校園網(wǎng)架構設計問(wèn)題
當前高校校園網(wǎng)面臨許多挑戰和壓力,包括對大量接入用戶(hù)的管理控制、追查審計、政策監管、運維以及新業(yè)務(wù)的開(kāi)展和部署。這些難題之所以一直以來(lái)在很多學(xué)校并沒(méi)有得到很好解決,源于校園網(wǎng)的架構設計中存在缺陷。
這里所說(shuō)的架構問(wèn)題,并非說(shuō)我們通常所采用的核心、匯聚、接入的分層方法不對,而是說(shuō),在每一層里面的網(wǎng)絡(luò )設備所承擔的職責、所做的事情正好顛倒了,能力越弱的設備卻被要求做越復雜的事情,而能力越強的設備反而只處理很簡(jiǎn)單的事情。
舉例來(lái)說(shuō),能力最弱的接入層交換機,卻被要求做了非常復雜的安全接入和控制功能,例如用戶(hù)隔離、速率控制、802.1X接入控制、ARP 檢測、DHCP 監聽(tīng)等等,配置非常復雜。而且,校園網(wǎng)接入層交換機的質(zhì)量和穩定性都相對較弱,各種品牌交織在一起兼容性也不好,讓它做這么復雜的事情,自然做不好,還可能引發(fā)各種故障和問(wèn)題,而且這部分接入設備在校園網(wǎng)的數量是最大的,分散在各個(gè)地方,一旦出現問(wèn)題,處理起來(lái)非常麻煩。
對于匯聚層來(lái)說(shuō),匯聚層設備的檔次雖然有所提高,但在很多校園網(wǎng)里所承擔的工作仍然不輕松,比如IPv4, IPv6 的終結、組播的復制和轉發(fā)、QoS、ACL、VPN 等等,這部分設備的數量也很多,復雜的功能和配置不但給運維造成麻煩,而且很多學(xué)校的匯聚層設備由于能力不足,無(wú)法在上面開(kāi)展新業(yè)務(wù)。
最后是核心層,強大的核心設備檔次最高、硬件資源配備最豐富,但所做的事情卻很簡(jiǎn)單,主要就是負責流量的快速轉發(fā),造成了資源和集中管理優(yōu)勢的浪費。所以說(shuō),這種職責倒掛的結構,引發(fā)了很多問(wèn)題,如果架構的問(wèn)題不解決,單靠不斷的升級設備的檔次,只能是浪費投資、治標不治本。
理順校園網(wǎng)架構法則
綜上,對新一代校園網(wǎng)的建設思路,第一步就是把架構理順,讓這些設備做它們最合適做的事情。比如能力最弱的接入層交換機,就做最簡(jiǎn)單的用戶(hù)二層接入和隔離,而且也不存在網(wǎng)絡(luò )配置兼容性的問(wèn)題和與用戶(hù)終端兼容性的問(wèn)題,即使發(fā)生了硬件故障,也能做到立即更換,因為配置非常簡(jiǎn)單。
匯聚層設備,就只做二層透傳,頂多再打個(gè)QinQ標簽,這樣,復雜的業(yè)務(wù)部署就不會(huì )涉及到這些設備,也就不會(huì )對這些匯聚層設備有要求,學(xué)校就能輕松地開(kāi)展部署新業(yè)務(wù)。最后,把用戶(hù)控制和管理功能、復雜業(yè)務(wù)的承載以及校園網(wǎng)的智能控制全都集中在硬件資源配備最豐富的核心設備上來(lái)。
這種把智能集中在核心,讓邊緣(匯聚和接入)盡量簡(jiǎn)化的思路,不但可以大幅度地簡(jiǎn)化運維、降低故障率、提高穩定性、還能便于輕松部署新業(yè)務(wù),今后校園網(wǎng)的擴展也很方便。從整網(wǎng)建設的投資來(lái)講,雖然對核心設備的檔次有一定要求,但核心設備數量占比非常少,投資重心在海量的匯聚和接入層設備,對這些設備要求的降低,可以節省大量的建網(wǎng)投資,而且運維的簡(jiǎn)化可以幫助進(jìn)一步降低今后的運維成本。所以我們可以發(fā)現,當架構設計這個(gè)根源問(wèn)題理順之后,實(shí)際上很多難題就解決了一大半。那么,用戶(hù)的管理和控制怎么做呢?
