校園網(wǎng)扁平化升級改造分析

作者簡介：岳超（1989— ），男，山東菏澤人，工程師，碩士；研究方向：網(wǎng)絡技術。

摘要：隨著教育信息化的快速發(fā)展，廣大師生對校園網(wǎng)絡的依賴度越來越高。尤其是特殊時期，線上教學成為唯一的教學模式，這對校園網(wǎng)來說是一個前所未有的挑戰(zhàn)。校園網(wǎng)作為承載高校信息化業(yè)務的唯一信息載體，具有以下特點：用戶群體規(guī)模大、網(wǎng)絡設備數(shù)量大、運維難度大、帶寬需求大、承載業(yè)務種類多、網(wǎng)絡安全要求高等。如何規(guī)劃設計網(wǎng)絡、高效運維網(wǎng)絡、安全管理網(wǎng)絡是各大高校普遍面臨的問題。文章以校園網(wǎng)架構升級改造項目為依據(jù)，從規(guī)劃設計、項目實施以及技術實現(xiàn)等方面，介紹校園網(wǎng)建設運維方面的經(jīng)驗。

關鍵詞：扁平化；架構升級；設計

中圖分類號：TP393.18 文獻標志碼：A

0 引言

2014年左右，各高校逐漸開展校園網(wǎng)的二層改造，將傳統(tǒng)的核心層、匯聚層和接入層組成的三層組網(wǎng)模式改造為扁平化的大二層結構。傳統(tǒng)網(wǎng)絡大多以準出認證為主，即在出口設備下端串接認證設備以達到認證計費的目的，認證設備下端走三層路由協(xié)議實現(xiàn)各區(qū)域的互聯(lián)互通。隨著用戶規(guī)模的擴大以及網(wǎng)絡設備的增加，該架構的維護難度越來越大，運維效率逐漸降低。鑒于現(xiàn)狀，為減輕運維壓力，提高運維效率，各高校開始尋求新的組網(wǎng)模式。扁平化管理大二層結構的組網(wǎng)模式便得到了各高校的青睞，成為各高校網(wǎng)絡架構改造的首選模式。如何在實踐扁平化網(wǎng)絡的過程中，對校園網(wǎng)進行精細化管理是研究的熱點問題［1］。

1 建設目標

通過對校園網(wǎng)現(xiàn)狀的改造，建設一個有線無線一體化、IPv4/IPv6雙棧式、高可用、可擴展、易維護、可溯源的安全的網(wǎng)絡架構，滿足未來5—8年的信息化發(fā)展需求，同時具備后期SND改造的條件。

2 網(wǎng)絡規(guī)劃

采取扁平化的校園網(wǎng)絡進行精細管理，一方面能夠使網(wǎng)絡組網(wǎng)具有更加清晰的層次，在使用網(wǎng)絡的過程中更加安全，另一方面能夠有效地滿足不同用戶的需求，進一步推動校園網(wǎng)的未來發(fā)展［2］。

2.1 設備參數(shù)

要實現(xiàn)高可用的校園網(wǎng)，首要目標是堅決避免校園網(wǎng)內部網(wǎng)絡節(jié)點的性能瓶頸。傳統(tǒng)的校園網(wǎng)的核心區(qū)域網(wǎng)絡多為千兆/萬兆互聯(lián)，當校園帶寬出口超過10G時，就會在校園網(wǎng)內部形成轉發(fā)瓶頸，造成出口帶寬的浪費。本次項目的建設目標為：千兆到桌面，萬兆到匯聚，40G到核心，80G到出口；同時所有設備必須支持IPv4/IPv6雙棧協(xié)議，線速轉發(fā)及支持VXLAN網(wǎng)關以滿足后期SDN組網(wǎng)改造的需求。

2.2 網(wǎng)絡業(yè)務梳理

網(wǎng)絡業(yè)務梳理是對復雜的網(wǎng)絡環(huán)境進行歸納總結，條理化地分割網(wǎng)絡應用場景，為下一步IP地址的規(guī)劃提供參考依據(jù)?？傮w上可分為有線業(yè)務和無線業(yè)務。

有線業(yè)務：普通辦公、教室、實驗室、啞終端（網(wǎng)絡打印機、門禁、攝像頭等）、網(wǎng)絡設備管理、物理服務器、虛擬服務器、docker業(yè)務、設備帶外管理等。

無線業(yè)務：學生無線、教職工無線、eduroam、guest等。

2.3 IP子網(wǎng)規(guī)劃

規(guī)劃原則：采用私有地址和公網(wǎng)地址相結合的方式，容量大、可擴展，考慮到學校網(wǎng)絡安全要求的因素，以下數(shù)據(jù)僅供參考，非本校實際數(shù)據(jù)。

