導語：扁平化架構校園網(wǎng)絡建設與精細化管理一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：通過對主校區(qū)核心交換機和主干鏈路進行更新和升級，采用扁平化的架構模式提升整體校園網(wǎng)的性能和可靠性。利用BRAS設備作為全校師生統(tǒng)一認證和計費的網(wǎng)絡設備，將用戶管理、安全控制、業(yè)務控制等各種功能有機地集成在一起，實現(xiàn)包括有線和無線用戶，覆蓋校園宿舍、公共場所等不同區(qū)域多種接入認證統(tǒng)一管理。

關鍵詞：校園網(wǎng)絡建設；扁平化架構；精細化

管職業(yè)類院校如果有2個或2個以上不同地域的校區(qū)，就需要解決跨校區(qū)教學管理、教育資源優(yōu)化與共享等關鍵問題。這就需要將多校區(qū)的網(wǎng)絡進行整合，進行有線無線統(tǒng)一認證來實現(xiàn)用戶的精細化管理。校園網(wǎng)絡架構正從復雜化的多層架構向扁平化架構方向發(fā)展。扁平化的架構模式并非必須或一定就是物理聯(lián)接層次上的減少，而是指網(wǎng)絡邏輯層次的簡化。扁平化的網(wǎng)絡有著更高的效率，也更有利于管理。扁平化的核心區(qū)域由能力最強、功能最豐富的多業(yè)務控制網(wǎng)關，即運營商級的BRAS設備提供集中的業(yè)務控制和管理，在提供功能和業(yè)務時，發(fā)揮核心設備的高性能、穩(wěn)定性、可靠性等優(yōu)勢。

一、多校區(qū)校園網(wǎng)絡建設

對主校區(qū)交換機和主干鏈路進行更新和升級（萬兆骨干），整體提升校園網(wǎng)的性能，需在主校區(qū)新增1臺認證網(wǎng)關以及1套認證計費系統(tǒng)，將現(xiàn)網(wǎng)中交換組網(wǎng)架構變?yōu)楸馄交酚山M網(wǎng)架構，建設一張多個校區(qū)統(tǒng)一的校園網(wǎng)，實現(xiàn)學校多校區(qū)用戶的統(tǒng)一接入認證管理，多校區(qū)出口帶寬的統(tǒng)一調(diào)度，以及多校區(qū)聯(lián)合組網(wǎng)下業(yè)務的統(tǒng)一部署，并提供用戶的精細化管理和差異化服務，給接入用戶最優(yōu)的上網(wǎng)體驗。主校區(qū)交換機在更新升級的同時，構成了校園網(wǎng)業(yè)務接入層。接入交換機負責用戶接入，實現(xiàn)每個用戶之間的VLAN隔離，匯聚交換機負責VLAN數(shù)量擴展，核心交換機負責匯聚并透傳所有用戶報文到BRAS上終結(jié)。

（一）核心網(wǎng)絡的高可靠設計

當整網(wǎng)通過扁平化組網(wǎng)構建了強核心的網(wǎng)絡，作為網(wǎng)絡核心的BRAS設備的可靠性便成為了整個校園網(wǎng)高效穩(wěn)定工作的關鍵。BRAS設備可以通過以下設計來保證自身的穩(wěn)定：一是設備自身的冗余設計。BRAS設備應具備可插拔的冗余引擎、冗余電源、冗余風扇的設計，以避免任意一個單點故障所造成的整個設備故障的可能。二是雙核心虛擬化的設計。預算經(jīng)費充足時，可以購置2臺BARS設備，通過虛擬化的功能實現(xiàn)多路由器系統(tǒng)的統(tǒng)一管理和控制。將多臺物理設備虛擬化成一臺邏輯設備，使多臺物理設備協(xié)同工作，擴展系統(tǒng)容量，簡化網(wǎng)絡拓撲和網(wǎng)絡策略，提升網(wǎng)絡運營效率，大幅降低運維成本，提升網(wǎng)絡的收斂速度。同時，通過構建雙核心的核心網(wǎng)絡，將建立整體的雙鏈路架構，所有匯聚交換機到核心設備都有兩條鏈路可以使用，同時保證了物理鏈路的穩(wěn)定性。

