一、引言

現今各高校對網絡的發展建設越來越重視，校園網與信息化的建設速度直接影響教育信息化的發展速度，高校校園網絡與信息化建設水平已經成為提高學校核心競爭力的關鍵因素，網絡教學、網上學習已經是教學工作中的常規手段。豐富網絡資源，建設高速、便捷、穩定的校園網絡，才能更好地承載更多的網絡教學手段和網絡學習需求。

經過研究和確定，遼寧對外經貿學院校園網目前正處于升級改造的時期，其網絡結構和管理方式有待于改造升級，對遼寧對外經貿學院的校園網改造研究在高校校園網建設中具有代表性和普遍性意義。本文以遼寧對外經貿學院校園網改造方案的實施為例，對高校校園網網絡改造進行研究。

二、現狀分析

遼寧對外經貿學院校園網的現狀：遼寧對外經貿學院的校園網是網絡信息化集成系統的路基、網絡教學平臺工作的基礎設施、提高教學和管理水平的根本，同時也是溝通學校校園網內外部網絡的橋梁和紐帶。

遼寧對外經貿學院目前的網絡基礎設施，包括光纖線路、底層交換機、核心接入等設備，已經使用了很多年，設備早已進入老化期，具體表現為硬件老化、經常死機、網絡延時長等等。校園網中有大量使用多媒體文件共享和一部分密集型應用，消耗了大部分的校園網帶寬，同時網絡應用仍然在不斷擴展，網絡用戶不斷增加，接入終端樣式越來越多，網絡擁堵現象越來越突出。

三、大二層網絡架構

大二層網絡架構的出現解決了當前三層網絡結構中出現的一些難以根治的網絡問題。與傳統的VLAN 終結在接入層交換機的做法不同，大二層網絡架構中的所有VLAN 都可以延展到所有匯聚層、接入層交換機的VLAN 結構中，不但能夠解決當前網絡管理中的各種問題，而且能夠很好地適應數據中心今后的發展。

下面從當前大部分高校校園網中存在的問題開始，詳細介紹大二層網絡架構的設計理念、特點、先進性，以及大二層網絡架構在遼寧對外經貿學院校園網絡改造中解決的原校園網中存在的網絡問題。

1.校園網存在的問題

建設校園網的目的是為了提高學校師生的學習、教學、科研和綜合信息服務的水平和質量。在過去的十年中，校園網經過多次的增加設備、擴展網絡，其網絡結構變得越來越復雜，管理運維的工作難度不斷加大，校園信息化建設工作面臨著越來越多的挑戰。

校園網存在的問題有：

(1)單點核心設備，在網絡中存在單點故障，有安全隱患。對于骨干網絡不采用冗余會導致整個網絡癱瘓。樓間匯聚交換機的配置中，為了避免環路，接入層與匯聚層設備需要啟用復雜的MSTP生成樹協議。配置的復雜造成了管理的復雜，要求網絡管理員對整網的狀況以及每臺設備的配置情況十分的熟悉，一旦出現網絡故障，能夠在出現網絡問題時快速定位問題所在，并解決問題。

(2)局域網安全隱患。在現網環境中，每棟樓中的所有用戶都在一個局域網中，容易存在ARP攻擊、網關欺騙等問題，導致全樓網絡癱瘓，從而影響網絡的性能，排查困難，網絡管理員疲于應對。

(3)設備老化，大部分接入設備和匯聚設備老化嚴重，部分交換機型號已經停產，一旦出現故障，很難在短時間內找到替換配件，這樣造成了設備的安全隱患，影響網絡用戶的使用，短時間內無法恢復。

(4)認證設備負擔過重，上網認證設備串聯到網絡出口中，存在單點故障。該設備要對學校所有用戶進行認證、流量計費，造成該設備的負擔過重，一但出現故障，則造成全校斷網，影響面兒很大。

(5)網絡運營過程中，無法按照用戶類別來單獨控制每臺設備的網絡使用情況。很多房間內裝配了無線路由器，無法根據固定IP來控制帶寬，從而造成網絡用戶共享帶寬。如果從樓間交換機端口上限制的話，若同一路由器下的用戶，有人掛機下載，或者看視頻，將直接影響其他人使用網絡，造成有人怨聲載道、有人偷著樂，造成很多人對自己的網絡狀況不滿，網絡管理員接到投訴不斷，而又礙于顏面難以徹底解決。

