哈尔滨工程大学：校园网扁平化改造优化管理

文/吴宇平 徐俊波 张智萍

哈尔滨工程大学：校园网扁平化改造优化管理

文/吴宇平 徐俊波 张智萍

经过BRAS扁平化校园网建设后，网络报修数量下降，处理网络故障难度降低，故障定位快速精准，减少了校园网运维工作量，提升了校园网管理效率。

校园网存在问题

哈尔滨工程大学校园网采用三层组网结构，IPv4/IPv6双栈访问互联网，拓扑结构比较完整，但运行环境复杂，网络故障较多，排查困难，日常运维的工作量大，认证计费也不统一，特别是随着学校的发展和建设，上网人数逐年增加，网络应用也越来越丰富多样。在校园网实际运行中，存在管理运维复杂、上网监管困难等问题，校园网络结构、运行模式已不能满足管理和服务的需要，矛盾日益突出。

网络管理运维复杂

1.网络优化工作量大

学校IPv4网络共7条出口链路，连接4个不同的运营商。由于运营商的路由数目众多，而且路由信息更新较快，所以需要定期检查并及时更新出口路由表，进行路由优化。同时，为保证网络的正常应用，需要通过流控设备长期对校园网流量进行优化，限制P2P、流媒体等应用，缓解校园网出口压力。

2.日常网络运维复杂

图1 哈尔滨工程大学校园网拓扑

现在的校园网结构、用户管理和IP管理方式给日常运维带来巨大的工作量。例如，802.1X客户端相关故障、用户操作电脑配置IP相关信息、IP地址冲突问题等故障最为突出，且解决上述问题占用时间多，处理故障较为困难。根据2013年3月～2014年3月网络故障统计，故障总数量为1750个，其中线路故障数量为927个，占据总故障量的53%，而处理线路故障只占运维总工作量的很少一部分。其他类型故障数量的总和为校园网故障总数量的47%，而处理这些故障耗费了巨大的运维工作量。

3.IP地址不够用与浪费现象并存

由于学校用户使用静态公网IP地址，学生毕业离校或是教工变动工作楼宇时，办公网IP地址不能及时回收，造成IP地址的浪费、IP地址与用户信息存在不一致、IP地址被其他人盗用等问题。同时，在公寓网和家属区用户也采用公网静态IP地址，同样存在IP地址不能及时回收、造成IP地址浪费等问题。

4.网络接入安全管理较弱

校园网接入层安全管理较弱，不能做到从接入层杜绝网络病毒的传播，网络病毒突发性高，导致单用户传播网络病毒影响其他用户上网等问题。

5.出口带宽缺乏有效管理

校园网Internet出口带宽有限，部分用户无限制地使用出口带宽或者使用P2P工具进行下载。过多的P2P下载，造成出口拥塞，出口的拥塞又会造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致网络丢包严重，大量数据包重复发送，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。所以，需要限制校园网用户使用P2P下载，保障校园网用户对浏览网页、查收邮件、即时通信等关键应用的使用。

认证计费问题

1.认证客户端兼容性差

公寓网和家属区采用基于802.1X的客户端认证，虽然能够快速定位到故障用户，但同时也带来很多问题。例如，上网终端必须安装与设备厂商配套的802.1X客户端软件，而且该软件与操作系统的TCP/IP协议栈是强耦合关系，所以对应不同的操作系统（如Windows、MAC OS、Linux等）的不同版本，存在客户端版本兼容性问题和无响应客户端问题。

2.计费策略不灵活

目前无法按照校内流量、校外流量、IPv6流量进行统计，所以无法实现按照不同流量的分离计费；不能实现按时长、按流量、按包月的混合计费策略；不能对校园有线网、无线网进行统一的认证计费；不能实现同一账号在不同网络场景对应不同的计费策略和漫游等功能。

3.认证计费系统与厂商设备紧耦合

不同厂商对802.1X协议有不同的私有化协议，存在不同厂商网络设备与认证计费系统之间802.1X协议报文兼容问题，使学校采购接入设备时必须使用认证计费厂商的网络设备。

