随着网络和业务的发展,校园网络在运维管理、网络安全、多业务服务等方面越来越显得力不从心,无法满足校园信息化业务的需求。新型校园网络将网络扁平化,网络控制层与转发层分离、网络管理层与用户管理层分离,多业务网络支撑等理念,利用虚拟化、多链路捆绑、SDN、IPoE、防火墙等技术,提高网络转发效率、缩短业务部署时间、加强网络安全防御、减小网络管理难度、提升网络整体水平。

  中国石油大学(华东)校园网络经过20年的发展,历经了20世纪90年代的校园网从无到有,新世纪的以路由交换为主的千兆以太网两代网络,在校园网信息化发展中做出了巨大贡献。随着校园信息化建设的发展,校园网络作为信息化基础越来越重要,不仅需要为信息系统提供网络支撑,还要为用户提供高速、稳定、安全、便捷的网络接入服务。在新时代下,办公管理信息化、云计算大规模应用、多媒体教学技术不断更新、网络教学逐渐铺开,传统校园网络在新应用、新业务面前显得力不从心,网络无法满足新业务新应用的需求,网络管理越来越复杂,随着网络技术的发展,校园网络需要朝新型的网络发展。

  一、设计思路

  校园网络面临着复杂的网络管理、复杂的业务需求、复杂的用户群体,故在网络设计中需要采用较为先进的网络技术,合理的网络设计思路,达到简化网络管理的目的,提升网络安全水平,满足不同用户的网络需求。

  1.网络结构扁平化

  网络结构扁平化分为网络物理结构扁平化和逻辑结构扁平化。高校校园网一般可以分成两部分,即数据中心网络和园区网络,数据中心网络基本上仅限于一个机房内部或直连的两个或多个机房,物理链路简单,可以采取物理链路和逻辑链路扁平化的结构;受物理位置和链路的限制,园区网比较分散,可以采用传统的三层物理结构之上实现逻辑结构的扁平化。

  网络扁平化能有效解决单点故障,通过多链路捆绑实现链路带宽成倍增加,减少网络跳数,消除了汇聚层三层转发性能瓶颈,提高网络转发效率。同时,减少汇聚层IP策略,将IP层策略集中到核心控制层,简化网络管理,提高管理效率。

  2.用户管理与基础网络分离

  传统网络中,基础网络与用户(认证)管理结合紧密,甚至很多网络(认证)管理的控制层位于网络的接入层,如802.1x认证,一方面存在网络管理复杂、设备不兼容等问题;另一方面由于用户认证信息无法漫游导致用户在校园网上需要使用多个账号或网络访问受限等问题。

  用户(认证)管理与基础网络分离后,用户管理系统独立于基础网络,由网络接入设备、认证计费系统等组成,只负责所有用户信息的管理,权限管理与分配,通过标准协议和接口实现用户根据自己的权限在不同网络和设备间的漫游,提高网络的移动性,同时可更好地与第三方软硬件平台对接,实现未来应用系统与网络的对接,达到用户权限随行的效果。

  3.基于SDN技术的多业务网络

  校园网是一套极其复杂的系统,除了正常提供用户接入网络外,校园网需要承载各种类型的专用网络,如一卡通网络、财务专网等专用隔离的网络。新型校园网络需要提供支持多业务网络服务,结合SDN、虚拟化等技术方便快速地开展业务网络服务,提高网络利用率,缩短业务网络部署时间。

  SDN将原来网络设备里的控制功能提取出来交由中心控制节点进行集中控制,也就是“控制转发分离”。通过“控制转发分离”,网络设备只需要负责数据包的转发,而将复杂的网络控制功能交由集中的控制器去处理。通过中心的控制节点进行集中控制,也让整网的转发效率更高。“控制转发分离”后,由集中的控制器去对接上层业务系统,控制器可以屏蔽下层复杂的网络协议和技术细节,将下层网络变成端口、带宽等资源提交上层业务系统。上层业务系统也只需要和集中的控制器打交道,而不再需要去向全网所有设备下发指令,或者人工将业务需求变成一条一条网络设备命令行远程登录到设备上进行配置,在开展多业务网络服务中能极大地简化网络配置管理,缩短业务部署时间。

  4.网络安全分级

  校园网络中接入各种网络设备及终端,如网络设备、服务器、PC、手机、平板电脑等,不同设备及终端保存着不同重要性的数据。根据对数据重要性进行分析,将网络终端和网络数据进行划分不同安全等级,采取不同的安全防护措施,对于学校核心数据进行重点保护,对用户非重要数据进行简单保护或由用户自行安全保护等。

  二、设计方案

  根据校园网功能和特点,结合设计思路,校园网络拓扑结构如图1所示。

  

\

图1 网络拓扑结构

华人教育信息订阅号二维码