基于边缘智能的高校校园网络体系架构研究

摘　要：近几年来，传统的“三层”核心智能网络结构越来越力不从心，它不仅影响了网络的性能，同时降低了网络的灵活性、扩展性、安全性和可控性。针对此问题，提出高校校园网络体系架构从“核心”向“边缘”转变，实现边缘网络智能化，从而克服传统组网方式的重重束缚，提供一种更通畅、高效、高扩展性的高校校园网络。

关键词：高校校园网络；三层核心智能网络；边缘智能网络；体系结构
引言
　　随着信息技术的迅猛发展，高校校园网络日新月异。首先，学生拥有计算机的量越来越大，上网的人数与日俱增；其次，校园网络各种应用不断增多，如校园一卡通、数字安防监控、VOD点播、IPTV、数字广播、数字资源等；再次，个人上网业务越来越丰富，如P2P、网络游戏、网络影视等。导致高校校园网络规模越来越大，网络流量越来越大，网络威胁越来越严重，网络安全性越来越差[1]。高校校园网络结构将不得不调整，必然由核心智能网络向边缘智能网络转化。
1、核心智能网络
    传统的高校校园网络都是按“三层”结构来部署的，即核心层、汇聚层、边缘层，采用以网络核心智能设备为主导的核心智能网络架构[2]。在这种结构中，核心智能设备是整个网络的重中之重，承担所有的网络策略和控制，边缘设备只是进行简单的用户接入、数据交换和转发。
　　在高校校园网络建设的初期，网络结构简单，用户数不多，网络业务单一，网络流量较小，对网络决策和控制要求不高，核心智能网络还能负担。但随着校园网络规模的扩大，用户数的增多，网络业务的丰富、网络流量的激增，数据的传输和控制越来越复杂，核心智能网络越来越力不从心，种种弊端就渐渐的显露出来了。
1.1性能和服务质量（QOS）低
　　在核心智能网络中，对网络是否能有效的控制和整个网络的性能取决于核心设备的智能和决策能力。随着网络业务和技术的发展，大量的数据流量和多样化的业务对核心设备性能的要求越来越苛刻，如果核心设备出现高负荷运转或其它问题，将影响其对整个网络的决策和控制，从而降低整个网络的性能。同时，网络的策略和控制是由核心设备来承担的，而各种业务是在边缘网络接入的，不可避免这种服务质量是较低的。
1.2安全性和稳定性差
    在核心智能网络中，所有的策略和控制都集中在网络核心，边缘网络只负责简单的接入功能，用户在核心网络对其进行审核和授予访问权限之前，就已经接入网络，这给网络造成了巨大的安全隐患，将严重影响整个网络的稳定。
1.3灵活性和扩展性差
　　在核心智能网络中，核心设备的能力和扩展性决定着整个网络的能力和扩展性。如果核心设备无法支持过多的流量和新的应用，就必须升级甚至更换核心设备，这将大大增加校园网络建设的成本，降低了网络的可扩展性。同时，由于整个网络的决策和控制依赖于单一的核心设备，导致无法对一些特定的应用和网络行为做出个性化的决策和控制，从而使得网络的灵活性有所降低。
　　综上所述，核心智能网络不仅影响网络的性能和服务质量，降低了网络的灵活性和扩展性，还增加了高校面对新的需求时付出的成本和投资，于是边缘组网理念开始出现，并引发了从“核心网络”到“边缘网络”的网络体系结构革命。
2、边缘智能网络
    近几年来，高校校园网络的智能不仅体现在网络核心，更是推到贴近用户的边缘层，从而形成端到端的边缘智能网络[3，4]。与核心智能网络相比，由于加强了网络边缘设备的智能和决策能力，使整个网络在可用性、扩展性、安全性和可控性上都有很大的提高。 边缘智能网络的优点如下：
2.1接入点的可控性
　　边缘智能设备能够在接入点做出决策，在流量进入网络之前执行访问和安全策略，减少了核心设备的负荷。此外，智能边缘设备可以为每个用户、每个会话进行动态、自动配置。对于访问网络的个人，边缘智能设备能够根据其特定的访问权限，准许或限制其访问。这些配置功能使网络更具动态性、安全性和适应性，同时能够满足用户的独特需求。
