南京信息职业技术学院占地约900多亩,拥有学生约12000人,教师约1000人。学院原办公有线网络采用核心层、汇聚层与接入层三层网络逻辑架构,汇聚层与核心层之间采用路由转发,数据转发效率不高,此外主机会受到同一Vlan内部ARP攻击与广播包的安全威胁,Vlan内部主机不能正常上网的现象时有发生,网络维护工作量大,用户上网稳定性不佳。校园有线网络只能满足基本办公需求,随着个人移动终端应用普及,需要在校园所有楼宇和主要室外区域覆盖校园无线网络,方便用户使用移动终端随时随地上网。在校园网建设初期,学生宿舍没有覆盖校园有线网,学生上网大都通过办理运营商宽带业务,直接接入运营商网络,不能直接访问校园网资源。学生用户希望既能够直接访问校园网资源,又可以选择运营商网络接入访问。校园网3.0要求有线无线网络统一管理并实行一体化认证计费,为了给使用智能手机等小型移动终端设备的用户带来便捷的体验,要求用户无需每次输入用户名密码认证,用户能够高速访问校内视频资源,因此校园网采用扁平化结构。
研究设计
校园有线网络扁平化改造
图1为改造之前的办公网络结构图,办公部分采用传统的三层(接入层、汇聚层、核心层)网络架构。
将原先网络中的汇聚层交换机撤销三层相关配置,校园网Bras以下均是二层交换设备。将办公有线网络使用QinQ(嵌套的Vlan)技术定义双层Vlan标签,即接入层交换机每个端口单独Vlan。此外,原先有线用户主机使用静态IP地址改为动态IP地址自动获取方式。逻辑结构如图2所示。
无线局域网建设
1.校园无线局域网建设
大型场所如高校、机场、大型商场等由于覆盖范围广,为便于维护和管理采用基于FIT AP模式部署WLAN。如图3所示,所有AP通过有线方式与网络中的AC互联,AP启动以后发送请求数据包(包含AP型号、序列号等信息)寻找AC,AC回复相应数据包,含AC的IP地址信息,通过AP和AC建立连接通道,AP在AC上注册成功,从而AC向AP下发配置并管理AP的运行,用户可以在无线网络服务范围内无感知漫游。项目采用Bras作为用户接入网关,用户认证数据库存放Radius服务器,Bras实现网络承载、向用户推送Web认证页面、汇聚用户流量,以及实现实现用户接入的认证、计费和管理功能,有效完成用户个性化接入如QOS(Quality of Service,服务质量)、接入带宽和访问控制等。本项目所有室内AP均采用POE(Power Over Ethernet,基于以太网供电)模式供电。对于无线用户数据流量的处理,项目采用AP本地转发方式,AC只负责对AP的管理,不承载用户业务流量,所有业务流量通过AP本地转发后直接通过校园网到Bras设备。
2.有线无线一体化认证
为了方便用户登录校园有线和无线网,采用有线无线一体化认证解决方案,所有校园网用户通过学院统一认证平台Bras设备采用Web portal方式认证计费,无线网接入不再使用单独认证。用户单个账号支持两种不同类型的无线终端同时上网,将台式机、笔记本电脑和平板电脑归为同一类型终端,而智能手机归结为另一类型的终端,用户使用笔记本电脑采用有线或无线方式上网的同时,可以使用手机访问校园无线网。为了便于智能手机上网认证方便,手机用户第一次访问校园无线网需要使用Web Portal输入用户名和密码认证,认证的同时系统将自动绑定其手机无线网卡的MAC(Media Access Control,媒体访问接入子层)地址,之后该手机只要连接校园无线网信号系统自动认证其MAC地址,而无需用户再次进行Web Portal认证,如果用户更换手机可以通过自助服务系统自行将原先系统自动登记的手机信息删除并用新手机进行初次认证。
图1 改造之前的办公网络结构
图2 扁平化改造后的办公网络结构3.基于接入端与边界的流控管理
