高校多業務融合承載網研究與構建

　　?摘要：針對高校智慧校園建設需要，在分析比較當前主流業務承載技術的基礎上，以防火墻安全域結合VLAN技術，基于虛擬化構建出一個專用的多業務融合承載網絡，用于支撐不同場景下的校園智能化業務系統運行。

　　隨著高校智慧校園建設的進一步推進和深化，智能化業務系統逐漸成為高校教學科研、生活辦公、校務管理的重要基礎支撐手段，其規模和應用水平在一定程度上衡量著高校信息化發展的水平和能力。在南開大學智慧校園建設過程中，共規劃了十余個需要通過專用網絡支撐的智能化業務系統，根據其功能作用大體可以分為以下幾類：教學科研支撐類、安全監控類、生活服務類、通道門禁類、樓宇自控類、協同辦公類以及財務結算類。

　　不同業務系統提出了不同的隔離和承載要求，比如視頻監控系統不僅需要大量存儲視頻文件，同時安防監控中心又有實時調取攝像頭視頻的需求，視頻存儲和實時調取對帶寬的要求也不同。面對高校環境中復雜的業務系統，單一的承載手段無法支撐多樣化的應用，需要根據實際應用場景提供多樣化的業務承載能力。

　　本文結合南開大學智慧校園建設實際需求，在高性能網絡安全體系的支撐下，在用戶數據校園網之外獨立構建了一個跨校區的多業務融合承載網，以支持多種需要網絡支撐的智能化業務系統，并實現了各業務系統跨校區的互聯與互通。

　　技術路線比較與選擇

　　通常情況下，可以選擇兩種不同的技術路線構建承載網絡，一種方式是為每個業務系統構建一個專用的物理承載網，另一種方式是在一個通用的網絡上為各個業務系統構建邏輯承載網，也就是所謂的多業務融合承載。

　　物理專網承載

　　通過物理專用網絡承載業務系統，即為每一個業務構建一套私有支撐網絡，包括獨立的通訊鏈路以及網絡設備。

　　物理專網的優點在于對業務的隔離是絕對的隔離，不同物理網絡之間不能以直接或間接的方式相連接，可以為業務系統起到最高級別的隔離保護【1】。同時物理專網的帶寬和設備只服務于所承載的業務系統，一般情況不會存在帶寬和流量的瓶頸問題，也不會受到其他業務系統對網絡整體負載的影響。

　　但對于大多數業務系統來講，流量模型較為固定，流量遠遠達不到需要一套專用網絡的程度;在高校的現實條件下，業務部門自身信息化技術力量有限，當網絡和業務系統發生故障時，仍需要信息化職能部門介入維護;部分專用業務系統仍借助校園網進行管理，需要校園網提供接入。同時，為智能化業務系統獨立組建大量專用物理網絡，必將使校園網變得越來越復雜，背離了把智能化業務系統從校園網(公眾部分)剝離并簡化管理的初衷，給維護工作帶來不必要的困難。

　　因此，為每個智能化業務系統構建獨立的物理承載網，不論從建設成本、網絡復雜程度還是后期維護來講，都不再是一種經濟的選擇。

　　多業務融合承載

　　通過構建邏輯網絡進行業務承載和隔離，通常的做法是在一個統一的IP網絡上，劃分出多個邏輯上相互獨立、相互隔離的業務專用網絡，實現不同業務的安全統一承載，目前主要有虛擬局域網(Virtual Local Area Network，VLAN)、多協議標簽交換(Multi-Protocol Label Switching，MPLS)虛擬專用網絡(Virtual Private Network，VPN)。

　　1.傳統的VLAN

　　VLAN技術在數據鏈路層對網絡進行邏輯隔離，形成虛擬的子網，從而隔離在虛擬子網上運行的業務系統。VLAN子網之間的通訊，需要借助路由器或路由模塊進行三層(即OSI參考模型的網絡層，下同)轉發。通過VLAN結合訪問控制列表(Access Control List，ACL)和路由過濾，可以在IP網絡層(或數據鏈路層)進行業務的隔離，實現網絡資源的整合和統一管理，是一種比較傳統的業務承載和隔離方式。

　　由于ACL和路由過濾配置復雜，實施難度大，特別是在多個三層核心交換設備的網絡中，在采用有效措施對其進行簡化之前，容易發生錯誤，因此一定程度上缺乏落地部署的可實施性。在智能化業務系統較少的智慧校園建設初期，可以采用在校園網上以VLAN結合ACL和路由過濾方式進行業務承載和隔離，但隨著業務系統的增多，會使網絡配置變得復雜并難以控制。

