北京邮电大学:全无线覆盖校园网新模式
北京邮电大学校园网最初于1994年建立,至今经历了二十多年的持续建设。从三节点环状园区网到星型园区网,再到2018年初完成的三校区环状光纤网,校园网已经从最初为科研、图书馆等少数部门服务的小规模网络,发展成为全校师生教学、科研、办公、生活服务的多业务承载的多校区大规模宽带网络。
北京邮电大学沙河校区位于北京市昌平区沙河高教园区东南部,总用地面积约1348亩,总建筑面积约70万平方米,整体建成后将能够容纳16000名学生。基础网络建设是北京邮电大学沙河校区智慧校园建设的一项重要内容。沙河校区一期网络建设涉及教学实验综合楼、学生宿舍雁北园、行政办公楼、学生食堂、教工食堂和学生活动中心。沙河校区二期网络建设涉及学生宿舍雁南园、图书馆和信息楼。
现状与问题
随着学校信息化程度不断提高,校园网早已成为校园里不可缺少的基础设施,在西土城路校区的网络建设和运维管理工作中,不断涌现出新的挑战。
首先,用户接入需求从有线转变到无线。桌面互联网时代,用户终端主要是台式电脑,通过有线网络接入校园网;即使笔记本电脑逐渐成为主流的工具,由于它们同时配备了以太网接口和Wi-Fi模块,有线网络仍然能够满足用户需求。移动互联网时代,智能手机和平板电脑开始大量出现,这些终端只能通过Wi-Fi或3G/4G接入网络,甚至越来越多的笔记本电脑开始不配备以太网接口,只提供有线接入的校园网已经无法满足用户需求。
其次,用户入网设备从终端扩展到网关。桌面互联网时代,用户终端经过集线器或二层交换机连接到校园网三层设备,网络管理系统能够感知用户终端的链路状态,便于故障排查和准入策略控制。随着无线终端增多,用户开始安装带NAT功能的无线路由器,不仅增加了网络故障点和排查难度,还给准入控制带来了困难,同时导致了无线频谱资源的干扰和浪费,也让用户产生了额外的经济成本和时间开销。另外,一些科研团队将专用设备及服务器连到用户接入网络,超出了原先设计的工作场景,造成了一系列网络异常事件。
再次,用户组网需求从简单演进到复杂。传统的业务部门只有少量设施可接入校园网,随着校园信息化建设的快速开展,诸如门禁、水控、一卡通消费、节能减排、安防监控、桌面虚拟化等业务都要依赖网络支撑。由于数据的敏感性,这些业务通常需要单独组网,封闭运行,公共服务业务还要求跨校区通信。同时,随着大数据分析的需要,业务数据要在一定程度上能够向校园网用户提供在线访问。面对这些复杂的组网需求,现有的网络基础设施难以灵活支持。
由于学校西土城路校区的校园网建设已经持续二十多年,管理模式一时难以全部改变,以上问题存在了很长时间。然而,随着近几年无线网络建设的开展,逐渐发现无线网络的使用特点在一定程度上可以解决上述问题,尤其是在新校区应用效果更加明显:
1.无线网络可以满足大量用户无线终端统一接入的需求;
2.无线网络可以避免用户私自安装三层设备,方便运营和故障排查;
3.无线网络的接入交换机和控制器可以用隧道的方式组建封闭专网。
设计思路
随着学校沙河新校区建设机遇的到来,借助全新的网络设计方案,实现从根本上跨越网络管理模式的障碍,避免重蹈老校区所面临的困境。
沙河新校区校园网的设计原则是:无线为主,全面覆盖,面向全体用户开放;有线为辅,按需开通,仅接受部门用户申请。
技术先进性和实用性
系统建设要有一定的前瞻性,保证满足无线应用业务的同时,又要体现出网络技术的先进性。把先进的理念与现有的成熟技术和标准结合起来,充分考虑到学校应用的现状和未来发展趋势。在网络建成后的3至5年内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。
高度的可靠性和稳定性
网络系统的稳定可靠是应用系统正常运行的关键保证,无线系统应采用成熟的瘦AP网络架构,采用室内放装的方式进行全覆盖部署。无线设备要支持802.11a/b/g/n/ac。无线设备使用的各项技术必须与国际主流技术相一致。系统整体上具有高可用性、易管理性、高安全性、可扩展性以及支持高密度。
高性能
