基于扁平化理论优化设计校园网

摘要：传统三层交换架构存在诸多难以解决的问题，对此本文基于扁平化理论对南京中医药大学校园网进行优化设计，实现用户的精细化管理，彻底解决ARP病毒和挤占带宽的行为，降低管理维护难度，提升用户满意度，满足日益增长的多业务需求。

关键词：扁平化；精细化；优化设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）18-4155-03

1 概述

随着校园网用户数量的增加以及网络业务、用户需求的多样化，校园网的功能定位已经逐步从满足接入能力为主转向可运营、可管理、满足日益丰富的业务需求为主，需要网络能承载数据、视频、组播、WLAN等多种业务，及对不同业务提供区分服务。

传统三层交换架构的网络，在实际使用中存在诸多难以解决的问题，如：无法实现用户的精细化管理、ARP病毒和挤占带宽等行为难以彻底解决、管理维护难度较大、用户满意度较差，已经难以满足日益增长的多业务需求。

因此，未来校园网的发展必须适应这一变化，必须从网络架构改造入手，向着高性能、精细化和易管理的方向发展，来建设一张定位先进、适合南京中医药大学自身特色的校园网。

2 设计思路

2.1 总体设计思路

根据校园网现有和未来发展的性能要求，建立具有良好的应用支撑能力的网络。采用高性能的设备构架校园网络，作为校园网的信息支撑平台。骨干设备能够提供优异的校园应用支撑能力，同时保证多业务叠加的情况下，网络性能的不下降。这一点尤为重要，特别是在校园网络承载大量的教科研应用系统的情况下，必须保证对应用系统具有良好的承载。带宽层面要考虑对未来3-5年的业务支撑能力，整个基础网络在网络应用不断扩展、网络用户不断增加、接入系统不断扩充的情况下，不能出现网络拥塞存在现象。网络层面通过高可靠的设备以及冗余的网络架构设计，构架稳定可靠的校园网络。针对校园网络本身的管理，通过网络的层次化划分，简化网络逻辑架构，便于针对性的管理，提高网络的可靠性和扩展性。

实现整个校园网真正的精细化管理，校园网应采用不同的计费策略以及不同的出口选路，让用户自行选择运营商套餐或者校园网套餐，提高用户的上网体验度。对校园网内部和到外部网络访问进行有效的监视、记录和审计，实现对使用者身份、网络IP地址及其访问行为的识别和记录，做到可跟踪和可追查。对网络中的使用者，实现基于用户身份的行为控制，诸如可访问的资源权限、对网络带宽的占用等方面的控制，做到可控制、可管理。网络应用的精细化管理，实现完善的流量识别和控制能力，保障重要应用系统的网络承载，包括安全性、带宽保障、可靠性等方面，做到可识别、可保障[1]。

2.2 扁平化设计

图1 扁平化网络改造模型

图1显示的是扁平化网络改造模型。扁平化架构是将通常意义下按照层次进行区分的三层网络转变为按照功能进行了区分，划分为核心的业务控制层面和边缘的宽带接入层面两个部分。核心的业务控制层面提供了统一的用户终结和业务控制功能。宽带接入层包括了网络的汇聚和接入层没，用于负责用户和业务的接入和二层VLAN的隔离，而不再提供用户终结和业务控制方面的能力。扁平化路由方案中核心层设备完成了95%的功能，汇聚层设备只要支持灵活QinQ和VLAN隔离功能，接入层只需要支持VLAN隔离[2]。

核心设备提供集中式的业务控制和管理，有利于功能和业务的部署，能够保证在提供功能和业务时，有较好的性能，有利于发挥核心设备的稳定性可靠性的优势。汇聚/接入设备，只提供基本的二层VLAN隔离功能，有利于降低数量众多的汇聚/接入层设备投资，由于功能简单，有利于这些设备的稳定可靠运行，寻找故障快捷，有利于新功能/新业务的部署。

3 优化设计

3.1 扁平化改造

图2 扁平化网络改造架构

图2显示的是南京中医药大学扁平化网络改造架构[3]，具体部署如下：

1）部署两台高性能多业务路由器，作为为整个校园网络的业务控制层，提供用户认证、接入授权、计费、控制。核心路由器配置万兆接口，下行与校园网的核心汇聚互联，提供用户高速接入；上行与出口防火墙之间也采用万兆连接，满足Internet出口带宽要求。

2）两台核心交换机作为南京中医药大学校园网的核心，配置高密度万兆接口板，通过单模光纤和上游的核心路由、以及下游的汇聚交换机之间互联，搭建万兆校园骨干网，两台核心做双机虚拟化，在提供高可靠性的同时简化管理。

3）接入层设备直接面向用户，接入层线路以及设备的好坏直接影响到用户的最终体验，稳定的接入层是构建可运营可管理校园网的基础，因此改造现有校园网部分使用年限较老的接入交换机，满足学校运营和管理的要求。

4）核心、汇聚和接入层交换机共同构成校园网的宽带接入层，在业务部署上，接入交换机和汇聚交换机负责实现QINQ封装，扩展VLAN数量，实现用户隔离。核心路由器负责终结QINQ，提供用户接入和控制。

