- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于混合运营模式的校园网络架构优化与实施.doc
基于混合运营模式的校园网络架构优化与实施
摘 要 分析了高校校园网在混合运营模式下存在的不足,通过产权结构调整,实施网络架构优化,进一步明晰了运营各方的责任界面,重新定义了安全边界,实现路由上收扁平化,安全上收集中化。实际应用表明,网络架构优化能有效简化网络管理,实现校园网络运营的开放共赢。
【关键词】混合运营模式 网络架构 扁平化
高校校园网经过不同阶段的发展,逐渐趋向采取混合运营模式,学校以市场换技术和资金的方式,引入第三方共同参与网络的运营,即自建自营与授权运营相结合。这种模式能有效缓解学校的资金和技术压力,在短期内快速改善校园网络质量,但在后续运营过程中所出现的使用、维护、安全等方面的问题,也制约着校园网的进一步发展。本文以莆田学院为例,分析混合运营模式的不足,通过网络架构优化实现更合理化的网络运营。
1 混合运营模式存在的问题
莆田学院校园网经过多年的建设,从最初的自建自营,到现在的多运营商合作运营,逐渐实现了全校的网络覆盖。整体网络采用核心层、汇聚层、接入层三级网络架构,其中接入层负责用户的接入、802.1X认证准入控制、ARP动态检测等,汇聚层设备做为三层网关,核心层负责全网数据的高速转发。校园网的运营属于典型的混合运营模式,主干网络以分期付款的方式由电信垫资建设,接入层既有校方自建的部分,又有电信、铁通投资建设的部分。随着网络规模的不断扩大,该模式所存在的一些弊端也逐渐呈现出来:
1.1 接入边界不清,安全难以管控
校园网的接入边界基本由第三方负责建设和运营,设备和链路的产权、使用权在合同期内归属第三方,导致校方对于边界的扩展难以监管。同时,受制于接入设备的功能,边界的安全防范手段有限,主要通过实施802.1X认证,在接入层设备的端口上对用户进行访问授权和控制。边界的安全取决于运维人员是否主动在端口上配置认证准入策略,而那些不启用802.1X认证的端口则成为可被利用的安全短板,甚至第三方可利用这一机制自由扩展边界,在学校的网络上开展自己的业务。实际运营过程中,校方很难对大量的设备进行排查监控,导致接入边界存在安全隐患,而其他层级的设备又缺乏相应的安全防范,从而加剧整个网络的风险。
1.2 设备型号不一、兼容性差
多年的建设和部署,形成网络设备品牌杂、型号多、功能参差不齐的情况。特别是第三方的设备多为集团采购,型号和品牌更换频繁,同时为了节省投资,经常采用一些低端的产品。设备的功能、性能难以满足实际应用的需求,出现不支持ARP防范、不能很好地兼容身份认证系统、不支持下发严格的准入策略等问题,不仅无法满足管理上的要求,也直接影响用户的使用体验。
1.3 产权结构混乱、管理层级过多,部署和维护难度大
三层架构下的网络建设,需要耗费大量精力在接入层、汇聚层设备的功能配置上,部署难度大,且对实施人员的技术要求比较高。汇聚层、核心层同时部署二、三层协议,纵向关联度较大,导致故障定位需要多方沟通和协调。而整网的设备产权结构混乱,出现第三方之间的网络建设交叉的情况,不仅加大了故障的排查难度,而且易出现相互间的不信任和推诿,极大的影响了运维服务质量。
2 网络架构优化与应用分析
基于校园网开放性运营的发展趋势,为了解决当前运营所存在的问题,必须改变现有校园网设备层次和能力层次倒挂的局面,实施网络架构优化。本次改造中,在现有网络的基础上,由学校投资部署了新的核心交换机、身份认证计费系统、流量控制设备,实现扁平化大二层架构,并进一步明晰了网络产权结构和运维责任界面。
2.1 扁平化网络架构设计
如图1所示,将传统的三层网络架构调整为大二层扁平结构,整个网络划分为业务控制层和宽带接入层。业务控制层由核心层设备组成,提供网络中的用户接入控制、业务功能实现等,宽带接入层由接入层、汇聚层组成,负责二层数据转发、VLAN透传和端口隔离等。
2.1.1业务控制层
部署两台台功能丰富、性能强大的核心交换机作为三层网关,采用虚拟化技术,结合链路聚合实现全网双归双活。将原有部署在接入层交换机上的802.1X认证功能上收到核心交换机上,配合身份认证计费管理系统,实现基于用户身份的实名认证。出口流量控制与身份认证计费系统联动,可按照流量、时长等制定差异化的带宽服务,从而实现灵活的、精细化的校园网认证计费管理。出口网关负责路由、NAT、链路负载均衡等业务,并集成丰富的防火墙功能,构筑安全的出口边界。
2.1.2宽带接入层
宽带接入层设备只启用二层VLAN功能,为接入交换机的每个端口划分单独VLAN,实施端口隔离,有效防范ARP欺骗和DHCP仿冒。用户通过802.1X客户端认证上网,遵循统一下发的准入策略,可以做到防代理、防私设地址等桌面
文档评论(0)