基于扁平化架构精细化管理校园网络方式探究

李白燕　郑州

摘 要：传统的校园网建设主要采用：核心层—汇聚层—接入层的三层网络架构，一般均使用三层数据交换的网络架构方式，由于三层交换机拥有端口数高、接口传输快速和较强的数据通讯及交换性能，可以满足校园网建设的高带宽、快速互联和转发的需求。但是，这种网络架构在当前校园用户量激增的情况下，各种应用系统和业务平台迅速增加，网络宽带流量激增和复杂的情况下，会存在一些问题，基于扁平化架构精细化管理校园网络，不仅能解决带宽网络接入的传统问题，而且也能面对下一代网络提供针对IPv6的完善支持和规模化部署应用，并与认证方式实现完善融合。

关键词：扁平化；校园网络；精细化；管理；维护

中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2016）17-0048-04

近年来，教育信息化建设迅速发展，以教育部“三通”工程为契机，校园网络不断完善和升级，相关部门都在努力探索在当前复杂网络条件下，校园网络的不同需求和更优的解决方案。传统的校园网络架构中，最多考虑的问题是校园网的带宽和端口密度，这是由于早期的校园网更多需求的是校园内部简单的互联互通的应用，因此对于校内的接入端口和互联带宽更为依赖。随着用户数量越来越多，用户接入访问呈多元化、多样化形式，面对校园网的应用系统、业务平台迅速增加，带宽流量要求激增和复杂等现实问题，对当前校园网络本身的性能、多业务支撑能力、网络安全以及网络稳定性方面也带来了更大的挑战：投资成本加大、管理工作量增加、多套账号密码导致用户体验差、网络安全威胁增加等。如何通过校园网这个平台，对当前学校的各类信息化应用提供良好的承载，并且能够为未来准备较强的扩展能力，这是目前校园网建设的挑战。

一、传统校园网技术架构及弊端分析

传统的校园网的建设思路主要采用：核心层—汇聚层—接入层的三层网络架构，一般均使用三层数据交换的网络架构方式，由于三层交换机拥有端口数高、接口传输快速和较强的数据通讯及交换性能，通过可以满足校园网建设的高带宽、快速互联和转发的需求。传统的校园网三层结构及功能划分模型如图1所示。

核心层：提供高速接口，实现核心高速转发。

汇聚层：提供用户在校园网中的DHCP地址分配和用户的三层中转功能；在校园网中，除了提供IP单播报文的转发外，还必须能够支持组播功能，提供组播视频流的复制和下发。另外，需要在汇聚层的三层接口上开启相应的ACL访问控制功能，QoS服务质量保障等功能，随着IPv6在校园网的部署，还需要提供用户的IPv6功能，如无状态IPv6地址分配、IPv6单播和组播转发等。

接入层：直接面向用户连接和访问的部分，并进行业务和带宽分配，实现VLAN逻辑网络隔离。同时，为了避免目前大量存在的ARP攻击问题，还必须在接入层交换机上开启DHCP侦听和ARP动态检测（一般三层交换机才能提供这一类的功能）。

以上这种架构下，校园网络用户数量增加，应用系统、业务平台的激增，网络流量越发复杂，会存在这样一些问题：

（1）策略部署配置和管理复杂。传统网络结构中，核心层、汇聚层、接入层三个层面都在实现对接入用户的控制和管理，每层都同样实现了相同的部分功能，管理员要在网络中针对用户的网络接入或系统部署，都要对网络各个层面的设备支持的相应功能进行一一配置，还要考虑到各个层面设备的支持性能，这就使得在网络中部署新的业务系统变得非常复杂和困难。各层控制分散，出现问题后，排除故障定位难、恢复时间长，恢复设置又要设计多个层面的设备。

（2）接入层设备性能导致设备功能的稳定性较差。核心层设备执行了最简单的转发，其他功能相对较弱，而网络边缘负责汇聚和接入的设备，为满足用户接入需要对功能的要求却较多，导致网络层与能力层的严重不匹配。一般情况下设备汇聚和接入的性能一般也不是很高、功能和稳定性也比较差，所以在实际网络架构过程中，经常出现故障，效果不理想。

