校園網是為學校師生提供快捷高效的教學、科研和綜合信息服務的網絡,隨著校園網規模越來越大,教學、科研對信息化的依賴越來越強,校園信息化的發展也越發迅速,網絡結構也越來越復雜,管理運維的難度不斷加大,校園信息化建設面臨著越來越多的挑戰。
首先,網絡管理問題:校園網目前大多是傳統的三層架構,網絡結構相對復雜,匯聚層設備做三層網關,啟用路由協議,與核心之間三層互通。同時,為了避免環路,接入層與匯聚層設備需要啟用復雜的MSTP生成樹協議,配置的復雜造成了管理的復雜,網絡管理員需要熟知整網的狀況以及每臺設備的配置情況,以便在出現網絡問題時能夠快速定位。
其次,網絡運營問題:校園網中有學生、教師等多種不同角色,針對不同角色計費方法不同,認證方式也不同,傳統校園網為了加強對學生的管控力度,多采用802.1x認證,經過多年的實際運營,網管人員發現802.1x認證問題頻出,不僅在接入交換機上啟用,大量的接入設備配置復雜,而且1x客戶端也很容易出問題,學生投訴不斷。
另外,網絡維護問題:傳統網絡架構中,網絡運維管理人員的精力主要消耗在網絡設備的功能配置、技術細節和繁瑣的問題定位上,無法將工作聚焦,更多的關注用戶體驗和業務的創新。
大二層網絡結構設計理念
校園網是一種用戶高密度的網絡,在有限的空間內聚集了大量的終端和用戶。扁平化大二層網絡的設計注重的是三個“易”:易管理,易部署,易維護。
易管理:扁平化的大二層網絡,整體簡化了網絡結構,網絡中大量的接入、匯聚作為邏輯二層設備只需要做簡單的vlan劃分、端口隔離配置即可,不需要過多管理,核心設備作三層網關,啟用路由、認證、安全相關功能,日常維護中,管理員只需要維護核心設備即可,大大降低了網絡的運維難度,簡化了工作量。
易部署:大二層網絡,無論是有線用戶還是無線用戶,無論是采用802.1x認證還是portal認證,認證點統一集中在核心,部署方便快捷。同時,在大二層的環境中,大量的接入、匯聚設備配置基本類似,一些專注在教育行業的廠商也推出了快速配置工具用于批量設備上線時的快速配置下發,利用配置工具,操作過程簡便,之前需要耗時幾天的部署工作在2個小時內即可完成。
易維護:網絡結構的簡化將帶來維護工作的簡化,設備配置的簡化必然會大幅度降低設備出問題的概率。從另一方面看,校園網的維護,需要在網絡出現問題時能夠快速定位,在網絡管理層面上,需要把用戶和端口對應起來,明確用戶是從哪個端口接入上網,大二層架構中,利用supervlan+subvlan技術,可以輕松定位用戶到具體的端口。
大二層網絡設計方案
如上圖所示,校園網絡劃分為多個邏輯區域,整體采用大二層結構設計,多個邏輯區域各司其職,用戶全部在核心交換機上認證,匯聚、接入設備不需要維護復雜的網絡協議,層次清晰,架構穩定,方便管理,易于擴展和維護。大二層組網具有以下特點:
(1)路由上收扁平化:核心設備作三層網關,終結ARP,啟用路由協議,核心層設備功能豐富、性能強大、可以更好的滿足校園網發展需求。接入、匯聚全部為純二層配置,負責二層轉發,維護工作簡單,采購成本低廉。
(2)認證上收集中化:核心設備作為集中認證網管,終結認證,完成策略統一下發,接入層不需要啟用認證,核心設備根據需要選擇基于端口或者vlan啟用802.1x認證、portal認證活著免認證。
(3)有線無線一體化:有線無線統一認證,無線認證同樣終結在核心,AC只需要管理AP,不需要同時做認證功能,解決了異構網絡環境需要管理多套認證計費平臺的問題。
(4)批量配置自動化:大二層架構,大量接入設備基本上配置相同,結合配置自動下發工具,在短時間內自動完成對接入設備的配置下發,大大減輕現場實施人員的工作量。
(5)用戶定位精確化:與傳統方案只能定位到接入交換機不同,大二層方案,可以直接定位用戶到接入交換機的端口,滿足的精確定位的需求。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.zhuzhoucarbide.com/
免費咨詢熱線:400-6776-989
