校园网扁平化升级改造分析

作者简介：岳超（1989— ），男，山东菏泽人，工程师，硕士；研究方向：网络技术。

摘要：随着教育信息化的快速发展，广大师生对校园网络的依赖度越来越高。尤其是特殊时期，线上教学成为唯一的教学模式，这对校园网来说是一个前所未有的挑战。校园网作为承载高校信息化业务的唯一信息载体，具有以下特点：用户群体规模大、网络设备数量大、运维难度大、带宽需求大、承载业务种类多、网络安全要求高等。如何规划设计网络、高效运维网络、安全管理网络是各大高校普遍面临的问题。文章以校园网架构升级改造项目为依据，从规划设计、项目实施以及技术实现等方面，介绍校园网建设运维方面的经验。

关键词：扁平化；架构升级；设计

中图分类号：TP393.18 文献标志码：A

0 引言

2014年左右，各高校逐渐开展校园网的二层改造，将传统的核心层、汇聚层和接入层组成的三层组网模式改造为扁平化的大二层结构。传统网络大多以准出认证为主，即在出口设备下端串接认证设备以达到认证计费的目的，认证设备下端走三层路由协议实现各区域的互联互通。随着用户规模的扩大以及网络设备的增加，该架构的维护难度越来越大，运维效率逐渐降低。鉴于现状，为减轻运维压力，提高运维效率，各高校开始寻求新的组网模式。扁平化管理大二层结构的组网模式便得到了各高校的青睐，成为各高校网络架构改造的首选模式。如何在实践扁平化网络的过程中，对校园网进行精细化管理是研究的热点问题［1］。

1 建设目标

通过对校园网现状的改造，建设一个有线无线一体化、IPv4/IPv6双栈式、高可用、可扩展、易维护、可溯源的安全的网络架构，满足未来5—8年的信息化发展需求，同时具备后期SND改造的条件。

2 网络规划

采取扁平化的校园网络进行精细管理，一方面能够使网络组网具有更加清晰的层次，在使用网络的过程中更加安全，另一方面能够有效地满足不同用户的需求，进一步推动校园网的未来发展［2］。

2.1 设备参数

要实现高可用的校园网，首要目标是坚决避免校园网内部网络节点的性能瓶颈。传统的校园网的核心区域网络多为千兆/万兆互联，当校园带宽出口超过10G时，就会在校园网内部形成转发瓶颈，造成出口带宽的浪费。本次项目的建设目标为：千兆到桌面，万兆到汇聚，40G到核心，80G到出口；同时所有设备必须支持IPv4/IPv6双栈协议，线速转发及支持VXLAN网关以满足后期SDN组网改造的需求。

2.2 网络业务梳理

网络业务梳理是对复杂的网络环境进行归纳总结，条理化地分割网络应用场景，为下一步IP地址的规划提供参考依据。总体上可分为有线业务和无线业务。

有线业务：普通办公、教室、实验室、哑终端（网络打印机、门禁、摄像头等）、网络设备管理、物理服务器、虚拟服务器、docker业务、设备带外管理等。

無线业务：学生无线、教职工无线、eduroam、guest等。

2.3 IP子网规划

规划原则：采用私有地址和公网地址相结合的方式，容量大、可扩展，考虑到学校网络安全要求的因素，以下数据仅供参考，非本校实际数据。

有线业务：普通办公（10.1.X.X/16）、教室（10.2.X.X/16）、实验室（10.3.X.X/16）、哑终端（10.4.X.X/16）、网络设备管理（10.5.X.X/16）、物理服务器（10.6.X.X/16）、虚拟服务器（10.7.X.X/16）、docker业务（10.8.X.X/16）、设备带外管理（10.9.0.0/16）等。

无线业务：学生无线（172.16.X.X/16）、教师无线（172.17.X.X/16）、eduroam（172.18.X.X/16）、guest（172.19.X.X/16）等。

2.4 VLAN划分

本次项目主要采取基于QinQ技术结合BRAS的扁平化大二层改造的方式。VLAN的划分至关重要。QinQ技术可以简单地理解为双VLAN标签的封装技术，后面详细介绍。根据QinQ的技术特点，结合具体情况。采用以外层VLAN标签作为对楼宇弱电间的标志，内层标签作为用户标签。

示例1：外层标签2111，2代表校区，中间11代表楼宇，最后的1代表楼宇的第一个弱电间；内层标签101-148代表该弱电间的第一台接入设备，201-248代表该弱电间的第二台接入设备，VLAN1301代表网络打印机，VLAN1302代表摄像头，VLAN1303代表门禁等。

