田愛寶+++宋文文+++張婷

摘 要：隨著網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展，校園網(wǎng)絡(luò)在運維管理、網(wǎng)絡(luò)安全、多業(yè)務(wù)服務(wù)等方面越來越顯得力不從心，無法滿足校園信息化業(yè)務(wù)的需求。新型校園網(wǎng)絡(luò)將網(wǎng)絡(luò)扁平化，網(wǎng)絡(luò)控制層與轉(zhuǎn)發(fā)層分離、網(wǎng)絡(luò)管理層與用戶管理層分離，多業(yè)務(wù)網(wǎng)絡(luò)支撐等理念，利用虛擬化、多鏈路捆綁、SDN、IPoE、防火墻等技術(shù)，提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率、縮短業(yè)務(wù)部署時間、加強網(wǎng)絡(luò)安全防御、減小網(wǎng)絡(luò)管理難度、提升網(wǎng)絡(luò)整體水平。

關(guān)鍵詞：校園網(wǎng)；扁平化；SDN；多業(yè)務(wù)

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-8454（2015）11-0067-03

中國石油大學(xué)（華東）校園網(wǎng)絡(luò)經(jīng)過20年的發(fā)展，歷經(jīng)了20世紀90年代的校園網(wǎng)從無到有，新世紀的以路由交換為主的千兆以太網(wǎng)兩代網(wǎng)絡(luò)，在校園網(wǎng)信息化發(fā)展中做出了巨大貢獻。隨著校園信息化建設(shè)的發(fā)展，校園網(wǎng)絡(luò)作為信息化基礎(chǔ)越來越重要，不僅需要為信息系統(tǒng)提供網(wǎng)絡(luò)支撐，還要為用戶提供高速、穩(wěn)定、安全、便捷的網(wǎng)絡(luò)接入服務(wù)。在新時代下，辦公管理信息化、云計算大規(guī)模應(yīng)用、多媒體教學(xué)技術(shù)不斷更新、網(wǎng)絡(luò)教學(xué)逐漸鋪開，傳統(tǒng)校園網(wǎng)絡(luò)在新應(yīng)用、新業(yè)務(wù)面前顯得力不從心，網(wǎng)絡(luò)無法滿足新業(yè)務(wù)新應(yīng)用的需求，網(wǎng)絡(luò)管理越來越復(fù)雜，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)絡(luò)需要朝新型的網(wǎng)絡(luò)發(fā)展。

一、設(shè)計思路

校園網(wǎng)絡(luò)面臨著復(fù)雜的網(wǎng)絡(luò)管理、復(fù)雜的業(yè)務(wù)需求、復(fù)雜的用戶群體，故在網(wǎng)絡(luò)設(shè)計中需要采用較為先進的網(wǎng)絡(luò)技術(shù)，合理的網(wǎng)絡(luò)設(shè)計思路，達到簡化網(wǎng)絡(luò)管理的目的，提升網(wǎng)絡(luò)安全水平，滿足不同用戶的網(wǎng)絡(luò)需求。

1.網(wǎng)絡(luò)結(jié)構(gòu)扁平化

網(wǎng)絡(luò)結(jié)構(gòu)扁平化分為網(wǎng)絡(luò)物理結(jié)構(gòu)扁平化和邏輯結(jié)構(gòu)扁平化。高校校園網(wǎng)一般可以分成兩部分，即數(shù)據(jù)中心網(wǎng)絡(luò)和園區(qū)網(wǎng)絡(luò)，數(shù)據(jù)中心網(wǎng)絡(luò)基本上僅限于一個機房內(nèi)部或直連的兩個或多個機房，物理鏈路簡單，可以采取物理鏈路和邏輯鏈路扁平化的結(jié)構(gòu)；受物理位置和鏈路的限制，園區(qū)網(wǎng)比較分散，可以采用傳統(tǒng)的三層物理結(jié)構(gòu)之上實現(xiàn)邏輯結(jié)構(gòu)的扁平化。

網(wǎng)絡(luò)扁平化能有效解決單點故障，通過多鏈路捆綁實現(xiàn)鏈路帶寬成倍增加，減少網(wǎng)絡(luò)跳數(shù)，消除了匯聚層三層轉(zhuǎn)發(fā)性能瓶頸，提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。同時，減少匯聚層IP策略，將IP層策略集中到核心控制層，簡化網(wǎng)絡(luò)管理，提高管理效率。