有線業(yè)務：普通辦公（10.1.X.X/16）、教室（10.2.X.X/16）、實驗室（10.3.X.X/16）、啞終端（10.4.X.X/16）、網(wǎng)絡設備管理（10.5.X.X/16）、物理服務器（10.6.X.X/16）、虛擬服務器（10.7.X.X/16）、docker業(yè)務（10.8.X.X/16）、設備帶外管理（10.9.0.0/16）等。

無線業(yè)務：學生無線（172.16.X.X/16）、教師無線（172.17.X.X/16）、eduroam（172.18.X.X/16）、guest（172.19.X.X/16）等。

2.4 VLAN劃分

本次項目主要采取基于QinQ技術結合BRAS的扁平化大二層改造的方式。VLAN的劃分至關重要。QinQ技術可以簡單地理解為雙VLAN標簽的封裝技術，后面詳細介紹。根據(jù)QinQ的技術特點，結合具體情況。采用以外層VLAN標簽作為對樓宇弱電間的標志，內層標簽作為用戶標簽。

示例1：外層標簽2111，2代表校區(qū)，中間11代表樓宇，最后的1代表樓宇的第一個弱電間；內層標簽101-148代表該弱電間的第一臺接入設備，201-248代表該弱電間的第二臺接入設備，VLAN1301代表網(wǎng)絡打印機，VLAN1302代表攝像頭，VLAN1303代表門禁等。

2.5 認證方式

2.5.1 家屬區(qū)認證方式

家屬區(qū)用戶認證方式前期采用的是Web認證方式，存在以下問題：

（1）操作復雜，須人工干預；

（2）超時重連、多次認證；

為避免上述問題，結合學校實際情況以及用戶上網(wǎng)場景，采用PPPoE撥號上網(wǎng)的方式。

2.5.2 辦公區(qū)認證方式

家屬區(qū)存在的問題，辦公區(qū)同樣存在，但各辦公室的實際情況不盡相同。大多數(shù)辦公區(qū)沒有路由器，不具備撥號上網(wǎng)的條件，若使用電腦撥號的方式對用戶的上網(wǎng)操作是一個挑戰(zhàn)。為提高用戶的上網(wǎng)體驗，故采用WEB認證，為避免頻繁登錄或者長時間不用自動注銷的現(xiàn)象，本次項目增加MAC地址認證以實現(xiàn)用戶的無感知上線功能，即IPoE+Web認證+MAC地址無感知認證。

2.5.3 啞終端認證方式

啞終端不具備撥號上網(wǎng)或者WEB登錄的功能，且考慮到網(wǎng)絡接入的安全，故采用靜態(tài)IP地址加MAC地址綁定的方式進行認證。

3 關鍵技術

3.1 QinQ協(xié)議

QinQ產(chǎn)生背景：一是解決日益緊缺的VLAN ID資源問題；二是滿足業(yè)務精細化管理的需求。QinQ（802.1Q-in-802.1Q），又名為VLANStacking或Double VLAN，由IEEE 802.1ad標準定義，是一項擴展VLAN空間的技術，通過在802.1Q標簽報文的基礎上再增加一層802.1Q的Tag來達到擴展VLAN空間的目的。

IEEE 802.1Q中定義的VLAN ID只有12個比特，僅能表示4096個VLAN域。隨著網(wǎng)絡規(guī)模的擴大，4096個VLAN域已無法滿足網(wǎng)絡擴容的需求。因此，IEEE 802.1ad中在原有的802.1Q報文的基礎上增加一層802.1Q Tag（又名VLAN Tag或標簽），對VLAN Tag字段擴展以后VLAN數(shù)目就可以達到4094×4094個，這樣就能滿足隔離大量用戶的需求（其中VLAN0和VLAN4095用作協(xié)議保留，一般不啟用業(yè)務。故VLAN的取值范圍為1—4094），這種雙層Tag的報文就叫做QinQ報文［3］。

3.2 PPPoE協(xié)議

3.2.1 PPP協(xié)議

PPP協(xié)議是點對點二層通信協(xié)議，提供在點對點鏈路上傳輸多協(xié)議數(shù)據(jù)報的標準方法，是數(shù)據(jù)鏈路層的一種封裝協(xié)議。傳統(tǒng)的以太網(wǎng)二層是以廣播的形式實現(xiàn)數(shù)據(jù)通信，PPP協(xié)議是在兩個通信節(jié)點之間實現(xiàn)點對點的數(shù)據(jù)交換轉發(fā)。圖1為PPP協(xié)議的幀格式。

