校園網(wǎng)絡(luò)大二層架構(gòu)與PORTAL認(rèn)證的改造實(shí)踐

劉鵬 王光武 孫謙

摘要：校園網(wǎng)絡(luò)作為承載著高教各項(xiàng)事業(yè)的信息與業(yè)務(wù)的重要平臺(tái)，其性能發(fā)揮的好壞不僅關(guān)系到學(xué)校整網(wǎng)運(yùn)行效果，更關(guān)系到整體學(xué)校教育信息化事業(yè)的發(fā)展。隨著學(xué)校信息化程度的不斷深化，傳統(tǒng)三層架構(gòu)網(wǎng)絡(luò)部分瓶頸問題逐漸暴露，大二層網(wǎng)絡(luò)架構(gòu)應(yīng)運(yùn)而生，可實(shí)現(xiàn)網(wǎng)絡(luò)高性能、易管理、即插即用的發(fā)展目標(biāo)，是網(wǎng)絡(luò)建設(shè)與改造的必由之路。

關(guān)鍵詞：校園網(wǎng)絡(luò)；大二層；易管理

中圖分類號(hào)：G434 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）06-0227-01

1989年國(guó)家教委頒發(fā)《國(guó)家教育管理信息系統(tǒng)總體規(guī)劃綱要》。1994年，我國(guó)政府開始投資建設(shè)中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（簡(jiǎn)稱Cernet）。在此重大工程建設(shè)的推動(dòng)下，我國(guó)各地高校逐步開始了校園網(wǎng)的建設(shè)，自此進(jìn)入校園網(wǎng)絡(luò)建設(shè)時(shí)代。校園網(wǎng)絡(luò)作為學(xué)校信息交互與管理的重要平臺(tái)，在學(xué)校教學(xué)、科研、管理、信息服務(wù)等方面，發(fā)揮著不可替代的作用。

1 我校校園網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)認(rèn)證現(xiàn)狀

我校校園網(wǎng)絡(luò)2001年投入使用，同樣采用當(dāng)時(shí)流行的“核心—匯聚—接入”三層架構(gòu)與802.1X客戶端認(rèn)證模式。核心層建設(shè)在校園數(shù)據(jù)中心內(nèi)，通過三臺(tái)高性能網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，各樓宇通過匯聚設(shè)備實(shí)現(xiàn)三層路由的構(gòu)建，通過接入設(shè)備實(shí)現(xiàn)各信息點(diǎn)的高密接入，各接入終端通過認(rèn)證設(shè)備廠商配套802.1x軟件實(shí)現(xiàn)上網(wǎng)認(rèn)證。

三層架構(gòu)的組網(wǎng)方式在校園網(wǎng)絡(luò)建設(shè)初期發(fā)揮了很大作用，達(dá)到了校園內(nèi)各節(jié)點(diǎn)高速接入與互通，實(shí)現(xiàn)了上網(wǎng)實(shí)名認(rèn)證等功能。但該模式在管理上相對(duì)粗放，隨著網(wǎng)絡(luò)業(yè)務(wù)的不斷增加，數(shù)據(jù)流量的快速增長(zhǎng)，隱含的問題逐漸暴露：（1）網(wǎng)絡(luò)管理與配置復(fù)雜，由于三層結(jié)構(gòu)各層負(fù)責(zé)相應(yīng)功能，導(dǎo)致所有設(shè)備配置不一，出現(xiàn)網(wǎng)絡(luò)調(diào)整或故障發(fā)生，配置更改與排查定位相對(duì)復(fù)雜；（2）對(duì)邊緣設(shè)備性能要求高，數(shù)控制功能也均部署在此，其穩(wěn)定性及可靠性對(duì)整體網(wǎng)絡(luò)影響較大；（3）核心層配置相對(duì)簡(jiǎn)單，只負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，性能發(fā)揮不足，存在資源浪費(fèi)問題；（4）隨著終端形式的不斷增加，廠商配套802.1x認(rèn)證軟件采用私有標(biāo)準(zhǔn)，導(dǎo)致軟件對(duì)不同操作系統(tǒng)及不同版本兼容性差。

2 校園網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)認(rèn)證改造思路

隨著目前網(wǎng)絡(luò)產(chǎn)品的日新月異，交換設(shè)備不斷升級(jí)，校園網(wǎng)絡(luò)模式也隨之更新?lián)Q代。以高性能、高可靠、多業(yè)務(wù)、強(qiáng)功能為核心的大二層架構(gòu)的新一代校園網(wǎng)絡(luò)已經(jīng)成為主流[1]。所謂大二層網(wǎng)絡(luò)架構(gòu)，即整體網(wǎng)絡(luò)劃分為核心業(yè)務(wù)層與網(wǎng)絡(luò)接入層。將傳統(tǒng)三層架構(gòu)中的匯聚層與接入層融為一層，該層僅提供vlan隔離與用戶接入功能，不涉及業(yè)務(wù)部署，因此對(duì)其所需支持功能要求較低，以此簡(jiǎn)化了邊緣設(shè)備配置，降低了用戶接入成本，減輕了后期維護(hù)壓力。同時(shí)所有數(shù)據(jù)交換、業(yè)務(wù)控制、功能實(shí)現(xiàn)等全部交付核心業(yè)務(wù)層來實(shí)現(xiàn)，由于核心設(shè)備的高可靠特性與強(qiáng)大的數(shù)據(jù)轉(zhuǎn)發(fā)能力，為應(yīng)用和業(yè)務(wù)部署提供了性能保障。

