西安交通大学校园网经过20余年的多期建设,已建成百兆到桌面,千兆到楼宇、万兆到主干、IPv4/IPv6双栈网络全覆盖、有线/无线网络互为补充的园区网络。随着互联网技术的飞速发展,学校信息化事业的层层推进,用户需求的多样性和复杂性日益增加,给校园网带来了新的要求和挑战。经过近两年的不断探索和实践,我们分别从利用新技术优化校园网基础架构、分期分区域升级改造校园网基础设施、创新模式实现网络可持续发展以及完善相关规范制度和服务体系四个方面出发,对校园网进行提速增容升级优化,力求建成一个可管可控的安全、稳定、高速的新型校园网络,这也是西安交通大学2018年信息化建设的三项重点工作之一。
图1 网络提速增容建设框架
利用新技术优化校园网基础架构
随着校园网基础设施的不断完善,前期大规模的网络部署日渐成熟,网络运营管理逐渐成为校园网的主旋律。简单粗放的认证和接入服务已经不能够满足当前用户日益增长的需求,服务多元、更具人性化、科学化的差异化服务和精细化管理方式必将成为校园网络管理的主流形式。为此,学校通过下列技术对现有网络基础设施进行了多方位地改造优化。
安全身份认证(PPPoE上网方式)改造
学校的校园网建设起步较早,网络结构比较成熟,传统的三层网络架构和静态地址上网模式已经运行了近二十年。但近年来,IP地址共用导致用户体验差、IP地址盗用屡禁不止、网络病毒和攻击事件频发等问题层出不穷。
学校家属区和学生宿舍区已分别于2013年和2015年实现了扁平化大二层网络改造,而教学区大部分区域仍采用三层网络架构。
教学区网络有其自身特点,较家属区和学生区有更多复杂的应用场景,例如网络打印机、服务器、高性能计算集群、大数据平台、实验仪器设备、实验室机房、各类智能终端等。经过对教学区用户的需求考察和实地测试,最终选用IPoE + PPPoE的方式,用户普通办公上网采用PPPoE拨号上网,其他需要静态地址上网的使用场景,采用IPoE静态地址绑定的方式,很好地解决了办公教学区复杂场景下的网络使用问题。
目前,教学区已基本完成了所有90余栋楼宇的安全身份认证改造。改造后的网络使得全校师生一人一上网账号,实现了网络安全法对网络实名制的要求,解决了校园网用户跨校区跨区域移动办公和上网的需求,使得全校有线无线一体化认证计费,之前的各类问题也都迎刃而解。
无线网络优化
当前学校的无线网络分别提供Portal和802.1x两种认证接入方式,此外对2.4G和5G两个频段还分别提供了不同的无线SSID。
Portal模式下,用户每次使用无线网络,都需要在浏览器页面中输入用户名和密码,非常繁琐,有的移动终端兼容性不好,无法弹出页面,导致用户体验不好。
802.1x模式下,用户只需要第一次输入用户名和密码,之后只要进入无线信号覆盖范围内即可自动完成认证。但由于802.1x自身协议特性,认证过程需要较长时间,导致用户等待。
图2 无线网络认证自助服务系统
因此,通过评估安全性和易用性,我们推出了Portal的基于MAC的无感知认证,很大程度改善了用户体验。同时,通过自服务系统,方便用户对无感知认证终端的自管理。
核心业务专网建设
随着信息化程度的不断提高,除了日常办公、科研、学习等校园网常规业务以外,还有很多学校核心业务需要网络支撑环境的保障。学校目前存在大型仪器设备共享系统、财务管理系统、能源监控、广电通信等10余个专网专线,各个专网之间相互独立,网络规划、网络布线和设备接入及其不规范,难以管理。
经调研,国内高校尚无大规模在用的成熟的业务专网建设方案,为此,近年来我们探索尝试了VLAN隔离、MPLS、SDN等多种技术。综合技术发展趋势、业务灵活度、管理复杂度以及产品成熟度,2017年学校启动了核心业务专网核心网络建设。
首先,我们对全校10余个专网专线进行了调研梳理,初步形成了核心业务专网IP地址使用和管理规范。其次,我们确定了业务专网建设技术路线,现阶段采用VLAN隔离等技术加强安全防范,逐步将各个核心业务系统接入到核心业务专网,核心业务专网同时还具备可升级为SDN网络模式的能力,随着SDN技术及产品的成熟,核心业务专网从技术架构上可进一步提升。
目前,学校建成了一张物理共享、逻辑隔离、可管可控、覆盖全校所有楼宇的核心业务专网,已完成学校大型仪器设备共享系统的网络接入工作,支撑数百台大型仪器设备的联网,未来计划接入财务管理系统、能源监控、广电通信等各项学校核心业务。
出口线路优化
学校拥有教育网、电信、移动、联通等多家运营商的多个出口线路,出口线路较为复杂。目前,国内高校出口线路使用策略大致分为以下几类:
1.按区域/按用户分配出口线路;
2.按目的地址最优选路分配出口线路;
3.按应用类型分配出口线路;
4.用户自主选择出口线路。
结合学校出口线路现状及使用需求,综合上述几种选路方式的优缺点,我们采用了混合策略选路模式。
首先,通过策略路由选路保障电子学术期刊资源等学校核心业务的服务质量。其次,按用户身份由用户自主选择出口线路。第三,按照目的地址最优选路。第四,利用应用分配策略将P2P、云盘等高负载应用分流到较空闲线路。最后,通过DNS服务优化选路,提升访问体验。
通过采用上述策略,有效提高了学校出口带宽资源的利用率,优化校园网用户的网络访问,使得校园网出口服务质量得以提升。
