姚正超 長(zhǎng)沙職業(yè)技術(shù)學(xué)院

構(gòu)建基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)

姚正超 長(zhǎng)沙職業(yè)技術(shù)學(xué)院

《國(guó)家十三五規(guī)劃綱要》明確提出拓展網(wǎng)絡(luò)經(jīng)濟(jì)空間，構(gòu)筑現(xiàn)代基礎(chǔ)設(shè)施網(wǎng)絡(luò)；同時(shí)，隨著國(guó)家對(duì)職業(yè)教育重視程度的提升，高職院校正處于高速發(fā)展期。隨著校園的擴(kuò)大，老的校園網(wǎng)絡(luò)存在結(jié)構(gòu)復(fù)雜、運(yùn)維難度大、成本高等缺點(diǎn)，已經(jīng)無(wú)法滿足日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)用戶的需求，亟待升級(jí)改造。在升級(jí)改造老網(wǎng)絡(luò)時(shí)，絕大多數(shù)網(wǎng)絡(luò)管理員為方便管理，不約而同地選擇日趨完善的大二層扁平化網(wǎng)絡(luò)架構(gòu)，打造虛擬化數(shù)據(jù)中心，實(shí)現(xiàn)資源共享。面對(duì)足夠開(kāi)放的網(wǎng)絡(luò)應(yīng)用、日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和參差不齊的網(wǎng)絡(luò)用戶，網(wǎng)絡(luò)管理員如何保障逐步壯大的校園網(wǎng)安全可控、高效可用呢？基于大二層扁平化架構(gòu)下的校園網(wǎng)，可以采用構(gòu)建教育實(shí)名認(rèn)證+上網(wǎng)行為管理的模式來(lái)解決上述問(wèn)題。

大二層 扁平化 實(shí)名認(rèn)證

《國(guó)家十三五規(guī)劃綱要》明確提出拓展網(wǎng)絡(luò)經(jīng)濟(jì)空間，構(gòu)筑現(xiàn)代基礎(chǔ)設(shè)施網(wǎng)絡(luò)；同時(shí)，隨著國(guó)家對(duì)職業(yè)教育重視程度的提升，高職院校正處于高速發(fā)展期。隨著校園的擴(kuò)大，老的校園網(wǎng)絡(luò)存在結(jié)構(gòu)復(fù)雜、運(yùn)維難度大、成本高等缺點(diǎn)，已經(jīng)無(wú)法滿足日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)用戶的需求，亟待升級(jí)改造。在升級(jí)改造老網(wǎng)絡(luò)時(shí)，絕大多數(shù)網(wǎng)絡(luò)管理員為方便管理，不約而同地選擇日趨完善的大二層扁平化網(wǎng)絡(luò)架構(gòu)，打造“虛擬化”數(shù)據(jù)中心，實(shí)現(xiàn)資源共享。面對(duì)足夠開(kāi)放的網(wǎng)絡(luò)應(yīng)用、日益增長(zhǎng)的業(yè)務(wù)系統(tǒng)和參差不齊的網(wǎng)絡(luò)用戶，網(wǎng)絡(luò)管理員如何保障逐步壯大的校園網(wǎng)安全可控、高效可用呢？基于大二層扁平化架構(gòu)下的校園網(wǎng)，可以采用構(gòu)建教育實(shí)名認(rèn)證+上網(wǎng)行為管理的模式來(lái)解決上述問(wèn)題。那么，如何構(gòu)建基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)呢？我認(rèn)為可從以下幾點(diǎn)著手：

1 大二層扁平化網(wǎng)絡(luò)架構(gòu)是構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)的基礎(chǔ)

1.1 什么是大二層扁平化網(wǎng)絡(luò)架構(gòu)？

所謂大二層扁平化網(wǎng)絡(luò)實(shí)際上是針對(duì)當(dāng)前最火熱的虛擬化數(shù)據(jù)中心的虛擬機(jī)動(dòng)態(tài)遷移這一特定需求而提出的概念。眾所周知，在虛擬化數(shù)據(jù)中心里，一臺(tái)物理服務(wù)器被虛擬化為多臺(tái)邏輯服務(wù)器，被稱(chēng)為虛擬機(jī)；每臺(tái)虛擬機(jī)都可以獨(dú)立運(yùn)行，都有自己的軟件系統(tǒng)，此外，每臺(tái)虛擬機(jī)在網(wǎng)絡(luò)層面有自己獨(dú)立的MAC地址和IP地址。而虛擬機(jī)動(dòng)態(tài)遷移是指將虛擬機(jī)從一個(gè)物理服務(wù)器遷移到另一個(gè)物理服務(wù)器，并且要保證在遷移過(guò)程中，虛擬機(jī)的業(yè)務(wù)不能中斷。為了實(shí)現(xiàn)虛擬機(jī)動(dòng)態(tài)遷移時(shí)，在網(wǎng)絡(luò)層面要求遷移時(shí)不僅虛擬機(jī)的IP地址不變、而且運(yùn)行狀態(tài)也必須保持（例如TCP會(huì)話狀態(tài)），這就要求遷移的起始和目標(biāo)位置必須在同一個(gè)二層網(wǎng)絡(luò)域之中。

