皮宗辉，王树国，简 明

（1.喀什大学网络与信息管理中心，新疆喀什 844000；2.新疆亿网科技有限公司，乌鲁木齐 830099）

0 引言

随着高校信息化建设不断升级，校园基础网络建设水平也不断提升，校园网正处在从有线覆盖到有线无线全覆盖、从网络校园到智慧校园的建设中，因此，基础网络建设至关重要.在校园网络建设实施过程中经常出现现实性能与设计性能存在偏差的问题，需要不断对网络的配置策略进行优化和调整，提高网络的稳定性和可靠性，提升师生使用校园网络的体验感.

1 校园网设计

1.1 网络整体架构设计

喀什大学新校区于2018 年底建成并投入使用，校园网（新老校区校园网）统一规划，建设涉及有线网、无线网、数据中心网络、网络安全、校区互联、统一认证等.在功能上可分为主干区、接入区、数据中心区、安全管理区、运维管理区五大区域.新校区拥有一个10G 电信链路出口和一个100M 教育网链路出口.校园网网络架构如图1 所示.

校园网络架构设计要求按照万兆主干、千兆到桌面的架构建设，分成3 层架构：核心、汇聚和接入.架构采用双核心配置，结合虚拟化技术提高可靠性.考虑到校园面积大并且单体楼分散，共设置四个汇聚间部署汇聚交换机，分别位于宿舍楼2 栋、宿舍楼5 栋、计算机学院以及后勤楼.汇聚交换下联各单体楼楼宇汇聚交换机，接入层设置在各单体楼的弱电管理间.

图1 校园网拓扑图

新老校区采用电信裸纤互联，校区核心交换机之间使用40 km 单模万兆光模块互联.老校区优先使用新校区出口，在校区互联链路故障时，可使用老校区出口.两个校区各部署了一套认证计费系统，数据同步.

1.2 设备互联

核心由两台S12710 组成，使用堆叠技术虚拟化成一台设备.核心上联认证计费，下联接入区的4 台汇聚交换和数据中心区的云业务交换；核心交换X 系列板卡集成了无线AC 控制器，部署了无线网的网关和DHCP 池.

认证计费网关三层模式串联部署在核心之上，是有线网的网关兼Bras，支持PPPOE 拨号、客户端拨号和Web 三种认证方式，所有有线、无线用户包括核心之下的设备、服务器等上网流量都需要经过认证计费，只有完成认证才能上网.特殊设备可通过白名单免认证通过.

4 台汇聚S7710 设备分别管理宿舍区、教学楼及学院、行政楼、配套楼，有线网、无线网分别使用独立的接入交换机和上行光链路，采用万兆上行汇总至汇聚交换.由于新老校区相隔20 公里，新老校区租用电信12 芯裸光纤，通过光纤连接老校区变为新校区的一个汇聚.

考虑到宿舍区学生用户多流量较大，有线、无线分别配置了的S5720-EI 增强型交换作为小汇聚，具备万兆上行能力.宿舍区使用了中心AP 加面板的模式，每间宿舍一个面板，保障无线信号覆盖.宿舍区有线的接入连接方式为：电脑—S628（接入）—S5720（有线小汇聚）—S7710（汇聚）.宿舍区无线的接入连接方式为：移动终端—RD250（面板）—AD9431/S628-PWR（POE 接入）—S5720（无线小汇聚）—S7710（汇聚）.S628-PWR与AD9431 配对使用，电口级联，AD9431 级联使用光口；各配电间独立上行至汇聚交换.

1.3 关键技术

有线网使用了QinQ 技术，每台接入交换机配置了一个内层Vlan，端口隔离；在汇聚交换的下行口上配置灵活QinQ，给进入该接口的流量打上统一外层Vlan 标签，配合隔离配置，减小广播风暴对网络的影响.有线业务地址通过认证计费DHCP 获得.接入交换下行口全部配置端口隔离，同时开启dhcp snooping 功能.

核心交换作为无线网AC 控制器，AP 管理Vlan10，转发模式为隧道模式，POE 接入至汇聚只需透传管理Vlan；无线业务地址通过核心DHCP 获得；配置无线用户二层隔离.

1.4 运维管理

eSight 网管平台，部署在一台华为RH2288 V5 服务器上，添加了所有校园网交换机设备.通过拓扑图和设备列表，可以实时值观的了解到目前的网络故障点、链路负载、设备负载，查看设备故障记录；eSight 可对设备做批量修改配置，方便运维.

eSight 服务器管理平台部署在云平台虚拟机上，已添加了云平台的13 台服务器和2 台存储，主要用于查看服务器和存储的告警信息、资源使用情况.

2 校园网络存在问题及原因

喀什大学校园网于2019 年5 月基本建设完成，进入试运行阶段.运行阶段初期校园网络用户只有3000左右，系统运行平稳.2020 年4 月份，由于受疫情影响，部分学生返校学习，教师利用校园网络平台进行线上教学，学生利用校园网络在线学习，还有教学单位和部门利用腾讯会议、钉钉平台进行视频会议.校园网络用户增到并发6000 左右，校园出口即时流量高峰期达3.5 G 左右.校园网网部分用反映，在连接无线网络利用腾讯会议召开视频会议时偶尔出现卡顿现象，也有用户反映网络有掉线的现象.这主要是两个方面原因造成的.

