大學(xué)校園網(wǎng)經(jīng)過20余年的多期建設(shè)，已建成百兆到桌面，千兆到樓宇、萬兆到主干、IPv4/IPv6雙棧網(wǎng)絡(luò)全覆蓋、有線/無線網(wǎng)絡(luò)互為補充的園區(qū)網(wǎng)絡(luò)。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，學(xué)校信息化事業(yè)的層層推進，用戶需求的多樣性和復(fù)雜性日益增加，給校園網(wǎng)帶來了新的要求和挑戰(zhàn)。經(jīng)過近兩年的不斷探索和實踐，我們分別從利用新技術(shù)優(yōu)化校園網(wǎng)基礎(chǔ)架構(gòu)、分期分區(qū)域升級改造校園網(wǎng)基礎(chǔ)設(shè)施、創(chuàng)新模式實現(xiàn)網(wǎng)絡(luò)可持續(xù)發(fā)展以及完善相關(guān)規(guī)范制度和服務(wù)體系四個方面出發(fā)，對校園網(wǎng)進行提速增容升級優(yōu)化，力求建成一個可管可控的安全、穩(wěn)定、高速的新型校園網(wǎng)絡(luò)，這也是西安交通大學(xué)2018年信息化建設(shè)的三項重點工作之一。

圖1 網(wǎng)絡(luò)提速增容建設(shè)框架

利用新技術(shù)優(yōu)化校園網(wǎng)基礎(chǔ)架構(gòu)

　　隨著校園網(wǎng)基礎(chǔ)設(shè)施的不斷完善，前期大規(guī)模的網(wǎng)絡(luò)部署日漸成熟，網(wǎng)絡(luò)運營管理逐漸成為校園網(wǎng)的主旋律。簡單粗放的認證和接入服務(wù)已經(jīng)不能夠滿足當前用戶日益增長的需求，服務(wù)多元、更具人性化、科學(xué)化的差異化服務(wù)和精細化管理方式必將成為校園網(wǎng)絡(luò)管理的主流形式。為此，學(xué)校通過下列技術(shù)對現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行了多方位地改造優(yōu)化。

　　安全身份認證（PPPoE上網(wǎng)方式）改造

　　學(xué)校的校園網(wǎng)建設(shè)起步較早，網(wǎng)絡(luò)結(jié)構(gòu)比較成熟，傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)和靜態(tài)地址上網(wǎng)模式已經(jīng)運行了近二十年。但近年來，IP地址共用導(dǎo)致用戶體驗差、IP地址盜用屢禁不止、網(wǎng)絡(luò)病毒和攻擊事件頻發(fā)等問題層出不窮。

　　學(xué)校家屬區(qū)和學(xué)生宿舍區(qū)已分別于2013年和2015年實現(xiàn)了扁平化大二層網(wǎng)絡(luò)改造，而教學(xué)區(qū)大部分區(qū)域仍采用三層網(wǎng)絡(luò)架構(gòu)。

　　教學(xué)區(qū)網(wǎng)絡(luò)有其自身特點，較家屬區(qū)和學(xué)生區(qū)有更多復(fù)雜的應(yīng)用場景，例如網(wǎng)絡(luò)打印機、服務(wù)器、高性能計算集群、大數(shù)據(jù)平臺、實驗儀器設(shè)備、實驗室機房、各類智能終端等。經(jīng)過對教學(xué)區(qū)用戶的需求考察和實地測試，最終選用IPoE + PPPoE的方式，用戶普通辦公上網(wǎng)采用PPPoE撥號上網(wǎng)，其他需要靜態(tài)地址上網(wǎng)的使用場景，采用IPoE靜態(tài)地址綁定的方式，很好地解決了辦公教學(xué)區(qū)復(fù)雜場景下的網(wǎng)絡(luò)使用問題。

　　目前，教學(xué)區(qū)已基本完成了所有90余棟樓宇的安全身份認證改造。改造后的網(wǎng)絡(luò)使得全校師生一人一上網(wǎng)賬號，實現(xiàn)了網(wǎng)絡(luò)安全法對網(wǎng)絡(luò)實名制的要求，解決了校園網(wǎng)用戶跨校區(qū)跨區(qū)域移動辦公和上網(wǎng)的需求，使得全校有線無線一體化認證計費，之前的各類問題也都迎刃而解。

　　無線網(wǎng)絡(luò)優(yōu)化

　　當前學(xué)校的無線網(wǎng)絡(luò)分別提供Portal和802.1x兩種認證接入方式，此外對2.4G和5G兩個頻段還分別提供了不同的無線SSID。

　　Portal模式下，用戶每次使用無線網(wǎng)絡(luò)，都需要在瀏覽器頁面中輸入用戶名和密碼，非常繁瑣，有的移動終端兼容性不好，無法彈出頁面，導(dǎo)致用戶體驗不好。