4.公寓网破解防代理情况严重

公寓网存在一个寝室使用一个账号进行破解防代理共享上网的情况很多，不但给校园网络的管理带来麻烦，而且造成费用流失。因此，如何真正有效防止校园网中的代理使用，是非常重要、紧迫的需求。

5.有线网、无线网账号不统一

现有的校园网结构与认证计费系统不能实现校园网用户上网账号有线无线一体化，用户访问不同的网络需要不同的用户名和密码，导致接入网络不便捷，且上网账号与全校统一身份认证和信息门户对接已成为当前趋势。

6.网络接入场景复杂，认证模式单一

校园网有多种网络应用场景，如办公网、公寓网、家属区、无线网、留学生公寓等。校园网接入终端类型也较多，如PC、平板电脑、智能手机、打印机、摄像头、IP电话等。不同的网络场景、不同的接入终端，需要不同的认证方式和计费策略。

出口带宽压力较大

校园网出口带宽即使在流控设备管控下，7条出口链路2.8G均已跑满。尽管校园网的规模在扩大，网络基础设施在提升，出口带宽在增加，但是各种网络应用也更加丰富，特别是某些用户和应用（如P2P、视频等应用）过多的占用校园网出口资源，出口带宽的增长速度与访问流量的提升速度已经是一种矛盾。

用户上网监管困难

1.用户开通上网服务复杂

办公网、公寓网、家属区开通上网流程复杂，既不方便校园网用户使用网络，又给网络信息中心工作人员带来更多的工作量。

2.对上网用户缺乏有效管理

对校园办公网用户没有做到准入认证，管理不够严格，存在IP地址与用户信息不符的情况，导致对用户缺乏有效管理。

3.缺乏用户上网行为监管

时常出现盗用IP地址，修改MAC地址，合法网络用户无法访问网络问题。同时，需要对用户的网络行为进行监管，而现在校园网对上网行为管理不强，没有对上网的行为进行监控记录，不能完全做到用户IP地址可溯源，无法满足保密和上级安全部门的管理要求。

因此，作为校园信息化最为重要的基础网络设施，现阶段校园网已不能满足对其管理和服务的需要。

校园网升级改造目标

校园网升级改造目标：优化校园网络结构，使校园网络满足未来五到八年新业务发展的需要，实现校园有线网、无线网一体化，提供多种认证方式和多样灵活的计费策略，提高校园网管理和服务的水平，实现对校园网络、用户、出口流量的精细化管理，且与校园信息化进行深度融合，提升学校信息化建设水平，具体目标如下：

网络层次简化、清晰

通过校园网升级改造，将现在三层结构的校园网改造为基于BRAS的扁平化大二层网络架构。扁平化大二层网络改造是从网络中设备所承担的功能上分区，从逻辑结构上将校园网划分为业务控制层和宽带接入层。

用户和业务控制集中

校园网核心层采用BRAS设备，提供集中的业务控制和管理，有利于功能和业务的部署，更有利于发挥核心设备的稳定性和可靠性。

降低建设和运维成本

扁平化校园网部署汇聚层和接入层设备时，只需考虑设备具有QinQ和二层VLAN隔离等基本功能，从而有利于降低数量众多的汇聚层和接入层设备投资。而且，由于功能简单，也有利于这些设备的稳定可靠运行，降低校园网建设和运维成本。

校园网易扩展和管理

基于BRAS的扁平化校园网使网络更有利于扩展，对新功能、新业务提供更好的支持，即汇聚层和接入层设备只需要考虑接入端口的扩充、上行带宽的增加，网络管理更加简单、高效。

