導(dǎo)語(yǔ)：扁平化架構(gòu)校園網(wǎng)絡(luò)建設(shè)與精細(xì)化管理一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：通過(guò)對(duì)主校區(qū)核心交換機(jī)和主干鏈路進(jìn)行更新和升級(jí)，采用扁平化的架構(gòu)模式提升整體校園網(wǎng)的性能和可靠性。利用BRAS設(shè)備作為全校師生統(tǒng)一認(rèn)證和計(jì)費(fèi)的網(wǎng)絡(luò)設(shè)備，將用戶(hù)管理、安全控制、業(yè)務(wù)控制等各種功能有機(jī)地集成在一起，實(shí)現(xiàn)包括有線和無(wú)線用戶(hù)，覆蓋校園宿舍、公共場(chǎng)所等不同區(qū)域多種接入認(rèn)證統(tǒng)一管理。

關(guān)鍵詞：校園網(wǎng)絡(luò)建設(shè)；扁平化架構(gòu)；精細(xì)化

管職業(yè)類(lèi)院校如果有2個(gè)或2個(gè)以上不同地域的校區(qū)，就需要解決跨校區(qū)教學(xué)管理、教育資源優(yōu)化與共享等關(guān)鍵問(wèn)題。這就需要將多校區(qū)的網(wǎng)絡(luò)進(jìn)行整合，進(jìn)行有線無(wú)線統(tǒng)一認(rèn)證來(lái)實(shí)現(xiàn)用戶(hù)的精細(xì)化管理。校園網(wǎng)絡(luò)架構(gòu)正從復(fù)雜化的多層架構(gòu)向扁平化架構(gòu)方向發(fā)展。扁平化的架構(gòu)模式并非必須或一定就是物理聯(lián)接層次上的減少，而是指網(wǎng)絡(luò)邏輯層次的簡(jiǎn)化。扁平化的網(wǎng)絡(luò)有著更高的效率，也更有利于管理。扁平化的核心區(qū)域由能力最強(qiáng)、功能最豐富的多業(yè)務(wù)控制網(wǎng)關(guān)，即運(yùn)營(yíng)商級(jí)的BRAS設(shè)備提供集中的業(yè)務(wù)控制和管理，在提供功能和業(yè)務(wù)時(shí)，發(fā)揮核心設(shè)備的高性能、穩(wěn)定性、可靠性等優(yōu)勢(shì)。

一、多校區(qū)校園網(wǎng)絡(luò)建設(shè)

對(duì)主校區(qū)交換機(jī)和主干鏈路進(jìn)行更新和升級(jí)（萬(wàn)兆骨干），整體提升校園網(wǎng)的性能，需在主校區(qū)新增1臺(tái)認(rèn)證網(wǎng)關(guān)以及1套認(rèn)證計(jì)費(fèi)系統(tǒng)，將現(xiàn)網(wǎng)中交換組網(wǎng)架構(gòu)變?yōu)楸馄交酚山M網(wǎng)架構(gòu)，建設(shè)一張多個(gè)校區(qū)統(tǒng)一的校園網(wǎng)，實(shí)現(xiàn)學(xué)校多校區(qū)用戶(hù)的統(tǒng)一接入認(rèn)證管理，多校區(qū)出口帶寬的統(tǒng)一調(diào)度，以及多校區(qū)聯(lián)合組網(wǎng)下業(yè)務(wù)的統(tǒng)一部署，并提供用戶(hù)的精細(xì)化管理和差異化服務(wù)，給接入用戶(hù)最優(yōu)的上網(wǎng)體驗(yàn)。主校區(qū)交換機(jī)在更新升級(jí)的同時(shí)，構(gòu)成了校園網(wǎng)業(yè)務(wù)接入層。接入交換機(jī)負(fù)責(zé)用戶(hù)接入，實(shí)現(xiàn)每個(gè)用戶(hù)之間的VLAN隔離，匯聚交換機(jī)負(fù)責(zé)VLAN數(shù)量擴(kuò)展，核心交換機(jī)負(fù)責(zé)匯聚并透?jìng)魉杏脩?hù)報(bào)文到BRAS上終結(jié)。

（一）核心網(wǎng)絡(luò)的高可靠設(shè)計(jì)

