近年来，教育信息化建设迅速发展，以教育部“三通”工程为契机，校园网络不断完善和升级，相关部门都在努力探索在当前复杂网络条件下，校园网络的不同需求和更优的解决方案。

随着用户数量越来越多，用户接入访问呈多元化、多样化形式，面对校园网的应用系统、业务平台迅速增加，带宽流量要求激增和复杂等现实问题，对当前校园网络本身的性能、多业务支撑能力、网络安全以及网络稳定性方面也带来了更大的挑战：投资成本加大、管理工作量增加、多套账号密码导致用户体验差、网络安全威胁增加等。如何通过校园网这个平台，对当前学校的各类信息化应用提供良好的承载，并且能够为未来准备较强的扩展能力，这是目前校园网建设的挑战。

1传统校园网技术架构及弊端分析 

传统的校园网络架构中，***多考虑的问题是校园网的带宽和端口密度，这是由于早期的校园网更多需求的是校园内部简单的互联互通的应用，因此对于校内的接入端口和互联带宽更为依赖。传统的校园网的建设思路主要采用：核心层—汇聚层—接入层的三层网络架构，一般均使用三层数据交换的网络架构方式（如图1所示），在这种架构下，校园网络用户数量增加，应用系统、业务平台的激增，网络流量越发复杂，会存在这样一些问题：

• 策略部署配置和管理复杂。

• 接入层设备性能导致设备功能的稳定性较差。

• 内网安全隔离无法实现细分。

• 无法实现对用户的精细化管理。

以上这些问题将随着校园网络发展扩大，逐步变得复杂，部署的业务系统的叠加，用户数的增加和流量爆发式增长而显得尤为突出，必将导致校园网运行维护压力加大、稳定性、可靠性降低等现实问题。

2扁平化架构校园网络思路及模式 

要避免传统网络架构所带来的运行维护问题，改变当前校园网建设的传统模式，我们可以借鉴运营商成熟的大规模网络建设和发展的思路，从校园网架构设计上解决问题。即借用“扁平化的校园网络架构和精细化的用户管理”这一思路。

扁平化：不是简单的将网络的物理层改造成成两层结构，而是按各自承担的功能将网络设备进行区分，通常划分为业务控制和宽带接入两个层次。宽带接入由汇聚和接入层设备构成，提供VLAN二层隔离功能和高带宽接入，业务控制层则由核心层设备构成，提供网络中的用户接入控制、业务功能实现等复杂功能。其逻辑结构如图2所示。

1.校园网的扁平化设计架构

为将校园网络进行扁平化设计，我们需将整个网络一般分为两个层面：业务控制层由网络中的核心层设备组成，接入层一般由汇聚和接入设备则构成。通过扁平化的网络架构，接入的IPv4地址由核心设备DHCP分配，用户间均可利用VLAN隔离，且地址池可动态分配用户地址，避免浪费。用户的IPv6地址可以通过核心层的无状态地址分配方式，一般此类网络结构中不IPv6不需要汇聚层和接入层的支持。

而当前校园网中广泛应用的WLAN功能，在扁平化和集中控制的网络中，无线一体化架构能很好的实现并应用。无线AP与接入层设备同样，都是提供了接入网络的通道，接入控制、业务实现都由核心层设备提供，边缘的AP无需支持。因此，在这种方式下，有效地提供了无线设备仅需基本的瘦AP频段、信号、功率等方面的控制即可。

2.扁平化网络架构的优势

(1)新业务系统部署更加灵活

路由核心设备的高可靠性为应用和业务的部署提供了保障，业务控制和管理由功能丰富的路由核心设备集中提供，部署业务系统更加方便快捷，既能够保障在提供这些业务功能的同时，也能具备较好处理性能。同时，路由设备也保障这些应用和业务系统的高可靠性。

(2)有利于业务系统控制更加集中化

集中化的用户业务控制能够简化接入网、简化校园网管理模型，实现统一管理平台和界面。集中化的用户业务控制能够有效的解决业务多样化带来的挑战，减少多套系统带来的投资成本增多、多套账号密码导致用户体验差等诸多问题。