首先,用戶(hù)的隔離還是靠VLAN,在接入層交換機上做最簡(jiǎn)單的二層隔離,如果想徹底消除ARP 欺騙等局域網(wǎng)攻擊的話(huà),甚至可以為每個(gè)用戶(hù)配置一個(gè)VLAN,然后在匯聚層打QinQ外層標簽,這樣做還帶來(lái)一個(gè)好處就是可以實(shí)現接入層交換機的統一化預先配置和免維護,比如24 口交換機可以統一預先配置VLAN1-24,48 口交換機可以統一預先配置VLAN1-48,然后把預配好的交換機下發(fā)直接上線(xiàn),今后如果發(fā)生硬件故障,可以做到真正的傻瓜式的立即更換,非常簡(jiǎn)單。在匯聚層打VLAN 外層標簽,可以用來(lái)實(shí)現對接入位置的定位,比如有些學(xué)校用VLAN 內層標簽標識宿舍門(mén)牌號,用外層標簽標識宿舍樓和樓層。對于用戶(hù)的管理和控制,要靠核心設備的用戶(hù)管理(BRAS) 功能,目前主流的方式是采用IPoE+Web Portal 認證的方式,用戶(hù)二層接入上來(lái),在核心用戶(hù)管理設備上獲取地址,用戶(hù)管理設備會(huì )為每一個(gè)用戶(hù)生成對應的邏輯子接口,當用戶(hù)通過(guò)Web Portal導向的Radius 認證之后,Radius 會(huì )把針對這個(gè)用戶(hù)的策略下發(fā)到對應的邏輯子接口上,對這個(gè)用戶(hù)的所有流量進(jìn)行管理和控制。這種IPoE+Web Portal 認證的方式,就使得校園網(wǎng)具備了基于用戶(hù)和身份的智能。
這套方案帶來(lái)的另外一個(gè)好處就是可以實(shí)現有線(xiàn)和無(wú)線(xiàn)網(wǎng)的無(wú)縫融合。之前,有的校園網(wǎng)的有線(xiàn)和無(wú)線(xiàn)可能是兩張獨立的網(wǎng)絡(luò ),有兩套不同的用戶(hù)管理策略,不但給管理和運維造成麻煩,而且用戶(hù)的接入使用體驗也不一致。無(wú)線(xiàn)網(wǎng)中的無(wú)線(xiàn)控制器對某些復雜業(yè)務(wù)的支持和部署能力并不好,可能會(huì )造成用戶(hù)從有線(xiàn)切換到無(wú)線(xiàn)之后,有些本該有的網(wǎng)絡(luò )服務(wù)就不存在了,用戶(hù)體驗很不好。解決這個(gè)問(wèn)題的方法,還是讓不同的設備去做它最合適做的事情,無(wú)線(xiàn)控制的強項是AP 的管理、頻率劃分、功率和抗干擾的調整,這些事情還是由無(wú)線(xiàn)控制器去做,而把用戶(hù)管理和復雜的業(yè)務(wù)承載全部交由有線(xiàn)網(wǎng)中的用戶(hù)管理設備去做。無(wú)線(xiàn)控制器旁?huà)煸谟脩?hù)管理設備旁邊,對于有線(xiàn)網(wǎng)來(lái)講,無(wú)線(xiàn)網(wǎng)只是提供了一個(gè)不同的用戶(hù)接入的通道。這樣兩張網(wǎng)融合成一張網(wǎng),兩套用戶(hù)管理策略融合成一套,不但簡(jiǎn)化了運維,而且能帶給用戶(hù)一致的使用體驗。
提升用戶(hù)體驗的思路
事實(shí)上,校園網(wǎng)的用戶(hù)體驗是網(wǎng)絡(luò )建設應該重點(diǎn)考慮的問(wèn)題,從本質(zhì)上講,校園網(wǎng)使用體驗非常重要。我們能不能在基于用戶(hù)和身份對用戶(hù)進(jìn)行管理和控制之外,進(jìn)一步提升用戶(hù)的使用體驗?是校園網(wǎng)管理者要重點(diǎn)思考的問(wèn)題。剛才提到的有線(xiàn)無(wú)線(xiàn)融合,就是最簡(jiǎn)單的使用體驗的例子,通過(guò)識別接入終端的不同,推送給用戶(hù)不同分辨率的內容形式一致的頁(yè)面。