王振华:北京邮电大学校园网介绍

时间:2023-05-22浏览:10

我刚进入北京邮电大学工作时,并不是负责校园网,而是在NIC(网络信息部)。我那时尝试过自己架设游戏服务器、FTP等,慢慢就开始思考如何优化校园网。现在很多时候,我也是站在用户的角度思考如何对校园网进行改进,既提高自身的使用体验,也满足其他用户的需求,减轻我们的工作负担。北邮的学生规模有两万多人,其中很多是计算机、通信相关专业,很在意校园网的使用体验,因此我们也经常和各方学生团队交流,倾听他们的意见,共同促进校园网的发展。

校园网发展史

我先结合我自身的经历,给大家简单介绍一下北邮校园网的发展历史。

北邮的校园网始建于1994年,当时学校只有国家重点实验室、网络中心和图书馆三个地方能上网。我那时还在念书,是通过图书馆里的一台电脑,首次连上了互联网。正如尚群老师所说,当时校园网的用户很少,基本都是精英。

1999年左右,校园网的建设普及到了教学楼等校内楼宇,不再仅为科研等少数部门服务,我也是在那年才真正接入到校园网上。到了2001年,北邮的学生们已经有了上网的需求,宿舍楼里没有网,他们就试着自己在宿舍搭建网络,拿HUB设备组网。

2004年,在届时网络中心主任马老师的带领下,我们开始了对IPv6技术的探索和应用。当时骨干网升级了万兆,也要求使用支持IPv6的设备,当时采购的华为交换机并不支持,而是采用路由器旁挂交换机的方式来实现IPv6地址的分配。后来新的设备支持IPv6以后,我们在开始真正提供双栈接入。总之,北邮算是较早开始对IPv6进行探索的学校之一。

2006年,学校开始建设无线网络。那时候无线网的成本很高,普通用户家里面买一两个路由器还行,但想要在校园里实现无线网络的全覆盖,又要保证信号的连续性,难度非常大。所以那时我们每层楼才放置一个AP,再用天线技术做均匀覆盖,密度很低。那时使用无线网络的设备也不是智能手机,而是笔记本电脑,对信号强度的要求并不是很高。

我们真正开始大规模地推行校园网建设,像尚群老师说的那样普适到每个用户都能体验校园网的时候,其实是在2012年。当时校园网遇到了教育网IP地址不够的问题,但学校也有多个网络出口,不仅仅是教育网的出口,因此我们采取了一系列措施,包括向运营商购买线路,将校园网IPv4地址全都改成了私有地址等。在这个大规模改建的契机下,我们将万兆网络铺设到了每个楼里,并且实施了AP进房间的组网方式,而不再是把AP放在楼道里。

到2015年,北邮建立新的沙河校区时,我们已经积累了丰富的校园无线网建设经验。当时我们有一个很深的感触,就是校园里有线网络的管理难度非常大。北邮学生的动手能力都很强,几乎每间宿舍、每间实验室都会购买许多小型交换机和路由器,再自行搭建网络,于是我们花费了许多时间和精力,应对各式层出不穷的组网问题。

因此,在沙河校区建立之初,我们的目标就是给用户提供比用户自行组网更好的使用体验。我们的办法就是把AP放置在离用户最近的地方,保证随时随地都能连接到校园网上,并且信号强度不逊于他们自己的网络。因此,在做沙河校区的无线网络建设时,我们大力推行802.1X认证。802.1X的用户体验最好,并且支持无缝漫游功能,用户自然就会主动去使用我们建设的无线网。

2018年左右,我们将西土城本部校区的网络也全部覆盖了无线网络,宿舍区原有的有线网由于经费投入和安全的原因逐渐停用。虽然学生们对于有线网络仍然有一定的需求,但我们从网络使用情况、学校资金投入情况以及未来发展的各方面来看,校园网的发展重点还是扩容、提升带宽、实现无线化。这是校园网发展的主要方向和趋势。

在今年,也就是2023年,我们依然会沿用整体建设的思路,进一步推进校园网的升级和优化,包括将校园网的带宽扩到100G、无线网络升级到Wi-Fi 6、Wi-Fi 6E等,不断推进更高速、稳定的网络架构的建设,为广大师生提供更好的网络服务和使用体验。

校园网网络结构

接下来,我和大家分享一下北京邮电大学的校园网拓扑结构。

我们的校园网是非典型拓扑结构,在传统的三层结构基础上,因为出口线路问题做过几次优化和改进。我们并没有特别注重传统结构的设计,而是更注重网络的高效、稳定和安全运行。我们校园网建设的思路其实和运营商网络建设的建设相同,运营商把数据中心和普通用户上网的需求分开处理,家庭宽带就只解决内部上网需求,不涉及对外服务。但在学校内部有许多实验室、教学单位等,他们习惯在办公室里搭建一台服务器,就去面向全校提供服务,学生们实际访问并体验不好,还会将问题归咎于校园网,其实我们并不能直接看到这些服务器的运行情况,给网络运维工作带来了很大的困难。

因此,我们对校园网进行了改造,把上行业务和下行业务分开,把上网和服务器分开,并照着这个思路把网络出口进行了分离。因为在上网过程中只需要下行,上行的需求相对较少,所以我们把下行业务分开之后,就可以选择一些相对便宜的带宽线路,只满足用户的上网需求即可。上行业务则需要对学校提供服务,可以将其放在数据中心。当然,现在我们希望将这些业务都集中放在云上,建立一个私有云架构,统一放在数据中心里面,但建设机房的成本较高,实际操作有一定难度。