　　802.1x模式下，用戶只需要第一次輸入用戶名和密碼，之后只要進入無線信號覆蓋范圍內(nèi)即可自動完成認證。但由于802.1x自身協(xié)議特性，認證過程需要較長時間，導(dǎo)致用戶等待。

圖2 無線網(wǎng)絡(luò)認證自助服務(wù)系統(tǒng)

　　因此，通過評估安全性和易用性，我們推出了Portal的基于MAC的無感知認證，很大程度改善了用戶體驗。同時，通過自服務(wù)系統(tǒng)，方便用戶對無感知認證終端的自管理。

　　核心業(yè)務(wù)專網(wǎng)建設(shè)

　　隨著信息化程度的不斷提高，除了日常辦公、科研、學(xué)習等校園網(wǎng)常規(guī)業(yè)務(wù)以外，還有很多學(xué)校核心業(yè)務(wù)需要網(wǎng)絡(luò)支撐環(huán)境的保障。學(xué)校目前存在大型儀器設(shè)備共享系統(tǒng)、財務(wù)管理系統(tǒng)、能源監(jiān)控、廣電通信等10余個專網(wǎng)專線，各個專網(wǎng)之間相互獨立，網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)布線和設(shè)備接入及其不規(guī)范，難以管理。

　　經(jīng)調(diào)研，國內(nèi)高校尚無大規(guī)模在用的成熟的業(yè)務(wù)專網(wǎng)建設(shè)方案，為此，近年來我們探索嘗試了VLAN隔離、MPLS、SDN等多種技術(shù)。綜合技術(shù)發(fā)展趨勢、業(yè)務(wù)靈活度、管理復(fù)雜度以及產(chǎn)品成熟度，2017年學(xué)校啟動了核心業(yè)務(wù)專網(wǎng)核心網(wǎng)絡(luò)建設(shè)。

　　首先，我們對全校10余個專網(wǎng)專線進行了調(diào)研梳理，初步形成了核心業(yè)務(wù)專網(wǎng)IP地址使用和管理規(guī)范。其次，我們確定了業(yè)務(wù)專網(wǎng)建設(shè)技術(shù)路線，現(xiàn)階段采用VLAN隔離等技術(shù)加強安全防范，逐步將各個核心業(yè)務(wù)系統(tǒng)接入到核心業(yè)務(wù)專網(wǎng)，核心業(yè)務(wù)專網(wǎng)同時還具備可升級為SDN網(wǎng)絡(luò)模式的能力，隨著SDN技術(shù)及產(chǎn)品的成熟，核心業(yè)務(wù)專網(wǎng)從技術(shù)架構(gòu)上可進一步提升。

　　目前，學(xué)校建成了一張物理共享、邏輯隔離、可管可控、覆蓋全校所有樓宇的核心業(yè)務(wù)專網(wǎng)，已完成學(xué)校大型儀器設(shè)備共享系統(tǒng)的網(wǎng)絡(luò)接入工作，支撐數(shù)百臺大型儀器設(shè)備的聯(lián)網(wǎng)，未來計劃接入財務(wù)管理系統(tǒng)、能源監(jiān)控、廣電通信等各項學(xué)校核心業(yè)務(wù)。

　　出口線路優(yōu)化

　　學(xué)校擁有教育網(wǎng)、電信、移動、聯(lián)通等多家運營商的多個出口線路，出口線路較為復(fù)雜。目前，國內(nèi)高校出口線路使用策略大致分為以下幾類：

　　1.按區(qū)域/按用戶分配出口線路；

　　2.按目的地址最優(yōu)選路分配出口線路；

　　3.按應(yīng)用類型分配出口線路；

　　4.用戶自主選擇出口線路。

　　結(jié)合學(xué)校出口線路現(xiàn)狀及使用需求，綜合上述幾種選路方式的優(yōu)缺點，我們采用了混合策略選路模式。

　　首先，通過策略路由選路保障電子學(xué)術(shù)期刊資源等學(xué)校核心業(yè)務(wù)的服務(wù)質(zhì)量。其次，按用戶身份由用戶自主選擇出口線路。第三，按照目的地址最優(yōu)選路。第四，利用應(yīng)用分配策略將P2P、云盤等高負載應(yīng)用分流到較空閑線路。最后，通過DNS服務(wù)優(yōu)化選路，提升訪問體驗。

　　通過采用上述策略，有效提高了學(xué)校出口帶寬資源的利用率，優(yōu)化校園網(wǎng)用戶的網(wǎng)絡(luò)訪問，使得校園網(wǎng)出口服務(wù)質(zhì)量得以提升。

