大型校园园区网的部署架构

葛苏慧 刘伟 张德民

青岛工学院信息工程系，山东 青岛 266300

1 概述

各种网络前沿技术日新月异，作为IT业务重要组件之一的园区网是校园信息化建设的重要基石。作为改善用户体验的承载层，园区网的结构也在不断演进，同时为了满足随需接入、海量结点、业务隔离等多种需求，以及物联网、云计算等建设热点的需要，校园园区网的发展需要达到更高的要求。本文结合园区网技术的发展趋势，采用隔离技术，架构了大型校园园区网络的建设模型。

2 大型校园园区网设计与实现

大型校园园区网业务类型清晰，随着技术的不断变革，亟须建立一个使用前沿技术、扩展能力强，并且能最大限度地覆盖所有功能区域的核心网络，将大型校园园区网内的客户端和终端设备相连，并向外连接广域网，最终形成逻辑合理、内网与外网之间交互通信的校园园区网系统，同时基于硬件架构开发各种系统应用和共享信息库，从而建立满足办公业务、监控系统和管理需要的软硬件环境，为校园内教师、学生及管理服务人员提供统一的平台环境、充分的网络信息服务。校园园区网的架构需要满足以下需求：

该校园园区网分为办公区、教学区、宿舍区、图书馆、会议厅等，各区域之间需要进行业务隔离；管理信息系统要监控教学楼、图书馆电子阅览室、办公楼走廊、宿舍楼走廊、会议厅等；图书馆和教学区需要一定的无线设备，来满足学生随时随地上网的需求。关于可靠性及扩展性，需要重点考虑以下方面：

大型校园园区网通常拥有几万人的师生规模，对应着几万个信息点，一个网络内通常几百台设备，管理、维护难度大；关于可靠性方面，全网冗余部署，很容易造成网络环路，所以需要部署VRRP+MSTP来避免广播风暴[1]；安全的无线网络需求相对较多，尤其是在园区的出口，安全性是需要重点考虑的因素；校园内多个部门既有共享又有独立的业务需求，如果某些部门之间有业务交互的要求，可以把这些部门的服务器单独部署，并在相对应部门的VPN中向外发布此段网络的路由，从而实现部门之间相互访问的目的；各部门将需要共享的资源放在共享服务器上，组成一个共享域，各个纵向系统可以主动访问共享域的资源，但共享域不能访问纵向系统，这样可以保证纵向系统的安全隔离；并且实现了不同系统对安全性、QoS、各类资源分类管理的目的，保证了系统之间业务的相对独立性；关于禁止访问的问题，各业务系统之间的通信需要提供不同的访问方法，同时保障访问的安全性。

2.1 纵向隔离

伴随着技术的不断发展，在园区网中出现了很多广泛使用的技术，如虚拟局域网VLAN、访问控制列表ACL、生成树协议STP、多生成树协议MSTP、虚拟路由器冗余协议VRRP、多协议标签交换MPLS VPN、智能弹性架构IRF2等

[2]。但对于建有多个分校、规模较大的校园园区网，无论业务系统集中还是分布部署，都可能存在跨VPN的业务互访和资源共享，所以更适合使用MPLS L3 VPN技术。这种三层的MPLS VPN技术，主要通过VPN实例所对应接口的绑定关系和路由选择方法，完成VPN通道之间的通信，通过路由控制策略的导入及导出方式，来完成VPN虚拟通道之间的灵活互访，同时提供可靠性检验、多链路负载均衡等技术，因此拥有灵活控制的优势，对于大型校园园区网的总校和分校，网络覆盖范围较大、终端数量较多的业务特点，可以提供很便捷的服务。大型校园园区网纵向隔离拓扑如图1所示。

图1 大型校园园区网纵向隔离拓扑图

采用MPLS VPN进行网络的纵向分割，保证了办公、监控和教学业务的逻辑隔离。在一个物理网络上实现各种业务，通过纵向分割的方法，隔离不同的部门，但属于同一系统内的资源可以直接访问。使用共享的VPN技术，从而满足办公和监控业务系统的互访，并且整体设计了无线网络及其安全，通过管理平台统一管理。通过部署MPLS VPN，实现了整个系统的纵向隔离，不仅达到了现在业务隔离和共享访问的目的，提供了稳定的逻辑架构网络方案，也满足了今后业务继续发展的要求，对大型校园园区网的信息化建设而言，可以提供很好的技术支撑。

