文/李世朋

新一代校園網(wǎng)架構(gòu)：集中化智能 簡(jiǎn)單化邊緣

文/李世朋

瞻博網(wǎng)絡(luò)中國(guó)區(qū)企業(yè)網(wǎng)技術(shù)總監(jiān) 李世朋

校園網(wǎng)架構(gòu)設(shè)計(jì)問(wèn)題

當(dāng)前高校校園網(wǎng)面臨許多挑戰(zhàn)和壓力，包括對(duì)大量接入用戶(hù)的管理控制、追查審計(jì)、政策監(jiān)管、運(yùn)維以及新業(yè)務(wù)的開(kāi)展和部署。這些難題之所以一直以來(lái)在很多學(xué)校并沒(méi)有得到很好解決，源于校園網(wǎng)的架構(gòu)設(shè)計(jì)中存在缺陷。

這里所說(shuō)的架構(gòu)問(wèn)題，并非說(shuō)我們通常所采用的核心、匯聚、接入的分層方法不對(duì)，而是每一層網(wǎng)絡(luò)設(shè)備所承擔(dān)的職責(zé)、所做的事情正好顛倒了。能力越弱的設(shè)備卻被要求做越復(fù)雜的事情，而能力越強(qiáng)的設(shè)備反而只處理很簡(jiǎn)單的事情。

舉例來(lái)說(shuō)，能力最弱的接入層交換機(jī)，卻被要求實(shí)現(xiàn)非常復(fù)雜的安全接入和控制功能，例如用戶(hù)隔離、速率控制、802.1X接入控制、ARP檢測(cè)、DHCP監(jiān)聽(tīng)等等，配置非常復(fù)雜。而且，校園網(wǎng)接入層交換機(jī)的質(zhì)量和穩(wěn)定性都相對(duì)較弱，各種品牌交織在一起產(chǎn)生兼容性的問(wèn)題，還可能引發(fā)各種故障或不穩(wěn)定狀況，而且這部分接入設(shè)備在校園網(wǎng)的數(shù)量較大，分散在各個(gè)地方，一旦出現(xiàn)問(wèn)題，處理起來(lái)非常麻煩。

對(duì)于匯聚層來(lái)說(shuō)，匯聚層設(shè)備的檔次雖然有所提高，但在很多校園網(wǎng)里所承擔(dān)的工作仍然不輕松，比如IPv4, IPv6的終結(jié)、組播的復(fù)制和轉(zhuǎn)發(fā)、QoS、ACL、VPN等等，這部分設(shè)備的數(shù)量也很多，復(fù)雜的功能和配置不但給運(yùn)維造成麻煩，而且很多學(xué)校的匯聚層設(shè)備由于能力不足，無(wú)法在上面開(kāi)展新業(yè)務(wù)。

最后是核心層，強(qiáng)大的核心設(shè)備檔次最高、硬件資源配備最豐富，但所做的事情卻很簡(jiǎn)單，主要就是負(fù)責(zé)流量的快速轉(zhuǎn)發(fā)，造成了資源和集中管理優(yōu)勢(shì)的浪費(fèi)。所以說(shuō)，這種職責(zé)倒掛的結(jié)構(gòu)，引發(fā)了很多問(wèn)題，如果架構(gòu)的問(wèn)題不解決，單靠不斷的升級(jí)設(shè)備的檔次，只能是浪費(fèi)投資、治標(biāo)不治本。

圖1 問(wèn)題根源：傳統(tǒng)校園網(wǎng)“倒掛”的架構(gòu)

理順校園網(wǎng)架構(gòu)法則

對(duì)新一代校園網(wǎng)的建設(shè)思路，第一步就是理順架構(gòu)，讓這些設(shè)備做它們最合適做的事情。比如能力最弱的接入層交換機(jī)，就做最簡(jiǎn)單的用戶(hù)二層接入和隔離，也就不存在網(wǎng)絡(luò)配置兼容性的問(wèn)題和與用戶(hù)終端兼容性的問(wèn)題，即使發(fā)生了硬件故障，因?yàn)榕渲煤?jiǎn)單也能做到立即更換。

圖2 新一代架構(gòu)——集中化智能、簡(jiǎn)單化邊緣

匯聚層設(shè)備，就只做二層透?jìng)?，或者再打個(gè)QinQ標(biāo)簽，這樣，復(fù)雜的業(yè)務(wù)部署就不會(huì)涉及到這些設(shè)備，也就不會(huì)對(duì)這些匯聚層設(shè)備有要求，學(xué)校就能輕松地部署新業(yè)務(wù)。

最后，把用戶(hù)控制和管理功能、復(fù)雜業(yè)務(wù)的承載以及校園網(wǎng)的智能控制全都集中在硬件資源配備最豐富的核心設(shè)備上來(lái)。