为了充分利用内部带宽资源与有效防止校园网出口拥塞,采用基于用户接入端与校园网边界流控相结合的方式。
图4为用户接入校园网通过Bras设备认证并按照认证设备预先设置好的带宽策略做用户接入流量限制,将视频或FTP资源直接接在校园网核心交换,用户按照校内带宽限制策略访问这些校内资源。用户访问外网时,数据经过校园网边界流控设备,进行单用户限制访问外网带宽与根据应用数据从不同出口转发。例如:分配用户接入校内访问一律分配10Mbps带宽,用户访问校内视频与FTP等资源以及用户之间的访问均可以达到10Mbps,而用户访问Internet数据经过边界流控设备,流控设备识别用户设备特征,如果手机终端则访问外网1.5Mbps,其他类型终端访问外网4Mbps,网络游戏应用、网页访问数据等;通过识别并从电信出口转发,迅雷等软件下载应用数据从移动出口转发。与运营商共建共享网络平台
南京信息职业技术学院共有20栋学生宿舍,设计有线网络采用EPON(Ethernet passive optical network ,以太网无源光)网络布置方案。EPON是一种新型的光纤接入网技术,其典型的拓扑结构为树型,它采用点到多点结构、无源光纤传输,在以太网之上提供多种业务。因此,它综合了PON技术和以太网技术的优点:低成本、高带宽、扩展性强、灵活快速的服务重组、与现有以太网的兼容性和方便的管理等特性,是目前以太网最佳的组网方式。
学生宿舍有线网络由运营商建设,ONU(Optical Network Unit, 光网络单元)放置于每宿舍套间连接宿舍的交换机,POS(Passive Optical Splitter, 无源分光器)位于OLT(Optical Line Terminal, 光线路终端)与ONU之间,由于是无源设备,几乎可以适应所有环境,一般一个POS 的分线率为8和16,并可以进行多级连接,OLT设备放置于中心机房,OLT设备采用多业务出口分别连接校园网和运营商网络。
当学生宿舍用户使用网线将终端设备连接网络接口时,将会自动获取到校园网分配的IP地址,如果该用户访问校园网,通过Web Portal方式认证计费;如果该用户需要直接访问运营商的网络,则使用PPPOE方式直接通过运营商Bras设备认证计费。
图3 基于FIT AP模式架构的WLAN
图4 基于网关与边界流控管理项目实施成效
1.有线网扁平化改造提高了数据转发效率与网络稳定性。由于校园有线网采用扁平化架构,网络中减少路由转发,提高了数据转发效率,并且使用QinQ技术最大限度地有效隔离接入层交换机端口之间的攻击,提高内网稳定性。
2.无线网提供了用户上网的便捷。无线网AC采用冗余架构保障无线骨干网的可靠性。对于无线用户数据流量的处理,采用AP本地转发方式使得AC实现轻载,不再成为性能瓶颈。
3.网络认证人性化与智能化。有线无线一体化认证保证全院每一台终端有线无线方式上网都经由统一认证平台,而且也由统一平台记录上网日志,方便认证与日志管理。手机只要认证一次便会记录手机MAC地址,以后在系统内部通过手机MAC地址认证,给用户达到“免认证”的体验,实现了网络智能化。
4.网络资源丰富。学校部署了丰富的教学视频资源,可以直接连接校园网核心交换,学生在内网访问校内资源时要经过认证,记录访问日志,并且内网的高带宽提供保障了资源访问的流畅。
5.灵活的带宽管理。采用接入端与网关双重流控方案部署,有效保证了校内带宽资源充分利用,校园网出口带宽资源合理利用。
6.与运营商共建共享实现双赢。学生宿舍区域与运营商合作共建EPON多业务宽带,对于高校来说,减少了网络建设资金投入,也将网络接入的维护任务交给运营商,不仅节约了网络维护的成本,由于运营商维护效率要求较高,也将会提高校园网用户的满意度。
(作者单位为南京信息职业技术学院图文信息中心)