为了及时、迅速地处理网络上传送的数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
易于安装、操作和管理
良好的组织和管理对网络的正常运转和高效使用有很大帮助,网络应该能够提供方便、灵活、有力的工具,使得无论是安装、操作还是使用都较为便捷。
可扩充性
随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,确保学校投入产生最大效能。
高度的安全性
无线产品必须具备高安全性。通过对无线用户做灵活的认证、加密来确保网络和用户的安全性,可对不同的用户做不同的安全策略,并且可以对用户无线应用及访问的资源做可视化管理。
IPv6
无线设备必须支持IPv4/IPv6双栈技术,并且能够在纯IPv6网络环境中正常工作。
无线网架构
1.无线系统采用“AC+AP”瘦AP组网模式,沙河校区的无线控制器与西土城路校区的无线控制器采用集群模式组网,通过一台MASTER控制器进行全网的统一管理和配置,按照校区采用无线控制器N+1备份,如图2所示。
2.沙河校区一期无线网采用2台无线控制器(每台可管理2048个AP),管理在线运行的1740颗无线AP,二期无线网也采用2台无线控制器,管理在线运行的1144颗无线。总AP数量已经达到2884个。
3.通过一套网管系统实现对全网所有设备和终端的管理。无线网管提供了实时监视、AP远程配置、主动报警和历史数据报告。它具有专用面板视图,能快速诊断RF覆盖、可视化监控设备的运行状况和网络服务健康状况。
4.使用ClearPass统一实现多个校区的无线用户策略管理,以及无感知认证。能够根据不同的操作系统和终端类型采用不同的认证和安全控制。
认证和计费策略
1.沙河校区广播了5个SSID,并且在不同区域有所区分,情况如下,如图3所示。
(1)办公和教学区:BUPT-mobile,BUPT-portal,BUPT-guest,BUPT-iot,eduroam
(2)宿舍区:BUPT-mobile,BUPT-portal
2.五个SSID采用了不同的认证方式和计费策略,其中BUPT-mobile和BUPTportal通过ClearPass做策略控制和终端数图2无线网架构量绑定限制,情况如下:
(1)BUPT-mobile:免费访问互联网,802.1x认证,仅给智能终端使用(iOS,Android),笔记本和台式机不能接入使用(Windows,macOS)。
(2)BUPT-portal:收费访问互联网,通过ClearPass做准入认证,通过WebPortal做准出认证,所有无线终端都可以接入使用。
(3)BUPT-guest:限时免费访问互联网,Web Portal认证,通过访客的手机号注册,所有无线终端都可以接入使用,目前的策略是每个访客账号每月可免费使用8小时。
(4)BUPT-iot:不能访问互联网,仅用于物联网设备(如无线打印机、无线摄像头、无线自助服务机等)与三校区内校园网用户之间的通信,通过MAC地址做认证,只有网络管理员允许的物联网设备才能接入使用。
(5)Eduroam:免费访问互联网,仅用于Eduroam联盟成员用户在三校区的办公和教学区接入使用,通过Eduroam服务进行无线漫游认证,本校师生不能接入使用。
隧道专网架构
由于校医院、一卡通、安防等业务需要跨校区开展,并且希望与日常互联网流量隔离,因此需要建设各类专用网络。沙河校区采用隧道技术实现一张网络承载多种业务,充分利用现有网络基础设施,快速部署各类专网。采用隧道技术,主要考虑到3个方面因素:
1.完整建设多套覆盖全校的物理专网成本较高;
2.建设物理专网对于多个校区的维护和扩展,难度较高;
3.建设基于MPLS或VLAN的专网,维护复杂,故障排查难。
隧道专网通过集中控制器与基于隧道技术的无线接入交换机进行组网,如图4所示。隧道交换机支持按照不同端口分配不同的专网(VLAN),能够在同一个物理交换机上灵活扩展出多个不同的专网。而且可以根据实际需要,随时搬迁和重新接入,不需要对隧道交换机做任何配置调整,不需要修改任何现网设备的配置,即插即用。同时,通过集中控制器还可以监控所有设备工作状态。