2.5 认证方式

2.5.1 家属区认证方式

家属区用户认证方式前期采用的是Web认证方式，存在以下问题：

（1）操作复杂，须人工干预；

（2）超时重连、多次认证；

为避免上述问题，结合学校实际情况以及用户上网场景，采用PPPoE拨号上网的方式。

2.5.2 办公区认证方式

家属区存在的问题，办公区同样存在，但各办公室的实际情况不尽相同。大多数办公区没有路由器，不具备拨号上网的条件，若使用电脑拨号的方式对用户的上网操作是一个挑战。为提高用户的上网体验，故采用WEB认证，为避免频繁登录或者长时间不用自动注销的现象，本次项目增加MAC地址认证以实现用户的无感知上线功能，即IPoE+Web认证+MAC地址无感知认证。

2.5.3 哑终端认证方式

哑终端不具备拨号上网或者WEB登录的功能，且考虑到网络接入的安全，故采用静态IP地址加MAC地址绑定的方式进行认证。

3 关键技术

3.1 QinQ协议

QinQ产生背景：一是解决日益紧缺的VLAN ID资源问题；二是满足业务精细化管理的需求。QinQ（802.1Q-in-802.1Q），又名为VLANStacking或Double VLAN，由IEEE 802.1ad标准定义，是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的目的。

IEEE 802.1Q中定义的VLAN ID只有12个比特，仅能表示4096个VLAN域。随着网络规模的扩大，4096个VLAN域已无法满足网络扩容的需求。因此，IEEE 802.1ad中在原有的802.1Q报文的基础上增加一层802.1Q Tag（又名VLAN Tag或标签），对VLAN Tag字段扩展以后VLAN数目就可以达到4094×4094个，这样就能满足隔离大量用户的需求（其中VLAN0和VLAN4095用作协议保留，一般不启用业务。故VLAN的取值范围为1—4094），这种双层Tag的报文就叫做QinQ报文［3］。

3.2 PPPoE协议

3.2.1 PPP协议

PPP协议是点对点二层通信协议，提供在点对点链路上传输多协议数据报的标准方法，是数据链路层的一种封装协议。传统的以太网二层是以广播的形式实现数据通信，PPP协议是在两个通信节点之间实现点对点的数据交换转发。图1为PPP协议的帧格式。

FLAG：在PPP协议中，头部和尾部都有一个Flag字段，Flag字段标志着一个PPP帧的开始和结束。FLAG字段长度8bit，固定值为0x7e。Address：在PPP协议中，因为进行通信的为点对点，区别于以太网必须使用MAC地址来表明数据帧的发送者和接收者。PPP协议中的Address字段取值固定为0xff。

Control：长度8bit，取值固定0x03，无特殊作用。

Protocol：长度16bit，其取值类似以太网帧的类型，表明了上层数据的类型。

FCS：长度16bit，用于帧校验。一个设备在收到PPP帧后会进行PPP帧校验，如果发现PPP在传输过程中出错，该帧会被立即丢弃。PPP协议没有纠错和重传机制。

3.2.2 PPP认证方式

PPP的认证方式主要有两种：PAP和CHAP。PAP在传输中采用明文认证，通过两次握手实现，存在安全风险；CHAP在传输中不传输密码，取代的是密码的hash值，通过三次握手实现，安全性高。

3.2.3 PPP链路建立过程

PPP链路的状态共分为Dead、Establish、Authenticate、Network、Terminate等5种，如图2所示。

Dead状态表示物理层无连接，链路建立的初始阶段。

物理层建立连接成功后，进入Establish确认阶段，通过双方设备互相交互LCP的链路配置包完成链路层的协商，若协商成功，则进入LCP的Open状态，进入下一步协商，否则退回到Dead状态。

链路进入Open状态后，下一步需要检查是否配置认证，如果是，则进入Authenticate阶段，如果否，则链路直接放通，状态变为Network阶段。在Authenticate状态如果能够认证成功，则进入Network阶段，如果认证失败，则会迁移到Terminate状态。

Network是网络层参数协商阶段，会为每一个网络层协议选择对应的NCP协议进行参数商定，仅当协商成功，进入NCP到达Open状态后，网络层流量才能被PPP链路承载。

Terminate阶段也就是终止链路阶段，PPP链路可以在任意时间被终止，除刚刚的认证失败的情况，LCP的链路结束包，网络管理员手动关闭链路等都会让PPP进入这个阶段。

PPPoE是PPP协议与以太网协议的一种结合协议。其本质就是在传统广播式的以太网中模拟创建一种点对点的通信场景。因以太网是一个广播网络，而PPP协议的建立需要知道双方地址，所有PPPoE建立会话的第一个步骤就是通过广播帧，拿到对方的Mac地址，接下来的会话建立与PPP协议一致。

3.3 IPoE技術

IPoE是DHCP+认证技术，DHCP可配合其他技术实现认证，比如Web+Radius，DHCP+OPTION扩展字段，所有这些扩展认证方式统称为DHCP+认证，又称为IPoE认证方式［4］。

