李玉清

摘 要 隨著眾多高等學(xué)校大規(guī)模擴(kuò)招和多校區(qū)建設(shè)的推進(jìn)，校園網(wǎng)的規(guī)模在快速地擴(kuò)大，校園網(wǎng)也要越來越充分地支持各業(yè)務(wù)系統(tǒng)，一個高效率的基礎(chǔ)網(wǎng)絡(luò)和充分融合的數(shù)字化校園對高校教育事業(yè)發(fā)展的促進(jìn)作用越來越明顯。高校的數(shù)字化校園建設(shè)需要基礎(chǔ)網(wǎng)絡(luò)具有高性能、高可用性、高可靠性和高安全性的特點。校園網(wǎng)不僅要支持全校師生的上網(wǎng)，還要支持通用的網(wǎng)絡(luò)應(yīng)用，包括電子政務(wù)、網(wǎng)站、網(wǎng)絡(luò)財務(wù)、電子消費和認(rèn)證、分布式數(shù)據(jù)庫等?，F(xiàn)有的高校基礎(chǔ)網(wǎng)絡(luò)越來越難以適應(yīng)用戶和應(yīng)用快速的發(fā)展，常用的解決辦法是設(shè)備升級，但是更換設(shè)備只能解決一時之需，所以，從調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)和優(yōu)化網(wǎng)絡(luò)管理上提升網(wǎng)絡(luò)的整體性能，是高校校園網(wǎng)正在面臨的選擇。

關(guān)鍵詞 QinQ PPPoE 扁平化

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A

1課題背景

這種傳統(tǒng)架構(gòu)下，會帶來如下關(guān)于應(yīng)用和管理上的一些困難：

（1）網(wǎng)絡(luò)實際需求和設(shè)備功能經(jīng)常錯位對于靠近用戶端的網(wǎng)絡(luò)邊緣設(shè)備，如接入和匯聚設(shè)備，功能相對單一，但卻要提供比較多的功能，而對網(wǎng)絡(luò)核心設(shè)備，其豐富的功能和強(qiáng)大的性能并沒得到充分發(fā)揮，形成了事實上的網(wǎng)絡(luò)設(shè)備功能和網(wǎng)絡(luò)實際需求的錯位。

（2）VLAN資源受限。對于三層網(wǎng)絡(luò)設(shè)備，單臺設(shè)備支持4K個VLAN，這個容量不足以實現(xiàn)VLAN的細(xì)分和隔離，導(dǎo)致大量用戶、應(yīng)用出現(xiàn)在一個沖突域里，不能進(jìn)行有效的隔離和保護(hù)，用戶的應(yīng)用之間會造成互相影響。

（3）難以做到基于用戶的控制。

2 QinQ技術(shù)介紹

QinQ技術(shù)適時出現(xiàn)其初衷是為了拓展802.1Q VLAN數(shù)量的限制，即在原有802.1Q VLAN報文的基礎(chǔ)上再打上一層802.1Q VLAN標(biāo)簽，實現(xiàn)標(biāo)簽嵌套，從而讓QinQ協(xié)議下VLAN數(shù)量擴(kuò)展到4K€？K個。它的內(nèi)外層標(biāo)簽可以分別代表不同分類，如內(nèi)層標(biāo)簽代表用戶，外層標(biāo)簽代表不同業(yè)務(wù)，從而實現(xiàn)對用戶的隔離和應(yīng)用數(shù)據(jù)的分類，基于這種隔離和分類，又可以實現(xiàn)對用戶和業(yè)務(wù)的精細(xì)化控制，同時由于QinQ報文攜帶兩層標(biāo)簽，在用戶數(shù)據(jù)穿越運營商網(wǎng)絡(luò)時，內(nèi)部標(biāo)簽透明，因此也是一種簡單的VPN，他可以作為核心MPLS VPN的延伸，從而實現(xiàn)低成本的點到點的VPN。

3 PPPoE 協(xié)議

PPPoE協(xié)議通過把PPP協(xié)議的可擴(kuò)展性、管理控制功能和最經(jīng)濟(jì)的局域網(wǎng)以太網(wǎng)結(jié)合在一起，網(wǎng)絡(luò)運營商便可以快速部署成熟可靠的互聯(lián)網(wǎng)業(yè)務(wù)，它使運營商通過Modem、無線和數(shù)字用戶線方式，提供多用戶寬帶服務(wù)。它更簡單快捷，也降低了用戶的使用門濫。

4扁平化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

4.1網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

校園網(wǎng)絡(luò)的規(guī)劃參考扁平化網(wǎng)絡(luò)后，可以將整個網(wǎng)絡(luò)分為兩個邏輯層：核心層設(shè)備構(gòu)成了業(yè)務(wù)控制層，匯聚、接入層設(shè)備構(gòu)成了寬帶接入層。邏輯架構(gòu)和VLAN劃分如下：