AP部署方案
1.教学区
教学区采用高密度AP,AP安装到教室内,根据座位数量,按照每50个座位对应一个AP进行规划。根据座位的布局和安装条件,采用吸顶或壁挂安装方式,AP尽可能靠近覆盖区域,减少对周围区域的频段干扰。
2.办公区
办公区采用普通室内AP,AP安装到房间内,基本原则按照每个房间对应1个AP,根据房间面积可能安装1个或多个AP,采用吸顶或壁挂安装方式。
3.宿舍区
宿舍区采用普通室内AP,AP安装到房间内,按照每间宿舍对应1个AP,采用吸顶或壁挂安装方式,AP配有防护盒,避免学生破坏或粉刷损坏AP,如图5所示。
4.食堂、体育馆、图书馆和会议中心
食堂、体育馆、图书馆和会议中心属于高密度区,这些区域采用高密度AP,根据座位数量和可容纳人数,按照每50个座位(人)对应一个AP进行规划。采用吸顶、壁挂或座位下隐藏安装,AP尽可能靠近覆盖区域,减少对周围区域的频段干扰。
5.室外
室外活动区域可以采用室外型AP,AP固定在墙壁或灯杆上,采用POE供电,如图6所示。重点覆盖室外固定的公共活动区域,例如图书馆周边的长椅区。两个室外AP之间的距离不超过200米。根据活动区域内的人数,按照每个AP覆盖80~100人进行设计。
使用情况
一期无线网服务于二年级学生和教职工,约3200多人,最大同时接入终端总数超过4400个,其中移动终端数超过3000个。二期无线网服务于一年级新生,约3000多人,最大同时接入终端总数超过4100个,其中移动终端数超过2800个。除了移动终端,其余终端为笔记本电脑、插USB无线网卡的台式电脑或物联网设备。
截至2018年1月,北邮沙河校区一期无线网络从2015年9月开始已经稳定运行两年半,一期无线网单独运行期间,入流量峰值超过2Gbps,非假期时段的入流量平均值大约1Gbps。截至2018年3月,二期无线网络从2017年9月开始已经稳定运行半年。一期和二期无线网络共同运行期间,无线网入流量峰值达到7.6Gbps,非假期时段的入流量平均值大约2Gbps。
二期无线网从2017年9月开始启用,图7可以看到一期无线网独立运行期间的流量情况,以及与两期无线网共同运行时的对比。图8可以看到2018年3月两期无线网共同运行期间的每天流量情况。
全无线网络的接入方式满足了个人用户在各种场景下的用网需求。在教学区,师生可以在任意一间教室内将自己携带的无线终端快速接入校园网,不必再寻找墙壁网口,也不必再咨询教室管理员,并且支持大量终端同时接入。在宿舍区,学生在无线网络中访问校内外网络资源,除了个别游戏和个别终端在高峰期略有延时以外,各种IPv4和IPv6应用都可以正常工作,同时运维人员排除网络故障的速度大大提高。在办公区,免费为台式电脑配备了USB无线网卡,教职工可以正常访问校内办公系统和校外网络资源。
全无线网络的接入方式也为部门用户提供了便利。无线打印机和无线摄像头等自带无线接入能力的设备,经管理员配置后可以快速接入网络,避免了耗费人力物力的弱电改造工程,保持了新校区的崭新面貌。针对没有无线接入能力但是基于x86架构研制的设备,可以通过添加USB无线网卡的方式改造为无线接入终端;针对部门用户的网络打印机、网络摄像头、一卡通数据网关等不存在无线能力或USB接口的纯有线设备,采取按需申请开通有线网接口的方式接入;针对教学科研服务器、公共教学机房主机等部门用户自建局域网络接入校园网的场景,采取按需申请开通光纤接口的方式接入。基本满足了部门用户在各种场景下的用网需求。
展望未来
党的十九大报告明确提出“推动新型工业化、信息化、城镇化、农业现代化同步发展”。信息化水平成为一个城市或地区现代化水平和综合实力的重要标志。北京邮电大学的信息化建设任重而道远,我们将依托学校的资源优势,积极学习外界新技术新模式,勇于创新,为高校的信息化建设做出更多贡献。(责编:杨燕婷)
(作者单位为北京邮电大学信息化技术中心)