FLAG：在PPP協(xié)議中，頭部和尾部都有一個Flag字段，F(xiàn)lag字段標志著一個PPP幀的開始和結束。FLAG字段長度8bit，固定值為0x7e。Address：在PPP協(xié)議中，因為進行通信的為點對點，區(qū)別于以太網(wǎng)必須使用MAC地址來表明數(shù)據(jù)幀的發(fā)送者和接收者。PPP協(xié)議中的Address字段取值固定為0xff。

Control：長度8bit，取值固定0x03，無特殊作用。

Protocol：長度16bit，其取值類似以太網(wǎng)幀的類型，表明了上層數(shù)據(jù)的類型。

FCS：長度16bit，用于幀校驗。一個設備在收到PPP幀后會進行PPP幀校驗，如果發(fā)現(xiàn)PPP在傳輸過程中出錯，該幀會被立即丟棄。PPP協(xié)議沒有糾錯和重傳機制。

3.2.2 PPP認證方式

PPP的認證方式主要有兩種：PAP和CHAP。PAP在傳輸中采用明文認證，通過兩次握手實現(xiàn)，存在安全風險；CHAP在傳輸中不傳輸密碼，取代的是密碼的hash值，通過三次握手實現(xiàn)，安全性高。

3.2.3 PPP鏈路建立過程

PPP鏈路的狀態(tài)共分為Dead、Establish、Authenticate、Network、Terminate等5種，如圖2所示。

Dead狀態(tài)表示物理層無連接，鏈路建立的初始階段。

物理層建立連接成功后，進入Establish確認階段，通過雙方設備互相交互LCP的鏈路配置包完成鏈路層的協(xié)商，若協(xié)商成功，則進入LCP的Open狀態(tài)，進入下一步協(xié)商，否則退回到Dead狀態(tài)。

鏈路進入Open狀態(tài)后，下一步需要檢查是否配置認證，如果是，則進入Authenticate階段，如果否，則鏈路直接放通，狀態(tài)變?yōu)镹etwork階段。在Authenticate狀態(tài)如果能夠認證成功，則進入Network階段，如果認證失敗，則會遷移到Terminate狀態(tài)。

Network是網(wǎng)絡層參數(shù)協(xié)商階段，會為每一個網(wǎng)絡層協(xié)議選擇對應的NCP協(xié)議進行參數(shù)商定，僅當協(xié)商成功，進入NCP到達Open狀態(tài)后，網(wǎng)絡層流量才能被PPP鏈路承載。

Terminate階段也就是終止鏈路階段，PPP鏈路可以在任意時間被終止，除剛剛的認證失敗的情況，LCP的鏈路結束包，網(wǎng)絡管理員手動關閉鏈路等都會讓PPP進入這個階段。

PPPoE是PPP協(xié)議與以太網(wǎng)協(xié)議的一種結合協(xié)議。其本質就是在傳統(tǒng)廣播式的以太網(wǎng)中模擬創(chuàng)建一種點對點的通信場景。因以太網(wǎng)是一個廣播網(wǎng)絡，而PPP協(xié)議的建立需要知道雙方地址，所有PPPoE建立會話的第一個步驟就是通過廣播幀，拿到對方的Mac地址，接下來的會話建立與PPP協(xié)議一致。

3.3 IPoE技術

IPoE是DHCP+認證技術，DHCP可配合其他技術實現(xiàn)認證，比如Web+Radius，DHCP+OPTION擴展字段，所有這些擴展認證方式統(tǒng)稱為DHCP+認證，又稱為IPoE認證方式［4］。

IPoE（IP over Ethernet）是一種常見的IPoX接入方式，目前支持綁定和Web兩種認證方式。綁定認證是指BRAS（Broadband Remote Access Server，寬帶遠程接入服務器）設備根據(jù)用戶接入的位置信息自動生成用戶名和密碼進行身份認證的一種認證方式，無需用戶輸入用戶名和密碼；Web認證是指客戶端通過http或者https的方式，手動輸入登錄頁面或者以重定向的方式在登錄頁面輸入個人賬號信息實現(xiàn)認證的一種方式。

3.3.1 IPoE系統(tǒng)組成

一個完整的IPoE系統(tǒng)由用戶主機、接入設備、AAA服務器、安全策略服務器、DHCP服務器、Portal服務器等組成，如圖3所示。用戶主機代表終端用戶；接入設備負責接收、轉發(fā)用戶請求，建立用戶會話等功能；AAA服務器負責認證功能；安全策略服務器負責下發(fā)安全策略；DHCP服務器負責完成用戶的DHCP請求，完成IP的分配工作；Portal服務器負責向用戶提供Web頁面，向認證設備提供認證信息。