至于有线网的建设,也需要像无线一样,将每根线、每个端口都变成有线的服务端口。让每一个工位都有对应的有线接口,端到端的管理,才能更便于校园网的管理,而不能再像以前那样让用户随意组建网络。

总体来说,我们校园网的出口是一个大的下行聚合出口,用于向用户提供上网服务,同时还有几个专线链路专门为数据中心服务。当然教育网不仅为数据中心服务,也为校园网提供下行业务。根据地理位置划分为三个校区,按功能划分为用户上网、数据中心、专网(职能部门、一卡通、电表)等,还包括一些智慧教室的网络。这些子网通过特定的网络设备拓扑和网络路由连接在一起,以满足不同用途的需求。

校园网现状

前面提过我们有2万多的学生规模,因此高峰期同时在线的终端数量超过6万,其中70%以上为手机、平板等移动设备。每天的联网设备数量能够达到7万多。随着科技的发展,现在的网络应用场景越来越多,不同的场景有特定区域和策略的需要,可能需要使用不同种类的网络设备和解决方案。比如,教学区里的有机房教室、学院的上机机房、教室和科研实验室等,确实有不同的需求需要满足。另外,我们学校没有独立学院楼的概念,一栋楼可能有许多不同的用途,只能以房间为单位去施行不同的管理方案。因此,当单个房间用途有变化的时候,有线网络的改动会很麻烦,因此无线网络更能满足我们的需求。

与教学区相比,宿舍区的网络需求比较简单,相对单一化。尽管随着用户设备种类的增加,网络需求变得稍微复杂了一些,但是宿舍区每个房间都基本相同:以娱乐为主,还有一些对网络游戏和视频下载的需求。这里最主要的问题就是个人终端的种类太多,一些游戏机还需要考虑联网问题,如果我们不能解决,用户也会自己去寻找解决办法。

目前,我们校园网的IPv4带宽在20G左右,去年世界杯时达到过40G,IPv6带宽在10G左右。面对这么多的校园网出口链路,我们采用两种方式来做调度。一种是在出口网关的设备上,我们根据目的地址、源地址和域名等进行调度。另一种是运用DNS解析的策略,比如根据不同的楼层或者不同的域名,来决定将用户流量分配到哪个出口上,再根据不同出口的DNS服务器做递归查询,实现流量调度。通过这种灵活的策略,我们可以很好地管理链路上的流量。

近期校园网建设思路

我们最近两年的建设思路,首先是按照安全区域管理和分配服务资源,包括用户上网区、数据中心区和专网区。这项工作完成之后,接下来要调整准入方式,从按流量计费的方式转变为安全准入认证管理,实现所有的流量溯源,并且根据有线无线等网络类型制定不同的安全策略。

我们近两年最主要的建设目标还是实现无线WIFI的全覆盖,同时减少有线网络的使用量,根据用户需求去进行开通,最好只在数据中心内保留有线接入,并且需要有特殊需求的用户提出申请,我们再予以开通,方便我们更好地管理有线接入的资源。

关于校园网无线网络的认证方式,早期我们主要采用portal认证,但从2012年起,我们开始推广802.1x认证,目前802.1x已成为北邮用户使用最多的无线认证方式,大约占无线上网终端数量的3/4。802.1x认证的用户体验较为友好,因此在校内得到了更为广泛的应用。

还有一些面向无线物联设备IoT的SSID,目前正在试验过程当中,但它存在一个硬伤,就是当无线设备面向校园网提供服务时,需要有一个安全策略来保障其安全性。对于向校园网提供服务的设备,如果像打印机一样谁都能够访问,会存在被攻击的风险。因此,在使用无线设备来解决校园网服务问题时,还需要注意相关的安全问题。

目前物联网设备需求的问题日益严重,就是许多用户在实验室里购买家用NAS设备接到校园网上,给校园网增加了一定的负担和管理难度。我们对这件事很重视,还在思考应对的措施。其实最理想的状况是设立一个归口管理部门,对设备进行统一管理,再通过网络改造和专网建设等手段来满足用户不同的需求,避免用户购买各种零散设备,再通过BYOD方式接入校园网,给我们的管理造成很大困难。只要我们能够把设备做集中化、统一化管理,就可以采取切片、隧道等方式将设备与校园网隔离,然后对这片专网进行管理,从而更好地确保校园网的安全和健康运行。总之,管理用户IoT设备的物联网是我们校园网目前最具有挑战性的任务。

校园网架构升级

在未来的建设目标中,我们计划采用SDN技术去构建新型校园的基础网络。但我个人认为,在校园网建设中,底层网络的简单和稳定性才是最重要的,直接关系到整个校园网的可用性。我们可以采取多链路、多节点等方式,来保证底层网络的稳定,确保在某些节点或链路出现问题时,整个校园网不会瘫痪。至于上层网络是采用vxlan、隧道还是其他技术,则可以根据实际需求来决定。因此,在校园网建设中,我们应该始终将底层的稳定作为首要目标,再去选择合适的上层网络方案,来最大限度地保障我们校园网络的安全和稳定性。