提高可靠性和安全性

BRAS作为校园网核心，采用全冗余、高可靠网络技术，保障业务永续不中断。接入层设备利用VLAN隔离用户，避免网络病毒传播，提高校园网的接入层安全。

实现有线、无线网一体化

基于BRAS设备的扁平化网络，结合第三方认证计费系统实现有线网、无线网融合统一认证计费，使校园网用户可以在任何一个地点实现校园网访问，实现以下目标。

1.统一校园网接入认证计费管理平台，使用户通过有线网、无线网接入均使用同一账号进行认证计费；

2.简化用户接入认证方式，一次认证即可进行校园内网和互联网访问，实现与校园门户系统对接，提升用户上网体验；

3.部署与设备独立的认证计费模式，实现包括PPPoE认证、IPoE 认证、Web认证等在内的多元化认证体系，兼容无线网络认证和计费；

4.实现不同用户的多种认证方式，对无线智能终端实现无感知认证，同时提供校园网访客认证，提升用户网络使用体验；

5.实现多种灵活的计费策略和流量控制方式，合理的优化出口带宽，让用户上网感觉更快，体验更好。

提升管理运维效率

基于BRAS的扁平化校园网建设后，网络报修数量下降，处理网络故障难度降低，故障定位快速精准，减少了校园网运维工作量，提升校园网管理效率。

合理管理用户IP地址

启用PPPoE认证或IPoE认证，动态分配用户终端IP地址，避免出现大量无效用户占用静态IP地址的问题，减少IP地址浪费。

实现用户精细化管理

根据用户上网账号，在用户认证时动态下发控制属性，对用户的访问速率、权限等进行控制，从而实现每一个校园网用户的个性化控制。同时，实现用户上网实名制，对上网账号、MAC地址、IP地址、上线时间、下线时间、流量、计费、认证日志等进行记录，做到用户行为溯源。

实现与信息化应用系统对接

认证计费系统作为用户的核心网络应用，实现与信息化应用系统的对接，为学校师生提供便捷、丰富的信息化服务。

建设方案

图2 基于BRAS的扁平化校园网拓扑

以学校校园信息化建设规划为指导，按照整体规划、分步实施的原则思想进行建设：

在网络架构方面，采用大二层扁平化网络架构，核心层选用功能丰富、性能强大、支持多种认证方式的BRAS设备；

在认证计费方面，选用能与多个设备厂商对接的第三方认证计费系统，采用实名制认证上网，可实施多种认证方式和灵活的计费策略，实现有线、无线融合一体化认证，且能够与学校的一卡通系统、校园信息门户和统一身份认证系统对接；

在校园网出口方面，保障校园网业务安全、可靠，较强的抗攻击能力，实现校园网流量疏堵结合控制，并对用户上网行为进行管控和审计，追踪溯源；

在校园网原有设备方面，各楼宇汇聚层和接入层设备充分利旧，保护、节省原有投资。

扁平化网络

扁平化校园网是逻辑上的扁平化，分为校园网核心层、楼宇二层网络汇聚层和接入层,如图2所示。

1.核心层

校园网核心层部署BRAS设备，负责对校园网用户的统一接入和认证，汇总和转发校园网全网用户流量，满足校园网的大用户量、高并发连接数、多样化计费的需求。由于核心层是校园网数据转发的枢纽，因此采用双机热备方式部署两台BRAS设备，提高核心层的可靠性。两台BRAS设备利用万兆链路互连，上行也为万兆链路，下行连接不同楼宇千兆链路和少数万兆链路。同时，BRAS启用限制用户带宽的功能，访问校内资源和IPv6资源不限带宽，校外资源限制带宽。

2.汇聚层

楼宇二层网络汇聚仍使用现有汇聚设备，但需更改汇聚设备配置，在有线网二层汇聚设备启用QinQ功能，封装用户VLAN的内层标签。汇聚层设备将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。同时，汇聚层是一个楼宇汇聚点，转发本区域用户到其他区域用户的横向流量，具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量。

3.接入层

接入层是最靠近终端用户的网络，为用户提供各种接入方式的二层设备。接入层除了需要部署丰富的二层特性外，还需要具备安全、可靠、高密度、高速率的端口，以支持更多的终端接入校园网络。接入层仍然使用校园网现在运行的接入层设备，但需更改配置。接入层设备每个端口配置一个用户VLAN，标记为内层标签，上连端口设置为TRUNK放通所有用户VLAN至汇聚设备。接入层设备利用VLAN将用户隔离，避免ARP病毒问题，做到网络接入层的安全。