2.用戶管理與基礎(chǔ)網(wǎng)絡(luò)分離

傳統(tǒng)網(wǎng)絡(luò)中，基礎(chǔ)網(wǎng)絡(luò)與用戶（認證）管理結(jié)合緊密，甚至很多網(wǎng)絡(luò)（認證）管理的控制層位于網(wǎng)絡(luò)的接入層，如802.1x認證，一方面存在網(wǎng)絡(luò)管理復(fù)雜、設(shè)備不兼容等問題；另一方面由于用戶認證信息無法漫游導(dǎo)致用戶在校園網(wǎng)上需要使用多個賬號或網(wǎng)絡(luò)訪問受限等問題。

用戶（認證）管理與基礎(chǔ)網(wǎng)絡(luò)分離后，用戶管理系統(tǒng)獨立于基礎(chǔ)網(wǎng)絡(luò)，由網(wǎng)絡(luò)接入設(shè)備、認證計費系統(tǒng)等組成，只負責(zé)所有用戶信息的管理，權(quán)限管理與分配，通過標準協(xié)議和接口實現(xiàn)用戶根據(jù)自己的權(quán)限在不同網(wǎng)絡(luò)和設(shè)備間的漫游，提高網(wǎng)絡(luò)的移動性，同時可更好地與第三方軟硬件平臺對接，實現(xiàn)未來應(yīng)用系統(tǒng)與網(wǎng)絡(luò)的對接，達到用戶權(quán)限隨行的效果。

3.基于SDN技術(shù)的多業(yè)務(wù)網(wǎng)絡(luò)

校園網(wǎng)是一套極其復(fù)雜的系統(tǒng)，除了正常提供用戶接入網(wǎng)絡(luò)外，校園網(wǎng)需要承載各種類型的專用網(wǎng)絡(luò)，如一卡通網(wǎng)絡(luò)、財務(wù)專網(wǎng)等專用隔離的網(wǎng)絡(luò)。新型校園網(wǎng)絡(luò)需要提供支持多業(yè)務(wù)網(wǎng)絡(luò)服務(wù)，結(jié)合SDN、虛擬化等技術(shù)方便快速地開展業(yè)務(wù)網(wǎng)絡(luò)服務(wù)，提高網(wǎng)絡(luò)利用率，縮短業(yè)務(wù)網(wǎng)絡(luò)部署時間。

SDN將原來網(wǎng)絡(luò)設(shè)備里的控制功能提取出來交由中心控制節(jié)點進行集中控制，也就是“控制轉(zhuǎn)發(fā)分離”。通過“控制轉(zhuǎn)發(fā)分離”，網(wǎng)絡(luò)設(shè)備只需要負責(zé)數(shù)據(jù)包的轉(zhuǎn)發(fā)，而將復(fù)雜的網(wǎng)絡(luò)控制功能交由集中的控制器去處理。通過中心的控制節(jié)點進行集中控制，也讓整網(wǎng)的轉(zhuǎn)發(fā)效率更高?！翱刂妻D(zhuǎn)發(fā)分離”后，由集中的控制器去對接上層業(yè)務(wù)系統(tǒng)，控制器可以屏蔽下層復(fù)雜的網(wǎng)絡(luò)協(xié)議和技術(shù)細節(jié)，將下層網(wǎng)絡(luò)變成端口、帶寬等資源提交上層業(yè)務(wù)系統(tǒng)。上層業(yè)務(wù)系統(tǒng)也只需要和集中的控制器打交道，而不再需要去向全網(wǎng)所有設(shè)備下發(fā)指令，或者人工將業(yè)務(wù)需求變成一條一條網(wǎng)絡(luò)設(shè)備命令行遠程登錄到設(shè)備上進行配置，在開展多業(yè)務(wù)網(wǎng)絡(luò)服務(wù)中能極大地簡化網(wǎng)絡(luò)配置管理，縮短業(yè)務(wù)部署時間。

