首页 > 新闻 > 专家观点 >

瞻博网络李世朋:新一代校园网建设思路与趋势

2015-06-16 14:02:15   作者:瞻博网络中国区企业网技术总监 李世朋   来源:CTI论坛   评论:0  点击:


  校园网架构设计问题

  当前高校校园网面临许多挑战和压力,包括对大量接入用户的管理控制、追查审计、政策监管、运维以及新业务的开展和部署。这些难题之所以一直以来在很多学校并没有得到很好解决,源于校园网的架构设计中存在缺陷。

  这里所说的架构问题,并非说我们通常所采用的核心、汇聚、接入的分层方法不对,而是说,在每一层里面的网络设备所承担的职责、所做的事情正好颠倒了,能力越弱的设备却被要求做越复杂的事情,而能力越强的设备反而只处理很简单的事情。

  举例来说,能力最弱的接入层交换机,却被要求做了非常复杂的安全接入和控制功能,例如用户隔离、速率控制、802.1X接入控制、ARP 检测、DHCP 监听等等,配置非常复杂。而且,校园网接入层交换机的质量和稳定性都相对较弱,各种品牌交织在一起兼容性也不好,让它做这么复杂的事情,自然做不好,还可能引发各种故障和问题,而且这部分接入设备在校园网的数量是最大的,分散在各个地方,一旦出现问题,处理起来非常麻烦。

  对于汇聚层来说,汇聚层设备的档次虽然有所提高,但在很多校园网里所承担的工作仍然不轻松,比如IPv4, IPv6 的终结、组播的复制和转发、QoS、ACL、VPN 等等,这部分设备的数量也很多,复杂的功能和配置不但给运维造成麻烦,而且很多学校的汇聚层设备由于能力不足,无法在上面开展新业务。

  最后是核心层,强大的核心设备档次最高、硬件资源配备最丰富,但所做的事情却很简单,主要就是负责流量的快速转发,造成了资源和集中管理优势的浪费。所以说,这种职责倒挂的结构,引发了很多问题,如果架构的问题不解决,单靠不断的升级设备的档次,只能是浪费投资、治标不治本。

  理顺校园网架构法则

  综上,对新一代校园网的建设思路,第一步就是把架构理顺,让这些设备做它们最合适做的事情。比如能力最弱的接入层交换机,就做最简单的用户二层接入和隔离,而且也不存在网络配置兼容性的问题和与用户终端兼容性的问题,即使发生了硬件故障,也能做到立即更换,因为配置非常简单。

  汇聚层设备,就只做二层透传,顶多再打个QinQ标签,这样,复杂的业务部署就不会涉及到这些设备,也就不会对这些汇聚层设备有要求,学校就能轻松地开展部署新业务。最后,把用户控制和管理功能、复杂业务的承载以及校园网的智能控制全都集中在硬件资源配备最丰富的核心设备上来。

  这种把智能集中在核心,让边缘(汇聚和接入)尽量简化的思路,不但可以大幅度地简化运维、降低故障率、提高稳定性、还能便于轻松部署新业务,今后校园网的扩展也很方便。从整网建设的投资来讲,虽然对核心设备的档次有一定要求,但核心设备数量占比非常少,投资重心在海量的汇聚和接入层设备,对这些设备要求的降低,可以节省大量的建网投资,而且运维的简化可以帮助进一步降低今后的运维成本。所以我们可以发现,当架构设计这个根源问题理顺之后,实际上很多难题就解决了一大半。那么,用户的管理和控制怎么做呢?

  首先,用户的隔离还是靠VLAN,在接入层交换机上做最简单的二层隔离,如果想彻底消除ARP 欺骗等局域网攻击的话,甚至可以为每个用户配置一个VLAN,然后在汇聚层打QinQ外层标签,这样做还带来一个好处就是可以实现接入层交换机的统一化预先配置和免维护,比如24 口交换机可以统一预先配置VLAN1-24,48 口交换机可以统一预先配置VLAN1-48,然后把预配好的交换机下发直接上线,今后如果发生硬件故障,可以做到真正的傻瓜式的立即更换,非常简单。在汇聚层打VLAN 外层标签,可以用来实现对接入位置的定位,比如有些学校用VLAN 内层标签标识宿舍门牌号,用外层标签标识宿舍楼和楼层。对于用户的管理和控制,要靠核心设备的用户管理(BRAS) 功能,目前主流的方式是采用IPoE+Web Portal 认证的方式,用户二层接入上来,在核心用户管理设备上获取地址,用户管理设备会为每一个用户生成对应的逻辑子接口,当用户通过Web Portal导向的Radius 认证之后,Radius 会把针对这个用户的策略下发到对应的逻辑子接口上,对这个用户的所有流量进行管理和控制。这种IPoE+Web Portal 认证的方式,就使得校园网具备了基于用户和身份的智能。

