基于大二层扁平式网络模式的探索*

李向龙，杨贵福，苏卫华

（东北师范大学，吉林 长春 130024）

一、引言

为全面贯彻落实教育信息化“十三五”规划总体部署，东北师范大学从网络结构入手，对校园网络整体技术路线和结构进行了调整，旨在提高校园网络支撑和服务能力，更好地服务于教育教学以及学校管理。

二、校园网络现状

1.网络结构

学校校园网采用传统的“接入-汇聚-核心”的三层网络结构，用户采用802.1x 客户端方式上网，结构如图1 所示。

图1 传统的三层网络结构

在这种广为使用的传统三层网络架构中，每层承担了校园网的一部分功能：①接入层负责用户的接入，启用端口隔离，降低局域网内终端之间的相互影响。②汇聚层作为网络的中间环节，承担了用户认证转发和地址分配的功能，校园网大部分功能都通过汇聚实现。③核心层提供高速率接入服务，与各楼宇之间通过路由方式进行数据的传输。

2.存在的问题

（1）现有三层组网方式，用户的网关在楼宇内的汇聚交换机上，无法实现移动终端的无缝漫游，加之802.1x 客户端的兼容性较差，因此用户使用智能终端受到限制。

（2）“互联网+”环境下，各种信息化应用层出不穷，需求多变，三层网络结构的灵活性和扩展性无法满足当前信息化发展需求，业务扩展受到限制。

（3）核心层设备性能未能得到充分利用，汇聚层设备可选择性少，认证计费功能分散实施，管理和维护成本较高。

三、解决方案

1.技术选择

网络是在不断发展和快速进步的，在不同的历史时期有不同的需求和对应的解决方案。早期的校园网建设重点在于解决连接问题、关注接入端口密度和出口带宽。而随着网络上的应用越来越丰富、需求越来越复杂，我们对网络本身的灵活性、弹性以及可扩展性提出了更高的要求。因此，本次校园网络升级的重点就是简化网络结构，降低复杂程度和运维难度，具备面向未来平滑的扩展和支撑能力。网络结构设计上需要满足多业务承载下的高性能需求和精细化管理的要求，以及可以提供良好的管理和扩展能力。

根据校园网络存在的问题和面向未来的信息化发展需求，学校借鉴运营商大规模网络建设和发展的办法，充分调研部分高校网络运行情况后，决定从校园网整体的架构上解决目前存在的问题，采取的方案是将汇聚层交换机功能上移至核心设备，实行二层扁平式的校园网络架构。

2.方案优势

所谓二层扁平式的网络架构，并不是改变网络结构的物理连接模式，而是从设备所承载的功能上进行划分，在逻辑上将网络划分为业务控制层和用户接入层。从实际的校园网物理结构来看，网络的扁平式架构和业务功能划分如图2 所示。

图2 扁平式网络架构图

将网络设备按照功能进行划分后，层次更加清晰，不同位置的设备各司其职，更有利于全网的管理维护。具体表现在：①充分发挥核心层设备的作用。具备更高的性能，能更好地支持各种功能扩展和网络协议。②部署新业务和新应用时更加灵活，降低运行及维护成本。新架构中，汇聚/接入层设备只提供二层透传和VLAN 隔离等基本功能，不涉及具体业务功能，对设备要求较低。同时，由于汇聚/接入层设备的功能要求简单，且数量众多，因此可显著降低全网设备的投资和后期使用的维护费用。③更有利于未来的扩展。业务功能只涉及核心层设备，因此只需要考虑核心层设备是否能够支持这些业务特性即可。对于汇聚和接入层这些边缘设备，仅需要考虑端口的扩充和上行带宽的问题即可。

通过改变传统的网络构架，从逻辑上划分功能边界，能够有效解决目前校园网中存在的种种问题，提供承载高校信息化应用的能力。

四、实施过程

1.明确需求

校园网用户和场景较为复杂，从身份上区分有教工、学生、短期来校交流培训等其他人员，从场景上区分，有生活区、办公区、公共区等。根据学校实际情况，将应用场景与身份进行划分，如表1 所示。

从表1 中可以看出，笔者学校对教工开放网络的全部使用权限，实现了即连即用，学生使用网络收取费用，对于短期来校人员实行院系（部处）审批后，开通网络准入权限。为了最大限度满足师生的需求，设定了教工账号同时在线设备数量为6 个，学生账号同时在线设备数量为3 个，其他人员只能使用无线网络，同时在线设备数量为1 个。

表1 校园网应用场景与身份划分情况

2.设备配置

升级后的拓扑图（见图3）核心设备采用了Juniper MX960，用作宽带接入服务器（Broadband Remote Access Server，简称BRAS），认证计费采用深澜认证计费系统。

图3 校园网络核心设备拓扑图

Juniper MX960 和认证计费系统均以旁路形式接入网络，将原用户网关迁移到Juniper MX960 之上，Juniper MX960 承担了网关、用户地址分配和认证的功能，配置如下：

（1）BRAS 配置

①配置dhcp 动态文件，创建demux 接口

②配置本地dhcp 服务器，并引用dhcp 动态文件

③配置基本的radius 及地址池

④应用radius profile

⑤配置动态vlan

⑥在接口上应用动态vlan profile

（2）二层交换机配置

启用环路检测和端口隔离，防止用户之间的相互影响。以华三5 系列交换机配置为例：

①下联接入交换机口

②普通终端接口

五、取得的效果

网络架构的升级，对师生来说，最为显著的变化就是使用体验的提升，真正实现了即连即用和无缝漫游。升级之后，校园网在线设备峰值由之前的1.7 万提高到现在的3.3 万，将原来因无法安装客户端、未能实名认证的用户纳入统一管理。对管理员来说，充分发挥核心设备的性能，提高数据转发效率，对网络行为控制更加灵活和自由，日常故障处理和业务调整更加高效有序。

六、结语

校园网络作为信息化的基础设施，在学校发展进程中有着非常重要的作用，本次升级简化网络层级，支持多业务接入，降低运维成本，为后续的网络调整及变更提供了良好的基础。同时使校园网络在日常管理、性能需求、网络安全和用户使用上更加灵活。