文/辛华龙

以网络和信息为基础，以统一规划、分布实施为主要特征的数字化校园，已经成为高校信息化建设的主流，信息标准体系、安全保障体系、运维保障体系，已经成为目前学校信息化建设与运行维护的重点。中国海洋大学通过校园网的网络结构优化、宽带认证计费、有线无线统一化认证和数据中心安全等技术，在建设数字化校园的基础上，提高校园网络的可管理性。

现存问题

在中国海洋大学校园网建设初期，学校就已意识到网络管理和数据中心安全的重要性。网络管理的基础，是管理当时几千个在网用户。对于用户的网络行为管理、认证、计费，中国海洋大学采用串联网关配合宿舍区使用802.1X技术，学生宿舍的认证方式使用客户端软件配合交换机802.1X协议，教学区和图书馆使用Web方式进行认证，认证过后所有上网流量进行计费，并记录上网行为，以便进行日后追溯。这种用户管理方式在早期非常流行，也是目前很多高校还在继续沿用的用户管理方式。但随着中国海洋大学在网用户数量不断增加，使用802.1X的计费方式给网络与信息中心的运维工作增加了很大的工作量，而且接入交换机每次更新都需要购买支持802.1X协议的交换机，花费巨大。互联网出口串联网关的方式，也因用户量增加导致出口带宽的增加，原有计费网关已经成为校园网发展的瓶颈。

在数据中心安全方面，中国海洋大学在当时使用了核心交换机加硬件防火墙模块的部署方式，为了增加防火墙模块的利用率，还使用了防火墙虚拟化技术，由虚拟防火墙构建以防护中国海洋大学校园网出口及数据中心的安全网关。随着学校数据中心规模的扩展及校园网一卡通的应用，数据中心的安全及稳定性受到网络与信息中心越来越多的关注，而交换机插防火墙模块的部署方式，其应用层深层检测防御机制的缺失、硬件架构稳定性差及部署结构复杂的缺点，也让学校网络与信息中心重新审视改变这种部署方式的必要性。

新一代校园网建设目标

数字化校园网的建设，需要建设高可用的数据中心基础设施、统一的数据中心基础应用和核心应用服务以及资源丰富的数字化学习、管理系统。这些丰富应用的前提，是建设一个高可靠性、安全可管理的园区网。校园网的基础网络平台是“路”，教学资源、数字化应用等资源是“车”，对于学校网络与信息中心来说，不仅仅需要一个安全可靠的“路”，还需要这条“路”有较高的透明度及可管理性，才能让数字化应用资源为全校师生提供更人性化的服务，才能构建满足学校教、学、科研、管理与服务要求的开放性、协同化运行支撑环境，为校内、外各类人员提供完善的个性化服务支持，为学校的教学、科研和管理提供完善的数字化支撑平台。

也正是基于以上几点问题，以及建设数字化校园的必要性，让学校网络与信息中心决定优化网络架构，提高中国海洋大学校园网可管理性，构建新一代数字化校园网。为了少走弯路，拓宽视野，学校网络与信息中心在2011年组织参观调研了多所985高校，吸取兄弟学校数字化网络建设经验，组织专家进行论证，逐步形成中国海洋大学下一代校园网基础架构网络模型。

建设方案

网络架构优化改变原有认证方式

整个中国海洋大学校园网由多个模块构成，园区接入区、数据中心区、互联网接入区、节点接入区等。而随着学校校园网各类业务、应用和用户承载的快速发展以及对校园网络精细化管理要求的提升，网络与信息中心设想构建一个高性能、精细化和易管理的下一代校园网。通过对现有校园网络的结构优化，简化学校校园网网络架构，减轻接入交换机、汇聚交换机网络职能，接入及汇聚层交换机只负责高速转发，所有其他功能由三大校区的核心交换机替代，降低网络运维成本，提高转发速度。用户认证计费方面选择运营商使用多年的BRAS（宽带接入）系统，确认了在宿舍区使用PPPoE技术，院系区教学区使用IPoE技术，通过三大校区的核心交换机设备，管理学校几万在网用户。通过PPPoE的轻客户端（Windows自带客户端拨号软件）和IPoE的无客户端方式，网络与信息中心可以很轻松地管理几万在网用户，也因园区网架构的简化，接入层和汇聚层设备可以选用较低档次的网络设备。同时，BRAS开放式的架构，让学校可以自主选择支持标准Radius协议的后台认证计费服务器，甚至自我开发一套认证计费系统，从整体上降低CAPEX（Capital Expenditure）和OPEX(Operating Expense)。

