建设方案

　　网络架构优化改变原有认证方式

　　整个中国海洋大学校园网由多个模块构成，园区接入区、数据中心区、互联网接入区、节点接入区等。而随着学校校园网各类业务、应用和用户承载的快速发展以及对校园网络精细化管理要求的提升，网络与信息中心设想构建一个高性能、精细化和易管理的下一代校园网。通过对现有校园网络的结构优化，简化学校校园网网络架构，减轻接入交换机、汇聚交换机网络职能，接入及汇聚层交换机只负责高速转发，所有其他功能由三大校区的核心交换机替代，降低网络运维成本，提高转发速度。用户认证计费方面选择运营商使用多年的BRAS（宽带接入）系统，确认了在宿舍区使用PPPoE 技术，院系区教学区使用IPoE 技术，通过三大校区的核心交换机设备，管理学校几万在网用户。通过PPPoE 的轻客户端（Windows 自带客户端拨号软件）和IPoE 的无客户端方式，网络与信息中心可以很轻松地管理几万在网用户，也因园区网架构的简化，接入层和汇聚层设备可以选用较低档次的网络设备。同时，BRAS 开放式的架构，让学校可以自主选择支持标准Radius 协议的后台认证计费服务器，甚至自我开发一套认证计费系统，从整体上降低CAPEX（Capital Expenditure）和OPEX(Operating Expense)。

　　数据中心安全管理是重中之重

　　数据中心作为数字化校园的大脑，需要高速、稳定、安全和易维护的网络架构来构建。数据中心使用网络虚拟化技术，不仅可以最大限度地利用网络设备本身的资源，还可以降低运维成本，增加网络中心工作效率。而数据中心的安全防护，更是网络中心一直在重点考虑的部分。使用尽可能少的安全设备，提供涵盖七层网络模型的安全防护功能，实现快速转发，并保护越来越多的服务器。

　　提高原有网络设备利用率

　　建设下一代数字化校园网，升级网络设备，进行网络改造，势必会购买新的网络设备，淘汰旧的网络设备，原有校园网网络设备如何利用，也是学校网络与信息中心在此次网络升级改造时考虑的重点。通过专家论证，决定继续使用淘汰下来的网络设备，原有核心交换机作为新校区汇聚交换机，部分低端交换机用来搭建学校网络学院网络实验室，为网络中心运维人员及计算机学院学生进行运维测试和学习提供实验环境。

　　基于无线网络与有线网络的统一管理

　　数字化校园的建设，离不开无线网络的建设，无线网络作为校园有线网络的补充，如何让无线网络在数字化校园建设的基础上，为师生带来更好的用户体验，是学校网络与信息中心建设无线网络的原动力。中国海洋大学的无线网络除了要具有安全、稳定、高速等特质之外，还要保证用户在任意地点、任意时间，实现有线无线统一账号接入校园网。有线无线的统一化认证，既降低了网络中心运维成本，又提高了网络服务水平。基于扁平化的下一代校园网，BRAS 的IPoE 技术可以作为有线网和无线网的统一认证技术，通过IPoE + Web Portal 技术，无论用户使用有线还是无线方式连接到网络，都会基于浏览器统一打开Portal 页面进行认证，使用一个账号，就可以在有线网络和无线网络上享用校园网资源。

　　网络扁平化升级改造

　　通过为期一年多的设备选型，专家论证，组织招标，学校确定了构架中国海洋大学园区网和数据中心网络的产品类型。

　　秉承基于扁平化网络来构建下一代数字化校园园区网，学校网络与信息中心在校园网核心部署三大校区带有BRAS 功能的高端以太网路由器，承载全校五万师生的上网流量及用户管理功能。核心设备的升级，带动全网扁平化的改变，原有的三层网络架构通过两台高端以太网路由器的加入，使得汇聚层及接入层的大部分功能迁移到两台核心设备上，汇聚及接入设备弱化，由原来的物理三层架构变为逻辑二层架构，网络中心仅仅需要维护三大校区的核心设备就可以管理整个校园网。出口防火墙由原来的交换机插防火墙板卡的方式转为部署两台高性能防火墙，增加出口网络稳定性的同时，也因使用了防火墙的虚拟化技术，两台防火墙虚拟为一台防火墙，降低了运维的工作量。同时，数据中心的部署，大量使用了虚拟化技术，接入交换机的虚拟机箱技术，数据中心核心防火墙的Cluster 技术，进一步帮助学校降低了运维成本，同时核心防火墙的旁挂部署模式，也解决了使用一组防火墙防护学校数据中心十几个VLAN 之间互相访问的安全控制需求。

　　此次网络升级改造是分步骤进行的，目前已经完成所有园区网核心、出口及数据中心新购设备的升级替换工作，正在逐步启用核心设备的BRAS 功能，实施完成后，宿舍区的802.1X 的认证方式更改为PPPoE 的认证计费方式，教学区和图书馆的串联城市热点服务器的认证方式会改成IPoE + Web Portal 方式，城市热点计费服务器旁挂在核心设备上，作为Radius 服务器及计费服务器继续为中国海洋大学使用。升级改造淘汰下来的核心交换机，也已经作为新建南陇口校区的汇聚交换机，其他低端交换机作为网络学院的网络实验室设备继续使用。这样，原有认证计费的维护成本降低，城市热点串联在出口的性能瓶颈得到了解决，同时也充分利用了现有的网络设备，避免了资源浪费。

　　为了达到在中国海洋大学校区内任何地方都能享受数字化校园服务的目标，网络与信息中心目前正在进行无线网络的论证工作，简化网络架构，提高数字化校园园区网可管理性，是中国海洋大学衡量无线厂商产品及方案的重要依据。核心网络升级改造完成后，基于核心路由器的BRAS 解决方案，会把无线网络的认证纳入进来，实现有线无线的统一化认证，使得中国海洋大学师生通过一个账号，就可以无缝使用有线网络和无线网络的资源。同时，统一认证后，无线网的可管理性将会增加，并降低其运维成本。

　　（作者单位为中国海洋大学网络与信息中心）