4.網(wǎng)絡(luò)安全分級

校園網(wǎng)絡(luò)中接入各種網(wǎng)絡(luò)設(shè)備及終端，如網(wǎng)絡(luò)設(shè)備、服務(wù)器、PC、手機、平板電腦等，不同設(shè)備及終端保存著不同重要性的數(shù)據(jù)。根據(jù)對數(shù)據(jù)重要性進行分析，將網(wǎng)絡(luò)終端和網(wǎng)絡(luò)數(shù)據(jù)進行劃分不同安全等級，采取不同的安全防護措施，對于學(xué)校核心數(shù)據(jù)進行重點保護，對用戶非重要數(shù)據(jù)進行簡單保護或由用戶自行安全保護等。

二、設(shè)計方案

根據(jù)校園網(wǎng)功能和特點，結(jié)合設(shè)計思路，校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

通過拓撲圖，校園網(wǎng)絡(luò)采用雙核心交換機設(shè)計，通過雙鏈路連接到多出口路由設(shè)備、用戶認證接入設(shè)備、鏈路匯合交換機和數(shù)據(jù)中心核心交換機，保障骨干網(wǎng)絡(luò)的高帶寬和網(wǎng)絡(luò)的穩(wěn)定性。在校園網(wǎng)園區(qū)網(wǎng)絡(luò)部分，為了節(jié)省園區(qū)內(nèi)骨干光纜，在各樓宇繼續(xù)保留網(wǎng)絡(luò)匯聚點，取消原有的網(wǎng)絡(luò)匯聚層，更改成鏈路匯合交換機，向上與核心交換機采用多鏈路捆綁技術(shù)，滿足高帶寬、高可靠性的需求，向下提供接入交換機高密度接入能力。園區(qū)網(wǎng)絡(luò)接入交換機根據(jù)業(yè)務(wù)需求，提供普通用戶上網(wǎng)接入和專用網(wǎng)絡(luò)接入服務(wù)，在條件允許的情況下，在部分接入機房安裝獨立的交換機為專網(wǎng)提供服務(wù)，同時無線網(wǎng)有線部分完全融入有線網(wǎng)絡(luò)，PoE交換機直接接入到鏈路匯合交換機，將無線AP作為網(wǎng)絡(luò)終端考慮。

園區(qū)網(wǎng)絡(luò)邏輯網(wǎng)絡(luò)完全按照扁平化大二層網(wǎng)絡(luò)考慮，每個接入交換機劃分不同的VLAN，并做好端口隔離，將VLAN通過鏈路匯合交換機、核心交換機透傳到用戶網(wǎng)絡(luò)接入設(shè)備（BRAS），用戶通過IPoE+Portal或PPPoE認證后使用路由模式連接到核心交換機，完成對互聯(lián)網(wǎng)和數(shù)據(jù)中心的訪問。由于用戶網(wǎng)絡(luò)接入設(shè)備（BRAS）處于網(wǎng)絡(luò)核心位置，在網(wǎng)絡(luò)設(shè)計中考慮使用雙機熱備的部署模式，并與后臺計費認證系統(tǒng)雙radius服務(wù)器對接，保證網(wǎng)絡(luò)的穩(wěn)定性。

數(shù)據(jù)中心網(wǎng)絡(luò)相對獨立，完全采用扁平化的二層網(wǎng)絡(luò)結(jié)構(gòu)，接入交換機雙鏈路分別直連到兩臺數(shù)據(jù)中心核心交換機，并在網(wǎng)內(nèi)實現(xiàn)大二層網(wǎng)絡(luò)，滿足虛擬化、云計算對網(wǎng)絡(luò)的需求。由于學(xué)校絕大部分數(shù)據(jù)均在數(shù)據(jù)中心，且數(shù)據(jù)重要性比較高，故在數(shù)據(jù)中心核心交換機上增加防火墻、入侵檢測、Web防護等網(wǎng)絡(luò)安全板卡或設(shè)備，根據(jù)數(shù)據(jù)中心應(yīng)用系統(tǒng)和數(shù)據(jù)的重要性配置不同的安全策略，滿足對應(yīng)用系統(tǒng)和數(shù)據(jù)的安全防護。