同樣地，在構(gòu)建安全、高效、可控的校園網(wǎng)時(shí)，其網(wǎng)絡(luò)架構(gòu)可應(yīng)用邏輯二層結(jié)構(gòu)，將多臺(tái)核心交換機(jī)運(yùn)用“虛擬化”技術(shù)，從邏輯上整合成一臺(tái)交換機(jī)；其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)明晰，便于維護(hù)、方便管理。

1.2 大二層扁平化網(wǎng)絡(luò)架構(gòu)是構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)的基礎(chǔ)。

運(yùn)用“虛擬化”技術(shù)，將多臺(tái)核心交換機(jī)虛擬成一臺(tái)交換機(jī)，實(shí)現(xiàn)大二層扁平化網(wǎng)絡(luò)架構(gòu)。此種模式支持主控1＋N備份，集群系統(tǒng)中只要保證任意一框的一個(gè)主控板運(yùn)行正常，多框業(yè)務(wù)即可穩(wěn)定運(yùn)行。相對(duì)于傳統(tǒng)業(yè)務(wù)集群系統(tǒng)，它突破了每個(gè)框至少要有一塊主控單元正常運(yùn)行的限制。通過(guò)集群+堆疊的無(wú)環(huán)大二層扁平化網(wǎng)絡(luò)設(shè)計(jì)，它既能保障網(wǎng)絡(luò)的高可靠性，又能保障網(wǎng)絡(luò)的高穩(wěn)定性。BRAS負(fù)責(zé)統(tǒng)一接入校園網(wǎng)用戶，匯總?cè)W(wǎng)用戶流量，可以很方便的對(duì)校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控；BRAS是數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐，通常需要部署兩臺(tái)采用主、備方式，實(shí)時(shí)將用戶的接入信息備份到備用設(shè)備上，當(dāng)主設(shè)備的鏈路、接口、單板或者整機(jī)出現(xiàn)故障時(shí)，能夠快速將業(yè)務(wù)切換至備用設(shè)備；BRAS一般與認(rèn)證服務(wù)器協(xié)同工作。

因此可見(jiàn)，采用大二層扁平化網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)用戶都在BRAS上接入，為教育實(shí)名認(rèn)證提供了接入用戶數(shù)據(jù)采集的基礎(chǔ)。

2 統(tǒng)一身份單點(diǎn)登錄是構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)的根本

今年，湖南省教育廳印發(fā)了《湖南省教育網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》的通知（湘教通〔2017〕146號(hào)），通知明確要求各高等院校應(yīng)加快推進(jìn)教育實(shí)名制上網(wǎng)工作。因此可見(jiàn)，構(gòu)建教育實(shí)名認(rèn)證的校園網(wǎng)勢(shì)在必行。那么，如何構(gòu)建教育實(shí)名認(rèn)證的校園網(wǎng)絡(luò)，我認(rèn)為統(tǒng)一身份認(rèn)證，實(shí)證校園網(wǎng)單點(diǎn)登錄是其根本任務(wù)。

首先，構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)應(yīng)具備統(tǒng)一身份認(rèn)證平臺(tái)。統(tǒng)一身份認(rèn)證平臺(tái)是校園網(wǎng)內(nèi)各信息系統(tǒng)業(yè)務(wù)平臺(tái)的身份入口，校園網(wǎng)是各信息系統(tǒng)業(yè)務(wù)平臺(tái)正常運(yùn)行的網(wǎng)絡(luò)支撐和保障；只有兩者高度融合，在校園網(wǎng)的支撐下，依托統(tǒng)一身份認(rèn)證平臺(tái)，杜絕不明身份的用戶侵入，才能實(shí)現(xiàn)各信息系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行。

