基于扁平化架构的多校区校园网络建设与精细化管理研究

陈坚

摘要：通过对主校区核心交换机和主干链路进行更新和升级，采用扁平化的架构模式提升整体校园网的性能和可靠性。利用BRAS设备作为全校师生统一认证和计费的网络设备，将用户管理、安全控制、业务控制等各种功能有机地集成在一起，实现包括有线和无线用户、覆盖校园宿舍、公共场所等不同区域多种接入认证统一管理。

關键词：校园网络建设；扁平化架构；精细化管理

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）28-0128-02

A Study on the Multi-campus Network Construction and Refined Management Based on a Delayering Framework

CHEN Jian

（Jiangsu United Institute of Vocational Technology， Nanjing Branch of Finance and Economics， Nanjing 210004， China）

Abstract： By updating and escalating the core switches add trunk links on the main campus， it applies a delayering framework to improve the performance and reliability of the whole campus network. It uses BRAS devices as the unified authentication and billing network equipment for all the staff and students， and integrates all the functions of user administration， security control and business control， so as to achieve the unified administration of access and authentication of both cable and wireless users， covering campus residence halls and public areas.

Key words： campus network construction； delayering framework； refined management

随着职业类院校办学规模的不断扩大、人数的快速增长，普遍存在着多校区办学的状况。同一个学校，2个或2个以上不同地域的校区之间，迫切需要解决跨校区教学管理、教育资源优化与共享等关键问题。这就需要将多校区的网络进行整合，进行有线无线统一认证来实现用户的精细化管理。

校园网络架构正从复杂化的多层架构向扁平化架构方向发展。扁平化的架构模式并非必须或一定就是物理联接层次上的减少，而是指网络逻辑层次的简化。扁平化的网络有着更高的效率也更有利于管理。

扁平化的核心区域由能力最强、功能最丰富的多业务控制网关，即运营商级的BRAS设备提供集中的业务控制和管理，在提供功能和业务时，发挥核心设备的高性能、稳定性、可靠性等优势。

1 多校区校园网络建设

对主校区交换机和主干链路进行更新和升级（万兆骨干），提升整体校园网的性能和可靠性。在主校区新增一台认证网关以及一套认证计费系统，将现网中交换组网架构变为扁平化路由组网架构，建设一张多个校区统一的校园网。实现学校多校区用户的统一接入认证管理，多校区出口带宽的统一调度，以及多校区联合组网下业务的统一部署，并提供用户的精细化管理和差异化服务，给接入用户最优的上网体验。

在主校区新增1台统一认证网关（BRAS设备）和1套认证计费系统，构成校园网的业务控制层，负责对学校所有用户统一的接入控制、认证计费以及精细化管理。

主校区交换机在更新升级的同时，构成了校园网业务接入层。接入交换机负责用户接入，实现每个用户之间的VLAN隔离，汇聚交换机负责VLAN数量扩展，核心交换机负责汇聚并透传所有用户报文到BRAS上终结。

1.1 核心网络的高可靠设计

当整网通过扁平化组网构建了强核心的网络，作为网络核心的BRAS设备的可靠性便成为了整个校园网高效稳定工作的关键。BRAS设备可以通过以下设计来保证自身的稳定：

设备自身的冗余设计。BRAS设备应具备可插拔的冗余引擎、冗余电源、冗余风扇的设计，以避免任意一个单点故障所造成的整个设备故障的可能。

双核心虚拟化的设计。预算经费充足时，可以购置2台BARS设备，通过虚拟化的功能实现多路由器系统的统一管理和控制。将多台物理设备逻辑成一台设备，使多台物理设备协同工作，扩展系统容量，简化网络拓扑和网络策略，提升网络运营效率，大幅降低运维成本，提升网络的收敛速度。同时，通过构建双核心的核心网络，核心网络将建立整体的双链路架构，所有汇聚交换机到核心设备都有两条链路可以使用，同时保证了物理链路的稳定性。

1.2 校区互联的链路需求

先确定主校区作为所有校区的统一出口，所有校区的用户的外网访问和认证都需要通过主校区互联光缆完成，这对链路的带宽质量有了较高的要求。全部采用裸光纤，光纤两端配置万兆模块构建万兆链路，以保证校区互联线路的质量。

1.3 主校区设备及业务部署

在部署上，新增的BRAS配置万兆/千兆接口复合板，下行采用万兆链路与主校区核心交换机互联，提供用户的高速接入，上行采用万兆链路与出口防火墙互联，满足出口带宽的要求。同时BRAS配置三层网关业务，作为用户接入网络的认证网关及DHCP Server，配合认证计费系统实现用户的接入和访问控制。

新增的认证计费系统部署在主校区的数据中心，安装Portal组件及Radius组件，配合BRAS实现全校用户有线、无线一体化的IPOE接入+WEB Portal认证、计费和授权功能，为保证可靠性，认证计费系统采用集群方式部署。

学校的交换机作为校园网的业务接入层网络，进行二层业务部署：接入交换机配置每端口1个VLAN，實现用户之间的2层隔离；汇聚交换机配置QinQ（VLAN嵌套）实现VLAN数量的扩展；核心交换机配置2层业务，实现用户流量的汇聚和透传到BRAS侧终结。每个用户到BRAS之间是2层链路，而每个用户之间又是2层管道化隔离的。

1.4 多校区业务快速统一部署

由于业务控制的集中化（部署和管理均在BRAS上实现），极大方便了新业务的部署，无需各校区的汇聚和接入设备支持具体的业务特性，更无需在各校区的汇聚和接入设备上进行复杂的业务配置（只需负责2层透传），新业务只需要在BRAS统一配置部署即可，大大减少了学校维护人员的工作量。