数据中心安全管理是重中之重

数据中心作为数字化校园的大脑，需要高速、稳定、安全和易维护的网络架构来构建。数据中心使用网络虚拟化技术，不仅可以最大限度地利用网络设备本身的资源，还可以降低运维成本，增加网络中心工作效率。而数据中心的安全防护，更是网络中心一直在重点考虑的部分。使用尽可能少的安全设备，提供涵盖七层网络模型的安全防护功能，实现快速转发，并保护越来越多的服务器。

提高原有网络设备利用率

建设下一代数字化校园网，升级网络设备，进行网络改造，势必会购买新的网络设备，淘汰旧的网络设备，原有校园网网络设备如何利用，也是学校网络与信息中心在此次网络升级改造时考虑的重点。通过专家论证，决定继续使用淘汰下来的网络设备，原有核心交换机作为新校区汇聚交换机，部分低端交换机用来搭建学校网络学院网络实验室，为网络中心运维人员及计算机学院学生进行运维测试和学习提供实验环境。

基于无线网络与有线网络的统一管理

数字化校园的建设，离不开无线网络的建设，无线网络作为校园有线网络的补充，如何让无线网络在数字化校园建设的基础上，为师生带来更好的用户体验，是学校网络与信息中心建设无线网络的原动力。中国海洋大学的无线网络除了要具有安全、稳定、高速等特质之外，还要保证用户在任意地点、任意时间，实现有线无线统一账号接入校园网。有线无线的统一化认证，既降低了网络中心运维成本，又提高了网络服务水平。基于扁平化的下一代校园网，BRAS的IPoE技术可以作为有线网和无线网的统一认证技术，通过IPoE + Web Portal技术，无论用户使用有线还是无线方式连接到网络，都会基于浏览器统一打开Portal页面进行认证，使用一个账号，就可以在有线网络和无线网络上享用校园网资源。

网络扁平化升级改造

通过为期一年多的设备选型，专家论证，组织招标，学校确定了构架中国海洋大学园区网和数据中心网络的产品类型。

秉承基于扁平化网络来构建下一代数字化校园园区网，学校网络与信息中心在校园网核心部署三大校区带有BRAS功能的高端以太网路由器，承载全校五万师生的上网流量及用户管理功能。核心设备的升级，带动全网扁平化的改变，原有的三层网络架构通过两台高端以太网路由器的加入，使得汇聚层及接入层的大部分功能迁移到两台核心设备上，汇聚及接入设备弱化，由原来的物理三层架构变为逻辑二层架构，网络中心仅仅需要维护三大校区的核心设备就可以管理整个校园网。出口防火墙由原来的交换机插防火墙板卡的方式转为部署两台高性能防火墙，增加出口网络稳定性的同时，也因使用了防火墙的虚拟化技术，两台防火墙虚拟为一台防火墙，降低了运维的工作量。同时，数据中心的部署，大量使用了虚拟化技术，接入交换机的虚拟机箱技术，数据中心核心防火墙的Cluster技术，进一步帮助学校降低了运维成本，同时核心防火墙的旁挂部署模式，也解决了使用一组防火墙防护学校数据中心十几个VLAN之间互相访问的安全控制需求。

图1 下一代数字化校园扁平化管理

此次网络升级改造是分步骤进行的，目前已经完成所有园区网核心、出口及数据中心新购设备的升级替换工作，正在逐步启用核心设备的BRAS功能，实施完成后，宿舍区的802.1X的认证方式更改为PPPoE的认证计费方式，教学区和图书馆的串联城市热点服务器的认证方式会改成IPoE + Web Portal方式，城市热点计费服务器旁挂在核心设备上，作为Radius服务器及计费服务器继续为中国海洋大学使用。升级改造淘汰下来的核心交换机，也已经作为新建南陇口校区的汇聚交换机，其他低端交换机作为网络学院的网络实验室设备继续使用。这样，原有认证计费的维护成本降低，城市热点串联在出口的性能瓶颈得到了解决，同时也充分利用了现有的网络设备，避免了资源浪费。

为了达到在中国海洋大学校区内任何地方都能享受数字化校园服务的目标，网络与信息中心目前正在进行无线网络的论证工作，简化网络架构，提高数字化校园园区网可管理性，是中国海洋大学衡量无线厂商产品及方案的重要依据。核心网络升级改造完成后，基于核心路由器的BRAS解决方案，会把无线网络的认证纳入进来，实现有线无线的统一化认证，使得中国海洋大学师生通过一个账号，就可以无缝使用有线网络和无线网络的资源。同时，统一认证后，无线网的可管理性将会增加，并降低其运维成本。