常州工程职业技术学院 吴乃忠

基于扁平化架构的下一代高校校园网的建设研究

常州工程职业技术学院 吴乃忠

传统三层或更多层架构的校园网在高校网络建设初期对校园应用和高校信息化的推进发挥了巨大作用，但随着高校校园网各类业务、应用和用户承载的快速拓展以及对校园网络精细化管理的要求提升，基于扁平化架构的下一代校园网应运而生，高性能、精细化和易管理无疑是下一代校园网建设的三大目标。

扁平化；架构；业务承载；部署；论证

1.前言

早在1994年随着以CERNET为标志的金智建设工程的兴起以及人们对信息网络服务要求的不断提高，全国高校掀起了校园网建设的高潮，第一代的校园网作为信息管理和信息交换的网络平台，在高等院校教学、科研、管理等工作中发挥了不可替代的重要作用。近年来随着高校信息化和校园网对安全需求、运营需求、管理需求和性能需求的不断提升，下一代校园网的建设成为高校信息化建设的一项主要基础性工作。

2.传统校园网的三层“倒挂”架构

传统三层或者多层架构校园网只是满足了基本的网络互联互通的需求，但缺乏相应的控制和管理手段，用户之间互相影响，类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象经常发生，校园网络对于用户的审计和控制功能较弱也导致了网络的无序使用，业务承载方面缺乏针对性的控制，网络带宽被大量占用，重要应用得不到带宽保障，也难以实现灵活的基于身份、时间、位置等的用户控制。

这种三层倒挂架构一个形象的比喻就是核心层是大马拉小车，资源浪费但绩效一般，而接入层是小马拉大车，能力有限却责任重大。

由图1可以看出，传统校园网架构的主要特点是：

1)实现一个业务功能需要由多个业务层面共同配合完成；

2)靠近边缘的设备要求其功能却很多，影响了实现效果和性能；

3)各层之间没有有效的隔离措施和保障手段，导致相互的干扰影响；

4)校园网中设备特别是边缘设备的稳定性和可靠性不高带来了管理、维护上的巨大压力。

3.发展扁平化网络架构的必然趋势

当前不同规模和不同区域的学校在建设高校校园网时普遍遇到的问题是：

1)如何适应和满足国家政策和法律法规对于校园网用户的行为要求；

2)如何满足各类业务、各类应用和不同需求的用户的各种承载的拓展；

3)如何降低校园网的管理难度和维护工作量。

要解决这些问题必须要从网络架构和业务部署模式上面进行变革，而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分，使得各层设备各尽其能，也可以看出构建和发展扁平化网络架构是一个必然趋势。

3.1 网络架构和网络层次从复杂化向简单化发展

高校校园网发展扁平化网络最初是源自于运营商大规模网络发展的经验，而扁平化并不是意味着网络物理层次的减少，而是网络逻辑层次的扁平。构建扁平化的网络架构就是将原来各个层次模糊的功能区分清晰化，不同层次之间各司其职，有利于管理和维护，这种简单化的架构使得网络有更高的效率。

3.2 用户和业务控制的集中化

由能力最强、功能最丰富的核心设备提供集中的业务控制和管理，有利于功能和业务的部署，能够保证在提供功能和业务时，有较好的性能，更有利于发挥核心设备的稳定性可靠性的优势；而汇聚和接入设备，则提供其力所能及的基本功能，比如一般只提供基本的二层VLAN隔离功能等，因此部署新的业务和功能时，无需考虑其是否支持，从而有利于降低数量众多的汇聚和接入层设备投资，而且由于功能简单，有利于这些设备的稳定可靠运行，使得全网投资的下降，电力和空调等运行成本相应的会大幅降低。

3.3 网络架构更易于扩展和管理

校园网的功能划分清晰后，整个网络更有利于扩展。核心层设备由于性能很强可以对新功能新业务能够提供良好的支持，汇聚层和接入层只需要考虑接入端口的扩充、上行带宽的增加，管理上面显得更加简单。

4.下一代扁平化校园网的建设目标

4.1 高性能

下一代扁平化校园网的高性能主要表现在：

1)IPv6性能相对于IPv4要有大幅提升；

2)为满足精细化VLAN划分的要求，应尽可能多的支持多个VLAN；

3)支持QinQ终结功能，实现VLAN无限扩展；

4)支持硬件的IPv6组播功能，实现组播数据流高速转发。

在这种网络架构下面可以使用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交换机，使更多的组播、线速转发、用户论证和审计等核心工作由功能和性能均强大的设备来完成，从而实现整个校园网的高性能。