1.5 有线无线一体化

传统交换组网中难以实现有线无线一体化，因为有线无线用户采用了不同的认证网关，通常有线用户的认证网关在交换机上或者出口网关上，无线用户的认证网关在AC上，并且需要采用不同的认证方式来进行认证（有线、无线各一套），学校不仅要维护多套设备和系统，带来了运维和管理的压力；而且由于认证系统的不统一，导致用户的接入认证方式不一致，体验度较差。

而经过改本次造后，用户接入认证完全由主校区的BRAS和认证平台统一来负责所有用户终端的有线/无线一体化的认证。用户认证方式的如下图所示：

（1）无线控制器不再作为认证点，只负责AP的管理、频段划分、功率和信道的调整；前端的AP则和有线交换机一样，只是提供用户接入的二层彼此隔离的通道。（在系统架构上就保证了不再感染二层局域网内互联传播的病毒，例如前期网上流行的各种勒索病毒）。

（2）红色箭头部分代表无线AC对AP的CAPWAP隧道，仅仅用来作为AC对AP的管理和控制通道，流量较小，对AC的性能和压力影响较小，无线网络更加稳定。

（3）绿色虚线部分是正常用户的上网流量，可以看到这部分流量都是直接终结到BRAS（扁平化网络的核心）上的，对于数量和流量不断增加的无线终端来说，提供更高的转发性能和稳定性。

2 用户的精细化管理

从校园网发展的方向看，传统网络的粗放式管理的方式已经不适应校园网的发展需求。在本次扁平化改造中采用BRAS作为校园网的业务控制设备，配合精细化管理系统实现校园网接入用户的精细化管理功能。

2.1 用户接入

用户统一采用IPoE方式进行接入，用户通过DHCP获取地址，获得免费访问校内资源权限，需要访问校外资源时由出口BRAS自动重定向到统一认证系统的Portal认证界面，用户输入用户名密码认证通过后，认证系统返回用户属性，BRAS根据用户属性，动态修改用户访问权限，用户即可访问校外资源，并由统一认证系统提供用户访问报表的统计信息。

扁平化的校园身份认证中心负责构建所有用户的身份信息仓库，并通过和多业务控制网关、上网行为管理联动做到对入网用户的一次准入准出及上网行为的审计功能。所有身份认证相关服务器通过虚拟化平台进行构建，有效地整合数据中心IT基础设施资源及IT操作。

扁平化出口安全层与传统网络类似，通过防火墙、上网行为管理、负载均衡等多种安全设备构建校园网安全边界，对校园网出口流量进行安全过滤和审计。

（1）BRAS在用户终端接入网络获取IP地址的同时，就能够同步记录下用户的MAC地址、所在的具体位置（精确到交换机端口，包括内层VLAN ID和外层VLAN ID）、接入网络的时间、获取的IP地址等多种信息，配合身份准入系统对每个用户细致的访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。

（2）BRAS配合身份准入系统可以通过五元组（用户身份、接入方式、终端类型、接入时间、接入地点）的灵活组合形成不同用户的访问策略：

①比如教职员工和学生在同一个物理网络中所拥有的权限是不一致的，教职员工可以24小时不间断的在线，但是学生用户在晚上11：00点后就不能继续使用互联网服务，这个就是根据用户身份和接入时间的组合策略；或者可以根据接入地点在图书馆提供24小时的互联网服务，但是在学生宿舍晚上11：00以后就必须断线，这个就是按照接入地点形成的控制策略。

②校园网中，往往一个用户会同时拥有移动手机和笔记本电脑两个终端，对应于同一个帐号，移动手机可以使用每月6元的包月策略，但是笔记本终端必须按照时长来计费。这个就是按照终端类型进行的差异化服务。对于用户来说网络会变得非常智能，网络会因你所需而改变。相信这样的管理方式和计费策略是现有校园网无法做到的。

2.2 Radius可靠性

一般的身份准入系统都提供2种方式的备份机制，以防止单点故障的产生。

（1）主备模式：在BRAS的身份准入系统指向中可以有2套身份准入的地址指向主备身份准入系统，当主身份准入系统坏了后，BRAS检测到身份准入系统不可达后将自动切换到备身份准入系统上运行；而在平时主身份准入和备身份准入也将实时同步用户信息，实现用户信息的实时备份，用户在主身份准入系统坏掉后切换到备身份准入无需再次认证。

（2）逃生模式：身份准入系统还能提供一种逃生模式，在逃生模式下当身份准入系统宕机，身份准入系统将自动开启逃生模式，而这个时候身份准入系统将不提供认证审核及计费请求，即用户无论采用什么账户名密码均可登陆网络，保障了网络的持续可用性。

（3）多校区出口统一调度：优化改造后，可实现多校区出口链路的统一调度，具体实现思路是各校区的接入用户在主校区的BRAS上统一接入后，由后台的认证计费系统根据账号下发不同的访问策略和选路策略给BRAS，再由BRAS控制不同用户走不同校区的出口，而用户的选路策略可以由管理员在认证系统上灵活定义的。

综上所述，通过改造，把认证网关和认证系统统一、使得传统交换网络中的有线和无线两张网融合成一张网，用户无论采用无线或有线方式上网，接入认证管理都是同一套系统，不仅给用户带来一致性的体验，也给学校减轻了运维和管理的压力，从而实现真正意义上有线无线一体化的校园网。

【通联编辑：王力】