2025年针对前端设备的接入设计方案.pdfVIP

长风破浪会有时，直挂云帆济沧海。——李白

全网业务随性架构设计

对于传统的园区网络（包括校园网络）而言，“业务”即指用户依靠网络设备获取内部资

源而受到的策略，“随行”则意味着用户无论从何地、何时、哪一种终端接入网络，都可以保

持用户本身自始不变的资源访问权限。其中，业务随行由两个核心概念组成：如何设置策略

+如何进行统一的认证准入。

大多数IT从业者对于“业务随行”的理解，大多数还保留在“为出差人员设计的移动办公

方案”，然而这一概念早已不再是这样传统意义上的局限性理解。当前园区网络的“业务随行”

应当指，有线无线一体化认证加持下，为所有入网用户提供固定资源访问权限的动态身份管

理指令。

1传统园区网身份管理的弊端

1.1基于IP的用户身份管理

在校园网络世界中，IP地址就如同某个学生或者教师的当前住址，学生升学毕业，宿舍

自然会有别的人来使用。IP地址（尤其是私网地址）不会专属于一个人唯一所有，随着时间

的流逝在不断的进行重新分配。但是在短暂周期内，只要一个人当前拥有一个IP地址，我

们可以认为这个IP地址在这个时间范围内就具有唯一性，我们可以根据IP地址找到这个人

所在的物理位置，直至找到这个人本身。IP地址在某段时间范围内具有一定的身份标示意义

和地理位置意义。

因此，传统的用户身份管理，顺理成章的采用IP紧耦合的方式来对入网用户进行权限

管理。在校园网中，往往还会附加一条，采用“静态IP+静态VLAN”的方式来防止入网用户

身份的变化，例如在教育城域网中，学校教职工通常采用固定的教育网IP来访问教育资源

池，在学校内部同样存在类似手段。然而，基于“静态IP+静态VLAN”的方式过于笨重和强限

制性，学校管理者几乎无法保障地理位置随意变动的入网用户实现业务随行。

1.2传统动态VLAN下的用户管理

通过限制教职工更改IP地址的静态VLAN方式往往不够人性化，校园管理者无法自由

灵活的变更原始策略，否则会带来巨大的工作量。那么根据“认证信息动态分配VLAN+VLAN

提前配置绑定静态ACL”的工作方式就会略微改善这种不便捷性。原理如下：

海纳百川，有容乃大；壁立千仞，无欲则刚。——林则徐

校园管理者需要提前为不同用户创建不同的VLAN中，并且在网关交换中匹配ACL策

略。认证服务器对用户进行准入放通时，用户将会自动归入到对应VLAN中，此时ACL自

动生效，对用户行使访问控制策略。这样的方式虽然免除了静态VLAN的繁琐性，但是仍然

需要依赖静态ACL来实现访问控制策略。

1.3传统动态ACL下的用户管理

动态VALN的弊端在于，校园管理者想要随时变更校园用户的资源访问权限，几乎需要

更改全网接入交换机的ACL策略。因此，由认证服务器下发ACL“即动态ACL”似乎可以解决

其中的繁琐性。

校园管理员只需提前在认证服务器上为每类用户创建好ACL即可，用户在通过的认证

的同时，ACL也同步下发到交换机。但是其中致命性的问题有两点，ACL在随用户下发时交

换机需要复制每一个用户的ACL策略到规则库中，这就意味着每10个用户接入，就会给交

换机带来1000条的策略负担。另一个问题是，动态ACL解决了所有用户访问内网资源的权

限性问题，但是没有解决用户与用户之间的访问权限，这对于校园内网环境是极为危险的。

2SDN理念下的业务随行实现

SDN理念是当下园区网解决方案中最热门的概念，其概念的核心，是将“管理”和“控制”

解耦。在SDN理念下的园区网络中，交换机设备以及无线设备、物联