姚正超 長(zhǎng)沙職業(yè)技術(shù)學(xué)院
構(gòu)建基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)
姚正超 長(zhǎng)沙職業(yè)技術(shù)學(xué)院
《國(guó)家十三五規(guī)劃綱要》明確提出拓展網(wǎng)絡(luò)經(jīng)濟(jì)空間,構(gòu)筑現(xiàn)代基礎(chǔ)設(shè)施網(wǎng)絡(luò);同時(shí),隨著國(guó)家對(duì)職業(yè)教育重視程度的提升,高職院校正處于高速發(fā)展期。隨著校園的擴(kuò)大,老的校園網(wǎng)絡(luò)存在結(jié)構(gòu)復(fù)雜、運(yùn)維難度大、成本高等缺點(diǎn),已經(jīng)無(wú)法滿足日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)用戶的需求,亟待升級(jí)改造。在升級(jí)改造老網(wǎng)絡(luò)時(shí),絕大多數(shù)網(wǎng)絡(luò)管理員為方便管理,不約而同地選擇日趨完善的大二層扁平化網(wǎng)絡(luò)架構(gòu),打造虛擬化數(shù)據(jù)中心,實(shí)現(xiàn)資源共享。面對(duì)足夠開(kāi)放的網(wǎng)絡(luò)應(yīng)用、日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和參差不齊的網(wǎng)絡(luò)用戶,網(wǎng)絡(luò)管理員如何保障逐步壯大的校園網(wǎng)安全可控、高效可用呢?基于大二層扁平化架構(gòu)下的校園網(wǎng),可以采用構(gòu)建教育實(shí)名認(rèn)證+上網(wǎng)行為管理的模式來(lái)解決上述問(wèn)題。
大二層 扁平化 實(shí)名認(rèn)證
《國(guó)家十三五規(guī)劃綱要》明確提出拓展網(wǎng)絡(luò)經(jīng)濟(jì)空間,構(gòu)筑現(xiàn)代基礎(chǔ)設(shè)施網(wǎng)絡(luò);同時(shí),隨著國(guó)家對(duì)職業(yè)教育重視程度的提升,高職院校正處于高速發(fā)展期。隨著校園的擴(kuò)大,老的校園網(wǎng)絡(luò)存在結(jié)構(gòu)復(fù)雜、運(yùn)維難度大、成本高等缺點(diǎn),已經(jīng)無(wú)法滿足日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)用戶的需求,亟待升級(jí)改造。在升級(jí)改造老網(wǎng)絡(luò)時(shí),絕大多數(shù)網(wǎng)絡(luò)管理員為方便管理,不約而同地選擇日趨完善的大二層扁平化網(wǎng)絡(luò)架構(gòu),打造“虛擬化”數(shù)據(jù)中心,實(shí)現(xiàn)資源共享。面對(duì)足夠開(kāi)放的網(wǎng)絡(luò)應(yīng)用、日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和參差不齊的網(wǎng)絡(luò)用戶,網(wǎng)絡(luò)管理員如何保障逐步壯大的校園網(wǎng)安全可控、高效可用呢?基于大二層扁平化架構(gòu)下的校園網(wǎng),可以采用構(gòu)建教育實(shí)名認(rèn)證+上網(wǎng)行為管理的模式來(lái)解決上述問(wèn)題。那么,如何構(gòu)建基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)呢?我認(rèn)為可從以下幾點(diǎn)著手:
所謂大二層扁平化網(wǎng)絡(luò)實(shí)際上是針對(duì)當(dāng)前最火熱的虛擬化數(shù)據(jù)中心的虛擬機(jī)動(dòng)態(tài)遷移這一特定需求而提出的概念。眾所周知,在虛擬化數(shù)據(jù)中心里,一臺(tái)物理服務(wù)器被虛擬化為多臺(tái)邏輯服務(wù)器,被稱(chēng)為虛擬機(jī);每臺(tái)虛擬機(jī)都可以獨(dú)立運(yùn)行,都有自己的軟件系統(tǒng),此外,每臺(tái)虛擬機(jī)在網(wǎng)絡(luò)層面有自己獨(dú)立的MAC地址和IP地址。而虛擬機(jī)動(dòng)態(tài)遷移是指將虛擬機(jī)從一個(gè)物理服務(wù)器遷移到另一個(gè)物理服務(wù)器,并且要保證在遷移過(guò)程中,虛擬機(jī)的業(yè)務(wù)不能中斷。為了實(shí)現(xiàn)虛擬機(jī)動(dòng)態(tài)遷移時(shí),在網(wǎng)絡(luò)層面要求遷移時(shí)不僅虛擬機(jī)的IP地址不變、而且運(yùn)行狀態(tài)也必須保持(例如TCP會(huì)話狀態(tài)),這就要求遷移的起始和目標(biāo)位置必須在同一個(gè)二層網(wǎng)絡(luò)域之中。