當(dāng)整網(wǎng)通過(guò)扁平化組網(wǎng)構(gòu)建了強(qiáng)核心的網(wǎng)絡(luò)，作為網(wǎng)絡(luò)核心的BRAS設(shè)備的可靠性便成為了整個(gè)校園網(wǎng)高效穩(wěn)定工作的關(guān)鍵。BRAS設(shè)備可以通過(guò)以下設(shè)計(jì)來(lái)保證自身的穩(wěn)定：一是設(shè)備自身的冗余設(shè)計(jì)。BRAS設(shè)備應(yīng)具備可插拔的冗余引擎、冗余電源、冗余風(fēng)扇的設(shè)計(jì)，以避免任意一個(gè)單點(diǎn)故障所造成的整個(gè)設(shè)備故障的可能。二是雙核心虛擬化的設(shè)計(jì)。預(yù)算經(jīng)費(fèi)充足時(shí)，可以購(gòu)置2臺(tái)BARS設(shè)備，通過(guò)虛擬化的功能實(shí)現(xiàn)多路由器系統(tǒng)的統(tǒng)一管理和控制。將多臺(tái)物理設(shè)備虛擬化成一臺(tái)邏輯設(shè)備，使多臺(tái)物理設(shè)備協(xié)同工作，擴(kuò)展系統(tǒng)容量，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)策略，提升網(wǎng)絡(luò)運(yùn)營(yíng)效率，大幅降低運(yùn)維成本，提升網(wǎng)絡(luò)的收斂速度。同時(shí)，通過(guò)構(gòu)建雙核心的核心網(wǎng)絡(luò)，將建立整體的雙鏈路架構(gòu)，所有匯聚交換機(jī)到核心設(shè)備都有兩條鏈路可以使用，同時(shí)保證了物理鏈路的穩(wěn)定性。

（二）校區(qū)互聯(lián)的鏈路需求

先確定主校區(qū)作為所有校區(qū)的統(tǒng)一出口，所有校區(qū)用戶(hù)的外網(wǎng)訪問(wèn)和認(rèn)證都需要通過(guò)主校區(qū)互聯(lián)光纜完成，這對(duì)鏈路的帶寬質(zhì)量有了較高的要求。全部采用裸光纖，光纖兩端配置萬(wàn)兆模塊構(gòu)建萬(wàn)兆鏈路，以保證校區(qū)互聯(lián)線路的質(zhì)量。

（三）主校區(qū)設(shè)備及業(yè)務(wù)部署

新增的BRAS配置萬(wàn)兆/千兆接口復(fù)合板，下行采用萬(wàn)兆鏈路與主校區(qū)核心交換機(jī)互聯(lián)，提供用戶(hù)的高速接入，上行采用萬(wàn)兆鏈路與出口防火墻互聯(lián)，滿(mǎn)足出口帶寬的要求。同時(shí)BRAS配置三層網(wǎng)關(guān)業(yè)務(wù)，作為用戶(hù)接入網(wǎng)絡(luò)的認(rèn)證網(wǎng)關(guān)及DHCPServer，配合認(rèn)證計(jì)費(fèi)系統(tǒng)實(shí)現(xiàn)用戶(hù)的接入和訪問(wèn)控制。新增的認(rèn)證計(jì)費(fèi)系統(tǒng)部署在主校區(qū)的數(shù)據(jù)中心，安裝Portal組件及Radius組件，配合BRAS實(shí)現(xiàn)全校用戶(hù)有線、無(wú)線一體化的IPOE接入+WEBPortal認(rèn)證、計(jì)費(fèi)和授權(quán)功能，為保證可靠性，認(rèn)證計(jì)費(fèi)系統(tǒng)采用集群方式部署。學(xué)校的交換機(jī)作為校園網(wǎng)的業(yè)務(wù)接入層網(wǎng)絡(luò)，進(jìn)行二層業(yè)務(wù)部署：接入交換機(jī)配置每端口1個(gè)VLAN，實(shí)現(xiàn)用戶(hù)之間的2層隔離；匯聚交換機(jī)配置QinQ（VLAN嵌套），實(shí)現(xiàn)VLAN數(shù)量的擴(kuò)展；核心交換機(jī)配置2層業(yè)務(wù)，實(shí)現(xiàn)用戶(hù)流量的匯聚和透?jìng)鞯紹RAS側(cè)終結(jié)。每個(gè)用戶(hù)到BRAS之間是2層鏈路，而每個(gè)用戶(hù)之間又是2層管道化隔離的。