3.3.2 IPoE的接入模式

IPoE的接入模式分為二層和三層兩種模式，對應的用戶分別通過二層網(wǎng)絡或三層網(wǎng)絡接入。

二層接入：客戶端和接入控制設備在同一二層廣播網(wǎng)絡內或者通過點對點的方式二層可達，接入控制設備能夠識別到客戶端的物理地址。

三層接入：客戶端通過路由的方式與接入控制設備實現(xiàn)互聯(lián)互通，接入控制設備無法獲取客戶端的物理地址。

3.3.3 DHCP單協(xié)議棧用戶接入流程

當用戶通過DHCP方式動態(tài)獲取IP地址時，IPoE截獲用戶的DHCP報文，首先對用戶進行身份認證，如認證通過則允許繼續(xù)申請動態(tài)IP地址，否則終止IPoE接入過程。詳細流程如圖4所示。

（1）終端設備在二層網(wǎng)絡中廣播DHCP-DISCOVER報文；

（2）DHCP-relay設備在接收到的discover報文的擴展屬性中添加vlan號，物理端口號等信息；

（3）同時DHCP-relay設備會在本地創(chuàng)建相應的會話，將包含終端設備信息的discover報文發(fā)送到AAA認證服務器；

（4）AAA認證服務器根據(jù)接收到的終端設備信息，通過跟后端數(shù)據(jù)庫匹配判斷，返回相應信息；

（5）根據(jù)AAA認證服務器返回的結果信息，及時更新IPoE會話的狀態(tài)，保持或者銷毀；

（6）若通過，則將discover報文繼續(xù)發(fā)送至DHCP服務器，否則直接丟棄；

（7）DHCP服務器根據(jù)接收到的discover報文信息，返回offer應答報文；

（8）終端設備以接收到的第一個offer報文為準，并向其發(fā)送request報文；

（9）DHCP服務器通過判斷IP分配的合法性，發(fā)送ack報文；

（10）DHCP relay設備通過提起ack報文中的網(wǎng)絡參數(shù)，更新會話，并下發(fā)相應策略；

（11）DHCP relay設備將ack報文轉發(fā)給終端設備，更新自身網(wǎng)絡參數(shù)；

（12）接入控制設備向AAA發(fā)起計費請求，計費開始。

4 結語

教育信息化經(jīng)歷了蟄伏期，正處于蓬勃發(fā)展的階段，校園網(wǎng)絡作為信息化發(fā)展的基建工程，發(fā)揮著重要作用。上層應用的穩(wěn)定性、安全性、可靠性、延續(xù)性倒逼著校園網(wǎng)必須具備健壯性、穩(wěn)定性、可靠性、靈活性的特點。隨著信息技術以及網(wǎng)絡技術的發(fā)展，SDN網(wǎng)絡必將成為未來校園網(wǎng)升級改造的一個趨勢。不過目前SDN技術存在一個致命的缺點，各廠商的SDN控制器只能控制本廠商的VXLAN網(wǎng)關設備，這一弊端與SDN的開放、開源特性相違背。希望SDN未來會克服這一不足之處，使校園組網(wǎng)變得更加安全、靈活、快捷。

參考文獻

［1］張勇.網(wǎng)絡扁平化實踐中對校園網(wǎng)精細化管理的探究［J］.科研，2015（44）：191.

［2］馮健飛，寧玉文，靳豪杰，等.扁平化結構下的網(wǎng)絡管理系統(tǒng)設計與實現(xiàn)［J］.電腦知識與技術，2019（22）：33-36.

［3］陳衛(wèi)民.基于QinQ技術的高校校園網(wǎng)研究［J］.湖南城市學院學報，2011（2）：66-68.

［4］王寶鋼.IP城域網(wǎng)綜合接入認證系統(tǒng)的分析與設計［D］.北京：北京郵電大學，2008.

（編輯 傅金睿）

Abstract： With the rapid development of education informatization， the majority of teachers and students are becoming more and more dependent on the campus network， especially during the epidemic period， online teaching has become the only teaching mode， which is an unprecedented challenge to the campus network. As the only information carrier carrying the information services of colleges and universities， the campus network has the following characteristics： large user group scale， large number of network equipment， large difficulty of operation and maintenance， large bandwidth demand， many types of carrying services， and high network security requirements. How to plan and design the network， efficient operation and maintenance network， security management network are the common problems faced by various universities. Based on the campus network architecture upgrading and transformation project， this paper introduces our experience in the campus network construction， operation and maintenance from the aspects of planning and design， project implementation and technical implementation.

Key words： flattening; architecture upgrade; design