基于GPON的校园全光网建设和应用

朱靖 廖春燕

【摘要】校园网是一个集教学、科研、学习和生活于一体的园区网，随着校园网互联网接入、视频监控、一卡通、智慧教室、智能水电表等终端在校园网的广泛接入和应用，对传统校园网络建设提出了极大的挑战，原有的建设年代较早、线路老化以及设备性能低，导致无法满足师生的学习和办公的需求，目前都面临校园网络改造的问题。文章分析目前校园网存在的困境，提出了基于GPON的无源光局域网的网络升级改造方案。

一、引言

（一）校园网的发展分析

随着校园网络信息化的普及，笔记本电脑、手机的普及无线终端产品使用率越来越高，快速、移动式的使用网络需求日趋迫切。为了推动学校智慧校园的发展，采用在线教育、MOOC、翻转课堂的模式进行教学模式的改革，需要学生随时随地连接到校园网络，在教室使用手持终端设备访问校内的在校教学平台学习、互动。能在校园内便捷地连接互联网已经成为校园用户迫切的渴望，受到严格的地域限制的网络显然已经不能满足这样的需求。

（二）全光网趋势

（三）无源光组成部分

无源光网络 （PON）： 由光线路终端（OLT），无源光分配网（ODN），光网络单元（ONU）组成的点到多点信号传输系统，简称PON系统 。

无源光局域网（POL）：基于无源光网络（PON）技术局域网组网方式。该组网方式采用无源光通信技术为用户提供融合的数据、语音、视频及其他智能化系统业务。对比传统交换机组网方式，其OLT代替了汇聚交换部分，ONU代替了接入交换部分。

PON技术主流种类：

二、无源光局域网建设的应用实施案例

（一）广东工程学院改造前网络概况

1、学校建网早期，采用了以三层交换机为主的网络建设方案，即核心—汇聚—接入的三层架构，建网至今存在以下情况：

校园建网至今网络线路已将近10年，机房布线老旧、杂乱且设备老化严重，校园内的核心、汇聚、接入设备的使用年限都已经超过了IT设备正常的使用周期，随着无线网络的建设和无线业务的高速增长，已经无法满足业务承载

早期缺乏安全设计，现网有线网络结构复杂，VLAN划分混乱不合理，横向业务之间缺乏隔离和管控措施，容易造成网络风暴、引发ARP等攻击，存在病毒泛滥等隐患

早期无线网络规化不合理，导致很多区域的无线信号覆盖效果较差，甚至学生宿舍区域没有无线网络，极大地影响了师生学习和生活的无线接入体验

学生宿舍有线网络私接严重，学生自行准备交换机进行端口扩充，造成宿舍网线混乱

校园网早期运维模式以运营商单方运营为主，存在以下情况：

学校本地无学生用户原始数据，对开展智慧校园建设受限颇多

学生宿舍网络与办公教学网络出现两套甚至多个上网账号，容易混淆;

在接入的三层架构上，学生宿舍区域访问外网需要经过二次认证，校内内网802.1x+运营商外网portal认证，易用性和体验性都比较差，管理员的管理也非常繁杂;

（二）无源光网络改造解决方案

校园网升级改造前后网络拓扑改变示意图，下面以学生宿舍区域的改造进行说明

优化一：学生宿舍组网调整

学生宿舍全新改建，采用基于GPON无源光局域网的大二层组网，光纤从中心机房直达宿舍，中间完全无源，替换了所有楼层接入与汇聚交换机。传输路径：BRAS-万兆核心交换机—OLT设备—分光器—ONU终端—终端用户;是以ONU为主体，实现光纤到户。用户终端通过ONU接入网络。对比原网有以下诸多优点：

终端网络：有线无线一体化，目前院校在带宽出口足够的情况下，每个学生带宽可达100M;

校园维护：免去了逐层交换机的故障排查，全光网络采用软件管理网络，故障節点少，故障易排查，所需维护人员数量少 ;

网络安全：PON网络下用户隔离，单个用户故障不会影响到其他用户，保障网络底层的安全，防止ARP欺骗，广播风暴等网络攻击;并且有效阻止学生的私接行为 ;

后期扩容：可平滑升级，后期只需要升级两端设备（OLT，ONU）或者调整分光比即可，省去以往逐级升级接入交换机、汇聚交换机的步骤;

建设成本：人力成本、线路成本、能源成本、扩容成本等运维成本都有所降低;

业务承载：以后只需要这 一张已建好的网上建设新业务（如音频，视频等）即可，无需再重新组网。

优化二：认证方式调整

学生宿舍取消802.1x认证，采用portal一次认证通过即可访问外网，并且开通无感知上网，减少重复认证的操作，达到更好的网络体验。

优化三：中心机房调整

新增OLT， VBRAS认证网关，认证计费系统，以及防代理设备

新增VBRAS网关：基于NFV技术的认证网关，通过万兆链路与各相邻设备互联，采用大二层组网，通过QINQ方式进行隔离，将大二层组网的vlan终结在BRAS上，有效地降低了核心交换机的负载;与认证计费系统配合做准入准出控制，并对学生宿舍区域提供DHCP服务，同时支持IPv4和IPv6双栈协议;

新增认证计费系统：实现用户数据本地化管理，提供多种上网套餐选择，支持与学校统一身份平台以及其他业务系统对接，校园身份统一，多套业务学校也只需要管理一个学生账号即可，解决以往多账号混乱的现象;

新增防代理网关：旁挂部署，不增加故障节点（不影响主干链路），支持检测和控制用户使用代理行为，并且能够记录下学生宿舍区域用户的内网访问记录，做到溯源跟踪。

三、结语

校园网无源光局域网的组建，其高带宽、低延时，以及快速便捷的认证体系，大大改善了用户的上网体验，学生可以随时随地连接到校园网络，快速地访问校内的教学平台学习，互动。也为推动智慧校园的发展，在线教育的教学改革，打下了良好的基础，足够应对未来5-10年的网络发展。