扁平化架构校园网络建设与精细化管理

摘要：通过对主校区核心交换机和主干链路进行更新和升级，采用扁平化的架构模式提升整体校园网的性能和可靠性。利用BRAS设备作为全校师生统一认证和计费的网络设备，将用户管理、安全控制、业务控制等各种功能有机地集成在一起，实现包括有线和无线用户，覆盖校园宿舍、公共场所等不同区域多种接入认证统一管理。

关键词：校园网络建设；扁平化架构；精细化

管职业类院校如果有2个或2个以上不同地域的校区，就需要解决跨校区教学管理、教育资源优化与共享等关键问题。这就需要将多校区的网络进行整合，进行有线无线统一认证来实现用户的精细化管理。校园网络架构正从复杂化的多层架构向扁平化架构方向发展。扁平化的架构模式并非必须或一定就是物理联接层次上的减少，而是指网络逻辑层次的简化。扁平化的网络有着更高的效率，也更有利于管理。扁平化的核心区域由能力最强、功能最丰富的多业务控制网关，即运营商级的BRAS设备提供集中的业务控制和管理，在提供功能和业务时，发挥核心设备的高性能、稳定性、可靠性等优势。

一、多校区校园网络建设

对主校区交换机和主干链路进行更新和升级（万兆骨干），整体提升校园网的性能，需在主校区新增1台认证网关以及1套认证计费系统，将现网中交换组网架构变为扁平化路由组网架构，建设一张多个校区统一的校园网，实现学校多校区用户的统一接入认证管理，多校区出口带宽的统一调度，以及多校区联合组网下业务的统一部署，并提供用户的精细化管理和差异化服务，给接入用户最优的上网体验。主校区交换机在更新升级的同时，构成了校园网业务接入层。接入交换机负责用户接入，实现每个用户之间的VLAN隔离，汇聚交换机负责VLAN数量扩展，核心交换机负责汇聚并透传所有用户报文到BRAS上终结。

（一）核心网络的高可靠设计

当整网通过扁平化组网构建了强核心的网络，作为网络核心的BRAS设备的可靠性便成为了整个校园网高效稳定工作的关键。BRAS设备可以通过以下设计来保证自身的稳定：一是设备自身的冗余设计。BRAS设备应具备可插拔的冗余引擎、冗余电源、冗余风扇的设计，以避免任意一个单点故障所造成的整个设备故障的可能。二是双核心虚拟化的设计。预算经费充足时，可以购置2台BARS设备，通过虚拟化的功能实现多路由器系统的统一管理和控制。将多台物理设备虚拟化成一台逻辑设备，使多台物理设备协同工作，扩展系统容量，简化网络拓扑和网络策略，提升网络运营效率，大幅降低运维成本，提升网络的收敛速度。同时，通过构建双核心的核心网络，将建立整体的双链路架构，所有汇聚交换机到核心设备都有两条链路可以使用，同时保证了物理链路的稳定性。

（二）校区互联的链路需求

先确定主校区作为所有校区的统一出口，所有校区用户的外网访问和认证都需要通过主校区互联光缆完成，这对链路的带宽质量有了较高的要求。全部采用裸光纤，光纤两端配置万兆模块构建万兆链路，以保证校区互联线路的质量。

（三）主校区设备及业务部署

新增的BRAS配置万兆/千兆接口复合板，下行采用万兆链路与主校区核心交换机互联，提供用户的高速接入，上行采用万兆链路与出口防火墙互联，满足出口带宽的要求。同时BRAS配置三层网关业务，作为用户接入网络的认证网关及DHCPServer，配合认证计费系统实现用户的接入和访问控制。新增的认证计费系统部署在主校区的数据中心，安装Portal组件及Radius组件，配合BRAS实现全校用户有线、无线一体化的IPOE接入+WEBPortal认证、计费和授权功能，为保证可靠性，认证计费系统采用集群方式部署。学校的交换机作为校园网的业务接入层网络，进行二层业务部署：接入交换机配置每端口1个VLAN，实现用户之间的2层隔离；汇聚交换机配置QinQ（VLAN嵌套），实现VLAN数量的扩展；核心交换机配置2层业务，实现用户流量的汇聚和透传到BRAS侧终结。每个用户到BRAS之间是2层链路，而每个用户之间又是2层管道化隔离的。