同樣地,在構(gòu)建安全、高效、可控的校園網(wǎng)時(shí),其網(wǎng)絡(luò)架構(gòu)可應(yīng)用邏輯二層結(jié)構(gòu),將多臺(tái)核心交換機(jī)運(yùn)用“虛擬化”技術(shù),從邏輯上整合成一臺(tái)交換機(jī);其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)明晰,便于維護(hù)、方便管理。
運(yùn)用“虛擬化”技術(shù),將多臺(tái)核心交換機(jī)虛擬成一臺(tái)交換機(jī),實(shí)現(xiàn)大二層扁平化網(wǎng)絡(luò)架構(gòu)。此種模式支持主控1+N備份,集群系統(tǒng)中只要保證任意一框的一個(gè)主控板運(yùn)行正常,多框業(yè)務(wù)即可穩(wěn)定運(yùn)行。相對(duì)于傳統(tǒng)業(yè)務(wù)集群系統(tǒng),它突破了每個(gè)框至少要有一塊主控單元正常運(yùn)行的限制。通過(guò)集群+堆疊的無(wú)環(huán)大二層扁平化網(wǎng)絡(luò)設(shè)計(jì),它既能保障網(wǎng)絡(luò)的高可靠性,又能保障網(wǎng)絡(luò)的高穩(wěn)定性。BRAS負(fù)責(zé)統(tǒng)一接入校園網(wǎng)用戶,匯總?cè)W(wǎng)用戶流量,可以很方便的對(duì)校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控;BRAS是數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐,通常需要部署兩臺(tái)采用主、備方式,實(shí)時(shí)將用戶的接入信息備份到備用設(shè)備上,當(dāng)主設(shè)備的鏈路、接口、單板或者整機(jī)出現(xiàn)故障時(shí),能夠快速將業(yè)務(wù)切換至備用設(shè)備;BRAS一般與認(rèn)證服務(wù)器協(xié)同工作。
因此可見(jiàn),采用大二層扁平化網(wǎng)絡(luò)架構(gòu),網(wǎng)絡(luò)用戶都在BRAS上接入,為教育實(shí)名認(rèn)證提供了接入用戶數(shù)據(jù)采集的基礎(chǔ)。
今年,湖南省教育廳印發(fā)了《湖南省教育網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》的通知(湘教通〔2017〕146號(hào)),通知明確要求各高等院校應(yīng)加快推進(jìn)教育實(shí)名制上網(wǎng)工作。因此可見(jiàn),構(gòu)建教育實(shí)名認(rèn)證的校園網(wǎng)勢(shì)在必行。那么,如何構(gòu)建教育實(shí)名認(rèn)證的校園網(wǎng)絡(luò),我認(rèn)為統(tǒng)一身份認(rèn)證,實(shí)證校園網(wǎng)單點(diǎn)登錄是其根本任務(wù)。
首先,構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)應(yīng)具備統(tǒng)一身份認(rèn)證平臺(tái)。統(tǒng)一身份認(rèn)證平臺(tái)是校園網(wǎng)內(nèi)各信息系統(tǒng)業(yè)務(wù)平臺(tái)的身份入口,校園網(wǎng)是各信息系統(tǒng)業(yè)務(wù)平臺(tái)正常運(yùn)行的網(wǎng)絡(luò)支撐和保障;只有兩者高度融合,在校園網(wǎng)的支撐下,依托統(tǒng)一身份認(rèn)證平臺(tái),杜絕不明身份的用戶侵入,才能實(shí)現(xiàn)各信息系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行。