　　智能DNS建設(shè)

　　DNS是網(wǎng)絡(luò)最重要的基礎(chǔ)設(shè)施之一，近年來網(wǎng)絡(luò)應(yīng)用的多樣化、復(fù)雜化，以及基于DNS的CDN、負載均衡、黑白名單等技術(shù)的快速發(fā)展，促使域名技術(shù)也越來越復(fù)雜，網(wǎng)絡(luò)對域名系統(tǒng)的依賴性也越來越強。隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴大，在DNS域名管理和多出口流量調(diào)度方面的需求越來越強烈。

　　為了保障學(xué)校DNS服務(wù)的可靠性和安全性，我們首先使用開源的BIND軟件搭建了基于教育網(wǎng)、電信、聯(lián)通、移動的多出口線路的DNS集群，同時還搭建了基于成熟產(chǎn)品的多出口線路的DNS集群，兩者統(tǒng)一管理互為備份。為此，我們還開發(fā)了DNS監(jiān)控管理系統(tǒng)，實時檢測DNS運行狀態(tài)，對服務(wù)進行健康檢測，實現(xiàn)DNS服務(wù)的高可靠和高安全。

　　為了配合出口線路優(yōu)化，我們還通過智能DNS系統(tǒng)建設(shè)，實現(xiàn)了域名的智能解析，能夠按用戶身份、按資源類型、按出口線路利用率等對校園網(wǎng)進行流量調(diào)度，實現(xiàn)智能解析和負載均衡。

分期分區(qū)域升級改造校園網(wǎng)基礎(chǔ)設(shè)施

　　西安交通大學(xué)校園網(wǎng)樓宇綜合布線大都隨土建施工一同完成，而校內(nèi)大多數(shù)樓宇已建成十五年以上，樓內(nèi)的綜合布線十分老舊且不合理，嚴重影響校園網(wǎng)用戶的網(wǎng)絡(luò)體驗。同時，大多數(shù)校園網(wǎng)核心設(shè)備和樓宇內(nèi)匯聚及接入網(wǎng)絡(luò)設(shè)備也已運行十余年，性能和功能都不能滿足當前網(wǎng)絡(luò)使用要求。

　　在實際網(wǎng)絡(luò)管理運維中我們發(fā)現(xiàn)，網(wǎng)絡(luò)問題集中和突出的樓宇，存在網(wǎng)絡(luò)綜合布線陳舊和私拉亂接的共性，如果不解決最后一百米的問題，其他工作都是徒勞。由于老舊樓宇綜合布線改造投資大，周期較長，不同樓宇網(wǎng)絡(luò)基礎(chǔ)設(shè)施現(xiàn)狀不盡相同，不宜于大規(guī)模同時進行，因此我們規(guī)劃在兩年至三年內(nèi)分區(qū)域依次對這些老舊樓宇重新進行綜合布線，從源頭上提升用戶的上網(wǎng)質(zhì)量。

　　同時，對樓內(nèi)進行重新網(wǎng)絡(luò)綜合布線時，同步更新樓宇內(nèi)匯聚和接入網(wǎng)絡(luò)設(shè)備，替換老舊設(shè)備，且使得校園網(wǎng)帶寬從之前的百兆到桌面、千兆到樓宇，升級為千兆到桌面、萬兆到樓宇，大幅度提升內(nèi)網(wǎng)訪問速度。

　　對于校園網(wǎng)主干及出口核心網(wǎng)絡(luò)設(shè)備，常常牽一發(fā)而動全身，因此，也需要逐步進行更新升級和替換，配合出口線路優(yōu)化進行策略調(diào)整，加強園區(qū)網(wǎng)絡(luò)出口安全管理，提升園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的質(zhì)量。

采用創(chuàng)新模式實現(xiàn)網(wǎng)絡(luò)可持續(xù)發(fā)展

　　除了從技術(shù)手段和硬件設(shè)施上改善校園網(wǎng)絡(luò)環(huán)境外，學(xué)校還通過借鑒國內(nèi)高校和運營商合作的成功經(jīng)驗，引入社會資源共建共營、全面發(fā)揮學(xué)生網(wǎng)絡(luò)管理團隊的主觀能動性等措施，從管理和機制上進行校園網(wǎng)模式改革。

