導語：扁平化架構校園網絡建設與精細化管理一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：通過對主校區核心交換機和主干鏈路進行更新和升級，采用扁平化的架構模式提升整體校園網的性能和可靠性。利用BRAS設備作為全校師生統一認證和計費的網絡設備，將用戶管理、安全控制、業務控制等各種功能有機地集成在一起，實現包括有線和無線用戶，覆蓋校園宿舍、公共場所等不同區域多種接入認證統一管理。

關鍵詞：校園網絡建設；扁平化架構；精細化

管職業類院校如果有2個或2個以上不同地域的校區，就需要解決跨校區教學管理、教育資源優化與共享等關鍵問題。這就需要將多校區的網絡進行整合，進行有線無線統一認證來實現用戶的精細化管理。校園網絡架構正從復雜化的多層架構向扁平化架構方向發展。扁平化的架構模式并非必須或一定就是物理聯接層次上的減少，而是指網絡邏輯層次的簡化。扁平化的網絡有著更高的效率，也更有利于管理。扁平化的核心區域由能力最強、功能最豐富的多業務控制網關，即運營商級的BRAS設備提供集中的業務控制和管理，在提供功能和業務時，發揮核心設備的高性能、穩定性、可靠性等優勢。

一、多校區校園網絡建設

對主校區交換機和主干鏈路進行更新和升級（萬兆骨干），整體提升校園網的性能，需在主校區新增1臺認證網關以及1套認證計費系統，將現網中交換組網架構變為扁平化路由組網架構，建設一張多個校區統一的校園網，實現學校多校區用戶的統一接入認證管理，多校區出口帶寬的統一調度，以及多校區聯合組網下業務的統一部署，并提供用戶的精細化管理和差異化服務，給接入用戶最優的上網體驗。主校區交換機在更新升級的同時，構成了校園網業務接入層。接入交換機負責用戶接入，實現每個用戶之間的VLAN隔離，匯聚交換機負責VLAN數量擴展，核心交換機負責匯聚并透傳所有用戶報文到BRAS上終結。

（一）核心網絡的高可靠設計

當整網通過扁平化組網構建了強核心的網絡，作為網絡核心的BRAS設備的可靠性便成為了整個校園網高效穩定工作的關鍵。BRAS設備可以通過以下設計來保證自身的穩定：一是設備自身的冗余設計。BRAS設備應具備可插拔的冗余引擎、冗余電源、冗余風扇的設計，以避免任意一個單點故障所造成的整個設備故障的可能。二是雙核心虛擬化的設計。預算經費充足時，可以購置2臺BARS設備，通過虛擬化的功能實現多路由器系統的統一管理和控制。將多臺物理設備虛擬化成一臺邏輯設備，使多臺物理設備協同工作，擴展系統容量，簡化網絡拓撲和網絡策略，提升網絡運營效率，大幅降低運維成本，提升網絡的收斂速度。同時，通過構建雙核心的核心網絡，將建立整體的雙鏈路架構，所有匯聚交換機到核心設備都有兩條鏈路可以使用，同時保證了物理鏈路的穩定性。

（二）校區互聯的鏈路需求

先確定主校區作為所有校區的統一出口，所有校區用戶的外網訪問和認證都需要通過主校區互聯光纜完成，這對鏈路的帶寬質量有了較高的要求。全部采用裸光纖，光纖兩端配置萬兆模塊構建萬兆鏈路，以保證校區互聯線路的質量。

（三）主校區設備及業務部署

新增的BRAS配置萬兆/千兆接口復合板，下行采用萬兆鏈路與主校區核心交換機互聯，提供用戶的高速接入，上行采用萬兆鏈路與出口防火墻互聯，滿足出口帶寬的要求。同時BRAS配置三層網關業務，作為用戶接入網絡的認證網關及DHCPServer，配合認證計費系統實現用戶的接入和訪問控制。新增的認證計費系統部署在主校區的數據中心，安裝Portal組件及Radius組件，配合BRAS實現全校用戶有線、無線一體化的IPOE接入+WEBPortal認證、計費和授權功能，為保證可靠性，認證計費系統采用集群方式部署。學校的交換機作為校園網的業務接入層網絡，進行二層業務部署：接入交換機配置每端口1個VLAN，實現用戶之間的2層隔離；匯聚交換機配置QinQ（VLAN嵌套），實現VLAN數量的擴展；核心交換機配置2層業務，實現用戶流量的匯聚和透傳到BRAS側終結。每個用戶到BRAS之間是2層鏈路，而每個用戶之間又是2層管道化隔離的。

