南京信息職業技術學院占地約900多畝,擁有學生約12000人,教師約1000人。學院原辦公有線網絡采用核心層、彙聚層與接入層三層網絡邏輯架構,彙聚層與核心層之間采用路由轉發,數據轉發效率不高,此外主機會受到同一Vlan内部ARP攻擊與廣播包的安全威脅,Vlan内部主機不能正常上網的現象時有發生,網絡維護工作量大,用戶上網穩定性不佳。校園有線網絡隻能滿足基本辦公需求,随着個人移動終端應用普及,需要在校園所有樓宇和主要室外區域覆蓋校園無線網絡,方便用戶使用移動終端随時随地上網。在校園網建設初期,學生宿舍沒有覆蓋校園有線網,學生上網大都通過辦理運營商寬帶業務,直接接入運營商網絡,不能直接訪問校園網資源。學生用戶希望既能夠直接訪問校園網資源,又可以選擇運營商網絡接入訪問。校園網3.0要求有線無線網絡統一管理并實行一體化認證計費,為了給使用智能手機等小型移動終端設備的用戶帶來便捷的體驗,要求用戶無需每次輸入用戶名密碼認證,用戶能夠高速訪問校内視頻資源,因此校園網采用扁平化結構。
研究設計
校園有線網絡扁平化改造
圖1為改造之前的辦公網絡結構圖,辦公部分采用傳統的三層(接入層、彙聚層、核心層)網絡架構。
将原先網絡中的彙聚層交換機撤銷三層相關配置,校園網Bras以下均是二層交換設備。将辦公有線網絡使用QinQ(嵌套的Vlan)技術定義雙層Vlan标簽,即接入層交換機每個端口單獨Vlan。此外,原先有線用戶主機使用靜态IP地址改為動态IP地址自動獲取方式。邏輯結構如圖2所示。
無線局域網建設
1.校園無線局域網建設
大型場所如高校、機場、大型商場等由于覆蓋範圍廣,為便于維護和管理采用基于FITAP模式部署WLAN。如圖3所示,所有AP通過有線方式與網絡中的AC互聯,AP啟動以後發送請求數據包(包含AP型号、序列号等信息)尋找AC,AC回複相應數據包,含AC的IP地址信息,通過AP和AC建立連接通道,AP在AC上注冊成功,從而AC向AP下發配置并管理AP的運行,用戶可以在無線網絡服務範圍内無感知漫遊。項目采用Bras作為用戶接入網關,用戶認證數據庫存放Radius服務器,Bras實現網絡承載、向用戶推送Web認證頁面、彙聚用戶流量,以及實現實現用戶接入的認證、計費和管理功能,有效完成用戶個性化接入如QOS(QualityofService,服務質量)、接入帶寬和訪問控制等。本項目所有室内AP均采用POE(PowerOverEthernet,基于以太網供電)模式供電。對于無線用戶數據流量的處理,項目采用AP本地轉發方式,AC隻負責對AP的管理,不承載用戶業務流量,所有業務流量通過AP本地轉發後直接通過校園網到Bras設備。
2.有線無線一體化認證
為了方便用戶登錄校園有線和無線網,采用有線無線一體化認證解決方案,所有校園網用戶通過學院統一認證平台Bras設備采用Webportal方式認證計費,無線網接入不再使用單獨認證。用戶單個賬号支持兩種不同類型的無線終端同時上網,将台式機、筆記本電腦和平闆電腦歸為同一類型終端,而智能手機歸結為另一類型的終端,用戶使用筆記本電腦采用有線或無線方式上網的同時,可以使用手機訪問校園無線網。為了便于智能手機上網認證方便,手機用戶第一次訪問校園無線網需要使用WebPortal輸入用戶名和密碼認證,認證的同時系統将自動綁定其手機無線網卡的MAC(MediaAccessControl,媒體訪問接入子層)地址,之後該手機隻要連接校園無線網信号系統自動認證其MAC地址,而無需用戶再次進行WebPortal認證,如果用戶更換手機可以通過自助服務系統自行将原先系統自動登記的手機信息删除并用新手機進行初次認證。
圖1改造之前的辦公網絡結構
圖2扁平化改造後的辦公網絡結構3.基于接入端與邊界的流控管理