2.2 边缘设备的可管理性
　　智能边缘设备具备管理功能，支持远程对边缘设备进行各项配置和监控，同时支持802.1p、VLAN划分、端口链路聚合和端口镜像功能，支持配置文件的备份下载和上传，等等。
2.3 边缘设备的安全性
　　在网络边缘使用智能边缘设备后，安全性得到增强，从整体上提升了网络的安全性。
2.4 集中控制网络配置
　　通过具有动态策略控制功能的网络管理软件及确保安全性、移动性和融合的模块实现中心命令后，高校将集中控制网络配置，因而更便于在校园网络内实施新的应用和支持新的流量类型。这种方法不仅使校园网络可以提高安全性，实现移动边缘，充分利用新技术，而且还有助于降低成本。
2.5 摆脱网络对核心的过度依赖
　　当网络边缘智能大幅提高之后，在一定程度上就可以摆脱对网络核心设备的过度依赖，降低频繁地升级和重新部署核心设备的高投入。
3、网络边缘智能的实现
    高校校园网络边缘智能的实现，一方面，是部署智能边缘交换机；另一方面，是部署常规的边缘安全策略。
3.1 边缘智能交换机的选购
    智能边缘交换机是部署智能网络的基础，怎样选购边缘智能交换机呢？由于现在的智能边缘交换机都将QoS、速率限制、ACL、PBR及sFlow集成到硬件芯片上，使得这些智能不致影响到基本的线速转发性能，因此在选购时，主要考虑两个方面。首先，交换机的可靠性。如果边缘交换机出现故障，将会影响到大量接入层用户。所以要充分考虑冗余配置。其次，交换机的智能。即执行QoS的能力、提供指定接入速率的能力、ACL(访问控制列表)的安全屏蔽能力、网络流量统计与监控能力以及策略路由(PBR)的支持能力。它将影响整个网络的可控制性和效率。
3.2 部署常规的边缘安全策略
　　在网络的安全策略部署中，除了在网络核心部署传统的防火墙、IDS等安全产品外，在边缘接入层还应该部署常规的安全策略。常规的安全策略有：①、边缘用户接入安全认证。在校园网中引入用户认证技术，有两个目的，一是可以有效的识别上网用户身份，第二是便于对用户的接入权限、业务权限、用户行为等进行有效的控制和管理，包括提供灵活的计费手段。②、虚拟局域网（VLAN）。采用VLAN技术，有利于减少网络设备移动、添加和修改的管理开销，同时可以控制广播活动，从而提高网络的安全性。③、端口与用户绑定。 将交换机的端口与用户的IP地址或MAC地址绑定，阻止非法用户访问网络，有利于网络的安全。④、流量控制。一方面，对单个的用户或交换机端口实施流量控制；另一方面，基于应用层协议分析为基础的流量控制，针对不同的应用，采用不同的策略，让关键的应用得到关键的保障，让重要的应用得到优先的服务。⑤、ACL访问控制技术。通过控制与检查进出关键服务器中的访问，保护服务器中的关键数据。它是一种主机防护技术，保证网络资源不被非法使用和访问。
4 结束语
　　高校校园网络从核心智能向边缘智能扩散，是高校校园网络发展的必然。在边缘网络采用智能设备和相应的策略、控制，有助于提高高校校园网络的效率、安全和可扩展性，在一定程度上有利于高校校园网络的建设和发展。
参考文献：
[1] 杨晴.关于构建高效安全的校园网络系统的思考. 重庆职业技术学院学报,2006(05)
[2] 刘正勇.构建数字化校园体系结构设计研究. 计算机工程与设计,2008(03)
[3] 胡敏.挖掘网络边缘的潜力. 中国计算机用户, 2003(29)
[4] 张旭军.网络边缘也智能. 微电脑世界, 2003(02) 本文链接：http://www.qk112.com/lwfw/jsjlw/jisuanjiyingyong/242702.html