（二）校區(qū)互聯(lián)的鏈路需求

先確定主校區(qū)作為所有校區(qū)的統(tǒng)一出口，所有校區(qū)用戶的外網(wǎng)訪問和認證都需要通過主校區(qū)互聯(lián)光纜完成，這對鏈路的帶寬質(zhì)量有了較高的要求。全部采用裸光纖，光纖兩端配置萬兆模塊構建萬兆鏈路，以保證校區(qū)互聯(lián)線路的質(zhì)量。

（三）主校區(qū)設備及業(yè)務部署

新增的BRAS配置萬兆/千兆接口復合板，下行采用萬兆鏈路與主校區(qū)核心交換機互聯(lián)，提供用戶的高速接入，上行采用萬兆鏈路與出口防火墻互聯(lián)，滿足出口帶寬的要求。同時BRAS配置三層網(wǎng)關業(yè)務，作為用戶接入網(wǎng)絡的認證網(wǎng)關及DHCPServer，配合認證計費系統(tǒng)實現(xiàn)用戶的接入和訪問控制。新增的認證計費系統(tǒng)部署在主校區(qū)的數(shù)據(jù)中心，安裝Portal組件及Radius組件，配合BRAS實現(xiàn)全校用戶有線、無線一體化的IPOE接入+WEBPortal認證、計費和授權功能，為保證可靠性，認證計費系統(tǒng)采用集群方式部署。學校的交換機作為校園網(wǎng)的業(yè)務接入層網(wǎng)絡，進行二層業(yè)務部署：接入交換機配置每端口1個VLAN，實現(xiàn)用戶之間的2層隔離；匯聚交換機配置QinQ（VLAN嵌套），實現(xiàn)VLAN數(shù)量的擴展；核心交換機配置2層業(yè)務，實現(xiàn)用戶流量的匯聚和透傳到BRAS側(cè)終結(jié)。每個用戶到BRAS之間是2層鏈路，而每個用戶之間又是2層管道化隔離的。

（四）多校區(qū)業(yè)務快速統(tǒng)一部署

由于業(yè)務控制的集中化，方便了新業(yè)務的部署，無需各校區(qū)的匯聚和接入設備支持具體的業(yè)務特性，更無需在各校區(qū)的匯聚和接入設備上進行復雜的業(yè)務配置，新業(yè)務只需要在BRAS統(tǒng)一配置部署即可，大大減少了學校維護人員的工作量。（五）有線無線一體化經(jīng)過改造后的交換租網(wǎng)，用戶接入認證完全由主校區(qū)的BRAS和認證平臺統(tǒng)一來負責所有用戶終端的有線/無線一體化的認證。用戶認證方式。

二、用戶的精細化管理

（一）用戶接入

用戶統(tǒng)一采用IPoE方式進行接入，用戶通過DHCP獲取地址，獲得免費訪問校內(nèi)資源權限，需要訪問校外資源時由出口BRAS自動重定向到統(tǒng)一認證系統(tǒng)的Portal認證界面，用戶輸入用戶名密碼認證通過后，認證系統(tǒng)返回用戶屬性，BRAS根據(jù)用戶屬性，動態(tài)修改用戶訪問權限，用戶即可訪問校外資源，并由統(tǒng)一認證系統(tǒng)提供用戶訪問報表的統(tǒng)計信息。扁平化的校園身份認證中心負責構建所有用戶的身份信息倉庫，并通過和多業(yè)務控制網(wǎng)關、上網(wǎng)行為管理聯(lián)動，做到對入網(wǎng)用戶的一次準入準出及上網(wǎng)行為的審計功能。所有身份認證相關服務器通過虛擬化平臺進行構建，有效地整合數(shù)據(jù)中心IT基礎設施資源及IT操作。扁平化出口安全層與傳統(tǒng)網(wǎng)絡類似，通過防火墻、上網(wǎng)行為管理、負載均衡等多種安全設備構建校園網(wǎng)安全邊界，對校園網(wǎng)出口流量進行安全過濾和審計。