這種把智能集中在核心，讓邊緣（匯聚和接入）盡量簡(jiǎn)化的思路，不但可以大幅度地簡(jiǎn)化運(yùn)維、降低故障率、提高穩(wěn)定性,還能便于輕松部署新業(yè)務(wù)，今后校園網(wǎng)的擴(kuò)展也很方便。從整網(wǎng)建設(shè)的投資來(lái)講，雖然對(duì)核心設(shè)備的檔次有一定要求，但核心設(shè)備數(shù)量占比非常少，投資重心在海量的匯聚和接入層設(shè)備，對(duì)這些設(shè)備要求的降低，可以節(jié)省大量的建網(wǎng)投資，而且運(yùn)維的簡(jiǎn)化可以幫助進(jìn)一步降低今后的運(yùn)維成本。 所以我們可以發(fā)現(xiàn)，當(dāng)架構(gòu)設(shè)計(jì)這個(gè)根源問(wèn)題理順之后，實(shí)際上很多難題就解決了一大半。那么，用戶(hù)的管理和控制怎么做呢？

首先，用戶(hù)的隔離還是靠VLAN，在接入層交換機(jī)上做最簡(jiǎn)單的二層隔離。如果網(wǎng)管人員希望徹底消除ARP欺騙等局域網(wǎng)攻擊，還可以為每個(gè)用戶(hù)配置一個(gè)VLAN，然后在匯聚層打QinQ外層標(biāo)簽，這樣做的好處就是可以實(shí)現(xiàn)接入層交換機(jī)的統(tǒng)一化預(yù)先配置和免維護(hù)，比如24口交換機(jī)可以統(tǒng)一預(yù)先配置VLAN1-24，48口交換機(jī)可以統(tǒng)一預(yù)先配置VLAN1-48，并將預(yù)配好的交換機(jī)下發(fā)直接上線(xiàn)，今后如果發(fā)生硬件故障，可以做到真正簡(jiǎn)單更換。在匯聚層打VLAN 外層標(biāo)簽，可以用來(lái)實(shí)現(xiàn)對(duì)接入位置的定位，比如有些學(xué)校用VLAN內(nèi)層標(biāo)簽標(biāo)識(shí)宿舍門(mén)牌號(hào)，用外層標(biāo)簽標(biāo)識(shí)宿舍樓和樓層。對(duì)于用戶(hù)的管理和控制，要采用核心設(shè)備的用戶(hù)管理(BRAS)功能，目前主流的方式是采用IPoE+Web Portal 認(rèn)證的方式。用戶(hù)在核心用戶(hù)管理設(shè)備上獲取地址，用戶(hù)管理設(shè)備會(huì)為每一個(gè)用戶(hù)生成對(duì)應(yīng)的邏輯子接口，當(dāng)用戶(hù)通過(guò)Web Portal導(dǎo)向的Radius認(rèn)證之后，Radius會(huì)把針對(duì)這個(gè)用戶(hù)的策略下發(fā)到對(duì)應(yīng)的邏輯子接口上，對(duì)這個(gè)用戶(hù)的所有流量進(jìn)行管理和控制。這種IPoE+Web Portal認(rèn)證的方式，就使得校園網(wǎng)具備了基于用戶(hù)和身份的智能管理功能。

這套方案帶來(lái)的另外一個(gè)好處就是可以實(shí)現(xiàn)有線(xiàn)和無(wú)線(xiàn)的無(wú)縫融合。之前，有的校園網(wǎng)的有線(xiàn)和無(wú)線(xiàn)可能是兩張獨(dú)立的網(wǎng)絡(luò)，有兩套不同的用戶(hù)管理策略，不但給管理和運(yùn)維造成麻煩，而且用戶(hù)的接入使用體驗(yàn)也不一致。無(wú)線(xiàn)網(wǎng)中的無(wú)線(xiàn)控制器對(duì)某些復(fù)雜業(yè)務(wù)的支持并不好，可能會(huì)造成用戶(hù)從有線(xiàn)切換到無(wú)線(xiàn)之后，有些本該有的網(wǎng)絡(luò)服務(wù)就不存在了，用戶(hù)體驗(yàn)很不好。解決此問(wèn)題的方法，還是讓不同的設(shè)備去做它最適合做的事情，無(wú)線(xiàn)控制的強(qiáng)項(xiàng)是AP的管理、頻率劃分、功率和抗干擾的調(diào)整，這些功能均應(yīng)交由無(wú)線(xiàn)控制器來(lái)實(shí)現(xiàn)，而把用戶(hù)管理和復(fù)雜的業(yè)務(wù)承載全部交由有線(xiàn)網(wǎng)中的用戶(hù)管理設(shè)備來(lái)實(shí)現(xiàn)。無(wú)線(xiàn)控制器旁?huà)煸谟脩?hù)管理設(shè)備旁邊，對(duì)于有線(xiàn)網(wǎng)來(lái)講，無(wú)線(xiàn)網(wǎng)只是提供了一個(gè)不同的用戶(hù)接入的通道。這樣兩張網(wǎng)融合成一張網(wǎng)，兩套用戶(hù)管理策略融合成一套，不但簡(jiǎn)化了運(yùn)維，而且能帶給用戶(hù)一致的使用體驗(yàn)。