（四）多校區(qū)業(yè)務(wù)快速統(tǒng)一部署

由于業(yè)務(wù)控制的集中化，方便了新業(yè)務(wù)的部署，無(wú)需各校區(qū)的匯聚和接入設(shè)備支持具體的業(yè)務(wù)特性，更無(wú)需在各校區(qū)的匯聚和接入設(shè)備上進(jìn)行復(fù)雜的業(yè)務(wù)配置，新業(yè)務(wù)只需要在BRAS統(tǒng)一配置部署即可，大大減少了學(xué)校維護(hù)人員的工作量。（五）有線無(wú)線一體化經(jīng)過(guò)改造后的交換租網(wǎng)，用戶(hù)接入認(rèn)證完全由主校區(qū)的BRAS和認(rèn)證平臺(tái)統(tǒng)一來(lái)負(fù)責(zé)所有用戶(hù)終端的有線/無(wú)線一體化的認(rèn)證。用戶(hù)認(rèn)證方式。

二、用戶(hù)的精細(xì)化管理

（一）用戶(hù)接入

用戶(hù)統(tǒng)一采用IPoE方式進(jìn)行接入，用戶(hù)通過(guò)DHCP獲取地址，獲得免費(fèi)訪問(wèn)校內(nèi)資源權(quán)限，需要訪問(wèn)校外資源時(shí)由出口BRAS自動(dòng)重定向到統(tǒng)一認(rèn)證系統(tǒng)的Portal認(rèn)證界面，用戶(hù)輸入用戶(hù)名密碼認(rèn)證通過(guò)后，認(rèn)證系統(tǒng)返回用戶(hù)屬性，BRAS根據(jù)用戶(hù)屬性，動(dòng)態(tài)修改用戶(hù)訪問(wèn)權(quán)限，用戶(hù)即可訪問(wèn)校外資源，并由統(tǒng)一認(rèn)證系統(tǒng)提供用戶(hù)訪問(wèn)報(bào)表的統(tǒng)計(jì)信息。扁平化的校園身份認(rèn)證中心負(fù)責(zé)構(gòu)建所有用戶(hù)的身份信息倉(cāng)庫(kù)，并通過(guò)和多業(yè)務(wù)控制網(wǎng)關(guān)、上網(wǎng)行為管理聯(lián)動(dòng)，做到對(duì)入網(wǎng)用戶(hù)的一次準(zhǔn)入準(zhǔn)出及上網(wǎng)行為的審計(jì)功能。所有身份認(rèn)證相關(guān)服務(wù)器通過(guò)虛擬化平臺(tái)進(jìn)行構(gòu)建，有效地整合數(shù)據(jù)中心IT基礎(chǔ)設(shè)施資源及IT操作。扁平化出口安全層與傳統(tǒng)網(wǎng)絡(luò)類(lèi)似，通過(guò)防火墻、上網(wǎng)行為管理、負(fù)載均衡等多種安全設(shè)備構(gòu)建校園網(wǎng)安全邊界，對(duì)校園網(wǎng)出口流量進(jìn)行安全過(guò)濾和審計(jì)。

1.BRAS在用戶(hù)終端接入網(wǎng)絡(luò)獲取IP地址的同時(shí)，就能夠同步記錄下用戶(hù)的MAC地址、所在的具體位置（精確到交換機(jī)端口，包括內(nèi)層VLANID和外層VLANID）、接入網(wǎng)絡(luò)的時(shí)間、獲取的IP地址等多種信息，配合身份準(zhǔn)入系統(tǒng)對(duì)每個(gè)用戶(hù)細(xì)致的訪問(wèn)權(quán)限、上下行速率的控制，從而實(shí)現(xiàn)用戶(hù)接入網(wǎng)絡(luò)的可識(shí)別、可管理、可控制，而這個(gè)過(guò)程用戶(hù)沒(méi)有任何感知。