(3)增强高可靠性和高稳定性

提升了汇聚和接入层设备的可靠性和稳定性，汇聚/接入设备只需要二层透传和VLAN隔离这些基本的功能，无需支持新业务功能，因此能够显著降低全网设备的投资和后期的使用维护费用，同事，汇聚/接入层设备功能的弱化，使得这些设备的可靠性大大提升，有利于全网的稳定可靠运行。

(4)运行维护更加简单

扁平化架构后的网络在功能扩展和运行维护将更加方便灵活，因核心层设备只涉及业务功能，因此，只需考虑这些业务系统的特性核心层设备是否能够支持即可，汇聚和接入层这些边缘设备，仅需要考虑端口的扩充、带宽的增加即可。

通过网络架构的变化，将有效解决目前校园网出现的一些问题，对目前校园网络平台进行合理优化，更好的承载当前教育信息化发展。架构扁平化的校园网络即核心层设备的功能、性能、可靠性和可扩展性提出了更高的要求。目前，市场上也有一些企业对典型的网络环境开发出了下一代以太网核心路由设备，能够提供运营商级的以太网路由功能，同时具有高密度的千兆/万兆接口，并采用高性能ASIC、运营商级系统架构的高可靠性，已逐步成为构建校园网核心网络中坚力量，能够满足学校在未来3-5年内核心网络容量的需求，是面向下一代“智慧校园”网络建设的理想平台。

3精细化管理校园网络的思路和优势 

我们传统的校园网络通常是粗放型，按照网络应用维护控制的角度来说，只满足了基本的网络互连互通的需求，但缺乏相应的管理控制，比如：

(1)网络使用中无法进行实名制，访问行为缺乏有效追查记录，难以实现用户权限的控制，存在未经授权的访问。

(2)控制访问缺乏针对性，网络带宽被无序占用，重要业务带宽无法保障，用户间互相影响，网络中得攻击泛滥，如ARP攻击/DHCP仿冒/IP仿冒。

精细化管理校园网络，不仅要解决带宽网络接入的传统问题，而且要面对下一代网络提供针对IPv6的完善支持和规模化部署应用，并与认证方式实现完善融合。目前，许多网络产品研发企业，能针对校园网用户的需求提供了三种针对IPv6的部署方式：L2TP方式、PPPoE方式、IPoE方式。通过在校园网中部署集中化业务控制系统，进行精细化管理，能够完成身份认证、访问控制、流量计费等功能，实现校园网应用的可识别、可跟踪、可控制和可管理。

1.精细化管控能构建更安全的网络秩序

精细化管理网络是强调基于用户的控制，他可以基于用户账号，实现基于用户的控制。能够对网络中的使用者，实现基于用户身份的行为控制、流量访问记录和审计，实现对使用者身份、网络IP地址及访问行为的识别。

2.改善与校园无线网络的无缝对接

无线网络已经在校园网内非常普及，在图书馆、教室等地方几乎都能看见学生在用笔记本电脑、PAD进行无线上网，但无论是建设还是维护和管理无线网络，所产生的成本都比较高。精细化网络管理后，外线网络只是提供了一个二层通道，类似于交换机提供的有线二层通道，无线通道上可以支持IPOE用户接入管理，所以无线网络部需要部署用户接入管理功能，简化了成本和管理维护需求，智能识别用户的无线接入方式，从而实现区别有线方式的针对性的控制和计费功能。

3.更好地实现IPv6/IPv4双栈组播控制

基于用户账号来控制用户是否允许组播功能，其次他控制用户的访问速率，并且把组播数据复制到用户的PPPoE会话或者VSI接口实现组播，同时，当用户使用PPPoE或L2TP实现拨号认证时，交换机支持组播VLAN可以实现接入层设备上IPv6/IPv4组播数据的复制。

目前，传统数字校园建设将向更高级的智慧化校园网络建设转型升级，高带宽、大并发、移动互联、泛在网络，将是未来一段时期校园网建设的目标，网络建设将面向应用、面向用户、面向管理为需求出发点，结合目前实际状况和发展需要，积极以新的思路和新的模式探索构建起真正适合学校信息化建设发展目标的网络支撑平台环境，通过对校园网的扁平化架构精细化管理控制，可更好的实现基于用户的网络控制、行为管控、流量分配等，提高网络安全、稳定和可靠性，并且能够随着教育信息化的不断发展，实现平滑的演进，达到高性能、易管理和精细化的目标。

（来源：中国教育信息化网，有删改）