除了上述網(wǎng)絡(luò)轉(zhuǎn)發(fā)層，網(wǎng)絡(luò)控制管理層是整個網(wǎng)絡(luò)的大腦，由傳統(tǒng)的網(wǎng)絡(luò)管理、監(jiān)控系統(tǒng)和SDN控制器等組成，對下負責(zé)對網(wǎng)絡(luò)硬件設(shè)備下發(fā)網(wǎng)絡(luò)參數(shù)和策略，對上提供用戶管理界面，并開放與第三方系統(tǒng)對接接口。從邏輯上，網(wǎng)絡(luò)控制管理層從網(wǎng)絡(luò)設(shè)備中獨立出來，由計算機性能更高的服務(wù)器等硬件進行網(wǎng)絡(luò)路徑和策略的計算，這也符合SDN網(wǎng)絡(luò)的邏輯。由于新一代校園網(wǎng)絡(luò)建設(shè)有一定的周期，故網(wǎng)絡(luò)控制管理層中傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)逐步過渡到軟件定義網(wǎng)絡(luò)、軟件定義存儲等軟件定義所有系統(tǒng)的控制器。

借助SDN技術(shù)，新型校園網(wǎng)絡(luò)不在是傳統(tǒng)的校園網(wǎng)，不僅只提供用戶接入互聯(lián)網(wǎng)服務(wù)，而是一張多業(yè)務(wù)網(wǎng)絡(luò)。通過在SDN控制器上少量的操作即可完成一張業(yè)務(wù)網(wǎng)絡(luò)的部署。如某業(yè)務(wù)網(wǎng)需要將校園網(wǎng)內(nèi)任何地方的兩個不同交換機的端口互通，只需在SDN控制中創(chuàng)建一個租戶網(wǎng)，并將這兩個端口加入該網(wǎng)，SDN控制器自動計算轉(zhuǎn)發(fā)路徑并將數(shù)據(jù)下發(fā)到相關(guān)交換機，交換機即可按照路徑轉(zhuǎn)發(fā)，如圖2所示。

新型校園網(wǎng)絡(luò)涉及較多的新技術(shù)、新理念，在實施過程中會面臨到成本較高、網(wǎng)絡(luò)較難整合等相關(guān)問題，同時節(jié)省投資、充分利舊的思路，可以考慮總體設(shè)計分步實施的方式完成校園網(wǎng)的升級換代。在設(shè)備選型過程中，必須考慮設(shè)備支持Openflow、Open Daylight等SDN相關(guān)協(xié)議，支持MPLS VPN、虛擬化等功能，可以與傳統(tǒng)網(wǎng)絡(luò)對接等需求。

三、結(jié)論

新型校園網(wǎng)絡(luò)改變傳統(tǒng)網(wǎng)絡(luò)中架構(gòu)和理念，總結(jié)了傳統(tǒng)網(wǎng)絡(luò)的優(yōu)缺點，取長補短，并提升了網(wǎng)絡(luò)的可擴展性、可移動性、可管理性，并提供了多業(yè)務(wù)支撐，能有效解決當(dāng)前網(wǎng)絡(luò)面臨的各種問題，同時采用較為先進的網(wǎng)絡(luò)技術(shù)和管理手段，提升網(wǎng)絡(luò)管理水平，并為未來業(yè)務(wù)發(fā)展提供了足夠的空間。

參考文獻：

[1]吳旭東，柳炳祥.校園網(wǎng)網(wǎng)絡(luò)規(guī)劃的設(shè)計與實現(xiàn)[J].電腦開發(fā)與應(yīng)用，2011，24（11）：64-65.

[2]吳圣潔，夏添.數(shù)據(jù)中心網(wǎng)絡(luò)扁平化設(shè)計[J].微型電腦應(yīng)用，2013，29（11）：27-30.

[3]劉維，姚錦衛(wèi).高校校園網(wǎng)絡(luò)認證計費系統(tǒng)研究[J].現(xiàn)代計算機，2008（5）：93-94.

[4]趙慧玲，馮明，史凡.SDN——未來網(wǎng)絡(luò)演進的重要趨勢[J].電信學(xué)，2012（11）：1-5.

[5]伏曉，蔡圣聞，謝立.網(wǎng)絡(luò)安全管理技術(shù)研究[J].計算機科學(xué)，2009，36（2）：15-19，54.

（編輯：楊馥紅）