在上網(wǎng)認(rèn)證方面，以便捷靈活的PORTAL認(rèn)證取代了原有的802.1x認(rèn)證。PORTAL認(rèn)證也稱為WEB認(rèn)證，用戶層面無需安裝任何客戶端軟件，當(dāng)用戶接入網(wǎng)絡(luò)需要訪問互聯(lián)網(wǎng)資源時(shí)，僅通過操作系統(tǒng)自帶的瀏覽器自動(dòng)彈出的WEB PORTAL頁(yè)面，需要提供已注冊(cè)的用戶名及密碼方可認(rèn)證成功并訪問對(duì)應(yīng)互聯(lián)網(wǎng)資源。簡(jiǎn)化用戶認(rèn)證過程，提升網(wǎng)絡(luò)使用體驗(yàn)[2]。

3 大二層架構(gòu)與PORTAL認(rèn)證的改造與實(shí)現(xiàn)

3.1 核心部分

通過虛擬化技術(shù)，將兩臺(tái)業(yè)界高性能核心交換機(jī)虛擬為一臺(tái)，搭配雙電源雙引擎，高密度萬/千兆板卡，通過單/多模光纖上聯(lián)認(rèn)證、流控、防火墻、出口負(fù)載等設(shè)備。實(shí)現(xiàn)核心至出口負(fù)載全部萬兆互聯(lián)。

3.2 出口負(fù)載部分

出口負(fù)載至ISP方面，根據(jù)不同ISP帶寬、IP地址以及用戶訪問資源情況，校園辦公、教學(xué)、科研等樓宇，全部采用Cernet實(shí)地址，用戶訪問教育網(wǎng)資源無須進(jìn)行NAT轉(zhuǎn)換。學(xué)生宿舍用戶全部采用內(nèi)網(wǎng)地址，通過NAT進(jìn)行教育網(wǎng)與互聯(lián)網(wǎng)訪問。

3.3 樓宇匯聚部分

各樓宇匯聚設(shè)備刪減原有網(wǎng)關(guān)及路由協(xié)議配置，進(jìn)行vlan透?jìng)髂Ｊ礁脑欤芯W(wǎng)關(guān)配置上移至核心層，僅與底層接入設(shè)備提供用戶接入。核心與接入實(shí)現(xiàn)直連路由轉(zhuǎn)發(fā)模式，核心交換機(jī)僅有1條默認(rèn)路由作為Internet訪問轉(zhuǎn)發(fā)。

3.4 用戶接入

用戶接入方面，采用DHCP+PORTAL認(rèn)證模式，取消了原有出口網(wǎng)關(guān)認(rèn)證方式。即將原有認(rèn)證服務(wù)網(wǎng)關(guān)PORTAL響應(yīng)機(jī)制下移至核心層，通過核心設(shè)備強(qiáng)大的性能優(yōu)勢(shì)，完成PORTAL彈出及用戶認(rèn)證過程。撤銷原有DHCP服務(wù)器，所有IP地址管理與下發(fā)全部交由核心交換機(jī)完成。

此種模式優(yōu)勢(shì)在于：減輕認(rèn)證網(wǎng)關(guān)壓力，避免性能瓶頸與源地址依賴等問題；DHCP與PORTAL認(rèn)證集成，實(shí)現(xiàn)用戶接入網(wǎng)絡(luò)IP獲取的同時(shí)，MAC地址、接入時(shí)間、位置信息的精確同步記錄；數(shù)據(jù)實(shí)時(shí)統(tǒng)計(jì)，包括在線人數(shù)，網(wǎng)絡(luò)資源使用情況等信息。

4 結(jié)語

經(jīng)過近1年時(shí)間的運(yùn)行測(cè)試與后續(xù)優(yōu)化，逐步完成了我校校園網(wǎng)絡(luò)大二層改造。實(shí)踐證明，大二層網(wǎng)絡(luò)架構(gòu)突破了傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)的部分瓶頸問題，達(dá)到了用戶即插即用的使用體驗(yàn)，實(shí)現(xiàn)了校園網(wǎng)高性能和易管理的預(yù)期效果。整體網(wǎng)絡(luò)結(jié)構(gòu)更加合理，數(shù)據(jù)轉(zhuǎn)發(fā)更為高效，網(wǎng)絡(luò)運(yùn)維和管理難度明顯降低，運(yùn)維壓力與效率顯著提高，開放性及拓展性優(yōu)勢(shì)明顯[3]。因此可表明，大二層網(wǎng)絡(luò)架構(gòu)是今后校園網(wǎng)絡(luò)建設(shè)與發(fā)展的必由之路。

參考文獻(xiàn)

[1]申繼年，丘家學(xué).校園網(wǎng)組網(wǎng)架構(gòu)的比較與分析三層交換架vs扁平純路由器架構(gòu)[J].中國(guó)教育網(wǎng)絡(luò)，2012，（1）：44-45.

[2]繆其勇.基于扁平化理論優(yōu)化設(shè)計(jì)校園網(wǎng)[J].電腦知識(shí)與技術(shù)，2014，（18）：4155-4157.

[3]覃毅.校園網(wǎng)絡(luò)扁平化架構(gòu)設(shè)計(jì)與實(shí)施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2015，（7）：20-22.

Abstract：The campus network is an important platform for carrying information and business of various higher education undertakings. The performance of the campus network not only affects the operation effect of the entire school network， but also relates to the development of the overall school education informatization. With the continuous intensification of the degree of informationization in schools， some bottlenecks in the traditional three-tier architecture network are gradually exposed. The second-tier network architecture emerges at the historic moment and can achieve the high-performance， easy-to-manage， plug-and-play development goals of the network. It is a network construction. The only road to improvement.

Key words：campus network； second floor； manageability