作者：四川大学信息化建设与管理办公室 崔亚强，姜少杰

　　校园网是数字校园的重要基础，它不仅要满足师生上网需求，还必须满足学校各种信息获取和传输要求，校园网络架构和业务隔离方式的选择对校园网高效稳定运行有着非常重要的决定性作用。本文尝试对常见校园网组网架构和业务隔离方式进行梳理，对它们的优势和劣势进行分析，以期为同行结合学校实际情况，在网络架构和业务隔离方式的选择上提供一定帮助。

　　一、常见校园网组网架构

　　校园网扁平化大二层架构已经成为当下校园网络建设的统一共识。所谓扁平化，是从网络中设备所承担的功能上区分，将网络划分为业务控制层和接入层。接入层由汇聚和接入层设备构成，仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能；业务控制层则由核心层设备构成，提供网络中的用户接入控制、业务功能实现等复杂功能。大二层的校园网络架构具有架构简单、管理集中等优势。校园网络大二层组网架构目前有3种主流的方式：交换机组网大二层架构、VxLAN大二层架构、BRAS扁平化大二层架构。

　　1.1 交换机组网大二层架构

　　交换机组网架构与BRAS组网架构基本类似，都是集中式网关的思路，这有助于提高网络的可控性和管理效率。它们的主要区别是核心设备的选型，一个是核心交换机，另一个是BRAS设备。交换机在这种架构中扮演着关键角色，它们负责数据包的交换和转发，以及网络中各个子网之间的通信，还可以进行用户的接入认证。相比之下，BRAS设备更专注于宽带接入控制和管理，包括认证、计费、策略控制等功能。采用交换机的优势是组网物理架构能进一步简化，但缺点是组网规模受限于交换机本身的表项能力。

　　1.2 VxLAN大二层架构

　　通过VxLAN构建扁平化大二层网络是一种分布式大二层架构的思路，而另外两种方式是集中式的架构。VxLAN作为一种新的技术本质是通过在VLAN头部封装了UDP三层报文头，通过三层技术构建的大二层网络，其特点是技术领先、业务隔离性强、分布式架构故障域小等特点。但是VxLAN也存在异构兼容能力差、运维管理能力要求高等问题。

　　1.3 BRAS扁平化大二层架构

　　以BRAS设备作为整网核心将三层网关和认证网关都起在BRAS设备上，实现了网络管理的集中化。这种设计简化了网络架构，减少了管理复杂性，同时提高了运维效率。BRAS设备通常具备高性能的转发能力，能够处理大量的数据流量。此外，BRAS的表项性能也极为出色，能够支持大规模的路由表和访问控制列表（ACLs），满足不同规模网络的需求。通过将认证平台与BRAS设备解耦，可以提高系统的灵活性和可扩展性。

　　二、校园网常见业务隔离技术

　　2.1 VLAN技术

　　2.1.1 定义

　　VLAN（Virtual Local Area Network，虚拟局域网）技术把一个物理LAN划分成多个逻辑的LAN--VLAN，处于同一VLAN的主机能直接互通，而处于不同VLAN的主机则不能直接互通，从而增强了局域网的安全性。

　　划分VLAN后，广播报文被限制在同一个VLAN内，即每个VLAN是一个广播域，有效地限制了广播域的范围。通过VLAN可以将不同的主机划分到不同的工作组，同一工作组的主机可以位于不同的物理位置，网络构建和维护更方便灵活。

　　2.1.2 业务隔离思路

　　一级接入和二级接入更贴近用户，但是受限于vlan 4k的限制，所以一般是同业务或者同楼宇vlan完全相同，配合vlan端口隔离使用。总核心、楼宇汇聚进行vlan透传，以及端口隔离。BRAS子接口起ARP 代理，业务互通完全放在BRAS上。

　　2.1.3 技术优势

　　运维轻松：整网都是VLAN+端口级隔离配置，交换机配置简单。

　　业务清晰：不同VLAN代表不同业务或区域。

　　2.1.4 技术劣势

　　VLAN数量少：受限于VLAN最大4k个的限制。

　　广播域大：相同VLAN面积越大广播域就越大。

　　溯源困难：故障时，同级交换机VLAN都相同，排查问题相对复杂。

　　2.2 QinQ技术

　　2.2.1 定义

　　QinQ（802.1Q-in-802.1Q），也叫做VLAN Stacking或Double VLAN，由IEEE 802.1ad标准定义，是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的目的。一般应用在骨干网中，通过将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网），扩充VLAN数量，实现对用户的精细化管理。

　　2.2.2 作用

　　扩展VLAN表示：IEEE 802.1Q中定义的VLAN ID只有12个比特，仅能表示4096个VLAN域，随着网络的规模的不断扩大已经不能满足使用需求，QinQ在原有的802.1Q外面在封装一层802.1Q，VLAN表示数量扩展到4096*4096个。

　　业务精细化管理：QinQ使用双层Tag，内网Tag可以表示用户，外网Tag可以表示业务；

　　隔离广播域：每一个二层VLAN网络都是一个广播域，外层VLAN是一个大广播域，广播域过大会导致带来资源占用、安全性和不易管理的问题，内层VLAN可以减小广播域。

　　2.2.3 业务隔离思路

　　接入交换机按照每端口每VLAN方式分配，楼宇汇聚下行口使能QinQ，一般也是每端口每VLAN，核心交换机透传QinQ使能过的VLAN。BRAS子接口终结QinQ，业务互通可以放在BRAS上，也可以放在汇聚。