2.BRAS配合身份準(zhǔn)入系統(tǒng)可以通過(guò)五元組（用戶(hù)身份、接入方式、終端類(lèi)型、接入時(shí)間、接入地點(diǎn)）的靈活組合形成不同用戶(hù)的訪問(wèn)策略：比如教職員工和學(xué)生在同一個(gè)物理網(wǎng)絡(luò)中所擁有的權(quán)限是不一致的，教職員工可以24小時(shí)不間斷地在線，但是學(xué)生用戶(hù)在晚上11:00后就不能繼續(xù)使用互聯(lián)網(wǎng)服務(wù)，這個(gè)就是根據(jù)用戶(hù)身份和接入時(shí)間的組合策略；或者可以根據(jù)接入地點(diǎn)在圖書(shū)館提供24小時(shí)的互聯(lián)網(wǎng)服務(wù)，但是在學(xué)生宿舍晚上11:00以后就必須斷線，這個(gè)就是按照接入地點(diǎn)形成的控制策略。

（二）Radius可靠性

一般的身份準(zhǔn)入系統(tǒng)都提供2種方式的備份機(jī)制，以防止單點(diǎn)故障的產(chǎn)生。

1.主備模式：在BRAS的身份準(zhǔn)入系統(tǒng)指向中可以有2套身份準(zhǔn)入的地址指向主備身份準(zhǔn)入系統(tǒng)，當(dāng)主身份準(zhǔn)入系統(tǒng)損壞了，BRAS檢測(cè)到身份準(zhǔn)入系統(tǒng)不可達(dá)后將自動(dòng)切換到備身份準(zhǔn)入系統(tǒng)上運(yùn)行；而在平時(shí)主身份準(zhǔn)入和備身份準(zhǔn)入也將實(shí)時(shí)同步用戶(hù)信息，實(shí)現(xiàn)用戶(hù)信息的實(shí)時(shí)備份，用戶(hù)在主身份準(zhǔn)入系統(tǒng)壞掉后切換到備身份準(zhǔn)入無(wú)需再次認(rèn)證。

2.逃生模式：身份準(zhǔn)入系統(tǒng)還能提供一種逃生模式，在逃生模式下，當(dāng)身份準(zhǔn)入系統(tǒng)宕機(jī)，身份準(zhǔn)入系統(tǒng)將自動(dòng)開(kāi)啟逃生模式，而這個(gè)時(shí)候身份準(zhǔn)入系統(tǒng)將不提供認(rèn)證審核及計(jì)費(fèi)請(qǐng)求，即用戶(hù)無(wú)論采用什么賬戶(hù)名密碼均可登陸網(wǎng)絡(luò)，保障了網(wǎng)絡(luò)的持續(xù)可用性。

（三）多校區(qū)出口統(tǒng)一調(diào)度

優(yōu)化改造后，可實(shí)現(xiàn)多校區(qū)出口鏈路的統(tǒng)一調(diào)度，各校區(qū)的接入用戶(hù)在主校區(qū)BRAS上統(tǒng)一接入后，由后臺(tái)的認(rèn)證計(jì)費(fèi)系統(tǒng)根據(jù)賬號(hào)下發(fā)不同的訪問(wèn)策略和選路策略給BRAS，再由BRAS控制不同用戶(hù)走不同校區(qū)的出口，而用戶(hù)的選路策略可以由管理員在認(rèn)證系統(tǒng)上靈活定義的。

綜上所述，通過(guò)改造，把認(rèn)證網(wǎng)關(guān)和認(rèn)證系統(tǒng)統(tǒng)一，使得傳統(tǒng)交換網(wǎng)絡(luò)中的有線和無(wú)線兩張網(wǎng)融合成一張網(wǎng)，用戶(hù)無(wú)論采用無(wú)線或有線方式上網(wǎng)，接入認(rèn)證管理都是同一套系統(tǒng)，不僅給用戶(hù)帶來(lái)一致性的體驗(yàn)，也給學(xué)校減輕了運(yùn)維和管理的壓力，從而實(shí)現(xiàn)真正意義上有線無(wú)線一體化的校園網(wǎng)。

作者:陳堅(jiān)