2015-06-04 李世朋 瞻博網絡

校園網架構設計問題

　　當前高校校園網面臨許多挑戰和壓力，包括對大量接入用戶的管理控制、追查審計、政策監管、運維以及新業務的開展和部署。這些難題之所以一直以來在很多學校并沒有得到很好解決，源于校園網的架構設計中存在缺陷。

　　這里所說的架構問題，并非說我們通常所采用的核心、匯聚、接入的分層方法不對，而是每一層網絡設備所承擔的職責、所做的事情正好顛倒了。能力越弱的設備卻被要求做越復雜的事情，而能力越強的設備反而只處理很簡單的事情。

　　舉例來說，能力最弱的接入層交換機，卻被要求實現非常復雜的安全接入和控制功能，例如用戶隔離、速率控制、802.1X接入控制、ARP檢測、DHCP監聽等等，配置非常復雜。而且，校園網接入層交換機的質量和穩定性都相對較弱，各種品牌交織在一起產生兼容性的問題，還可能引發各種故障或不穩定狀況，而且這部分接入設備在校園網的數量較大，分散在各個地方，一旦出現問題，處理起來非常麻煩。

　　對于匯聚層來說，匯聚層設備的檔次雖然有所提高，但在很多校園網里所承擔的工作仍然不輕松，比如IPv4，IPv6的終結、組播的復制和轉發、QoS、ACL、VPN等等，這部分設備的數量也很多，復雜的功能和配置不但給運維造成麻煩，而且很多學校的匯聚層設備由于能力不足，無法在上面開展新業務。

　　最后是核心層，強大的核心設備檔次最高、硬件資源配備最豐富，但所做的事情卻很簡單，主要就是負責流量的快速轉發，造成了資源和集中管理優勢的浪費。所以說，這種職責倒掛的結構，引發了很多問題，如果架構的問題不解決，單靠不斷的升級設備的檔次，只能是浪費投資、治標不治本。

　　理順校園網架構法則

　　對新一代校園網的建設思路，第一步就是理順架構，讓這些設備做它們最合適做的事情。比如能力最弱的接入層交換機，就做最簡單的用戶二層接入和隔離，也就不存在網絡配置兼容性的問題和與用戶終端兼容性的問題，即使發生了硬件故障，因為配置簡單也能做到立即更換。

　　匯聚層設備，就只做二層透傳，或者再打個QinQ標簽，這樣，復雜的業務部署就不會涉及到這些設備，也就不會對這些匯聚層設備有要求，學校就能輕松地部署新業務。

　　最后，把用戶控制和管理功能、復雜業務的承載以及校園網的智能控制全都集中在硬件資源配備最豐富的核心設備上來。

　　這種把智能集中在核心，讓邊緣（匯聚和接入）盡量簡化的思路，不但可以大幅度地簡化運維、降低故障率、提高穩定性，還能便于輕松部署新業務，今后校園網的擴展也很方便。從整網建設的投資來講，雖然對核心設備的檔次有一定要求，但核心設備數量占比非常少，投資重心在海量的匯聚和接入層設備，對這些設備要求的降低，可以節省大量的建網投資，而且運維的簡化可以幫助進一步降低今后的運維成本。所以我們可以發現，當架構設計這個根源問題理順之后，實際上很多難題就解決了一大半。那么，用戶的管理和控制怎么做呢？

　　首先，用戶的隔離還是靠VLAN，在接入層交換機上做最簡單的二層隔離。如果網管人員希望徹底消除ARP 欺騙等局域網攻擊，還可以為每個用戶配置一個VLAN，然后在匯聚層打QinQ外層標簽，這樣做的好處就是可以實現接入層交換機的統一化預先配置和免維護，比如24口交換機可以統一預先配置VLAN1-24，48口交換機可以統一預先配置VLAN1-48，并將預配好的交換機下發直接上線，今后如果發生硬件故障，可以做到真正簡單更換。在匯聚層打VLAN外層標簽，可以用來實現對接入位置的定位，比如有些學校用VLAN 內層標簽標識宿舍門牌號，用外層標簽標識宿舍樓和樓層。對于用戶的管理和控制，要采用核心設備的用戶管理（BRAS） 功能，目前主流的方式是采用IPoE+Web Portal認證的方式。