其次，構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)應(yīng)具備單點(diǎn)登錄功能。校園網(wǎng)承載的信息系統(tǒng)種類(lèi)繁多，有門(mén)戶網(wǎng)站、辦公OA、綜合教務(wù)管理系統(tǒng)、學(xué)工管理系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、圖書(shū)管理系統(tǒng)等，每個(gè)信息系統(tǒng)均有其登錄界面。無(wú)論是教師還是學(xué)生，訪問(wèn)校園網(wǎng)內(nèi)的這些信息系統(tǒng)時(shí)，都要求輸入用戶名和密碼。校園網(wǎng)只有具備單點(diǎn)登錄功能、實(shí)時(shí)記錄登錄信息，才能使訪問(wèn)用戶操作校內(nèi)業(yè)務(wù)系統(tǒng)更加簡(jiǎn)便、無(wú)需重復(fù)登錄。

因此可見(jiàn)，建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)、實(shí)現(xiàn)單點(diǎn)登錄功能是構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)的根本任務(wù)。

3 “虛擬化”數(shù)據(jù)中心是構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)的關(guān)鍵

數(shù)據(jù)、信息等資源共享是校園網(wǎng)絡(luò)建設(shè)的初衷，是推進(jìn)教育信息化的基本目標(biāo)。校園網(wǎng)內(nèi)實(shí)現(xiàn)資源共建共享，不斷提升數(shù)據(jù)、信息等資源的利用率，需要打造開(kāi)放的數(shù)據(jù)中心。在云計(jì)算、大數(shù)據(jù)、寬帶網(wǎng)、無(wú)線互聯(lián)網(wǎng)等信息技術(shù)發(fā)展的大時(shí)代背景下，從傳統(tǒng)IDC到VDC的轉(zhuǎn)變已逐漸成為現(xiàn)實(shí)。所以，構(gòu)建教育實(shí)名認(rèn)證校園網(wǎng)，建設(shè)“虛擬化”數(shù)據(jù)中心成為關(guān)鍵任務(wù)。

“虛擬化”數(shù)據(jù)中心一般分為三個(gè)層次，即網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化、計(jì)算虛擬化；它是將云計(jì)算概念運(yùn)用于數(shù)據(jù)中心的一種新型的數(shù)據(jù)中心形態(tài)；其好處在于簡(jiǎn)化運(yùn)維、提高設(shè)備利用率，降低成本、增加業(yè)務(wù)布署的靈活性。

教育實(shí)名制認(rèn)證對(duì)服務(wù)器配置和數(shù)據(jù)完備等要求相當(dāng)高。為確保認(rèn)證平滑，數(shù)據(jù)中心一般需要三臺(tái)服務(wù)器：認(rèn)證服務(wù)器、備份服務(wù)器、逃生服務(wù)器。采用“虛擬化”數(shù)據(jù)中心能保障校園網(wǎng)中的教育實(shí)名認(rèn)證信息可靠、可用、安全。

4 案例分享

下圖為教育實(shí)名認(rèn)證校園網(wǎng)建設(shè)拓?fù)浜?jiǎn)圖。圖中，兩臺(tái)ME60為主備BRAS，匯聚接入用戶上網(wǎng)IP，負(fù)責(zé)出口選路，實(shí)現(xiàn)雙機(jī)熱備；兩臺(tái)S12708為核心，通過(guò)專(zhuān)用線纜互連，邏輯虛擬成一臺(tái)核心，構(gòu)成邏輯大二層，實(shí)現(xiàn)扁平化；用戶認(rèn)證信息存放在“虛擬化”數(shù)據(jù)中心上，認(rèn)證賬號(hào)采用省教育廳統(tǒng)一下發(fā)的教育實(shí)名制賬號(hào)，有線用戶pppoe認(rèn)證、無(wú)線用戶portal認(rèn)證，辦公OA系統(tǒng)作為單點(diǎn)登錄平臺(tái)，構(gòu)建成基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)。此例在我院實(shí)施、效果良好。

基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)拓?fù)浜?jiǎn)圖

5 結(jié)束語(yǔ)

隨著《網(wǎng)絡(luò)安全法》的實(shí)施，為保障校園網(wǎng)安全、穩(wěn)定、可用，教育行政部門(mén)統(tǒng)一要求教育用戶上網(wǎng)必須使用實(shí)名制。構(gòu)建基于大二層扁平化網(wǎng)絡(luò)架構(gòu)下的教育實(shí)名認(rèn)證校園網(wǎng)，是高職院校網(wǎng)絡(luò)升級(jí)改造的不二選擇。當(dāng)然，此例還不盡完善，還需要進(jìn)一步細(xì)化，比如：如何實(shí)現(xiàn)單點(diǎn)登錄、采用什么軟件認(rèn)證等。