中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁 > 新聞 > 專家觀點(diǎn) >

瞻博網(wǎng)絡(luò)李世朋:新一代校園網(wǎng)建設(shè)思路與趨勢

2015-06-16 14:02:15   作者:瞻博網(wǎng)絡(luò)中國區(qū)企業(yè)網(wǎng)技術(shù)總監(jiān) 李世朋   來源:CTI論壇   評論:0  點(diǎn)擊:


  校園網(wǎng)架構(gòu)設(shè)計問題

  當(dāng)前高校校園網(wǎng)面臨許多挑戰(zhàn)和壓力,包括對大量接入用戶的管理控制、追查審計、政策監(jiān)管、運(yùn)維以及新業(yè)務(wù)的開展和部署。這些難題之所以一直以來在很多學(xué)校并沒有得到很好解決,源于校園網(wǎng)的架構(gòu)設(shè)計中存在缺陷。

  這里所說的架構(gòu)問題,并非說我們通常所采用的核心、匯聚、接入的分層方法不對,而是說,在每一層里面的網(wǎng)絡(luò)設(shè)備所承擔(dān)的職責(zé)、所做的事情正好顛倒了,能力越弱的設(shè)備卻被要求做越復(fù)雜的事情,而能力越強(qiáng)的設(shè)備反而只處理很簡單的事情。

  舉例來說,能力最弱的接入層交換機(jī),卻被要求做了非常復(fù)雜的安全接入和控制功能,例如用戶隔離、速率控制、802.1X接入控制、ARP 檢測、DHCP 監(jiān)聽等等,配置非常復(fù)雜。而且,校園網(wǎng)接入層交換機(jī)的質(zhì)量和穩(wěn)定性都相對較弱,各種品牌交織在一起兼容性也不好,讓它做這么復(fù)雜的事情,自然做不好,還可能引發(fā)各種故障和問題,而且這部分接入設(shè)備在校園網(wǎng)的數(shù)量是最大的,分散在各個地方,一旦出現(xiàn)問題,處理起來非常麻煩。

  對于匯聚層來說,匯聚層設(shè)備的檔次雖然有所提高,但在很多校園網(wǎng)里所承擔(dān)的工作仍然不輕松,比如IPv4, IPv6 的終結(jié)、組播的復(fù)制和轉(zhuǎn)發(fā)、QoS、ACL、VPN 等等,這部分設(shè)備的數(shù)量也很多,復(fù)雜的功能和配置不但給運(yùn)維造成麻煩,而且很多學(xué)校的匯聚層設(shè)備由于能力不足,無法在上面開展新業(yè)務(wù)。

  最后是核心層,強(qiáng)大的核心設(shè)備檔次最高、硬件資源配備最豐富,但所做的事情卻很簡單,主要就是負(fù)責(zé)流量的快速轉(zhuǎn)發(fā),造成了資源和集中管理優(yōu)勢的浪費(fèi)。所以說,這種職責(zé)倒掛的結(jié)構(gòu),引發(fā)了很多問題,如果架構(gòu)的問題不解決,單靠不斷的升級設(shè)備的檔次,只能是浪費(fèi)投資、治標(biāo)不治本。

  理順校園網(wǎng)架構(gòu)法則

  綜上,對新一代校園網(wǎng)的建設(shè)思路,第一步就是把架構(gòu)理順,讓這些設(shè)備做它們最合適做的事情。比如能力最弱的接入層交換機(jī),就做最簡單的用戶二層接入和隔離,而且也不存在網(wǎng)絡(luò)配置兼容性的問題和與用戶終端兼容性的問題,即使發(fā)生了硬件故障,也能做到立即更換,因?yàn)榕渲梅浅:唵巍?/p>

  匯聚層設(shè)備,就只做二層透傳,頂多再打個QinQ標(biāo)簽,這樣,復(fù)雜的業(yè)務(wù)部署就不會涉及到這些設(shè)備,也就不會對這些匯聚層設(shè)備有要求,學(xué)校就能輕松地開展部署新業(yè)務(wù)。最后,把用戶控制和管理功能、復(fù)雜業(yè)務(wù)的承載以及校園網(wǎng)的智能控制全都集中在硬件資源配備最豐富的核心設(shè)備上來。

  這種把智能集中在核心,讓邊緣(匯聚和接入)盡量簡化的思路,不但可以大幅度地簡化運(yùn)維、降低故障率、提高穩(wěn)定性、還能便于輕松部署新業(yè)務(wù),今后校園網(wǎng)的擴(kuò)展也很方便。從整網(wǎng)建設(shè)的投資來講,雖然對核心設(shè)備的檔次有一定要求,但核心設(shè)備數(shù)量占比非常少,投資重心在海量的匯聚和接入層設(shè)備,對這些設(shè)備要求的降低,可以節(jié)省大量的建網(wǎng)投資,而且運(yùn)維的簡化可以幫助進(jìn)一步降低今后的運(yùn)維成本。所以我們可以發(fā)現(xiàn),當(dāng)架構(gòu)設(shè)計這個根源問題理順之后,實(shí)際上很多難題就解決了一大半。那么,用戶的管理和控制怎么做呢?