2.2 横向整合

在大型校园园区网的实现中，可以分别在汇聚层与核心层，使用IRF2技术进行横向整合，通过设备的横向整合，消除了网络环路，避免了VRRP+MSTP协议的部署，同时降低了网络中的路由数量,并提高了网络收敛速度[3]。横向整合架构图如图2所示，将多台物理的设备虚拟化为一台逻辑设备，构成一个逻辑的管理及转发结点。在网络接入层设计扩展性一般具有较高的难度，伴随新技术的不断演进，以及大型校园园区网对信息技术基础设施快速发展的需求，在大规模模块化网络的扩展性方面，传统的核心层已经能够得到很好的支撑，但在接入层常常会面临难以满足扩展性要求的问题，因为接入层网络结构复杂，通常是二层接入方式，因此设备与端口的扩展会使网络结构进一步复杂化，这就需要一种新的架构模式来解决这些问题。

图2 端到端的校园园区网横向整合IRF2架构

根据当前用户接入数量逐渐增长的趋势，IRF2技术相应的解决策略是：通过扩展IRF2整个系统接入层的端口数量，来达到增加成员的目的。扩展之后的系统不会影响网络的其它部分，达到了平滑扩展的目的；然而对于有更高上行带宽要求的服务，可以使用扩展IRF2系统中上行聚合链路中成员的数量，达到平滑升级带宽的需要[4]。在接入层复杂的环境中实行IRF2整合，将9个或者更多的物理网络结点逻辑化为单一设备，可以消除接入层环路，并满足绑定链路的高带宽和可靠性级联。通过这样的虚拟化技术，就可以形成一个简洁的网状校园园区网架构，网络层通过已经绑定的单逻辑链路相连，从而消除了环路。接入层不需设计致使网络变复杂的生成树协议，同时已经逻辑化为一个单一结点的客户端，更不需要在其网关上使用VRRP协议。

为了满足园区网树型、无环、辐射的拓扑结构，并且减少运维管理的费用，端到端方式的IRF2部署成功解决了这些问题。网络中数据流宏观走向与简化后的拓扑基本一致，数据流在网络中的路由清晰明确。通过增加IRF2结点设备的方法，完成自身的扩展，不会影响整个网络全局的逻辑结构，也不会改变上下各层之间服务协议的交互，因此这种方法体现了更加优化的宏观架构[5]。综上所述，将承载上层应用的多个网络结点进行横向整合、屏蔽二层扩展之后，大型校园园区网的部署更加简化，维护费用降低，但并不影响网络的逻辑拓扑和路由情况，可扩展性也大大改善。

2.3 整体部署

通过IRF2的横向整合和VPN的纵向隔离技术，可以充分满足大型校园园区网内资源交换的目的，实现校园网组播业务、虚拟通道、无线网络、语音视频等各类服务，形成了对实时监控、跨部门协作，甚至可控物联等业务进行良好支撑的园区网络架构。经过横向虚拟化及纵向虚拟化技术整合后，大型虚拟校园园区网的整体架构结构如图3所示,整个网络通过MPLS VPN或MCE多跳技术进行路径虚拟化，从而达到对网络资源隔离的目的，通过部署横向虚拟化及纵向虚拟化技术，完成整体的虚拟园区网架构。

图3 虚拟园区网整体部署

各种链路资源及设备在物理层实现整合，安全服务资源及路径在逻辑层面实现了全面整合。这样通过横向虚拟化技术提升网络的可管理性、可靠性；通过纵向虚拟化技术提高了网络的安全性、运行性。终端接入设备的访问权限得到控制、隔离了数据业务的传输，使资源能够按需分配，网络管理和策略部署得到集中，因此减少了网络维护管理的时间，为校内教师办公、各级服务人员的管理提供了最可靠的保障。通过进一步整合及资源虚拟化，下一代园区网将通过虚拟化方法最大限度地将日臻完善的技术屏蔽在底层，把整个园区网整合为一个矩阵，简化逻辑，使网络资源、安全服务都可动态划分并逻辑隔离，通过这种方式提供更加强劲的业务承载能力，以不断满足校园园区网稳健发展的需求。

3 结束语

下一代园区网具有覆盖范围广，承载业务强，接入终端和用户种类繁多，类型丰富等特点，因此需要承载关键业务的校园园区网络不断适应这些新的变化，更好的满足业务的继续发展。向着更大、更快、更智能的方向迈进是校园园区网下一步的发展趋势。通过不断的技术完善，作为业务发展基石的下一代园区网络，必将会更好地满足业务日益扩展的需要。

[1]杭州华三通信技术有限公司.新一代网络建设理论与实践[M].北京:电子工业出版社,2011年10月.

[2]朱志威. 企业园区网的规划与设计[D]. 山东:山东大学毕业论文,2010.6.

[3](美)Diane Teare Catherine Paquet 编, 吴剑章, 余晓, 吕红艳译. 园区网络设计[M].北京:人民邮电出版社,2011,2.

[4]高榕.中小型企业园区网络设计与实现[J]. 软件导刊,2010,8.

[5]彭亮.小型园区网络的设计要点解析[J]. 基础信息化,2012.9.