2.1 无线汇聚交换机中存在大量组播流量，导致带宽堵塞

登陆宿舍汇聚交换机，发现所有连接无线楼宇小汇聚的带宽利用率均在80%左右，上行接口发送流量达800M，下行数量流量还不到200M.交换进出流量严重不匹配（见图2）.登陆Esight 网管平台，观察各下行接口的24 小时流量波形图（图3 和图4），发现流量波形基本相同.基于这些流量特点判断宿舍区汇聚上产生了大量下行组播流量，而校园网并无配置组播业务，产生的组播流量可能为核心AC 对大量无用检测所致.

图2 无线楼宇小汇聚接口流量

图3 下行接口的24 小时流量波形图1

图4 下行接口的24 小时流量波形图2

2.2 宿舍个别无线用户无法获取IP 地址

宿舍楼宇反映，部分宿舍学生连接无线网络后无法通过DHCP 获得地址，出现问题的宿舍并不固定，更换无线面板后问题并没有消失，检查无线网关DHCP池发现地址充足.于是决定派人持手机到问题宿舍，手机MAC 地址为90ad-f7c4-8667，从接入层开始逐级向上追踪该MAC 地址的信息.在楼宇无线小汇聚上追踪得到DHCP 不可用的信息

进一步在上级宿舍区汇聚S7710 上没有该MAC地址.

2.3 核心交换机CPU 占用率偏高，处理数据能力不足

登录核心交换机查看，发现CPU 占用率一般在65%附件，高峰期偶尔达到95%，持续1-2 分钟后下降到60%左右（见图5）.CPU 使用率过大导致核心交换机处理能力不足而造成网络断网现象.

图5 核心交换机cpu 占用率

由于无线AC 集成在核心交换机的板卡上，核心与AP 之间采用隧道模式，造成核心既要转发业务数据，还要承担管理3600 多个无线APSSID、认证、信道、流控等管理功能，导致核心压力很大，在AC 与AP 执行管理功能时，cpu 占用率急剧升高.

3 校园网络优化措施

3.1 优化无线流量模板和接入交换机性能参数

由于网络侧有大量异常组播流量涌入，造成无线空口拥堵，终端上网速率慢.为了减小组播报文对无线网络造成的冲击，配置组播抑制功能[1].

[XYW-Core-S12710]wlan //进入流量模板

[XYW-Core-S12710-wlan-view]traffic-profile name default

[XYW-Core-S12710-wlan-traffic-prof-default]

traffic-optimize multicast-suppression packets 200// 限制整个无线网络的最大组播流量阈值为200 pps.

学生公寓楼宇无线AP 接入交换机上：

经过以上修改，宿舍区汇聚S7710 的各下行端口流量恢复正常，交换机进出流量基本平衡，抑制异常无线流量后对正常无线流量无任何影响.

图6 宿舍区汇聚S7710 端口流量

3.2 优化DHCP 配置

为了防范各种DHCP 攻击或是路由器WLAN 口接入私发地址，通常在接入层开启DHCP Snooping 功能，该功能保证DHCP 客户端从合法的DHCP 服务器获取IP 地址，并记录DHCP 客户端IP 地址与MAC 地址等参数的对应关系，防止网络上针对DHCP 攻击.由于在宿舍区小汇聚上也开启了一个DHCP Snooping 功能，一个楼的接入用户近千人，超过了DHCP Snooping 记录客户端IP 和MAC 对应关系表的上限.当对应表满时，后续进行DHCP 的用户由于没有在关系表中，其DHCP 包被交换机拦截.因此在楼宇无线小汇聚上关闭DHCP Snooping 功能，顺利解决了部分用户无法获得DHCP 的问题

[S628-PWR-1]undo dhcp enable.

3.3 优化无线网络结构

五个汇聚交换机上启用三层功能，把无线地址池从核心下放到汇聚，无线AP 上的接入用户从上联汇聚交换机上获取到IP 地址和网关.减少核心交换机压力.

无线AP 的数据流量由隧道转发模式调整为直接转发模式,提高报文转发效率，减轻核心的压力.修改核心和无线AP 接入配置如下：

在进入核心的vap-profile name ksu-wlan 模板下

输入 undo forward-mode tunnel// 删除隧道模式，系统默认为直接转发模式；

无线AP 接入交换机上用户接口上透传业务vlan，修改配置如下[2]：

3.4 优化WLAN 轮巡设置

Esight 网管平台中配置WLAN 相关的轮询参数后，ESight 会定时的去查询和获取设备上的相关参数，保证网管和设备上信息的一致性.在主菜单中选择“系统> 系统设置> 南向设备设置”，在左侧导航树中选择“网络设备轮询设置”页面中，优化轮巡配置[3].链路接口轮询间隔调整为60 分钟，关闭IP 地址轮询时间、WLAN 数据轮询、虚拟系统数据轮询、接入用户轮询等功能.

经上面优化调整后，核心交换机CPU 占有率恢复到30%（如图7）.

图7 核心交换机CPU 占有率

4 结语

喀什大学校园网络经以上一系列措施优化后，设备运行更加稳定、可靠，用户上网速度明显加快，师生对校园网的满意度明显提高.目前，校园网高峰期并发用户达到8000 左右，出口流量最高达8G,网络运行平稳.今后，我们将继续观察校园网运行过程中存在的不足，通过技术手段，优化调整校园网策略，保障校园网络高效、安全、稳定运行，提高网络服务质量，为高校数字化建设提供必备的前提和保障.