其次,構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)應(yīng)具備單點(diǎn)登錄功能。校園網(wǎng)承載的信息系統(tǒng)種類(lèi)繁多,有門(mén)戶網(wǎng)站、辦公OA、綜合教務(wù)管理系統(tǒng)、學(xué)工管理系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、圖書(shū)管理系統(tǒng)等,每個(gè)信息系統(tǒng)均有其登錄界面。無(wú)論是教師還是學(xué)生,訪問(wèn)校園網(wǎng)內(nèi)的這些信息系統(tǒng)時(shí),都要求輸入用戶名和密碼。校園網(wǎng)只有具備單點(diǎn)登錄功能、實(shí)時(shí)記錄登錄信息,才能使訪問(wèn)用戶操作校內(nèi)業(yè)務(wù)系統(tǒng)更加簡(jiǎn)便、無(wú)需重復(fù)登錄。
因此可見(jiàn),建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)、實(shí)現(xiàn)單點(diǎn)登錄功能是構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)的根本任務(wù)。
數(shù)據(jù)、信息等資源共享是校園網(wǎng)絡(luò)建設(shè)的初衷,是推進(jìn)教育信息化的基本目標(biāo)。校園網(wǎng)內(nèi)實(shí)現(xiàn)資源共建共享,不斷提升數(shù)據(jù)、信息等資源的利用率,需要打造開(kāi)放的數(shù)據(jù)中心。在云計(jì)算、大數(shù)據(jù)、寬帶網(wǎng)、無(wú)線互聯(lián)網(wǎng)等信息技術(shù)發(fā)展的大時(shí)代背景下,從傳統(tǒng)IDC到VDC的轉(zhuǎn)變已逐漸成為現(xiàn)實(shí)。所以,構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng),建設(shè)“虛擬化”數(shù)據(jù)中心成為關(guān)鍵任務(wù)。
“虛擬化”數(shù)據(jù)中心一般分為三個(gè)層次,即網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化、計(jì)算虛擬化;它是將云計(jì)算概念運(yùn)用于數(shù)據(jù)中心的一種新型的數(shù)據(jù)中心形態(tài);其好處在于簡(jiǎn)化運(yùn)維、提高設(shè)備利用率,降低成本、增加業(yè)務(wù)布署的靈活性。
教育實(shí)名制認(rèn)證對(duì)服務(wù)器配置和數(shù)據(jù)完備等要求相當(dāng)高。為確保認(rèn)證平滑,數(shù)據(jù)中心一般需要三臺(tái)服務(wù)器:認(rèn)證服務(wù)器、備份服務(wù)器、逃生服務(wù)器。采用“虛擬化”數(shù)據(jù)中心能保障校園網(wǎng)中的教育實(shí)名認(rèn)證信息可靠、可用、安全。
下圖為教育實(shí)名認(rèn)證校園網(wǎng)建設(shè)拓?fù)浜?jiǎn)圖。圖中,兩臺(tái)ME60為主備BRAS,匯聚接入用戶上網(wǎng)IP,負(fù)責(zé)出口選路,實(shí)現(xiàn)雙機(jī)熱備;兩臺(tái)S12708為核心,通過(guò)專(zhuān)用線纜互連,邏輯虛擬成一臺(tái)核心,構(gòu)成邏輯大二層,實(shí)現(xiàn)扁平化;用戶認(rèn)證信息存放在“虛擬化”數(shù)據(jù)中心上,認(rèn)證賬號(hào)采用省教育廳統(tǒng)一下發(fā)的教育實(shí)名制賬號(hào),有線用戶pppoe認(rèn)證、無(wú)線用戶portal認(rèn)證,辦公OA系統(tǒng)作為單點(diǎn)登錄平臺(tái),構(gòu)建成基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)。此例在我院實(shí)施、效果良好。
基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)拓?fù)浜?jiǎn)圖
隨著《網(wǎng)絡(luò)安全法》的實(shí)施,為保障校園網(wǎng)安全、穩(wěn)定、可用,教育行政部門(mén)統(tǒng)一要求教育用戶上網(wǎng)必須使用實(shí)名制。構(gòu)建基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng),是高職院校網(wǎng)絡(luò)升級(jí)改造的不二選擇。當(dāng)然,此例還不盡完善,還需要進(jìn)一步細(xì)化,比如:如何實(shí)現(xiàn)單點(diǎn)登錄、采用什么軟件認(rèn)證等。