4.无线网

对无线网覆盖的楼宇进行扁平化网络改造，无线网采用本地转发方式，BRAS设备对无线网用户进行统一的接入、认证和管控。

5.校园网出口

在校园网扁平化建设基础上，对校园网出口进行升级改造，包括出口防火墙、流控设备、应用缓存设备。

（1）新增出口防火墙

由于原有一台防火墙对应4个运营商的互联网出口，双向吞吐量为12G，而该防火墙性能吞吐量为20G，并发400万连接，4大运营商出口连接在一台防火墙上，对防火墙的负担很大。因此，新增加一台防火墙设备，实现对原出口防火墙负载分担，同时起到互为备份的作用，消除出口防火墙单点故障。

（2）扩容流控容量

扩容流控容量，实现对所有出口的流量进行控制和应用识别，有效地控制P2P下载和视频的流量大小，保障关键网络应用和服务的带宽，满足大多数用户群体的需求。同时，与行为审计配合工作，对校园网用户上网行为进行监控管理和可溯源，为校园网络行为管理提供安全保障。

部署流量控制设备可以有效解决Internet出口带宽滥用问题，主要包括：应用流量识别，分析、识别Internet出口的各种应用，解决Internet出口各种新应用层出不穷的问题，实时分析Internet出口各种网络应用，实现流量管理控制的可视化。因此，对应用流量进行控制，实现校园网Internet出口应用有序化、合理化。

（3）部署应用缓存加速系统

校园网访问外网的流量，下载和视频应用占校园网出口带宽70%以上，如何保障在限制下载和视频应用的同时，保证用户的上网体验，使用户在采取流控策略后，用户的下载和视频应用依然有很好的体验。因此，在对出口流量进行限制的同时，通过在校内部署应用缓存设备，将部分用户访问的外网流量重定向到内网的缓存服务器上，由校园内网缓存设备向用户提供服务，减少用户访问外网的流量。

认证计费

根据学校不同的网络应用场景采用PPPoE认证、IPoE认证（见表1），以及不同的计费策略，并实现校园网用户准入认证。同时，通过第三方认证计费系统对学校用户实现精细化运营管理，支持校园网内不同类型用户的业务区分，并根据不同类型用户业务需求采取灵活的计费策略（见表2）。

表1 学校各网络场景的认证方式

1.认证方式

学校校园网按照网络应用场景可分为办公网、公寓网、家属区网和无线网，根据不同网络场景的特点采用相应的认证方式。校园网用户在认证通过前，不能访问IPv4/IPv6网络，用户一次认证后即可访问IPv4/IPv6双栈网络。

表2 学校各网络场景的计费策略

2.计费策略

学校校园网按照网络应用场景可分为办公网、公寓网、家属区网、无线网，根据不同网络场景的实施不同的计费策略，常用的计费策略主要包括：包月、按流量计费、按时长计费，以及这三种计费方式的组合策略。

应用系统对接

第三方认证计费管理系统需要与学校以下信息化应用系统对接：

1.与一卡通系统对接

第三方认证计费管理系统与校园一卡通系统对接，用户可以通过一卡通多媒体自助终端进行网费转账。

2.与校园信息门户系统对接

第三方认证计费管理系统与校园信息门户对接，通过门户系统可查看用户上网账号相关信息。

3.与收费平台对接

可实现用户通过自助平台利用第三方支付方式交纳网费。

用户管理

1.开户

教工与学生通过认证计费系统的自助服务进行自助开户。

2.交费

缴费方式包括：现金、一卡通转账、第三方支付平台、支票、校内转账。

3.销户

认证计费系统通过学校离校系统提供的离校人员信息进行账号冻结，并可在指定时间进行销户。

通过校园网扁平化改造建设，学校将建设完成逻辑上的基于BRAS扁平化大二层校园网以及部署第三方认证计费系统。改造后的校园网将为学校师生提供更加便捷的网络服务，提升学校信息化基础网络建设水平，为学校信息化应用系统的使用和推广奠定了基础。

（作者单位为哈尔滨工程大学信息化处）