基于扁平化架构精细化管理校园网络方式探究

基于扁平化架构精细化管理校园网络方式探究

来源：教育信息网

时间：2016-12-19 12:00:00 发布教育信息网

标签：教育资讯

分享至

传统的校园网建设主要采用：核心层—汇聚层—接入层的三层网络架构，一般均使用三层数据交换的网络架构方式，由于三层交换机拥有端口数高、接口传输快速和较强的数据通讯及交换性能，可以满足校园网建设的高带宽、快速互联和转发的需求。但是，这种网络架构在当前校园用户量激增的情况下，各种应用系统和业务平台迅速增加，网络宽带流量激增和复杂的情况下，会存在一些问题，基于扁平化架构精细化管理校园网络，不仅能解决带宽网络接入的传统问题，而且也能面对下一代网络提供针对IPv6的完善支持和规模化部署应用，并与认证方式实现完善融合。

　　近年来，教育信息化建设迅速发展，以教育部“三通”工程为契机，校园网络不断完善和升级，相关部门都在努力探索在当前复杂网络条件下，校园网络的不同需求和更优的解决方案。传统的校园网络架构中，最多考虑的问题是校园网的带宽和端口密度，这是由于早期的校园网更多需求的是校园内部简单的互联互通的应用，因此对于校内的接入端口和互联带宽更为依赖。随着用户数量越来越多，用户接入访问呈多元化、多样化形式，面对校园网的应用系统、业务平台迅速增加，带宽流量要求激增和复杂等现实问题，对当前校园网络本身的性能、多业务支撑能力、网络安全以及网络稳定性方面也带来了更大的挑战：投资成本加大、管理工作量增加、多套账号密码导致用户体验差、网络安全威胁增加等。如何通过校园网这个平台，对当前学校的各类信息化应用提供良好的承载，并且能够为未来准备较强的扩展能力，这是目前校园网建设的挑战。

　　一、传统校园网技术架构及弊端分析

　　传统的校园网的建设思路主要采用：核心层—汇聚层—接入层的三层网络架构，一般均使用三层数据交换的网络架构方式，由于三层交换机拥有端口数高、接口传输快速和较强的数据通讯及交换性能，通过可以满足校园网建设的高带宽、快速互联和转发的需求。传统的校园网三层结构及功能划分模型如图1所示。

　　核心层：提供高速接口，实现核心高速转发。

　　汇聚层：提供用户在校园网中的DHCP地址分配和用户的三层中转功能;在校园网中，除了提供IP单播报文的转发外，还必须能够支持组播功能，提供组播视频流的复制和下发。另外，需要在汇聚层的三层接口上开启相应的ACL访问控制功能，QoS服务质量保障等功能，随着IPv6在校园网的部署，还需要提供用户的IPv6功能，如无状态IPv6地址分配、IPv6单播和组播转发等。

　　接入层：直接面向用户连接和访问的部分，并进行业务和带宽分配，实现VLAN逻辑网络隔离。同时，为了避免目前大量存在的ARP攻击问题，还必须在接入层交换机上开启DHCP侦听和ARP动态检测(一般三层交换机才能提供这一类的功能)。

　　以上这种架构下，校园网络用户数量增加，应用系统、业务平台的激增，网络流量越发复杂，会存在这样一些问题：

　　(1)策略部署配置和管理复杂。传统网络结构中，核心层、汇聚层、接入层三个层面都在实现对接入用户的控制和管理，每层都同样实现了相同的部分功能，管理员要在网络中针对用户的网络接入或系统部署，都要对网络各个层面的设备支持的相应功能进行一一配置，还要考虑到各个层面设备的支持性能，这就使得在网络中部署新的业务系统变得非常复杂和困难。各层控制分散，出现问题后，排除故障定位难、恢复时间长，恢复设置又要设计多个层面的设备。

　　(2)接入层设备性能导致设备功能的稳定性较差。核心层设备执行了最简单的转发，其他功能相对较弱，而网络边缘负责汇聚和接入的设备，为满足用户接入需要对功能的要求却较多，导致网络层与能力层的严重不匹配。一般情况下设备汇聚和接入的性能一般也不是很高、功能和稳定性也比较差，所以在实际网络架构过程中，经常出现故障，效果不理想。

　　(3)内网安全隔离无法实现细分。因采用三层交换架构，单台设备只支持4095个VID标识，不能实现内网安全隔离的VLAN精确细分，容易导致大量的用户、应用处于同一个域内，无法有效地进行隔离，域之间相互的网络干扰严重。如：普遍存在的ARP病毒、DHCP欺骗等问题，导致用户在接入网络后问题频发，网管难以应付，如果借助在接入层设备上启动DHCP监听和动态ARP监测来解决，又会造成运行维护工作量大、网络策略配置复杂等新的问题，也增加了接入层设备的处理压力，会导致可靠性降低。

　　(4)无法实现对用户的精细化管理。为了实现接入网络的认证管理，通常都会采用接入层的802.1x协议，由于它是基于Client/Server的访问控制和认证，在获得交换机或LAN提供的各种业务之前，802.1x对连接到端口上的设备进行认证，也就是无法实现用户的速率控制、访问行为控制和用户流量控制等;同时，由于802.1x功能同样在边缘的接入层交换机上实现的，同样带来了大量接入层交换机运行维护困难，在遇到802.1x攻击时，接入层交换机很容易出现问题导致断网。

　　以上这些问题将随着校园网络发展扩大，逐步变得复杂，部署的业务系统的叠加，用户数的增加和流量爆发式增长而显得尤为突出，必将导致校园网运行维护压力加大、稳定性、可靠性降低等现实问题。

收藏打印

特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，并不意味着赞同其观点或者证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来函联系。

Notice: The articles / pictures and other manuscripts that this website notes as the source of manuscripts from other media are reprinted manuscripts, which does not mean that they agree with their views or confirm the authenticity of their contents. If the reprinted manuscript involves copyright and other issues, please contact the author by letter within two weeks.

/阅读下一篇/