（1）用戶IPv4地址由核心層設(shè)備通過DHCP分配，用戶之間通過VLAN隔離，用戶的地址分配均從地址池中動態(tài)獲取。對于目前在校園網(wǎng)中部署的WLAN而言，在新的扁平化和集中控制網(wǎng)絡(luò)架構(gòu)中，可實現(xiàn)有線、無線一體化架構(gòu)。

（2）通過扁平化校園網(wǎng)升級后，更容易實現(xiàn)精細(xì)話的管理控制。通過網(wǎng)絡(luò)構(gòu)架的改變，可有效解決傳統(tǒng)校園網(wǎng)中存在的問題，優(yōu)化校園網(wǎng)平臺，提供對高校校園信息化更好的承載。需要注意的是，構(gòu)建扁平化校園網(wǎng)和部署精細(xì)化管理模式，均對業(yè)務(wù)控制層，即核心層設(shè)備的功能、性能、可靠性和可擴(kuò)展性提出了更高的要求。

4.2精細(xì)化控制設(shè)計

在校園網(wǎng)中，為了避免用戶之間的相互影響，可以通過網(wǎng)絡(luò)中匯聚層和接入層交換機(jī)的VLAN劃分，實現(xiàn)不同用戶、不同應(yīng)用之間的二層隔離，VLAN細(xì)分可實現(xiàn)不同用戶之間、不同業(yè)務(wù)之間的邏輯隔離，也便于實現(xiàn)細(xì)粒度的流量管理和控制功能，同時也避免了用戶之間、業(yè)務(wù)之間的相互影響，如廣播風(fēng)暴、ARP欺騙等問題。在選擇細(xì)粒度控制時，在接入層，通過VLAN隔離不同的用戶、不同的業(yè)務(wù)。對于接入層設(shè)備，要支持802. 1Q VLAN，在設(shè)備的上聯(lián)口通過起TRUNK的方式，實現(xiàn)多VLAN透傳。當(dāng)用戶數(shù)量超過4K后，可通過QinQ協(xié)議，實現(xiàn)VLAN數(shù)量的有效擴(kuò)展。

在釆用這種方式時，同時需要匯聚交換機(jī)對QinQ功能的支持，核心路由器對QinQ的終結(jié)的支持，從而大大提高了對密集的接入用戶隔離和不同業(yè)務(wù)隔離控制的支持。

4.3認(rèn)證方式設(shè)計

4.3.1無需認(rèn)證用戶

對于某些特殊的用戶和設(shè)備，不需要認(rèn)證，設(shè)備獲取IP地址后，可以直接上網(wǎng)。設(shè)計提供以下幾種方案的接入：（1）為用戶分配固定IP地址，用戶在手動配置地址和網(wǎng)關(guān)，直接獲得相應(yīng)的訪問權(quán)限；對于用戶訪問權(quán)限需要控制的情況，在路由器對應(yīng)的接口上配置訪問控制列表ACL；（2）通過DHCP服務(wù)器為用戶提供動態(tài)地址分配功能。用戶的終端接入后，通過DHCP服務(wù)獲得IPv4地址、網(wǎng)關(guān)地址和DNS服務(wù)器地址等信息。在提供DHCP服務(wù)時，可以基于一定規(guī)則，從地址池中提供給用戶動態(tài)地址，或按照要求，與用戶的MAC做綁定，每次都分配給某個網(wǎng)卡同一個IP地址。

4.3.2 PPPoE 認(rèn)證

PPPoE是在用戶和BAS設(shè)備之間建立一個PPP連接通道，它是通過將PPP協(xié)議運行在Ethernet之上，BAS設(shè)備可對每個連接進(jìn)行分別的管理，可對用戶進(jìn)行基于時長或者流量的計費，相對于IPoE，它是一套成熟、緊湊，且特別是在運營商廣泛應(yīng)用的寬帶用戶接入方式。

4.3.3 Web Portal 認(rèn)證

DHCP服務(wù)器和Portal服務(wù)器配合使用，用戶終端通過DHCP得到一個地址，用戶可以訪問一定資源，也可以通過重定向，強(qiáng)制用戶連接到Portal服務(wù)器進(jìn)行認(rèn)證，在彈出的認(rèn)證界面輸入用戶名和密碼，Portal服務(wù)器會將認(rèn)證數(shù)據(jù)發(fā)送給RADIUS服務(wù)器，如果認(rèn)證通過，則用戶可以訪問特定的資源。

參考文獻(xiàn)

[1] 肖蠓，王磊.802.lX系統(tǒng)中客戶端軟件版本檢測方法分析[J].昆明：昆明理工大學(xué)學(xué)報（理工版），2007，32（2）：27-28.

[2] 胡逾峰.QinQ技術(shù)的原理及在上海電信的應(yīng)用[J].濟(jì)南：科技信息，2007（3）：27-28.

[3] 靳遠(yuǎn).城域網(wǎng)靈活QinQ技術(shù)的實現(xiàn)[D].西安：西安電子科技大學(xué)，2010.