　　2.MPLSVPN

　　MPLSVPN是一種基于MPLS的VPN解決方案，利用標簽交換技術，通過標記交換路徑(Label Switching Path，LSP)實現多點到多點的連接，MPLSVPN網絡結構如圖1所示。在MPLSVPN網絡中，骨干網核心(Provider，P)路由器以標簽交換方式轉發報文，在骨干網邊緣(Provider Edge，PE)路由器上創建虛擬路由器虛擬路由轉發表(Virtual Routing Forwarding，VRF)，PE設備通過VRF三層接口連接用戶網絡邊緣(Custom Edge，CE)路由器，由CE負責用戶站點的接入【2】。VPN成員在VRF上定義，是由不同站點組成的集合，屬于同一VPN的站點具有IP連通性，從而達到業務承載的目的，VPN站點之間可以根據業務需要進行有控制的互聯或隔離【3】。

　　MPLS VPN提供了數據、語音和視頻等多種業務相融合的能力，是目前電信運營商所普遍采用的多業務融合承載方式，可以以較低的成本靈活實現各種場景的業務支撐。

　　如同所有管理型共享網絡，MPLS沒有解決普遍存在的對受保護的網元的非法訪問和內部攻擊等安全問題【4】?；谙鄬唵蔚腃E與PE路由器的路由，在處理復雜的路由情況時可能會具有一定難度。另外，如MPLS VPN對路由的依賴度比普通IP網絡更高，MPLS的標記交換機制給路由和轉發之間引入了新一層的間接性，會導致MPLSVPN路由層面的故障難以分析和排除【5】。單一的CE設備的故障可能導致錯誤的路由信息，影響PE甚至網絡整體服務的穩定性。

　　對用戶而言，MPLS雖然可以快速進行業務的部署，但對于運營者來說，在客觀上存在一定程度的管理難度，尤其在高校信息化建設職能部門人員編制普遍緊缺的情況下，需要付出很大的管理成本。

　　承載網構建與部署

　　南開大學業務承載網絡的構建，基于承載業務網絡流量模型相對固定的原理，采用扁平化的網絡總體架構，通過“業務接入層-高密匯聚層-核心網絡層”三級“大二層”結構，利用虛擬化技術，全冗余鏈路設計，構建出一個高可用、可靠、安全及可擴展的多業務融合承載體系，并針對各種不同業務系統的應用場景，靈活提供不同的業務承載和隔離方案。

　　構建原則

　　1.高可用性原則

　　隨著智能化業務系統的增多，網絡流量越來越大，高帶寬支持的業務系統比如視頻監控等應用會耗費大量帶寬，無序競爭或者粗放管理無法保障網絡服務質量，因此需要規范、控制業務系統對網絡資源的占用，需要為不同實際需求和應用場景規劃不同的承載方式。

　　2.高安全性原則

　　不同業務系統之間必須實現有效的隔離，針對需求實現有效的安全分區，進行有效的安全防護和管理，同時在業務安全方面，通過安全策略有效防止惡意攻擊和病毒防范。

　　3.高可靠性原則

　　需要保證高可靠性的數據傳輸通道，因鏈路或設備故障導致網絡拓撲發生變化時，承載網絡整體應不受線路故障和網絡拓撲變化的影響，保證業務系統的正常運行。

　　4.可擴展性原則

　　可以滿足多種智能化業務系統的接入，快速實現新業務的落地部署，滿足不同應用場景的業務系統開通。

　　部署方案

　　1.全冗余基礎架構

　　南開大學多業務融合承載網結合虛擬化技術，在網絡架構的各層次均采取了全冗余構建方式，全面實現業務的安全可靠承載，如圖2所示。

　　業務接入層。在業務接入層，南開大學八里臺校區采用單體樓作為一個接入單元，津南校區按照綜合布線規范把單體樓劃分為多個接入單元(網格)，分別匯聚各自范圍內的各業務系統信息點。業務接入層采用全千兆高性能交換機，全面保障接入能力，滿足業務系統終端的高速接入需求;同時通過堆疊虛擬化為單一邏輯設備，簡化管理。

　　高密匯聚層。在匯聚層，根據南開大學教學辦公樓宇的地理分布，采用了高密度、高性能數據中心交換機，通過堆疊技術，在八里臺校區構建出1個高密虛擬化組，在津南校區構建出7個高密虛擬組，分別匯聚來自樓宇機房(網格)業務接入層的鏈路，并以二層方式轉發業務系統的流量。