(6)在數據中心的建設中，現有的網絡結構無法適應數據中心的需求，特別是虛擬化層面的支持程度比較差，無法對服務器群進行統一安全防護。

2.大二層網絡結構設計理念

校園網的一大特點是，用戶高度密集，在一個樓宇內聚集了幾百甚至上千的用戶，并且每個用戶手中不止一臺上網設備。扁平化大二層網絡的設計理念是：管理方便，易于部署，維護簡單。

管理方便：體現在扁平化大二層網絡的網絡結構上，扁平化的大二層網絡結構簡單，將網絡中大量的匯聚交換機、接入交換機作為邏輯二層設備，在這些設備上只需要做簡單的VLAN劃分和端口隔離配置就能夠很好地管理網絡，核心設備作為三層網關，開啟路由功能、認證功能以及安全管理的相關功能。

易于部署：在網絡中，核心以下的設備有匯聚設備和接入設備，這兩種設備的配置基本一致，可以使用配置工具，實現配置信息的批量下發，快速部署好眾多的匯聚設備和接入設備，極大地提高了工作效率。不論是有線網用戶還是無線網用戶，認證點統一集中在核心設備，部署容易。

維護簡單：扁平化大二層網絡的網絡結構簡單，設備配置少，出現的故障隨之減少，從而網絡維護工作量也大幅度降低。校園網的維護工作效率，很大程度上取決于管理員對網絡所出現問題的及時準確定位，扁平化大二層網絡結構中的管理層中可以實現把用戶和端口對應起來，明確用戶是從哪個端口接入上網，利用supervlan+subvlan技術，可以輕松定位用戶到具體的端口上。

3.大二層網絡結構的特點

相對于三層網絡結構，扁平化大二層網絡結構具有以下幾個特點：

(1)網絡層次簡化：核心設備作三層網關，匯聚和接入設備全部為純二層配置。

(2)認證和業務控制集中：核心路由器在網絡中作為綜合性的接入管理平臺管理全網用戶賬號認證、IP地址分配、計費、計流量等工作。

(3)有線無線統一管理：實現有線網絡、無線網絡雙網統一管理、統一認證。

(4)實現設備批量配置管理：核心路由器下面的大量接入設備基本上配置相同，使用網絡設備配置自動下發工具，可以在短時間內快速完成對下層匯聚和接入設備的配置下發工作，從而大大減少了現場工作人員的工作量。

(5)用戶定位精準：實現直接定位用戶到接入層交換機的某個端口，可以很好地滿足精確定位需求，縮短網絡管理員的排查時間，提高工作效率。

(6)通過VSF技術，核心設備可以實現跨設備的鏈路聚合，與匯聚層設備通過聚合鏈路連接，在簡化網絡配置的同時，提高了網絡連接的可靠性，保證了網絡的穩定性。

4.新一代網絡解決方案的先進性

新一代校園網網絡架構——扁平化大二層網絡解決方案很好地解決了當前遼寧對外經貿學院校園網存在的問題。通過PPPoE、IPoE上網認證方式，對校內上網用戶進行身份合法性驗證，拒絕非注冊用戶通過校園網絡上網，實現網絡事件可以準確地追蹤到人，增加了網絡的安全性。以太網接入技術具有高速度、部署容易、成本低等特點，為高校和廣大用戶所喜愛。

(1)PPPoE上網方式現在普遍應用于網絡運營商，PPPoE、IPoE在管控網絡用戶方面具有很多優勢。

節省IP地址資源，簡化用戶使用。PPPoE、IPoE上網方式實現動態分配IP地址，更加合理地管理學校的IP地址資源。有效控制網絡病毒蔓延，減少病毒攻擊。

(2)扁平化大二層網絡的硬件核心設備實現雙核心雙鏈路上聯，安全性好，可靠性高。

在網絡結構的設計上，保證可靠性，整個網絡結構中，從接入到匯聚到核心層的兩臺設備都支持802.3ad鏈路聚合，均可獨立完成網絡傳輸任務，實現了鏈路的雙冗余。

5.遼寧對外經貿學院校園網改造目標

將校園網改造為扁平化大二層網絡的網絡結構之后，能夠減少很多網絡故障的發生，降低網絡故障的定位難度，減少了運維工作量，從而能夠有效提升現在的管理運維效率。為今后的信息化建設提供穩定、快捷的網絡高速公路，實現各類信息化應用系統的接入。

四、校園網改造方案

1.PPPoE部署方案

大二層網絡架構設計中的核心交換機采用高性能路由器、PPPoE接入方式，核心路由器實現PPPoE撥號上網和支持QinQ。QinQ技術通過在以太幀中堆疊兩個802.1Q報頭，有效地擴展了VLAN數目，使VLAN的數目最多可達4096x4096個。QinQ是對802.1Q的擴展，是將用戶私網VLAN tag封裝到公網VLAN tag中，報文帶著兩層tag穿越校園網的骨干網絡，從而為用戶提供一種較為簡單的二層VPN隧道。通過Domain-map實現不同的Domain進入不同的VR，實現不同的IP地址分配。PPPoE實現過程：