  这套方案带来的另外一个好处就是可以实现有线和无线网的无缝融合。之前,有的校园网的有线和无线可能是两张独立的网络,有两套不同的用户管理策略,不但给管理和运维造成麻烦,而且用户的接入使用体验也不一致。无线网中的无线控制器对某些复杂业务的支持和部署能力并不好,可能会造成用户从有线切换到无线之后,有些本该有的网络服务就不存在了,用户体验很不好。解决这个问题的方法,还是让不同的设备去做它最合适做的事情,无线控制的强项是AP 的管理、频率划分、功率和抗干扰的调整,这些事情还是由无线控制器去做,而把用户管理和复杂的业务承载全部交由有线网中的用户管理设备去做。无线控制器旁挂在用户管理设备旁边,对于有线网来讲,无线网只是提供了一个不同的用户接入的通道。这样两张网融合成一张网,两套用户管理策略融合成一套,不但简化了运维,而且能带给用户一致的使用体验。

  提升用户体验的思路

  事实上,校园网的用户体验是网络建设应该重点考虑的问题,从本质上讲,校园网使用体验非常重要。我们能不能在基于用户和身份对用户进行管理和控制之外,进一步提升用户的使用体验?是校园网管理者要重点思考的问题。刚才提到的有线无线融合,就是最简单的使用体验的例子,通过识别接入终端的不同,推送给用户不同分辨率的内容形式一致的页面。有的学校为了提升用户使用体验,通过一定的策略允许学生走自己的手机的免费流量,这样可以为学生省钱,用户体验也相对较好。还有的学校,可以允许学生自己选择临时性的提升出口带宽一段时间,有的学校还提供了用户自服务平台,用户可以在上面开户、办理业务、查询流量和账单,亲戚朋友来访时,可以设置把他们的终端加入到注册主机当中,使用自己的费用免认证的接入上网。有的学校还提供了手机找回服务,如果在校园里丢了手机,挂失之后,网络中心会把手机MAC 加入到黑名单,当手机被别人捡到并在校园上网的时候,黑名单就会报警,网络中心通过接入VLAN就能定位到大致的位置,再通过附近的摄像头录像寻找嫌疑人,如果捡手机的人进行了Web Portal 认证,就能找到相关的人。

  另外,提供动态的差异化的服务,也是提升用户体验的有效手段。差异化服务指的是针对不同用户或不同状态下的同一用户提供不同的服务内容,可以根据用户身份、接入方式、终端类型、接入时间、位置等信息综合判断,赋予这个用户最合适的服务内容。动态是指服务内容的切换不需要用户下线重新登录。最简单的差异化服务的例子,就是针对学生、教师、领导等不同的用户群提供不同的出口带宽和访问权限。另外,有的学校可以在校园网出口带宽利用率不足50% 的时候,动态地为所有教师身份的用户临时性提升出口带宽。

  这套校园网建设的思路虽然能解决之前提到的很多问题,包括大量用户的管理控制、双网无缝融合、提升用户使用体验、简化运维、提升稳定性、降低整网TCO 等等,但是可能有人会担心,如果把所有智能和用户控制都集中到核心设备上,核心设备的服务质量、性能、容量、可扩展性和稳定性如何保证?事实上,很多学校都已经意识到了这个问题,我们也发现越来越多的学校,已经开始在新一代校园网的建设中,采用高端路由器代替三层交换机作为校园网的核心,已经有越来越多的学校形成共识,对于类似运营商网络的校园网环境,应该使用运营商级别的带有用户管理(BRAS)功能的路由器设备作为校园网核心,而对于三层交换机,即使是数据中心级别的高端三层交换机,也不适用于新一代校园网的核心,因为校园网的设备和数据中心的设备,有着截然不同的需求和特性。目前,以Juniper MX 路由器为核心的新一代校园网方案已经在国内上百所院校得到了应用和实践,在Juniper 设备上承载的高校师生用户总数也已经超过了两百万,这种把智能集中在核心,让边缘尽量简化的架构,也将逐渐成为新一代校园网建设的方向和趋势。

  关于作者



瞻博网络中国区企业网技术总监 李世朋

分享到: 收藏

专题