王安
【摘要】随着高校信息化建设的初步完成,各高校已经陆续完成了基础信息化建设。但在建设过程中标准不一致、拓扑结构不一致,导致目前高校网络的结构各有不同,也让各高校的下一步信息化建设方向各不相同。笔者根据个人工作经验,通过目前高校组网的一种传统标准模型入手,通过将模型进行调整、修改,将高校信息化的模型调整为易于扩展的模型谈一下自己的看法。
【关键词】网络 信息化 核心交换机 BRAS 防火墙
一、本次建设目的及现网情况概述
目前,高校的信息化建设在2014年左右基本完覆盖,包括有线网络、无线网络在内的基础网络结构均已建立,网络模型也相对成熟。14年后高校信息化改造的主要目的,一是为了替换部分14年建设未替换的设备,此部分设备(如网络的汇聚交换机)已经在网运行7-8年,存在一定安全隐患;另一方面,目前校园网的关键节点,如出口防火墙、BRAS设备多数均为一台,存在一定的单点故障风险。此外,传统网络模型中以BRAS为核心的组网模式也不方便学校后期对网络的维护以及规模的扩大,因此本次网络改造在网络结构、网络设备上都有所调整。下面以某高校为例,对相关改造进行情况说明。
二、防火墙改造说明
目前学校已有一台H3C M9006防火墙设备,为提高设备性能,降低设备压力,同时避免单点故障,建议本次扩容一台相同型号的防火墙,两台防火墙与上下行网络设备之间采取全冗余连接;为了保证系统的可靠性,建议配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的可靠性,同时可以与动态路由策略组合,实现流量负载分担;
M9006支持先进的虚拟防火墙架构(SOP)技术,通过在同一台物理设备上划分多个基于容器的虚拟防火墙来实现对用户多个业务独立安全策略部署的需求。且某一虚拟防火墙故障不会对其他虚拟防火墙和整个物理系统产生任何影响。当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少虚拟防火墙的方式十分灵活的解决后续网络扩展问题,简化了网络管理的复杂度。
M9000的SCF架构突破了传统双机热备技术,支持集群后多板卡进行主/备、主/主、1:1及N:N等多种部署方式。业界独创的N:N备份技术,每一块业务板卡既是承载自身流量的主板,同时也分布式的对其他业务板进行备份。相比传统的双机热各,多板卡的N:N热备提高了高达50%的用户数据处理效能,同时在板卡故障、业务升级时保障安全业务零中断。统一的管理平面,简化管理员配置复杂度的同时,有效解决双机配置同步带来的配置不一致问题,在可维护性、高可靠性和切换时间方面也有了质的提升,可以做到各种情况下的毫秒级切换。业务处理主备技术保证来回路径快速收敛一致,无需复杂的配置。
三、BRAS改造说明
学校目前已有一台H3C SR8808-X BRAS设备。随着校园网规模的扩大,对接口、性能的要求的提高,本身作为路由器的BRAS设备虽然性能上足够承载目前及未来几年学校的应用,但依然会有端口扩展形态较少、组网维护复杂的情况,因此本次将BRAS在网络中的位置进行调整,由核心层设备转变为旁挂于核心交换机,不再作为核心设备进行数据转发而是专门进行数据的处理以及有线网络的认证。同时考虑到学校目前有线网的使用人数要求,以及稳定性考虑,本次将新增一台BRAS设备,和原先的设备进行双机虚拟化,保证稳定性及设备性能。
随着BRAS设备的引入,校园网的结构也变为扁平化结构组网。所谓扁平化的网络架构,不是意味着网络物理层面变为两层,而是从网络中设备所承担的功能上区分,将网络划分为业务控制层和宽带接入层。宽带接入层由汇聚和接入层设备构成,仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
从实际的校园网物理结构来看,网络的层次更加清晰了,不同层次的设备各司其职,有利于全网的管理维护。
扁平化的网络架构带来了很多的优势:
(1)由能力最强,功能最丰富的BRAS设备提供集中的业务控制和管理,有利于功能和业务的部署。同时,由于这些功能是由BRAS设备提供,因此能够确保在提供这些業务和功能时,同样具备较好的处理性能。另外,BRAS设备的高可靠性也为这些应用和业务的部署提供了保障。
(2)由于核心/汇聚/接入设备只是提供了二层透传和VLAN隔离这些基本的功能,不涉及到业务功能,因此在全网部署新业务和新应用时,无需考虑其是否支持。同时,由于这些设备的功能要求简单,且数量众多,因此能够显著降低全网设备的投资和后期的使用维护费用,提高校园网的投资产出比。另外,由于功能的弱化,从而使得这些设备的可靠性大大提高,有利于全网的稳定可靠运行。
(3)扁平化后的校园网更有利于今后的扩展:业务功能只涉及到核心侧设备,因此只需要考虑核心侧设备是否能够支持这些业务特性即可。对于汇聚和接入层这些边缘设备,仅需要考虑端口的扩充和上行带宽的增加即可。
四、核心交换区域建设说明
本次建设,在网络拓扑中新增了核心交换机这一角色,作为校园网整网的核心承载校园网整体业务,实现高速数据转发。之所以改变了目前BRAS作为核心的网络结构,是因为当BRAS作为网络的核心时,由于其下行接口均为三层口,下联终端在漫游时存在网关切换问题(举例,假设终端在A区上线时IP为1.1,网关为1.254,当终端发生不中断漫游时,IP保持1.1进入B区,而B区网关IP 2.254因为不识别A区的网关地址无法转发不同网段的IP)。同时,随着校园网规模的扩大,上下行设备的增多,BRAS设备的接口扩展性也不如交换机来得丰富。因此本次网络建设引入核心交换机的角色。新增的核心交换机型号为H3C S10510,2台核心交换机通过万兆链路与防火墙互联,以保证上行带宽,并实现高速数据转发。同时,2台核心交换机之间通过H3C IRF2技术实现横向虚拟化,将两台交换机在逻辑上变为一台,既提高了设备使用率,同时2台设备在逻辑上整合,成倍提高了设备性能。
五、汇聚层、接入层改造说明
本次改造还涉及部分汇聚及接入交换机的升级及补充。汇聚交换机本次考虑为全光口设备,汇聚交换机与接入交换机之间通过千兆光纤互联,汇聚交换机与核心交换机之间通过万兆光纤互联。为保证设备的稳定性与维护便利性,本次改造涉及的汇聚及接入交换机均支持模块化双电源。endprint