  首先,用戶的隔離還是靠VLAN,在接入層交換機(jī)上做最簡單的二層隔離,如果想徹底消除ARP 欺騙等局域網(wǎng)攻擊的話,甚至可以為每個用戶配置一個VLAN,然后在匯聚層打QinQ外層標(biāo)簽,這樣做還帶來一個好處就是可以實(shí)現(xiàn)接入層交換機(jī)的統(tǒng)一化預(yù)先配置和免維護(hù),比如24 口交換機(jī)可以統(tǒng)一預(yù)先配置VLAN1-24,48 口交換機(jī)可以統(tǒng)一預(yù)先配置VLAN1-48,然后把預(yù)配好的交換機(jī)下發(fā)直接上線,今后如果發(fā)生硬件故障,可以做到真正的傻瓜式的立即更換,非常簡單。在匯聚層打VLAN 外層標(biāo)簽,可以用來實(shí)現(xiàn)對接入位置的定位,比如有些學(xué)校用VLAN 內(nèi)層標(biāo)簽標(biāo)識宿舍門牌號,用外層標(biāo)簽標(biāo)識宿舍樓和樓層。對于用戶的管理和控制,要靠核心設(shè)備的用戶管理(BRAS) 功能,目前主流的方式是采用IPoE+Web Portal 認(rèn)證的方式,用戶二層接入上來,在核心用戶管理設(shè)備上獲取地址,用戶管理設(shè)備會為每一個用戶生成對應(yīng)的邏輯子接口,當(dāng)用戶通過Web Portal導(dǎo)向的Radius 認(rèn)證之后,Radius 會把針對這個用戶的策略下發(fā)到對應(yīng)的邏輯子接口上,對這個用戶的所有流量進(jìn)行管理和控制。這種IPoE+Web Portal 認(rèn)證的方式,就使得校園網(wǎng)具備了基于用戶和身份的智能。

  這套方案帶來的另外一個好處就是可以實(shí)現(xiàn)有線和無線網(wǎng)的無縫融合。之前,有的校園網(wǎng)的有線和無線可能是兩張獨(dú)立的網(wǎng)絡(luò),有兩套不同的用戶管理策略,不但給管理和運(yùn)維造成麻煩,而且用戶的接入使用體驗(yàn)也不一致。無線網(wǎng)中的無線控制器對某些復(fù)雜業(yè)務(wù)的支持和部署能力并不好,可能會造成用戶從有線切換到無線之后,有些本該有的網(wǎng)絡(luò)服務(wù)就不存在了,用戶體驗(yàn)很不好。解決這個問題的方法,還是讓不同的設(shè)備去做它最合適做的事情,無線控制的強(qiáng)項是AP 的管理、頻率劃分、功率和抗干擾的調(diào)整,這些事情還是由無線控制器去做,而把用戶管理和復(fù)雜的業(yè)務(wù)承載全部交由有線網(wǎng)中的用戶管理設(shè)備去做。無線控制器旁掛在用戶管理設(shè)備旁邊,對于有線網(wǎng)來講,無線網(wǎng)只是提供了一個不同的用戶接入的通道。這樣兩張網(wǎng)融合成一張網(wǎng),兩套用戶管理策略融合成一套,不但簡化了運(yùn)維,而且能帶給用戶一致的使用體驗(yàn)。