5）部署Radius服务器和Portal服务器，在校园网（有线+无线）提供Portal认证，接入校园网时提供认证计费和控制，用户免费访问内网资源，需要访问其他资源时自动重定向到Portal上认证，并提供用户访问报表统计。

6）在完成上述改造后，校园网出口引入多条运营商接口，通过核心路由器的接入控制和后台Radius服务器的控制功能，实现校内用户自行选择运营商出口或者学校自有出口访问互联网，实现出口流量的分流，提高用户的上网体验。

3.2 业务部署

对现有设备进行二层化改造，构建校园网的宽带接入层，通过VLAN 和QinQ实现用户之间二层的隔离。在接入层交换机上为每个端口分配独立的内层VLAN标签，在汇聚交换机上打上相应的外层标签。核心路由器提供用户接入网络时的DHCP地址分配功能，实现基于portal页面的用户接入网络认证和计费功能。实现用户接入校园网即认证和控制的功能，校内资源不收费，国内、国际资源按照不同资费策略计费。

3.3 用户接入

校园网用户统一采用DHCP方式进行接入，用户通过DHCP获取地址，接入网络，获得校内访问权限，可以访问所有校内资源，用户需要访问公网时，在弹出的Portal页面上输入用户名和密码，完成公网接入的认证过程，核心路由器将用户账户信息转发到后台Radius进行认证，Radius返回用户属性，核心路由器根据用户属性，动态打开用户访问权限，用户即可访问公网。

运营商用户的接入和校园网用户的接入类似，同样是采用DHCP+Protal认证方式，差别在于用户认证时，学校自建的RADIIUS平台仅作为代理（Radius Proxy），将用户的认证账号信息送往运营商的Radius平台，最终用户的认证和计费是在运营商RADIIUS平台完成，认证成功后，由运营商侧radius平台下发属性并定义调用的访问策略，返回给学校RADIIUS平台，再由学校RADIIUS平台下发到核心路由器，转发用户的符合控制策略的访问请求。学校的Radius平台与运营商Radius平台通过标准的Radius接口，实现相互之间的对接。

3.4 用户隔离

在南京中医药大校园网中，为了避免用户之间的相互影响，可以通过汇聚层和接入层交换机的VLAN划分，实现不同用户、不同应用之间的二层隔离。VLAN的细分实现不同的用户与业务之间的逻辑隔离，便于实现细粒度的流量管理、控制功能，同时也避免了用户、业务之间的相互影响，如ARP欺骗等问题。

3.5 精细化管理

高性能路由器作为校园网的核心网业务控制设备，实现用户接入网络的精细化管理功能，为用户接入提供的DHCP流程中集成了认证模块，能够实现在用户PC接入网络获取IP地址的同时，就能够同步记录下用户的MAC地址、所在的具体位置（精确到交换机端口，包括内层VLAN ID和外层VLAN ID）、接入网络的时间、获取的IP地址等多种信息，并对每个用户细致的访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。同时，通过接入网络时的信息获取，实现数据统计，如在线用户数，用户请求接入网络数、用户与物理位置的对应等信息，提供相应的统计报表。

3.6 用户的认证计费

通过部署核心路由器实现灵活的用户接入网络认证功能。单台核心路由器需要能够提供并发5万以上在线用户的能力，提供PPPoE和基于Portal等多种认证方式，实现基于用户帐号和其他相关信息（位置信息、时间信息）等的用户认证、控制、计费功能。

在校园网改造后，取消现有的出口代理型认证网关部署方案，主要原因如下：只能实现出校园网时的认证；只能依赖于源IP地址判断用户是否已认证，容易遭受仿冒源地址攻击；只能通过是否有流量来判断用户是否下线，容易误判、计费不准确；性能是瓶颈，且不支持IPv6、组播等特性。

改造后校园网（有线+无线）提供Portal认证，在接入校园网网络时可以提供认证计费和控制，用户可以免费访问校内资源，需要访问其他资源时自动重定向到Portal上认证。

同时，在校内部署学校自己的Radius认证计费服务器，配合核心路由器，提供认证计费功能，用户的角色和访问权限、业务支持、上下行速率等的控制都是由radius下发属性实现。Raidus系统可以与运营商通过标准的Radius接口，实现相互之间的对接功能。

4 结论

南京中医药大学校园网经扁平化优化设计后，将会构建一个简单的的网络架构、一个多业务的系统、一个统一身份认证的平台和一个透明的网络，实现用户的精细化管理，彻底解决ARP病毒和挤占带宽的行为，降低管理维护难度，提升用户满意度，满足日益增长的多业务需求。

参考文献：

[1] 刘素芳.IP网络扁平化的实施[J].科技信息，2010（22）.

[2] 马安龙.利用QINQ技术构建扁平化网络[J].电脑知识与技术，2012（15）.

[3] 徐峰，严学强.浅析移动网络扁平化与虚拟化[J].邮电设计技术，2011（5）.endprint