（3）内网安全隔离无法实现细分。因采用三层交换架构，单台设备只支持4095个VID标识，不能实现内网安全隔离的VLAN精确细分，容易导致大量的用户、应用处于同一个域内，无法有效地进行隔离，域之间相互的网络干扰严重。如：普遍存在的ARP病毒、DHCP欺骗等问题，导致用户在接入网络后问题频发，网管难以应付，如果借助在接入层设备上启动DHCP监听和动态ARP监测来解决，又会造成运行维护工作量大、网络策略配置复杂等新的问题，也增加了接入层设备的处理压力，会导致可靠性降低。

（4）无法实现对用户的精细化管理。为了实现接入网络的认证管理，通常都会采用接入层的802.1x协议，由于它是基于Client/Server的访问控制和认证，在获得交换机或LAN提供的各种业务之前，802.1x对连接到端口上的设备进行认证，也就是无法实现用户的速率控制、访问行为控制和用户流量控制等；同时，由于802.1x功能同样在边缘的接入层交换机上实现的，同样带来了大量接入层交换机运行维护困难，在遇到802.1x攻击时，接入层交换机很容易出现问题导致断网。

以上这些问题将随着校园网络发展扩大，逐步变得复杂，部署的业务系统的叠加，用户数的增加和流量爆发式增长而显得尤为突出，必将导致校园网运行维护压力加大、稳定性、可靠性降低等现实问题。

二、扁平化架构校园网络思路及模式

要避免传统网络架构所带来的运行维护问题，改变当前校园网建设的传统模式，我们可以借鉴运营商成熟的大规模网络建设和发展的思路，从校园网架构设计上解决问题。即借用“扁平化的校园网络架构和精细化的用户管理”这一思路。

扁平化：不是简单的将网络的物理层改造成成两层结构，而是按各自承担的功能将网络设备进行区分，通常划分为业务控制和宽带接入两个层次。宽带接入由汇聚和接入层设备构成，提供VLAN二层隔离功能和高带宽接入，业务控制层则由核心层设备构成，提供网络中的用户接入控制、业务功能实现等复杂功能。

其逻辑结构如图2所示。

1.校园网的扁平化设计架构

为将校园网络进行扁平化设计，我们需将整个网络一般分为两个层面：业务控制层由网络中的核心层设备组成，接入层一般由汇聚和接入设备则构成。通过扁平化的网络架构，接入的IPv4地址由核心设备DHCP分配，用户间均可利用VLAN隔离，且地址池可动态分配用户地址，避免浪费。用户的IPv6地址可以通过核心层的无状态地址分配方式，一般此类网络结构中不IPv6不需要汇聚层和接入层的支持。而当前校园网中广泛应用的WLAN功能，在扁平化和集中控制的网络中，无线一体化架构能很好的实现并应用。无线AP与接入层设备同样，都是提供了接入网络的通道，接入控制、业务实现都由核心层设备提供，边缘的AP无需支持。因此，在这种方式下，有效地提供了无线设备仅需基本的瘦AP频段、信号、功率等方面的控制即可。

2.扁平化网络架构的优势

（1）新业务系统部署更加灵活

路由核心设备的高可靠性为应用和业务的部署提供了保障，业务控制和管理由功能丰富的路由核心设备集中提供，部署业务系统更加方便快捷，既能够保障在提供这些业务功能的同时，也能具备较好处理性能。同时，路由设备也保障这些应用和业务系统的高可靠性。

（2）有利于业务系统控制更加集中化

集中化的用户业务控制能够简化接入网、简化校园网管理模型，实现统一管理平台和界面。集中化的用户业务控制能够有效的解决业务多样化带来的挑战，减少多套系统带来的投资成本增多、多套账号密码导致用户体验差等诸多问题。

（3）增强高可靠性和高稳定性

提升了汇聚和接入层设备的可靠性和稳定性，汇聚/接入设备只需要二层透传和VLAN隔离这些基本的功能，无需支持新业务功能，因此能够显著降低全网设备的投资和后期的使用维护费用，同事，汇聚/接入层设备功能的弱化，使得这些设备的可靠性大大提升，有利于全网的稳定可靠运行。

（4）运行维护更加简单

扁平化架构后的网络在功能扩展和运行维护将更加方便灵活，因核心层设备只涉及业务功能，因此，只需考虑这些业务系统的特性核心层设备是否能够支持即可，汇聚和接入层这些边缘设备，仅需要考虑端口的扩充、带宽的增加即可。

