校園網改造漫漫長路，修修補補何時到頭？

這一次我們從底層網絡架構入手，通過引入云數據中心長期踐行的先進技術理念，直擊問題根源！接下來我們將從核心架構，無線網絡設計、出口安全和內網接入安全等角度介紹 面向校園的云化園區(qū)網絡解決方案。

云化校園網的核心架構

網絡作為學校的重要基礎設施之一，穩(wěn)定性、可靠性和擴展性是用戶群的基本訴求。從舊時代一路走來的傳統(tǒng)校園網架構背負了過多的歷史包袱，基于技術發(fā)展水平等因素，一些低效和不便在所難免。

今天，隨著技術進步和實踐，我們已經可以拋棄傳統(tǒng)三層拓撲，在校園網采用更加先進的多級Clos架構（Spine/leaf）——以盒式交換機進行full-mesh的分布式組網，各網絡節(jié)點用三層BGP路由互聯，運行多路徑負載分擔（ECMP）充分利用鏈路帶寬。

• 架構天然無環(huán)：采用Spine/leaf架構，拓撲天然無環(huán)路，所有設備獨立部署，無需為破環(huán)/防環(huán)耗費精力

• 徹底消除廣播風暴：最大程度壓縮二層區(qū)域、一個端口就是一個廣播域，每個終端之間天然二層隔離，根除廣播風暴

• 統(tǒng)一BGP路由：結構單一但策略豐富， 實現高效的統(tǒng)一管理

• 云化集群"超堆疊"替代傳統(tǒng)堆疊：邏輯簡單，網絡更穩(wěn)定更易擴展；無需額外配置，無需橫向互聯，支持熱升級

分布式的校園無線網

在校園網的無線建設部分，除了應對高帶寬需求和高并發(fā)流量的挑戰(zhàn)，無縫漫游、多場景信號覆蓋和部署能力需重點關注。

無線漫游傳統(tǒng)的實現方案有兩種：一是盡可能將需要漫游的區(qū)域規(guī)劃在一個二層網絡里，但二層網絡越大越不安全，二是通過在新舊網關之間建立隧道，而代價就是復雜的配置和低效的流量轉發(fā)路徑。

得益于底層云化的網絡架構，云化校園網中的業(yè)務網關分布式地部署在每一臺接入交換機設備（Leaf）上，形成了大二層漫游域，AP漫游前后的業(yè)務報文直接在本地接入交換機以最短路徑轉發(fā)，無需建立隧道“兜圈子”。

• ?漫游無需重新DHCP獲取IP，無需重新認證

• ?漫游信息自動同步，毫秒級切換，上層業(yè)務無感知

• ?25G高速上行，適應海量終端數據并發(fā)接入

• ?只需在網絡初始化時完成一次網關配置

我們推薦使用主流高性能的無線控制器AC+瘦AP的部署方式組網，配合規(guī)格豐富的無線網絡產品和針對不同業(yè)務需求的合理規(guī)劃，實現全場景的WiFi6覆蓋。

校園網絡安全設計

園區(qū)出口安全

為提升網絡安全，校園網和校園數據中心出口區(qū)域一般會部署多臺安全設備，然而傳統(tǒng)串接部署易發(fā)單點故障，運維困難，擴展性差，極易成為網絡瓶頸。

星融元SFC 2.0智能安全資源池網絡架構 將串接的傳統(tǒng)網絡出口架構改為“物理單臂旁掛，邏輯串接”。

• 支持安全資源以主主、主備或集群模式部署

• 提供簡明的可視化界面進行編排、配置、監(jiān)控

接入終端安全控制

校園網用戶以學生居多，安全意識淡泊容易產生不規(guī)范上網行為，導致網絡校園網絡安全事件頻發(fā)，病毒、攻擊軟件均可能造成攻擊數據流，影響整網網絡正常使用。

除了出口安全架構的改造，我們還需要通過一系列接入安全控制技術保障所有接入終端的合法性，不同類型的終端需要匹配不同的認證機制，防止未經授權的非法終端獲取上網權限。星融元云化校園網絡支持多終端的認證方式。

• 有線終端采用802.1x認證

• 打印機、攝像頭等啞終端采用MAB認證

• 無線終端采用Portal認證

此外，底層云化后的校園網本身還具有一定的內生安全特性，例如：交換機將主動跟蹤任何接入終端與DHCP服務器之間的交互過程，并自動學習設備信息，非法終端產生的網絡流量將在接入端口被直接丟棄，不再依賴手動配置安全策略。

輕量控制器，極簡運維管理

市面上常見的校園網改造方案里往往會引入一個集中式SDN控制器，管理員借助Web界面的拖拉點拽操作即可完成整網運維和部署。但方便的背后也暗藏隱患：網絡出現故障只能依賴控制器，一旦控制器自身故障，則問題排查將無從下手。

在云化校園網中，控制器只承擔簡單的狀態(tài)查看和配置管理工作，路由計算、 QoS策略/安全策略下發(fā)、接入安全檢測等任務分布式地由每個交換機上自主計算完成，既簡化了人工運維的工作量，也縮小了單點故障的影響面，提升網絡的健壯性。

云化校園網還引入了在服務器、云網絡運維體系中廣泛使用的開局零配置部署機制（ZTP）。對于一個大規(guī)模校園網絡來說，ZTP對網絡升級、變更所帶來的效率提升是非常可觀的。

而對于偏小規(guī)模的校園網可以采用輕量靈活的帶內網絡管理——通過集成在交換機操作系統(tǒng)內部的軟件模塊，建立設備集群。管理員登錄到集群中任何一臺設備，就能管理和配置集群內的所有成員，不用額外布線，也不依賴帶外網絡和管理平臺。

星融元云化校園網整體架構

關注vx公號“星融元Asterfusion”，獲取更多技術分享和最新產品動態(tài)。