  提升用戶體驗(yàn)的思路

  事實(shí)上,校園網(wǎng)的用戶體驗(yàn)是網(wǎng)絡(luò)建設(shè)應(yīng)該重點(diǎn)考慮的問題,從本質(zhì)上講,校園網(wǎng)使用體驗(yàn)非常重要。我們能不能在基于用戶和身份對用戶進(jìn)行管理和控制之外,進(jìn)一步提升用戶的使用體驗(yàn)?是校園網(wǎng)管理者要重點(diǎn)思考的問題。剛才提到的有線無線融合,就是最簡單的使用體驗(yàn)的例子,通過識別接入終端的不同,推送給用戶不同分辨率的內(nèi)容形式一致的頁面。有的學(xué)校為了提升用戶使用體驗(yàn),通過一定的策略允許學(xué)生走自己的手機(jī)的免費(fèi)流量,這樣可以為學(xué)生省錢,用戶體驗(yàn)也相對較好。還有的學(xué)校,可以允許學(xué)生自己選擇臨時性的提升出口帶寬一段時間,有的學(xué)校還提供了用戶自服務(wù)平臺,用戶可以在上面開戶、辦理業(yè)務(wù)、查詢流量和賬單,親戚朋友來訪時,可以設(shè)置把他們的終端加入到注冊主機(jī)當(dāng)中,使用自己的費(fèi)用免認(rèn)證的接入上網(wǎng)。有的學(xué)校還提供了手機(jī)找回服務(wù),如果在校園里丟了手機(jī),掛失之后,網(wǎng)絡(luò)中心會把手機(jī)MAC 加入到黑名單,當(dāng)手機(jī)被別人撿到并在校園上網(wǎng)的時候,黑名單就會報警,網(wǎng)絡(luò)中心通過接入VLAN就能定位到大致的位置,再通過附近的攝像頭錄像尋找嫌疑人,如果撿手機(jī)的人進(jìn)行了Web Portal 認(rèn)證,就能找到相關(guān)的人。

  另外,提供動態(tài)的差異化的服務(wù),也是提升用戶體驗(yàn)的有效手段。差異化服務(wù)指的是針對不同用戶或不同狀態(tài)下的同一用戶提供不同的服務(wù)內(nèi)容,可以根據(jù)用戶身份、接入方式、終端類型、接入時間、位置等信息綜合判斷,賦予這個用戶最合適的服務(wù)內(nèi)容。動態(tài)是指服務(wù)內(nèi)容的切換不需要用戶下線重新登錄。最簡單的差異化服務(wù)的例子,就是針對學(xué)生、教師、領(lǐng)導(dǎo)等不同的用戶群提供不同的出口帶寬和訪問權(quán)限。另外,有的學(xué)校可以在校園網(wǎng)出口帶寬利用率不足50% 的時候,動態(tài)地為所有教師身份的用戶臨時性提升出口帶寬。

  這套校園網(wǎng)建設(shè)的思路雖然能解決之前提到的很多問題,包括大量用戶的管理控制、雙網(wǎng)無縫融合、提升用戶使用體驗(yàn)、簡化運(yùn)維、提升穩(wěn)定性、降低整網(wǎng)TCO 等等,但是可能有人會擔(dān)心,如果把所有智能和用戶控制都集中到核心設(shè)備上,核心設(shè)備的服務(wù)質(zhì)量、性能、容量、可擴(kuò)展性和穩(wěn)定性如何保證?事實(shí)上,很多學(xué)校都已經(jīng)意識到了這個問題,我們也發(fā)現(xiàn)越來越多的學(xué)校,已經(jīng)開始在新一代校園網(wǎng)的建設(shè)中,采用高端路由器代替三層交換機(jī)作為校園網(wǎng)的核心,已經(jīng)有越來越多的學(xué)校形成共識,對于類似運(yùn)營商網(wǎng)絡(luò)的校園網(wǎng)環(huán)境,應(yīng)該使用運(yùn)營商級別的帶有用戶管理(BRAS)功能的路由器設(shè)備作為校園網(wǎng)核心,而對于三層交換機(jī),即使是數(shù)據(jù)中心級別的高端三層交換機(jī),也不適用于新一代校園網(wǎng)的核心,因?yàn)樾@網(wǎng)的設(shè)備和數(shù)據(jù)中心的設(shè)備,有著截然不同的需求和特性。目前,以Juniper MX 路由器為核心的新一代校園網(wǎng)方案已經(jīng)在國內(nèi)上百所院校得到了應(yīng)用和實(shí)踐,在Juniper 設(shè)備上承載的高校師生用戶總數(shù)也已經(jīng)超過了兩百萬,這種把智能集中在核心,讓邊緣盡量簡化的架構(gòu),也將逐漸成為新一代校園網(wǎng)建設(shè)的方向和趨勢。

  關(guān)于作者



瞻博網(wǎng)絡(luò)中國區(qū)企業(yè)網(wǎng)技術(shù)總監(jiān) 李世朋

分享到: 收藏

專題