通过网络架构的变化，将有效解决目前校园网出现的一些问题，对目前校园网络平台进行合理优化，更好的承载当前教育信息化发展。架构扁平化的校园网络即核心层设备的功能、性能、可靠性和可扩展性提出了更高的要求。目前，市场上也有一些企业对典型的网络环境开发出了下一代以太网核心路由设备，能够提供运营商级的以太网路由功能，同时具有高密度的千兆/万兆接口，并采用高性能ASIC、运营商级系统架构的高可靠性，已逐步成为构建校园网核心网络中坚力量，能够满足学校在未来3-5年内核心网络容量的需求，是面向下一代“智慧校园”网络建设的理想平台。

三、精细化管理校园网络的思路和优势

我们传统的校园网络通常是粗放型，按照网络应用维护控制的角度来说，只满足了基本的网络互连互通的需求，但缺乏相应的管理控制，比如：

（1）网络使用中无法进行实名制，访问行为缺乏有效追查记录，难以实现用户权限的控制，存在未经授权的访问。

（2）控制访问缺乏针对性，网络带宽被无序占用，重要业务带宽无法保障，用户间互相影响，网络中得攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒。

精细化管理校园网络，不仅要解决带宽网络接入的传统问题，而且要面对下一代网络提供针对IPv6的完善支持和规模化部署应用，并与认证方式实现完善融合。目前，许多网络产品研发企业，能针对校园网用户的需求提供了三种针对IPv6的部署方式：L2TP方式、PPPoE方式、IPoE方式。通过在校园网中部署集中化业务控制系统，进行精细化管理，能够完成身份认证、访问控制、流量计费等功能，实现校园网应用的可识别、可跟踪、可控制和可管理。

1.精细化管控能构建更安全的网络秩序

精细化管理网络是强调基于用户的控制，他可以基于用户账号，实现基于用户的控制。能够对网络中的使用者，实现基于用户身份的行为控制、流量访问记录和审计，实现对使用者身份、网络IP地址及访问行为的识别。

2.改善与校园无线网络的无缝对接

无线网络已经在校园网内非常普及，在图书馆、教室等地方几乎都能看见学生在用笔记本电脑、PAD进行无线上网，但无论是建设还是维护和管理无线网络，所产生的成本都比较高。精细化网络管理后，外线网络只是提供了一个二层通道，类似于交换机提供的有线二层通道，无线通道上可以支持IPOE用户接入管理，所以无线网络部需要部署用户接入管理功能，简化了成本和管理维护需求，智能识别用户的无线接入方式，从而实现区别有线方式的针对性的控制和计费功能。

3.更好地实现IPv6/IPv4双栈组播控制

基于用户账号来控制用户是否允许组播功能，其次他控制用户的访问速率，并且把组播数据复制到用户的PPPoE会话或者VSI接口实现组播，同时，当用户使用PPPoE或L2TP实现拨号认证时，交换机支持组播VLAN可以实现接入层设备上IPv6/IPv4组播数据的复制。

目前，传统数字校园建设将向更高级的智慧化校园网络建设转型升级，高带宽、大并发、移动互联、泛在网络，将是未来一段时期校园网建设的目标，网络建设将面向应用、面向用户、面向管理为需求出发点，结合目前实际状况和发展需要，积极以新的思路和新的模式探索构建起真正适合学校信息化建设发展目标的网络支撑平台环境，通过对校园网的扁平化架构精细化管理控制，可更好的实现基于用户的网络控制、行为管控、流量分配等，提高网络安全、稳定和可靠性，并且能够随着教育信息化的不断发展，实现平滑的演进，达到高性能、易管理和精细化的目标。

参考文献：

[1]张代华等.基于扁平化和精细化管理的校园网基础平台建设[J].软件，2014，35（8）.

[2]刘兴光.基于SDN的智能园区交换网络解决方案[J].通讯世界，2015（19）.

[3]覃毅.校园网络扁平化架构设计与实施[J].农业网络信息，2015（7）.

[4]汤小康.高校校园网的精细化管理解决方案[J].信息与电脑（理论版），2014（7）.

[5]尹忆民等.建设扁平化新型校园网络[J].华东师范大学学报，2015.

（编辑：王晓明）