IPoE（IP over Ethernet）是一种常见的IPoX接入方式，目前支持绑定和Web两种认证方式。绑定认证是指BRAS（Broadband Remote Access Server，宽带远程接入服务器）设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式，无需用户输入用户名和密码；Web认证是指客户端通过http或者https的方式，手动输入登录页面或者以重定向的方式在登录页面输入个人账号信息实现认证的一种方式。

3.3.1 IPoE系统组成

一个完整的IPoE系统由用户主机、接入设备、AAA服务器、安全策略服务器、DHCP服务器、Portal服务器等组成，如图3所示。用户主机代表终端用户；接入设备负责接收、转发用户请求，建立用户会话等功能；AAA服务器负责认证功能；安全策略服务器负责下发安全策略；DHCP服务器负责完成用户的DHCP请求，完成IP的分配工作；Portal服务器负责向用户提供Web页面，向认证设备提供认证信息。

3.3.2 IPoE的接入模式

IPoE的接入模式分为二层和三层两种模式，对应的用户分别通过二层网络或三层网络接入。

二层接入：客户端和接入控制设备在同一二层广播网络内或者通过点对点的方式二层可达，接入控制设备能够识别到客户端的物理地址。

三层接入：客户端通过路由的方式与接入控制设备实现互联互通，接入控制设备无法获取客户端的物理地址。

3.3.3 DHCP单协议栈用户接入流程

当用户通过DHCP方式动态获取IP地址时，IPoE截获用户的DHCP报文，首先对用户进行身份认证，如认证通过则允许继续申请动态IP地址，否则终止IPoE接入过程。详细流程如图4所示。

（1）终端设备在二层网络中广播DHCP-DISCOVER报文；

（2）DHCP-relay设备在接收到的discover报文的扩展属性中添加vlan号，物理端口号等信息；

（3）同时DHCP-relay设备会在本地创建相应的会话，将包含终端设备信息的discover报文发送到AAA认证服务器；

（4）AAA认证服务器根据接收到的终端设备信息，通过跟后端数据库匹配判断，返回相应信息；

（5）根据AAA认证服务器返回的结果信息，及时更新IPoE会话的状态，保持或者销毁；

（6）若通过，则将discover报文继续发送至DHCP服务器，否则直接丢弃；

（7）DHCP服务器根据接收到的discover报文信息，返回offer应答报文；

（8）终端设备以接收到的第一个offer报文为准，并向其发送request报文；

（9）DHCP服务器通过判断IP分配的合法性，发送ack报文；

（10）DHCP relay设备通过提起ack报文中的网络参数，更新会话，并下发相应策略；

（11）DHCP relay设备将ack报文转发给终端设备，更新自身网络参数；

（12）接入控制设备向AAA发起计费请求，计费开始。

4 结语

教育信息化经历了蛰伏期，正处于蓬勃发展的阶段，校园网络作为信息化发展的基建工程，發挥着重要作用。上层应用的稳定性、安全性、可靠性、延续性倒逼着校园网必须具备健壮性、稳定性、可靠性、灵活性的特点。随着信息技术以及网络技术的发展，SDN网络必将成为未来校园网升级改造的一个趋势。不过目前SDN技术存在一个致命的缺点，各厂商的SDN控制器只能控制本厂商的VXLAN网关设备，这一弊端与SDN的开放、开源特性相违背。希望SDN未来会克服这一不足之处，使校园组网变得更加安全、灵活、快捷。

参考文献

［1］张勇.网络扁平化实践中对校园网精细化管理的探究［J］.科研，2015（44）：191.

［2］冯健飞，宁玉文，靳豪杰，等.扁平化结构下的网络管理系统设计与实现［J］.电脑知识与技术，2019（22）：33-36.

［3］陈卫民.基于QinQ技术的高校校园网研究［J］.湖南城市学院学报，2011（2）：66-68.

［4］王宝钢.IP城域网综合接入认证系统的分析与设计［D］.北京：北京邮电大学，2008.

（编辑 傅金睿）

Abstract： With the rapid development of education informatization， the majority of teachers and students are becoming more and more dependent on the campus network， especially during the epidemic period， online teaching has become the only teaching mode， which is an unprecedented challenge to the campus network. As the only information carrier carrying the information services of colleges and universities， the campus network has the following characteristics： large user group scale， large number of network equipment， large difficulty of operation and maintenance， large bandwidth demand， many types of carrying services， and high network security requirements. How to plan and design the network， efficient operation and maintenance network， security management network are the common problems faced by various universities. Based on the campus network architecture upgrading and transformation project， this paper introduces our experience in the campus network construction， operation and maintenance from the aspects of planning and design， project implementation and technical implementation.

Key words： flattening; architecture upgrade; design