另一方面高校校园网往往是教学网、学生宿舍网、教育网、一卡通专网、财务专网和科研专网等多个网络的混合体，校园网的高性能还要体现在多个网络多个业务并发的同时保证性能不下降，实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台还要具有相同的功能。

图1 传统校园网的三层“倒挂”架构

图2 扁平化的网络架构图

4.2 精细化

下一代扁平化校园网的精细化主要实现途径为：

（1）能够基于逻辑接口实现

采用每个接入终端在核心设备上对应一个逻辑接口的方式，同时在接口上提供速率限制、访问权限控制等实现对逻辑接口的独立和分别控制。

（2）能够基于每个用户实现

基于用户的身份，在用户认证时动态下发控制属性，对用户的访问速率、权限等进行控制，从而实现对每一个校园网用户的个性化控制。

（3）能够基于不同类型的接入方式开放或者关闭相应的业务功能

比如在WLAN中，由于AP的性能问题，就可以关闭IPv4、IPv6 multicast业务，仅开放单播业务，这样就可以降低接入设备的压力，把控制功能后移至核心路由设备上面。

（4）能够基于用户的实名制进行校园网精细化管理

实现实名制后能够做到用户身份和网络行为的一一对应，做到基于用户角色的控制，实现用户访问网络的计费、审计、日志等功能，做到有据可查。

此外还可以通过对校园网应用中的流量监控和实时采集分析，可以动态感知具体的应用类型和资源占用情况，就可以实时掌握校园网内的流量特征和用户行为特征，对于一些隐患可以及时采取措施来应对异常流量的攻击。

4.3 易管理

下一代扁平化校园网的易管理主要体现在：

1)能够实现用户之间和业务之间的有效隔离，避免相互之间的干扰和影响，做到业务可细分、用户可隔离；

2)能够对用户的各种信息如用户帐号、MAC地址、IP地址、上线时间及其访问行为进行识别和实时记录，做到可实时跟踪、可历史追查；

3)能够实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到行为可控制、身份可管理；

4)能够实现网络应用的精细化管理，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括其安全性、带宽保障、可靠性等方面实现应用可识别、资源可保障。

在新的网络结构中，用户认证可以通过WEB方式进行，使得学校的师生不必安装拨号客户端，认证功能通过IE浏览器即可方便地完成身份认证过程。认证平台也可调用学校统一的LDAP用户数据库，以实现统一身份认证。用户的访问权限、上网速率以及其他跟上网相关的行为管理由RADIUS系统根据用户身份下发相应的策略给核心业务路由器来实现。这使得网络具备较高的控制能力和可管理性，运维管理更加方便。

在这架构下，有线、无线（含校内师生、访客）用户均可通过同一套设备、同一套软件、同一用户身份验证服务器，经过一次认证，即可根据预先设置的策略访问相应的资源，而不必进行多次认证。

5.结语

对原有校园网架构升级改造为扁平化的网络架构后对于系统管理员和普通用户而言，其应用效果表现在：

1)一个简单的的网络架构：也就是将原有的多达三层或更多层的校园网结构简化为了二层结构，即业务控制层（核心网络层）和宽带接入层（接入层），在逻辑意义上面实现了网络结构的平滑过渡。

2)一个多业务的系统：指网络平台支持用户接入、认证、审计、计费、带宽管理、行为控制，同时也支持MPLS VPN、IPv6、组播业务的应用和快速部署。

3)一个统一身份认证的平台：实现了有线、无线用户的任意漫游，也实现了不同系统之间用户的统一认证，避免重复地多次认证，提高用户了体验。

4)一个透明的网络：校园网对用户仍然是透明的，用户无需关心网络流量如何转发，用户无论在哪里登录，都可以获得相同的访问权限和带宽保障。

[1]刘紫燕,黄义成,胡锋.业务感知技术的下一代校园网QoS研究与仿真[J].计算机工程与科学,2011,33(8):58-62.

[2]申继年,邱家学.校园网组网架构的比较与分析三层交换架构vs扁平纯路由架构[J].中国教育网络,2012(1).

[3]涂庆华,马跃勇,李华峰,王成.南京理工大学:IPv6校园网扁平化部署[OL].http://www.edu.cn/IPv6_xyw_7949/20120621/t20120621_796153.shtml,2012-6-21.