户的接入
在宿舍区提供PPPoE认证,主要考虑到PPPoE适合于宿舍区的应用,它很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便;它可以提供动态IP地址分配方式,用户无须任何配置且windows自带PPPoe客户端,维护简单,无须添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动;PPPoE通道互相隔离,能够天然抵御ARP欺骗、仿冒源地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整个校园网络的可靠性和稳定性;同时PPPoE模式已由运营商在大量小区环境下实施,非常成熟。
宿舍区用户接入时,PPPoE客户端会广播发送一个PADI报文,在此报文中包含PPPoE 客户端想要得到的服务类型信息。核心路由器收到PADI报文之后,将其中请求的服务与自己能够提供的服务进行比较,如果可以提供,则单播回复一个PADO报文。对于每个用户的PPPoE会话,都可以根据用户的身份信息进行相应的访问权限控制、上下行速率限制以及根据流量、时长等采取不同策略的计费功能(如图5所示)。
(3)免认证用户的接入
对于学校工作人员的机器可以采用免认证的接入方式,来提高用户的上网体验,通过用户名和机器MAC的绑定来实现。
这里的MAC地址绑定有两种方式,一种就是在后台Radius初始添加账号时手动输入用户的账号和机器MAC地址进行绑定,用户访问网络进行认证时,后台Radius查找本地数据库根据绑定关系自动放行。
另一种方式需要用户拨号到认证计费系统以后,认证计费系统记录其数据信息,再对其账号进行一键绑定。
3.2 特殊业务的部署
以一卡通系统为例,这些需要二层互通的业务,采用终端配置固定地址,在核心路由器上通过桥接方式实现各设备之间的二层互通,具体操作上在接入交换机将所有一卡通终端所接的接口划分在同一个VLAN中,如VLAN 4000;汇聚交换机利用灵活QinQ机制,对特殊VLAN标记,不打第二层VLAN标记,而是实现VLAN透传;在核心路由器上根据一卡通VLAN标记,在所有接口上配置静态子接口与之对应,如Xe-0/0/0.4000,Xe-0/0/1.4000将所有一卡通静态子接口,如Xe-0/0/0.4000,Xe-0/0/1.4000通过桥接方式,划分在一个二层域内,实现二层互通。
3.3 终端固定IP地址的实现
对于一些服务器或网络打印机等终端,需要保持其IP地址固定,也可采用DHCP方式获取地址,但通过在DHCP服务器上的配置绑定,保证同一个MAC地址的DHCP请求每次都被分配到同一个IP地址。
3.4 用户互访控制的实现
在路由网络架构中,用户和服务器在业务控制层面即核心设备上实现统一的地址规划管控(如图6所示)。所有用户设备对于校内服务器的网络请求都会经过核心路由器。这种方式带来的优势是对用户和网络中流量的控制能力更强,管理维护更加简化,但相应核心设备也需要有强大的性能来提供大量用户的并发终结,这种所有端口的全线速转发不会导致网络整体性能的下降。
另外这种方式下,终结在同一台核心路由器上的客户端和服务器的互访流量对汇聚到核心之间的带宽占用也相应提高。由于改造后整个校园网汇聚和核心之间都采用了万兆以上的互联,因此這部分的带宽占用对网络整体带宽影响不大。此外,这种方式下,用户之间的互访,如文件共享或打印机共享,均可以通过三层方式实现,即基于IP地址的共享来实现。
4 结束语
通过传统三层交换方式组建的校园网,从网络业务管控的角度来看,只满足了用户基本的网络接入需求,而缺乏对于用户策略层面的业务管控。用户的网络访问过程中没有针对性的记录、审计和控制,从而导致了网络的无序使用。
为了更好地支撑智慧校园建设,校园网粗放式的管理方式必将向精细化管理方向转变。一方面,针对网络中的使用者实现基于用户身份的行为控制,做到可控制、可管理。另一方面,针对网络中的应用实现完善的流量识别和控制能力,保障重要应用系统的网络承载,包括安全性、带宽保障、可靠性等方面,做到可识别、可保障[4]。
参考文献:
[1] 缪其勇.基于扁平化理论优化设计校园网[J].电脑知识与技术,2014.
[2] 史寿乐.基于QinQ协议的校园网扁平化改造设计[D].安徽大学,2014.
[3] 汤小康.高校校园网的精细化管理解决方案[J].信息与电脑(理论版),2014.
[4] 吴乃忠.基于扁平化架构的下一代高校校园网的建设研究[J].电子世界,2012.
【通联编辑:王力】