有的學(xué)校為了提升用戶(hù)使用體驗,通過(guò)一定的策略允許學(xué)生走自己的手機的免費流量,這樣可以為學(xué)生省錢(qián),用戶(hù)體驗也相對較好。還有的學(xué)校,可以允許學(xué)生自己選擇臨時(shí)性的提升出口帶寬一段時(shí)間,有的學(xué)校還提供了用戶(hù)自服務(wù)平臺,用戶(hù)可以在上面開(kāi)戶(hù)、辦理業(yè)務(wù)、查詢(xún)流量和賬單,親戚朋友來(lái)訪(fǎng)時(shí),可以設置把他們的終端加入到注冊主機當中,使用自己的費用免認證的接入上網(wǎng)。有的學(xué)校還提供了手機找回服務(wù),如果在校園里丟了手機,掛失之后,網(wǎng)絡(luò )中心會(huì )把手機MAC 加入到黑名單,當手機被別人撿到并在校園上網(wǎng)的時(shí)候,黑名單就會(huì )報警,網(wǎng)絡(luò )中心通過(guò)接入VLAN就能定位到大致的位置,再通過(guò)附近的攝像頭錄像尋找嫌疑人,如果撿手機的人進(jìn)行了Web Portal 認證,就能找到相關(guān)的人。
另外,提供動(dòng)態(tài)的差異化的服務(wù),也是提升用戶(hù)體驗的有效手段。差異化服務(wù)指的是針對不同用戶(hù)或不同狀態(tài)下的同一用戶(hù)提供不同的服務(wù)內容,可以根據用戶(hù)身份、接入方式、終端類(lèi)型、接入時(shí)間、位置等信息綜合判斷,賦予這個(gè)用戶(hù)最合適的服務(wù)內容。動(dòng)態(tài)是指服務(wù)內容的切換不需要用戶(hù)下線(xiàn)重新登錄。最簡(jiǎn)單的差異化服務(wù)的例子,就是針對學(xué)生、教師、領(lǐng)導等不同的用戶(hù)群提供不同的出口帶寬和訪(fǎng)問(wèn)權限。另外,有的學(xué)校可以在校園網(wǎng)出口帶寬利用率不足50% 的時(shí)候,動(dòng)態(tài)地為所有教師身份的用戶(hù)臨時(shí)性提升出口帶寬。
這套校園網(wǎng)建設的思路雖然能解決之前提到的很多問(wèn)題,包括大量用戶(hù)的管理控制、雙網(wǎng)無(wú)縫融合、提升用戶(hù)使用體驗、簡(jiǎn)化運維、提升穩定性、降低整網(wǎng)TCO 等等,但是可能有人會(huì )擔心,如果把所有智能和用戶(hù)控制都集中到核心設備上,核心設備的服務(wù)質(zhì)量、性能、容量、可擴展性和穩定性如何保證?事實(shí)上,很多學(xué)校都已經(jīng)意識到了這個(gè)問(wèn)題,我們也發(fā)現越來(lái)越多的學(xué)校,已經(jīng)開(kāi)始在新一代校園網(wǎng)的建設中,采用高端路由器代替三層交換機作為校園網(wǎng)的核心,已經(jīng)有越來(lái)越多的學(xué)校形成共識,對于類(lèi)似運營(yíng)商網(wǎng)絡(luò )的校園網(wǎng)環(huán)境,應該使用運營(yíng)商級別的帶有用戶(hù)管理(BRAS)功能的路由器設備作為校園網(wǎng)核心,而對于三層交換機,即使是數據中心級別的高端三層交換機,也不適用于新一代校園網(wǎng)的核心,因為校園網(wǎng)的設備和數據中心的設備,有著(zhù)截然不同的需求和特性。目前,以Juniper MX 路由器為核心的新一代校園網(wǎng)方案已經(jīng)在國內上百所院校得到了應用和實(shí)踐,在Juniper 設備上承載的高校師生用戶(hù)總數也已經(jīng)超過(guò)了兩百萬(wàn),這種把智能集中在核心,讓邊緣盡量簡(jiǎn)化的架構,也將逐漸成為新一代校園網(wǎng)建設的方向和趨勢。
關(guān)于作者
瞻博網(wǎng)絡(luò )中國區企業(yè)網(wǎng)技術(shù)總監 李世朋