1.BRAS在用戶終端接入網(wǎng)絡獲取IP地址的同時，就能夠同步記錄下用戶的MAC地址、所在的具體位置（精確到交換機端口，包括內(nèi)層VLANID和外層VLANID）、接入網(wǎng)絡的時間、獲取的IP地址等多種信息，配合身份準入系統(tǒng)對每個用戶細致的訪問權限、上下行速率的控制，從而實現(xiàn)用戶接入網(wǎng)絡的可識別、可管理、可控制，而這個過程用戶沒有任何感知。

2.BRAS配合身份準入系統(tǒng)可以通過五元組（用戶身份、接入方式、終端類型、接入時間、接入地點）的靈活組合形成不同用戶的訪問策略：比如教職員工和學生在同一個物理網(wǎng)絡中所擁有的權限是不一致的，教職員工可以24小時不間斷地在線，但是學生用戶在晚上11:00后就不能繼續(xù)使用互聯(lián)網(wǎng)服務，這個就是根據(jù)用戶身份和接入時間的組合策略；或者可以根據(jù)接入地點在圖書館提供24小時的互聯(lián)網(wǎng)服務，但是在學生宿舍晚上11:00以后就必須斷線，這個就是按照接入地點形成的控制策略。

（二）Radius可靠性

一般的身份準入系統(tǒng)都提供2種方式的備份機制，以防止單點故障的產(chǎn)生。

1.主備模式：在BRAS的身份準入系統(tǒng)指向中可以有2套身份準入的地址指向主備身份準入系統(tǒng)，當主身份準入系統(tǒng)損壞了，BRAS檢測到身份準入系統(tǒng)不可達后將自動切換到備身份準入系統(tǒng)上運行；而在平時主身份準入和備身份準入也將實時同步用戶信息，實現(xiàn)用戶信息的實時備份，用戶在主身份準入系統(tǒng)壞掉后切換到備身份準入無需再次認證。

2.逃生模式：身份準入系統(tǒng)還能提供一種逃生模式，在逃生模式下，當身份準入系統(tǒng)宕機，身份準入系統(tǒng)將自動開啟逃生模式，而這個時候身份準入系統(tǒng)將不提供認證審核及計費請求，即用戶無論采用什么賬戶名密碼均可登陸網(wǎng)絡，保障了網(wǎng)絡的持續(xù)可用性。

（三）多校區(qū)出口統(tǒng)一調(diào)度

優(yōu)化改造后，可實現(xiàn)多校區(qū)出口鏈路的統(tǒng)一調(diào)度，各校區(qū)的接入用戶在主校區(qū)BRAS上統(tǒng)一接入后，由后臺的認證計費系統(tǒng)根據(jù)賬號下發(fā)不同的訪問策略和選路策略給BRAS，再由BRAS控制不同用戶走不同校區(qū)的出口，而用戶的選路策略可以由管理員在認證系統(tǒng)上靈活定義的。

綜上所述，通過改造，把認證網(wǎng)關和認證系統(tǒng)統(tǒng)一，使得傳統(tǒng)交換網(wǎng)絡中的有線和無線兩張網(wǎng)融合成一張網(wǎng)，用戶無論采用無線或有線方式上網(wǎng)，接入認證管理都是同一套系統(tǒng)，不僅給用戶帶來一致性的體驗，也給學校減輕了運維和管理的壓力，從而實現(xiàn)真正意義上有線無線一體化的校園網(wǎng)。

作者:陳堅