　　2.2.4 技术优势

　　精细化管控：每个用户的表示为内层VLAN+外层VLAN可以精确定位。

　　互通网关下放：因为双层VLAN，所以一部分互通业务可以考虑下放到楼宇汇聚解决，避免带宽大量浪费问题。

　　业务控制集中：所有业务配置仅需维护BRAS。

　　2.2.5 技术劣势

　　配置复杂：手动维护大量VLAN（目前控制器可以解决）。

　　设备选型有要求：核心汇聚设备款型要求支持QinQ。

　　涉及老旧改造场景，单层vlan改造QinQ不友好。

　　2.3 SuperVLAN技术

　　2.3.1 定义

　　Super VLAN，也叫VLAN聚合（VLAN Aggregation）指在一个物理网络内，用多个VLAN（称为Sub-VLAN）隔离广播域，并将这些Sub-VLAN聚合成一个逻辑的VLAN（称为Super-VLAN），这些Sub-VLAN使用同一个IP子网和缺省网关，达到节约IP地址资源的目的。

　　2.3.2 作用

　　节约IP地址：一个SuperVLAN一个网段，避免因VLAN和IP网段划分太细造成地址浪费；

　　业务精细化管理：Sub-VLAN表示用户，Super-VLAN表示业务；

　　2.3.3 业务隔离思路

　　该技术主要是大二层网络应用，在网关上控制业务隔离。

　　每个SubVLAN与普通VLAN具有相同的功能，不同的SubVLAN属于不同的广播域，二层相互隔离无法互访。SuperVLAN下的SVI地址作为该SuperVLAN下的SubVLAN网关地址。当SubVLAN需要三层通讯时，依靠SuperVLAN的虚拟接口的IP地址作为网关地址进行寻址转发。SubVLAN间需要互访时，需要通过SuperVLAN下的ARP代理与ND代理来实现互通。

　　2.3.4 技术优势

　　网关一致：同supervlan下跨网段，网关一致，进而策略随行。

　　兼容老网改造方案。

　　2.3.5 技术劣势

　　IP策略：IP网段即权限，权限精细化管控能力较弱。

　　下行流量广播域大：回程vlan报文，如果SuperVLAN网关没有arp信息需要在所有subVLAN下广播。

　　2.4 VxLAN技术

　　2.4.1 定义

　　VXLAN是由IETF定义的NVO3（Network Virtualization over Layer 3）标准技术之一，采用MAC-in-UDP的报文封装模式，可实现二层网络在三层范围内进行扩展。

　　2.4.2 作用

　　扩展VLAN表示：VXLAN通过VXLAN ID来标识，其长度为24比特。VXLAN 16M个标签数解决了VLAN标签不足的缺点；

　　解决业务迁移IP不变的问题：构建大二层网络，IP地址可以在大二层网络中自由迁移；解决数据中心虚拟机迁移IP地址不变的问题，或者用于园区网策略随行；

　　业务精细化管理：VLAN表示用户，VxLAN表示业务；

　　2.4.3 控制平面

　　RFC7348只规定了VXLAN协议的数据平面，对控制平面未做任何要求。

　　因此，在SDN采用VxLAN作为数据平台的场景下需要控制平面，常见的控制平面实现如下：

　　-基于Controller的控制平面：将控制功能单独剥离出来成为一个单独的设备；

　　-基于VXLAN-ISIS的控制平面：基于VXLAN-ISIS的控制平面利用ENDP（Enhanced Neighbor Discovery Protocol，增强邻居发现协议）和VXLAN-ISIS两个协议共同完成VXLAN所需的自动建立隧道和信息同步功能。

　　-基于EVPN的控制平面：EVPN构建在MP-BGP之上，依靠MP-BGP来传递EVPN信息。EVPN规定了控制平面需要完成的功能，数据平面可以选择MPLS、PBB和VXLAN中的任意一种。用VXLAN构建数据平面，用EVPN配合来构建控制平面，是当下较为流行的一种方式。

　　2.4.4 业务隔离思路

　　该技术主要是华为、H3C、思科网络应用，是分布式网关架构。

　　Underlay层面，接入每端口每VLAN业务隔离。核心汇聚间跨三层ospf互通。

　　Overlay层面，汇聚（ leaf ）作为分布式网关，业务通过VxLAN隔离。

　　引入VPN业务，三层同时做到业务隔离。

　　2.4.5 技术优势

　　分布式网关：汇聚（leaf）作为业务网关，故障受影响面积更小。

　　一网多用：VPN构建虚拟专网，专网间三层不可达隔离更彻底。

　　即插即用：业务VXLAN为动态授权，不受接入vlan影响，因此终端从不同位置接入策略随行，不需要反复规划VLAN。

　　准入准出分离：准入NAS在汇聚（leaf），准出（ BRAS ），准出欠费并不影响准入。

　　2.4.6 技术劣势

　　配置复杂：手动配置难以维护，必须通过控制器维护。

　　运维有门槛：VXLAN技术较新，对于运维人员能力要求相对较高。

　　设备选型：spine、leaf需要支持vxlan，利旧设备通常作为接入。

　　三、总结与展望

　　从技术本身和实际应用场景来看，不同的网络架构和技术路线都基本能够满足学校校园网的使用需求，并且在行业内都有成熟的落地案例。采用VxLAN方案具有技术领先、隔离性强但也存在运维难度大、兼容性差的特点，因此建议在全新建网络场景使用。BRAS和交换机大二层方案技术成熟稳定、异构兼容性良好，但是隔离能力相对较弱，在新建和现网改造等场景比较适用，尤其是现网改造能够体现较好的现网设备兼容性。基于BRAS的方案在大规模组网场景优势能够进一步彰显，并且无论是行业内高校还是厂商应用均非常普遍。随着技术应用的不断发展也有一些新技术能够逐渐应用于校园网络场景，比如光切片技术等，新的技术也将给学校带来更多的选择和建设思路。