智能DNS建设
DNS是网络最重要的基础设施之一,近年来网络应用的多样化、复杂化,以及基于DNS的CDN、负载均衡、黑白名单等技术的快速发展,促使域名技术也越来越复杂,网络对域名系统的依赖性也越来越强。随着学校网络规模的不断扩大,在DNS域名管理和多出口流量调度方面的需求越来越强烈。
为了保障学校DNS服务的可靠性和安全性,我们首先使用开源的BIND软件搭建了基于教育网、电信、联通、移动的多出口线路的DNS集群,同时还搭建了基于成熟产品的多出口线路的DNS集群,两者统一管理互为备份。为此,我们还开发了DNS监控管理系统,实时检测DNS运行状态,对服务进行健康检测,实现DNS服务的高可靠和高安全。
为了配合出口线路优化,我们还通过智能DNS系统建设,实现了域名的智能解析,能够按用户身份、按资源类型、按出口线路利用率等对校园网进行流量调度,实现智能解析和负载均衡。
分期分区域升级改造校园网基础设施
西安交通大学校园网楼宇综合布线大都随土建施工一同完成,而校内大多数楼宇已建成十五年以上,楼内的综合布线十分老旧且不合理,严重影响校园网用户的网络体验。同时,大多数校园网核心设备和楼宇内汇聚及接入网络设备也已运行十余年,性能和功能都不能满足当前网络使用要求。
在实际网络管理运维中我们发现,网络问题集中和突出的楼宇,存在网络综合布线陈旧和私拉乱接的共性,如果不解决最后一百米的问题,其他工作都是徒劳。由于老旧楼宇综合布线改造投资大,周期较长,不同楼宇网络基础设施现状不尽相同,不宜于大规模同时进行,因此我们规划在两年至三年内分区域依次对这些老旧楼宇重新进行综合布线,从源头上提升用户的上网质量。
同时,对楼内进行重新网络综合布线时,同步更新楼宇内汇聚和接入网络设备,替换老旧设备,且使得校园网带宽从之前的百兆到桌面、千兆到楼宇,升级为千兆到桌面、万兆到楼宇,大幅度提升内网访问速度。
对于校园网主干及出口核心网络设备,常常牵一发而动全身,因此,也需要逐步进行更新升级和替换,配合出口线路优化进行策略调整,加强园区网络出口安全管理,提升园区网络基础设施的质量。
采用创新模式实现网络可持续发展
除了从技术手段和硬件设施上改善校园网络环境外,学校还通过借鉴国内高校和运营商合作的成功经验,引入社会资源共建共营、全面发挥学生网络管理团队的主观能动性等措施,从管理和机制上进行校园网模式改革。
引入社会资源共建共营
我们以提供优质网络服务为首要原则,克服以往校园网基础设施建设资金匮乏、网络出口成为瓶颈、网络滥用等种种弊端,将网络服务自主选择权交给用户。通过成本核算,将校园网用户缴纳的网络费用,专款专用,收支两条线,作为网络建设资金,改善网络基础设施环境,提升网络服务质量,使用户获取良好网络体验,形成多方共赢、可持续发展的局面。通过引入第三方提供资金和带宽资源,由学校对全网进行统一规划、设计、建设,建成优质可靠、可管可控的新型校园网络。在合作共建的基础上,进行共同运营,节约校园网运维成本,使校园网用户能够获得更加优质的服务,实现网络的提速增容。
今年以来,通过引入社会资源共建共营,校园网出口带宽扩容了23Gbps,在学生宿舍区推出了多运营商网络服务,争取到了一定资金用于校园网基础设施的建设,补充了校园网运维服务人员队伍,很好地解决了校园网互联网出口带宽不足、有线网络老化、无线网络覆盖不全面、网络服务维护任务多、建设资金短缺等问题,逐步建立了校园网的可持续发展长效机制,促成校园网建设运营的良性循环。
全面发挥学生网络管理团队的主观能动性
学校于2014年成立了学生网络管理协会,负责学生区宿舍网络的维护和管理、宿舍网络设备的维护监控以及宿舍网络的故障排除。今年以来,我们重新对网管协会进行定位,将其职责范围延伸至办公教学区在内的整个校园网,配合网络管理和运维人员,在上网方式改造、学生区多运营商网络服务推广、用户上门服务、网络诊断等工作中都发挥了积极作用,收到了良好的用户反馈。
完善相关规范制度和服务体系
网络建好是基础,但管好才能真正用好,因此,规范制度和服务体系对校园网的发展也是至关重要的,而校园网往往缺乏完整的管理制度体系。
校园网用户的网络技术知识参差不齐,大多数情况下,并不是网络不好,而是用户不会使用和缺乏网络安全知识造成的,为此,我们建立了良好的服务体系和沟通机制。今年来,我们实施了信息化基础服务及网络安全的宣传工作、网络及正版化软件主动上门服务、“信息化服务进职能部门”“信息化服务进学院”“信息化服务进书院”“信息化服务进社区”系列调研服务工作、“一对一”服务责任制、用户网络诊断等行之有效的措施。
与此同时,我们也在不断完善校园网相关规范制度,力争建立完整的制度体系,使得校园网管理和服务都有据可依。
经过多方面的建设,学校的校园网初步建立了自我造血、可持续发展的长效机制,形成了规范的管理和服务体制,网络质量得到了较大提升,基本满足了全校师生日益增长的网络访问需求,对学校各项核心业务起到了支撑保障作用。(责编:杨燕婷)
(作者单位为西安交通大学网络信息中心)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。