為了充分利用内部帶寬資源與有效防止校園網出口擁塞,采用基于用戶接入端與校園網邊界流控相結合的方式。
圖4為用戶接入校園網通過Bras設備認證并按照認證設備預先設置好的帶寬策略做用戶接入流量限制,将視頻或FTP資源直接接在校園網核心交換,用戶按照校内帶寬限制策略訪問這些校内資源。用戶訪問外網時,數據經過校園網邊界流控設備,進行單用戶限制訪問外網帶寬與根據應用數據從不同出口轉發。例如:分配用戶接入校内訪問一律分配10Mbps帶寬,用戶訪問校内視頻與FTP等資源以及用戶之間的訪問均可以達到10Mbps,而用戶訪問Internet數據經過邊界流控設備,流控設備識别用戶設備特征,如果手機終端則訪問外網1.5Mbps,其他類型終端訪問外網4Mbps,網絡遊戲應用、網頁訪問數據等;通過識别并從電信出口轉發,迅雷等軟件下載應用數據從移動出口轉發。與運營商共建共享網絡平台
南京信息職業技術學院共有20棟學生宿舍,設計有線網絡采用EPON(Ethernetpassiveopticalnetwork,以太網無源光)網絡布置方案。EPON是一種新型的光纖接入網技術,其典型的拓撲結構為樹型,它采用點到多點結構、無源光纖傳輸,在以太網之上提供多種業務。因此,它綜合了PON技術和以太網技術的優點:低成本、高帶寬、擴展性強、靈活快速的服務重組、與現有以太網的兼容性和方便的管理等特性,是目前以太網最佳的組網方式。
學生宿舍有線網絡由運營商建設,ONU(OpticalNetworkUnit,光網絡單元)放置于每宿舍套間連接宿舍的交換機,POS(PassiveOpticalSplitter,無源分光器)位于OLT(OpticalLineTerminal,光線路終端)與ONU之間,由于是無源設備,幾乎可以适應所有環境,一般一個POS的分線率為8和16,并可以進行多級連接,OLT設備放置于中心機房,OLT設備采用多業務出口分别連接校園網和運營商網絡。
當學生宿舍用戶使用網線将終端設備連接網絡接口時,将會自動獲取到校園網分配的IP地址,如果該用戶訪問校園網,通過WebPortal方式認證計費;如果該用戶需要直接訪問運營商的網絡,則使用PPPOE方式直接通過運營商Bras設備認證計費。
圖3基于FITAP模式架構的WLAN
圖4基于網關與邊界流控管理項目實施成效
1.有線網扁平化改造提高了數據轉發效率與網絡穩定性。由于校園有線網采用扁平化架構,網絡中減少路由轉發,提高了數據轉發效率,并且使用QinQ技術最大限度地有效隔離接入層交換機端口之間的攻擊,提高内網穩定性。
2.無線網提供了用戶上網的便捷。無線網AC采用冗餘架構保障無線骨幹網的可靠性。對于無線用戶數據流量的處理,采用AP本地轉發方式使得AC實現輕載,不再成為性能瓶頸。
3.網絡認證人性化與智能化。有線無線一體化認證保證全院每一台終端有線無線方式上網都經由統一認證平台,而且也由統一平台記錄上網日志,方便認證與日志管理。手機隻要認證一次便會記錄手機MAC地址,以後在系統内部通過手機MAC地址認證,給用戶達到“免認證”的體驗,實現了網絡智能化。
4.網絡資源豐富。學校部署了豐富的教學視頻資源,可以直接連接校園網核心交換,學生在内網訪問校内資源時要經過認證,記錄訪問日志,并且内網的高帶寬提供保障了資源訪問的流暢。
5.靈活的帶寬管理。采用接入端與網關雙重流控方案部署,有效保證了校内帶寬資源充分利用,校園網出口帶寬資源合理利用。
6.與運營商共建共享實現雙赢。學生宿舍區域與運營商合作共建EPON多業務寬帶,對于高校來說,減少了網絡建設資金投入,也将網絡接入的維護任務交給運營商,不僅節約了網絡維護的成本,由于運營商維護效率要求較高,也将會提高校園網用戶的滿意度。
(作者單位為南京信息職業技術學院圖文信息中心)