（四）多校区业务快速统一部署

由于业务控制的集中化，方便了新业务的部署，无需各校区的汇聚和接入设备支持具体的业务特性，更无需在各校区的汇聚和接入设备上进行复杂的业务配置，新业务只需要在BRAS统一配置部署即可，大大减少了学校维护人员的工作量。（五）有线无线一体化经过改造后的交换租网，用户接入认证完全由主校区的BRAS和认证平台统一来负责所有用户终端的有线/无线一体化的认证。用户认证方式。

二、用户的精细化管理

（一）用户接入

用户统一采用IPoE方式进行接入，用户通过DHCP获取地址，获得免费访问校内资源权限，需要访问校外资源时由出口BRAS自动重定向到统一认证系统的Portal认证界面，用户输入用户名密码认证通过后，认证系统返回用户属性，BRAS根据用户属性，动态修改用户访问权限，用户即可访问校外资源，并由统一认证系统提供用户访问报表的统计信息。扁平化的校园身份认证中心负责构建所有用户的身份信息仓库，并通过和多业务控制网关、上网行为管理联动，做到对入网用户的一次准入准出及上网行为的审计功能。所有身份认证相关服务器通过虚拟化平台进行构建，有效地整合数据中心IT基础设施资源及IT操作。扁平化出口安全层与传统网络类似，通过防火墙、上网行为管理、负载均衡等多种安全设备构建校园网安全边界，对校园网出口流量进行安全过滤和审计。

1.BRAS在用户终端接入网络获取IP地址的同时，就能够同步记录下用户的MAC地址、所在的具体位置（精确到交换机端口，包括内层VLANID和外层VLANID）、接入网络的时间、获取的IP地址等多种信息，配合身份准入系统对每个用户细致的访问权限、上下行速率的控制，从而实现用户接入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。

2.BRAS配合身份准入系统可以通过五元组（用户身份、接入方式、终端类型、接入时间、接入地点）的灵活组合形成不同用户的访问策略：比如教职员工和学生在同一个物理网络中所拥有的权限是不一致的，教职员工可以24小时不间断地在线，但是学生用户在晚上11:00后就不能继续使用互联网服务，这个就是根据用户身份和接入时间的组合策略；或者可以根据接入地点在图书馆提供24小时的互联网服务，但是在学生宿舍晚上11:00以后就必须断线，这个就是按照接入地点形成的控制策略。

（二）Radius可靠性

一般的身份准入系统都提供2种方式的备份机制，以防止单点故障的产生。

1.主备模式：在BRAS的身份准入系统指向中可以有2套身份准入的地址指向主备身份准入系统，当主身份准入系统损坏了，BRAS检测到身份准入系统不可达后将自动切换到备身份准入系统上运行；而在平时主身份准入和备身份准入也将实时同步用户信息，实现用户信息的实时备份，用户在主身份准入系统坏掉后切换到备身份准入无需再次认证。

2.逃生模式：身份准入系统还能提供一种逃生模式，在逃生模式下，当身份准入系统宕机，身份准入系统将自动开启逃生模式，而这个时候身份准入系统将不提供认证审核及计费请求，即用户无论采用什么账户名密码均可登陆网络，保障了网络的持续可用性。

（三）多校区出口统一调度

优化改造后，可实现多校区出口链路的统一调度，各校区的接入用户在主校区BRAS上统一接入后，由后台的认证计费系统根据账号下发不同的访问策略和选路策略给BRAS，再由BRAS控制不同用户走不同校区的出口，而用户的选路策略可以由管理员在认证系统上灵活定义的。

综上所述，通过改造，把认证网关和认证系统统一，使得传统交换网络中的有线和无线两张网融合成一张网，用户无论采用无线或有线方式上网，接入认证管理都是同一套系统，不仅给用户带来一致性的体验，也给学校减轻了运维和管理的压力，从而实现真正意义上有线无线一体化的校园网。

作者:陈坚