　　引入社會資源共建共營

　　我們以提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)為首要原則，克服以往校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)資金匱乏、網(wǎng)絡(luò)出口成為瓶頸、網(wǎng)絡(luò)濫用等種種弊端，將網(wǎng)絡(luò)服務(wù)自主選擇權(quán)交給用戶。通過成本核算，將校園網(wǎng)用戶繳納的網(wǎng)絡(luò)費用，?？顚Ｓ?，收支兩條線，作為網(wǎng)絡(luò)建設(shè)資金，改善網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境，提升網(wǎng)絡(luò)服務(wù)質(zhì)量，使用戶獲取良好網(wǎng)絡(luò)體驗，形成多方共贏、可持續(xù)發(fā)展的局面。通過引入第三方提供資金和帶寬資源，由學(xué)校對全網(wǎng)進行統(tǒng)一規(guī)劃、設(shè)計、建設(shè)，建成優(yōu)質(zhì)可靠、可管可控的新型校園網(wǎng)絡(luò)。在合作共建的基礎(chǔ)上，進行共同運營，節(jié)約校園網(wǎng)運維成本，使校園網(wǎng)用戶能夠獲得更加優(yōu)質(zhì)的服務(wù)，實現(xiàn)網(wǎng)絡(luò)的提速增容。

　　今年以來，通過引入社會資源共建共營，校園網(wǎng)出口帶寬擴容了23Gbps，在學(xué)生宿舍區(qū)推出了多運營商網(wǎng)絡(luò)服務(wù)，爭取到了一定資金用于校園網(wǎng)基礎(chǔ)設(shè)施的建設(shè)，補充了校園網(wǎng)運維服務(wù)人員隊伍，很好地解決了校園網(wǎng)互聯(lián)網(wǎng)出口帶寬不足、有線網(wǎng)絡(luò)老化、無線網(wǎng)絡(luò)覆蓋不全面、網(wǎng)絡(luò)服務(wù)維護任務(wù)多、建設(shè)資金短缺等問題，逐步建立了校園網(wǎng)的可持續(xù)發(fā)展長效機制，促成校園網(wǎng)建設(shè)運營的良性循環(huán)。

　　全面發(fā)揮學(xué)生網(wǎng)絡(luò)管理團隊的主觀能動性

　　學(xué)校于2014年成立了學(xué)生網(wǎng)絡(luò)管理協(xié)會，負責學(xué)生區(qū)宿舍網(wǎng)絡(luò)的維護和管理、宿舍網(wǎng)絡(luò)設(shè)備的維護監(jiān)控以及宿舍網(wǎng)絡(luò)的故障排除。今年以來，我們重新對網(wǎng)管協(xié)會進行定位，將其職責范圍延伸至辦公教學(xué)區(qū)在內(nèi)的整個校園網(wǎng)，配合網(wǎng)絡(luò)管理和運維人員，在上網(wǎng)方式改造、學(xué)生區(qū)多運營商網(wǎng)絡(luò)服務(wù)推廣、用戶上門服務(wù)、網(wǎng)絡(luò)診斷等工作中都發(fā)揮了積極作用，收到了良好的用戶反饋。

完善相關(guān)規(guī)范制度和服務(wù)體系

　　網(wǎng)絡(luò)建好是基礎(chǔ)，但管好才能真正用好，因此，規(guī)范制度和服務(wù)體系對校園網(wǎng)的發(fā)展也是至關(guān)重要的，而校園網(wǎng)往往缺乏完整的管理制度體系。

　　校園網(wǎng)用戶的網(wǎng)絡(luò)技術(shù)知識參差不齊，大多數(shù)情況下，并不是網(wǎng)絡(luò)不好，而是用戶不會使用和缺乏網(wǎng)絡(luò)安全知識造成的，為此，我們建立了良好的服務(wù)體系和溝通機制。今年來，我們實施了信息化基礎(chǔ)服務(wù)及網(wǎng)絡(luò)安全的宣傳工作、網(wǎng)絡(luò)及正版化軟件主動上門服務(wù)、“信息化服務(wù)進職能部門”“信息化服務(wù)進學(xué)院”“信息化服務(wù)進書院”“信息化服務(wù)進社區(qū)”系列調(diào)研服務(wù)工作、“一對一”服務(wù)責任制、用戶網(wǎng)絡(luò)診斷等行之有效的措施。

　　與此同時，我們也在不斷完善校園網(wǎng)相關(guān)規(guī)范制度，力爭建立完整的制度體系，使得校園網(wǎng)管理和服務(wù)都有據(jù)可依。

　　經(jīng)過多方面的建設(shè)，學(xué)校的校園網(wǎng)初步建立了自我造血、可持續(xù)發(fā)展的長效機制，形成了規(guī)范的管理和服務(wù)體制，網(wǎng)絡(luò)質(zhì)量得到了較大提升，基本滿足了全校師生日益增長的網(wǎng)絡(luò)訪問需求，對學(xué)校各項核心業(yè)務(wù)起到了支撐保障作用。（責編：楊燕婷）

　?。ㄗ髡邌挝粸槲靼步煌ù髮W(xué)網(wǎng)絡(luò)信息中心）