用戶通過電腦上的寬帶連接軟件，即PPPoE撥號軟件進行撥號上網的流程如圖1所示。接入交換機的管理模式設置為Access模式，為不同用戶配置不同的VLAN，接入交換機將用戶的認證流封裝在第一層TAG。

在接入交換機上聯口配置Trunk模式，在匯聚交換機上配置QinQ，認證流到達匯聚交換機后封裝第二層TAG。具體流程如圖2所示。

Radius Server根據用戶名密碼返回給BRAS Framed-pool屬性，給這個用戶分配一個IP地址。BRAS根據該賬號上所設置的具體要求，實現按角色進行地址分配和計費。如圖3所示。

用戶通過核心交換機的認證后獲得了訪問Internet的權限，訪問到了外網資源。撥號過程如圖4所示。因為使用了QinQ技術，在整個上網過程中，實現用戶與用戶之間的隔離，提高了網絡接入的層的安全性。

2.用戶管理方式

對于校園網用戶，針對不同用戶的不同需求，設置不同的管理方式。辦公用戶采用包月控制方式，宿舍用戶采用流量控制方式。

3.核心設備雙核心冗余的實現

核心層是校園網數據轉發的樞紐，負責對校園網全網用戶的統一認證登錄，匯總轉發并響應校園網全網用戶的各類網絡需求。因此核心層采用雙機熱備方式部署兩臺BRAS核心路由器，確保核心層的可靠性。兩臺核心路由器采用萬兆鏈路互連。在認證系統中采用與計費軟件關聯，實現上網賬號統一，一次登錄即可訪問Internet;用戶帶寬等信息從計費系統中設置，由核心路由來實現的方式，這樣網絡管理員就可以通過管理用戶上網賬號，實現對不同網絡需求、不同等級用戶的靈活管理。

4.網絡設備的選型

在今后的校園網改造中，應選擇高性能路由器作為網絡的核心設備，為校園網提供高性能的數據轉發。核心路由器提供高密度的線速10G以太網端口作為BRAS設備提供PPPoE、IPoE用戶接入。匯聚交換機和接入交換機選用全線速交換機，實現局域網內信息的快速轉發。全網采用核心路由器與城市熱點計費服務器協同工作、共同管理上網賬號的方式保證校園網快速、高效、有序、安全地運轉。遼寧對外經貿學院大二層網絡架構設計如圖5所示。

五、改造后的效果

通過對遼寧對外經貿學院校園網改造建設的研究，扁平化大二層網絡架構的設計方案比較適合對當前普通高校校園網網絡結構的改造建設。遼寧對外經貿學院校園網經過本次網絡改造，很好地解決了之前校園網存在的網絡問題，實現了以下改造目標。

(1)采用雙核心、宿舍區域雙鏈路上聯，解決了單點核心設備故障存在的整網癱瘓等安全隱患。

(2)更換了80%的樓間匯聚、接入交換機，解決了網絡設備老化問題。

(3)采用QinQ封裝技術、扁平化大二層網絡結構，提高了網絡性能，有效解決了局域網全網網絡風暴等安全隱患。

(4)新網設備運行穩定，故障少，一定程度上減輕了網絡管理人員的工作壓力，解決了過去因設備老化、網絡環境復雜、用戶不斷增加等原因造成的網絡問題。

(5)使用專業的上網行為管理設備記錄上網行為，解決了上網用戶網絡行為復雜無法管控的問題。

(6)采用專用核心交換機統一管理服務器，為今后獨立保障服務器群的信息安全提供線路和設備環境。

(7)通過PPPoE、IPoE上網認證方式，實現上網用戶精確管理。

本文以遼寧對外經貿學院的校園網改造為例，對新一代校園網改造進行研究。本著合理規劃、可持續發展的原則對現有的校園網網絡構架進行升級改造，改造后的校園網網絡傳輸速度更快，數據處理能力更強，用戶體驗能夠得到改善，網絡管理人員工作量減輕，從而故障處理將會更加及時，達到了改善現有網絡環境、提高網絡資源利用率、提高網絡教學質量、提高高校信息化發展進程的目的。為今后進一步擴展校園網網絡鏈路，增加各種網絡應用，建設物聯網等奠定了基礎。