（四）多校區業務快速統一部署

由于業務控制的集中化，方便了新業務的部署，無需各校區的匯聚和接入設備支持具體的業務特性，更無需在各校區的匯聚和接入設備上進行復雜的業務配置，新業務只需要在BRAS統一配置部署即可，大大減少了學校維護人員的工作量。（五）有線無線一體化經過改造后的交換租網，用戶接入認證完全由主校區的BRAS和認證平臺統一來負責所有用戶終端的有線/無線一體化的認證。用戶認證方式。

二、用戶的精細化管理

（一）用戶接入

用戶統一采用IPoE方式進行接入，用戶通過DHCP獲取地址，獲得免費訪問校內資源權限，需要訪問校外資源時由出口BRAS自動重定向到統一認證系統的Portal認證界面，用戶輸入用戶名密碼認證通過后，認證系統返回用戶屬性，BRAS根據用戶屬性，動態修改用戶訪問權限，用戶即可訪問校外資源，并由統一認證系統提供用戶訪問報表的統計信息。扁平化的校園身份認證中心負責構建所有用戶的身份信息倉庫，并通過和多業務控制網關、上網行為管理聯動，做到對入網用戶的一次準入準出及上網行為的審計功能。所有身份認證相關服務器通過虛擬化平臺進行構建，有效地整合數據中心IT基礎設施資源及IT操作。扁平化出口安全層與傳統網絡類似，通過防火墻、上網行為管理、負載均衡等多種安全設備構建校園網安全邊界，對校園網出口流量進行安全過濾和審計。

1.BRAS在用戶終端接入網絡獲取IP地址的同時，就能夠同步記錄下用戶的MAC地址、所在的具體位置（精確到交換機端口，包括內層VLANID和外層VLANID）、接入網絡的時間、獲取的IP地址等多種信息，配合身份準入系統對每個用戶細致的訪問權限、上下行速率的控制，從而實現用戶接入網絡的可識別、可管理、可控制，而這個過程用戶沒有任何感知。

2.BRAS配合身份準入系統可以通過五元組（用戶身份、接入方式、終端類型、接入時間、接入地點）的靈活組合形成不同用戶的訪問策略：比如教職員工和學生在同一個物理網絡中所擁有的權限是不一致的，教職員工可以24小時不間斷地在線，但是學生用戶在晚上11:00后就不能繼續使用互聯網服務，這個就是根據用戶身份和接入時間的組合策略；或者可以根據接入地點在圖書館提供24小時的互聯網服務，但是在學生宿舍晚上11:00以后就必須斷線，這個就是按照接入地點形成的控制策略。

（二）Radius可靠性

一般的身份準入系統都提供2種方式的備份機制，以防止單點故障的產生。

1.主備模式：在BRAS的身份準入系統指向中可以有2套身份準入的地址指向主備身份準入系統，當主身份準入系統損壞了，BRAS檢測到身份準入系統不可達后將自動切換到備身份準入系統上運行；而在平時主身份準入和備身份準入也將實時同步用戶信息，實現用戶信息的實時備份，用戶在主身份準入系統壞掉后切換到備身份準入無需再次認證。

2.逃生模式：身份準入系統還能提供一種逃生模式，在逃生模式下，當身份準入系統宕機，身份準入系統將自動開啟逃生模式，而這個時候身份準入系統將不提供認證審核及計費請求，即用戶無論采用什么賬戶名密碼均可登陸網絡，保障了網絡的持續可用性。

（三）多校區出口統一調度

優化改造后，可實現多校區出口鏈路的統一調度，各校區的接入用戶在主校區BRAS上統一接入后，由后臺的認證計費系統根據賬號下發不同的訪問策略和選路策略給BRAS，再由BRAS控制不同用戶走不同校區的出口，而用戶的選路策略可以由管理員在認證系統上靈活定義的。

綜上所述，通過改造，把認證網關和認證系統統一，使得傳統交換網絡中的有線和無線兩張網融合成一張網，用戶無論采用無線或有線方式上網，接入認證管理都是同一套系統，不僅給用戶帶來一致性的體驗，也給學校減輕了運維和管理的壓力，從而實現真正意義上有線無線一體化的校園網。

作者:陳堅