　　用戶在核心用戶管理設備上獲取地址，用戶管理設備會為每一個用戶生成對應的邏輯子接口，當用戶通過WebPortal導向的Radius認證之后，Radius會把針對這個用戶的策略下發到對應的邏輯子接口上，對這個用戶的所有流量進行管理和控制。這種IPoE+Web Portal認證的方式，就使得校園網具備了基于用戶和身份的智能管理功能。

　　這套方案帶來的另外一個好處就是可以實現有線和無線的無縫融合。之前，有的校園網的有線和無線可能是兩張獨立的網絡，有兩套不同的用戶管理策略，不但給管理和運維造成麻煩，而且用戶的接入使用體驗也不一致。無線網中的無線控制器對某些復雜業務的支持并不好，可能會造成用戶從有線切換到無線之后，有些本該有的網絡服務就不存在了，用戶體驗很不好。解決此問題的方法，還是讓不同的設備去做它最適合做的事情，無線控制的強項是AP的管理、頻率劃分、功率和抗干擾的調整，這些功能均應交由無線控制器來實現，而把用戶管理和復雜的業務承載全部交由有線網中的用戶管理設備來實現。無線控制器旁掛在用戶管理設備旁邊，對于有線網來講，無線網只是提供了一個不同的用戶接入的通道。這樣兩張網融合成一張網，兩套用戶管理策略融合成一套，不但簡化了運維，而且能帶給用戶一致的使用體驗。

　　提升用戶體驗的思路

　　事實上，校園網的用戶體驗是網絡建設應該重點考慮的問題。我們能不能在基于用戶和身份對用戶進行管理和控制之外，進一步提升用戶的使用體驗？有線無線融合，就是最簡單的使用體驗的例子，通過識別接入終端的不同，推送給用戶不同分辨率的內容形式一致的頁面。有的學校還提供了用戶自服務平臺，用戶可以在上面開戶、辦理業務、查詢流量和賬單，親戚朋友來訪時，可以設置把他們的終端加入到注冊主機當中，使用自己的費用免認證的接入上網。還有的學校還提供了手機找回服務，如果在校園里丟了手機，掛失之后，網絡中心會把手機MAC加入到黑名單，當手機被別人撿到并在校園上網的時候，黑名單就會報警，網絡中心通過接入VLAN就能定位到大致的位置，再通過附近的攝像頭錄像尋找嫌疑人，如果撿手機的人進行了Web Portal認證，就能找到相關的人。

　　另外，提供動態的差異化的服務，也是提升用戶體驗的有效手段。差異化服務指的是針對不同用戶或不同狀態下的同一用戶提供不同的服務內容，可以根據用戶身份、接入方式、終端類型、接入時間、位置等信息綜合判斷，賦予這個用戶最合適的服務內容。動態是指服務內容的切換不需要用戶下線重新登錄。最簡單的差異化服務的例子，就是針對學生、教師、領導等不同的用戶群提供不同的出口帶寬和訪問權限。另外，有的學?？梢栽谛@網出口帶寬利用率不足50%的時候，動態地為所有教師身份的用戶臨時性提升出口帶寬。

　　這套校園網建設的思路雖然能解決之前提到的很多問題，包括大量用戶的管理控制、雙網無縫融合、提升用戶使用體驗、簡化運維、提升穩定性、降低整網TCO等等，但是可能有一種顧慮，如果把所有智能和用戶控制都集中到核心設備上，核心設備的服務質量、性能、容量、可擴展性和穩定性如何保證？事實上，很多學校都已經意識到了這個問題，越來越多的學校已經開始在新一代校園網的建設中，采用高端路由器代替三層交換機作為校園網的核心，越來越多的學校形成共識，對于類似運營商網絡的校園網環境，應該使用運營商級別的帶有用戶管理（BRAS）功能的路由器設備作為校園網核心，而對于三層交換機，即使是數據中心級別的高端三層交換機，也不適用于新一代校園網的核心，因為校園網的設備和數據中心的設備有著截然不同的需求和特性。目前，以Juniper MX路由器為核心的新一代校園網方案已經在國內上百所院校得到了應用和實踐，在Juniper設備上承載的高校師生用戶總數也已經超過了兩百萬，這種把智能集中在核心，讓邊緣盡量簡化的架構，也將逐漸成為新一代校園網建設的方向和趨勢。