　　核心網絡層。核心網絡層采用了兩臺多業務安全網關作為承載網核心設備和各業務系統終端的三層網關，分別部署于八里臺校區與津南校區。在部署上，采用SCF通過多路裸光纖把兩臺機框及板卡虛擬成一臺邏輯設備，在不增加管理復雜度的基礎上實現了高可靠性，保證了設備的冗余和高可用，并通過在核心上配置安全域形式實現不同業務間的安全隔離。

　　網絡整體“業務接入層-高密匯聚層-核心網絡層”的連接全部采用冗余鏈路互聯，不同物理鏈路分別連接至不同的物理設備或板卡，形成全方位冗余，任一高密設備或核心設備板卡發生硬件停機故障的情況下，仍可保證整體網絡的正常運行。

　　2.基于安全域和VLAN的業務承載和隔離

　　在業務承載網的邏輯架構上，借助了防火墻安全域之間缺省配置下相互隔離的特點，每個智能化業務系統分配一個安全域，并根據業務系統的規模與實際需求，在同一個安全域內再次通過VLAN的方式來隔離廣播域，從而實現業務的承載和隔離，如圖3所示。不同業務系統之間如有相互訪問的需求，則通過設置域間ACL的方式來實現細粒度的互訪。

　　3.基于場景的業務承載

　　第一，三層承載場景。大多數智能化業務系統均需要通過三層進行承載，比如一卡通、門禁、儀器共享平臺等，終端分布于學校各教學辦公樓宇。三層承載主要根據其終端的數量、地理分布和未來發展需求，為各業務系統各構建安全域，并為安全域分別劃分一個或多個二層VLAN或三層接口。在需要互相訪問的業務系統之間，通過ACL來實現互訪。

　　第二，二層承載場景。通過二層承載的業務系統主要有合作銀行在校內的對賬結算以及醫保報銷等系統。銀行結算和醫保報銷是公共服務在高校內的延伸，其網絡自成體系，系統的接口或網關IP地址的配置和控制掌握在銀行和醫保管理單位自身的技術部門，一般僅通過二層VLAN的方式進行承載和數據對接。

　　第三，二層、三層混合承載場景。校園視頻監控系統是二、三層混合承載的典型應用場景。視頻監控系統在安防監控中心實時調度各監控區域視頻的同時，需要把監控視頻資料不間斷存儲到永久物理介質以備檢索。校園視頻監控攝像頭在校園中分布廣、數量多，對帶寬要求高，如果完全通過核心設備進行轉發，會影響到核心設備的性能，進而影響到網絡整體對其他業務的服務質量。在視頻監控系統承載的方案設計上，采用了二層、三層混合的方式，視頻的統一調度及實時監控的攝像頭數量較為有限，流量較小，且需要輪詢調度分布在校園各處的攝像頭，采用三層進行轉發。而對于視頻的存儲，則以二層VLAN方式直接在高密匯聚層(各組團匯聚交換機虛擬組)把流量轉發給存儲陣列，避免存儲流量上升到三層核心進行轉發，降低核心設備負載。

　　基于安全域與VLAN技術構建專用的多業務融合承載網，在物理上分離了校園網公眾部分(傳統的數據網)與業務系統專用部分(一般稱為管理網或設備網);通過同一個物理網絡實現了資源整合，便于合理、充分地利用網絡設備和帶寬，提升訪問速度和服務質量;全冗余構建方式，保證了鏈路通暢和數據安全性;并為各類業務系統提供符合其需求的場景化網絡接入環境，在一個網絡、一套系統實現了多種業務的有機融合承載，有效降低維護成本，能夠方便地新增系統或擴大規模;多業務融合的承載能力，將為高校教學科研、生活辦公以及校務管理提供全面的基礎網絡支撐和保障。

　　(作者單位為南開大學信息化建設與管理辦公室)

　　參考文獻：

　　[1]賀安榮.利用虛擬化技術實現應用安全隔離訪問[J].中國交通信息化，2013，6：124-125

　　[2]黃向農，趙瓊，吳煥忠，羅必然.三層MPLSVPN搭建多業務校園網[J].中國教育網絡.2014，9：31-33

　　[3]陳琳.基于MPLS的VPN技術在數字化校園中的運用與研究[D].焦作：河南理工大學，2009

　　[4]徐奇.校園網的信息安全體系與關鍵技術研究[D].上海：上海交通大學，2009

　　[5]韓來權，汪晉寬，王興偉.基于可編程路由技術的MPLS單標簽分流傳輸算法[J].通信學報，2014，5：155-159