校园网改造漫漫长路,修修补补何时到头?
这一次我们从底层网络架构入手,通过引入云数据中心长期践行的先进技术理念,直击问题根源!接下来我们将从核心架构,无线网络设计、出口安全和内网接入安全等角度介绍 面向校园的云化园区网络解决方案。
云化校园网的核心架构
网络作为学校的重要基础设施之一,稳定性、可靠性和扩展性是用户群的基本诉求。从旧时代一路走来的传统校园网架构背负了过多的历史包袱,基于技术发展水平等因素,一些低效和不便在所难免。
今天,随着技术进步和实践,我们已经可以抛弃传统三层拓扑,在校园网采用更加先进的多级Clos架构(Spine/leaf)——以盒式交换机进行full-mesh的分布式组网,各网络节点用三层BGP路由互联,运行多路径负载分担(ECMP)充分利用链路带宽。
了解更多:下一代园区网络,用Leaf/Spine架构替代传统“接入-汇聚-核心”三层架构 (asterfusion.com)
基于高性能ASIC的三层硬件转发效率与二层转发相差无几,其中接入交换机(Leaf)只存储本地终端的路由表,大大减轻了表项压力
- 架构天然无环:采用Spine/leaf架构,拓扑天然无环路,所有设备独立部署,无需为破环/防环耗费精力
- 彻底消除广播风暴:最大程度压缩二层区域、一个端口就是一个广播域,每个终端之间天然二层隔离,根除广播风暴
- 统一BGP路由:结构单一但策略丰富, 实现高效的统一管理
- 云化集群"超堆叠"替代传统堆叠:逻辑简单,网络更稳定更易扩展;无需额外配置,无需横向互联,支持热升级
了解更多:下一代园区网络,何必再有“堆叠”? 星融元Asterfusion
分布式的校园无线网
在校园网的无线建设部分,除了应对高带宽需求和高并发流量的挑战,无缝漫游、多场景信号覆盖和部署能力需重点关注。
无线漫游传统的实现方案有两种:一是尽可能将需要漫游的区域规划在一个二层网络里,但二层网络越大越不安全,二是通过在新旧网关之间建立隧道,而代价就是复杂的配置和低效的流量转发路径。
得益于底层云化的网络架构,云化校园网中的业务网关分布式地部署在每一台接入交换机设备(Leaf)上,形成了大二层漫游域,AP漫游前后的业务报文直接在本地接入交换机以最短路径转发,无需建立隧道“兜圈子”。
- 漫游无需重新DHCP获取IP,无需重新认证
- 漫游信息自动同步,毫秒级切换,上层业务无感知
- 25G高速上行,适应海量终端数据并发接入
- 只需在网络初始化时完成一次网关配置
了解更多:下一代园区网络,“分布式网关”实现更高效的无线漫游!
我们推荐使用主流高性能的无线控制器AC+瘦AP的部署方式组网,配合规格丰富的无线网络产品和针对不同业务需求的合理规划,实现全场景的WiFi6覆盖。
星融元分布式无线网络产品全家福
校园网络安全设计
园区出口安全
为提升网络安全,校园网和校园数据中心出口区域一般会部署多台安全设备,然而传统串接部署易发单点故障,运维困难,扩展性差,极易成为网络瓶颈。
SFC 2.0智能安全资源池网络架构 将串接的传统网络出口架构改为“物理单臂旁挂,逻辑串接”。
- 支持安全资源以主主、主备或集群模式部署
- 提供简明的可视化界面进行编排、配置、监控
接入终端安全控制
校园网用户以学生居多,安全意识淡泊容易产生不规范上网行为,导致网络校园网络安全事件频发,病毒、攻击软件均可能造成攻击数据流,影响整网网络正常使用。
除了出口安全架构的改造,我们还需要通过一系列接入安全控制技术保障所有接入终端的合法性,不同类型的终端需要匹配不同的认证机制,防止未经授权的非法终端获取上网权限。星融元云化校园网络支持多终端的认证方式。
- 有线终端采用802.1x认证
- 打印机、摄像头等哑终端采用MAB认证
- 无线终端采用Portal认证
此外,底层云化后的校园网本身还具有一定的内生安全特性,例如:交换机将主动跟踪任何接入终端与DHCP服务器之间的交互过程,并自动学习设备信息,非法终端产生的网络流量将在接入端口被直接丢弃,不再依赖手动配置安全策略。
轻量控制器,极简运维管理
市面上常见的校园网改造方案里往往会引入一个集中式SDN控制器,管理员借助Web界面的拖拉点拽操作即可完成整网运维和部署。但方便的背后也暗藏隐患:网络出现故障只能依赖控制器,一旦控制器自身故障,则问题排查将无从下手。
在云化校园网中,控制器只承担简单的状态查看和配置管理工作,路由计算、 QoS策略/安全策略下发、接入安全检测等任务分布式地由每个交换机上自主计算完成,既简化了人工运维的工作量,也缩小了单点故障的影响面,提升网络的健壮性。
云化校园网还引入了在服务器、云网络运维体系中广泛使用的开局零配置部署机制(ZTP)。对于一个大规模校园网络来说,ZTP对网络升级、变更所带来的效率提升是非常可观的。
而对于偏小规模的校园网可以采用轻量灵活的带内网络管理——通过集成在交换机操作系统内部的软件模块,建立设备集群。管理员登录到集群中任何一台设备,就能管理和配置集群内的所有成员,不用额外布线,也不依赖带外网络和管理平台。
了解更多:下一代园区网络,“接线上电”级别的极简运维 (asterfusion.com)
云化校园网整体架构
关注vx公号“星融元Asterfusion”,获取更多技术分享和最新产品动态。