圖3 用戶(hù)精細(xì)化管理

提升用戶(hù)體驗(yàn)的思路

事實(shí)上，校園網(wǎng)的用戶(hù)體驗(yàn)是網(wǎng)絡(luò)建設(shè)應(yīng)該重點(diǎn)考慮的問(wèn)題。我們能不能在基于用戶(hù)和身份對(duì)用戶(hù)進(jìn)行管理和控制之外，進(jìn)一步提升用戶(hù)的使用體驗(yàn)？有線(xiàn)無(wú)線(xiàn)融合，就是最簡(jiǎn)單的使用體驗(yàn)的例子，通過(guò)識(shí)別接入終端的不同，推送給用戶(hù)不同分辨率的內(nèi)容形式一致的頁(yè)面。有的學(xué)校還提供了用戶(hù)自服務(wù)平臺(tái)，用戶(hù)可以在上面開(kāi)戶(hù)、辦理業(yè)務(wù)、查詢(xún)流量和賬單，親戚朋友來(lái)訪(fǎng)時(shí)，可以設(shè)置把他們的終端加入到注冊(cè)主機(jī)當(dāng)中，使用自己的費(fèi)用免認(rèn)證的接入上網(wǎng)。還有的學(xué)校還提供了手機(jī)找回服務(wù)，如果在校園里丟了手機(jī)，掛失之后，網(wǎng)絡(luò)中心會(huì)把手機(jī)MAC加入到黑名單，當(dāng)手機(jī)被別人撿到并在校園上網(wǎng)的時(shí)候，黑名單就會(huì)報(bào)警，網(wǎng)絡(luò)中心通過(guò)接入VLAN就能定位到大致的位置，再通過(guò)附近的攝像頭錄像尋找嫌疑人，如果撿手機(jī)的人進(jìn)行了Web Portal認(rèn)證，就能找到相關(guān)的人。

另外，提供動(dòng)態(tài)的差異化的服務(wù)，也是提升用戶(hù)體驗(yàn)的有效手段。差異化服務(wù)指的是針對(duì)不同用戶(hù)或不同狀態(tài)下的同一用戶(hù)提供不同的服務(wù)內(nèi)容，可以根據(jù)用戶(hù)身份、接入方式、終端類(lèi)型、接入時(shí)間、位置等信息綜合判斷，賦予這個(gè)用戶(hù)最合適的服務(wù)內(nèi)容。動(dòng)態(tài)是指服務(wù)內(nèi)容的切換不需要用戶(hù)下線(xiàn)重新登錄。最簡(jiǎn)單的差異化服務(wù)的例子，就是針對(duì)學(xué)生、教師、領(lǐng)導(dǎo)等不同的用戶(hù)群提供不同的出口帶寬和訪(fǎng)問(wèn)權(quán)限。另外，有的學(xué)校可以在校園網(wǎng)出口帶寬利用率不足50%的時(shí)候，動(dòng)態(tài)地為所有教師身份的用戶(hù)臨時(shí)性提升出口帶寬。

這套校園網(wǎng)建設(shè)的思路雖然能解決之前提到的很多問(wèn)題，包括大量用戶(hù)的管理控制、雙網(wǎng)無(wú)縫融合、提升用戶(hù)使用體驗(yàn)、簡(jiǎn)化運(yùn)維、提升穩(wěn)定性、降低整網(wǎng)TCO等等，但是可能有一種顧慮，如果把所有智能和用戶(hù)控制都集中到核心設(shè)備上，核心設(shè)備的服務(wù)質(zhì)量、性能、容量、可擴(kuò)展性和穩(wěn)定性如何保證？事實(shí)上，很多學(xué)校都已經(jīng)意識(shí)到了這個(gè)問(wèn)題，越來(lái)越多的學(xué)校已經(jīng)開(kāi)始在新一代校園網(wǎng)的建設(shè)中，采用高端路由器代替三層交換機(jī)作為校園網(wǎng)的核心，越來(lái)越多的學(xué)校形成共識(shí)，對(duì)于類(lèi)似運(yùn)營(yíng)商網(wǎng)絡(luò)的校園網(wǎng)環(huán)境，應(yīng)該使用運(yùn)營(yíng)商級(jí)別的帶有用戶(hù)管理（BRAS）功能的路由器設(shè)備作為校園網(wǎng)核心，而對(duì)于三層交換機(jī)，即使是數(shù)據(jù)中心級(jí)別的高端三層交換機(jī)，也不適用于新一代校園網(wǎng)的核心，因?yàn)樾@網(wǎng)的設(shè)備和數(shù)據(jù)中心的設(shè)備有著截然不同的需求和特性。目前，以Juniper MX路由器為核心的新一代校園網(wǎng)方案已經(jīng)在國(guó)內(nèi)上百所院校得到了應(yīng)用和實(shí)踐，在Juniper 設(shè)備上承載的高校師生用戶(hù)總數(shù)也已經(jīng)超過(guò)了兩百萬(wàn)，這種把智能集中在核心，讓邊緣盡量簡(jiǎn)化的架構(gòu)，也將逐漸成為新一代校園網(wǎng)建設(shè)的方向和趨勢(shì)。