鄭　民　張偉勝　楊廣輝

摘 要:本文分析了目前常見的校園網(wǎng)接入Internet方案的利弊。既要引入運營商成熟的管理和技術,又要保留校園網(wǎng)原有的三層網(wǎng)絡結構,校園網(wǎng)作為一個接入服務的提供者,采用L2TP為ISP提供用戶接入服務能夠有效地解決這一矛盾。

關鍵詞:校園網(wǎng) L2TP Internet接入

中圖分類號:TP393.18 文獻標識碼:B 文章編號:1673-8454(2009)13-0014-03

一、引言

常見的校園網(wǎng)運營或由學校購買運營商出口帶寬,為學生提供認證和計費服務,或直接由運營商負責網(wǎng)絡管理和運營。本文提出了校園網(wǎng)用戶采用L2TP(Layer Two Tunneling Protocol,二層隧道協(xié)議)方式接入Internet,校園網(wǎng)保持自治,同時由運營商提供認證計費以及流量控制的技術方案。自治可以保持校園網(wǎng)的傳統(tǒng)三層結構,有利于學校網(wǎng)絡和信息部門進一步建設和普及校園的網(wǎng)絡應用,有利于師生網(wǎng)絡之間的互聯(lián)互通和資源共享。運營商的優(yōu)勢在于他們的認證計費平臺和網(wǎng)絡服務質量的保證都已非常成熟和穩(wěn)定,能夠為師生提供專業(yè)的寬帶接入服務。兩者結合可以使學校的網(wǎng)絡和信息部門從為師生提供Internet接入服務的工作中解放出來,專注于學校的信息化建設和網(wǎng)絡技術的研究。另外,也可以為學校節(jié)省認證計費平臺和專業(yè)流量控制設備的投資。

二、常見校園網(wǎng)Internet接入方式分析

1.PPPOE+QINQ

學生用戶VLAN隔離,通過QINQ(通過在以太幀中堆疊兩個802.1Q包頭的技術)可以復用有限的VLAN號。同時,學生用戶VLAN隔離也能夠避免大量用戶同時上線時產生的廣播流量(PPPOE協(xié)議中的PADI廣播報文)。該技術的方案優(yōu)勢在于電信等運營商有非常成熟穩(wěn)定的部署管理經(jīng)驗及產品應用,能夠為單個用戶提供可靠的寬帶接入服務。缺點在于人為地將學生用戶從校園網(wǎng)中割裂開來,將用戶訪問Internet的需求和訪問校園網(wǎng)的需求對立起來。用戶在撥號之前,不能夠自由地訪問學校的網(wǎng)絡資源,撥號之后,也需要到公網(wǎng)之后再回來訪問校園網(wǎng),速度也受到BAS(Broadband Access Server,寬帶接入服務器)的限制,而校園網(wǎng)內部本身在物理上是百兆到桌面并且是互聯(lián)互通的,因而喪失了原有的網(wǎng)絡性能。為了能夠保留校園網(wǎng)的功能,可以按如圖1所示的拓撲設計網(wǎng)絡。

該方案需要額外的光路和光模塊等硬件投入。另外,PPPOE的廣播報文導致了該方案是排他的,即只能允許一家運營商采用PPPOE的形式來接入用戶,校園網(wǎng)用戶的寬帶服務無法引入多家運營商。

2.802.1x

802.1x是基于端口的網(wǎng)絡接入控制協(xié)議,即在局域網(wǎng)接入設備這一級對所接入的設備進行認證和控制。各設備廠商為了更好地支持用戶的管理需求,開發(fā)了很多應用特性,比如H3C的代理用戶檢測,CISCO的VLAN分配等。而且,各自都有不同的認證計費平臺、專屬應用特性要求交換機軟件的支持,因此在多品牌設備的網(wǎng)絡下無法實現(xiàn)特定的應用特性。如單個物理端口下的多主機支持特性,H3C的設備支持多用戶分別認證,而CISCO只支持單一主機或者多主機情況下某一個主機認證通過即可。如果網(wǎng)絡環(huán)境由單一品牌的設備組成,并且可以保證每個用戶都擁有一個物理端口接入,802.1X是校園網(wǎng)認證的較好應用方案。

3.基于DHCP的Web認證

用戶端無需安裝撥號軟件,無需用戶作額外的配置。而采用撥號軟件,上網(wǎng)故障時,用戶往往無法辨別是網(wǎng)絡的問題還是計算機自身的問題,會帶來較多的維護工作量。簡便易用,維護量小是該方式的最大優(yōu)點。但是和寬帶接入服務器BAS/BRAS(Broadband Remote Access Server,寬帶遠程接入服務器)相比,計費網(wǎng)關缺乏精確的用戶帶寬控制(需要額外增加專用的流量控制設備),也不能解決地址沖突和盜用問題,這一點,PPPOE和802.1X通過用戶的MAC/IP/端口號的三者綁定,均能很好地解決。

三、采用L2TP的VPN方式

L2TP是一種將二層電路穿越包交換網(wǎng)絡的動態(tài)隧道技術,除了PPP(Point to Point Protocol),還支持以太網(wǎng)、Frame-relay和ATM(Asynchronous Transfer Mode,異步傳輸模式)等其他二層負載。相比前三種接入方式,由于全部流量都被封裝在UDP或者IP(l2tp over udp or l2tp over ip)報文中,加上PPP的開銷,L2TP的負荷效率最低。而且,封裝之后也增加了網(wǎng)絡流量分析中的拆包工作。Windows XP及VISTA自帶L2TP客戶端,缺省和IPSEC綁定,為了提高效率,需要修改注冊表解除和IPSEC的綁定。盡管有上述不足,L2TP仍舊是校園網(wǎng)接入Internet的一個不錯的選擇,如圖2所示。

首先,由于L2TP運行在包交換網(wǎng)絡之上,對接入層的設備沒有特別的要求,比如第一種方案要求匯聚交換機支持QINQ,第二種方案中802.1x在某些應用特性的要求下,認證平臺和交換機必須是同一個廠商的產品等。其次,隨著中國電信、中國聯(lián)通和中國移動擁有全業(yè)務牌照之后,寬帶接入網(wǎng)的競爭也勢必激烈起來。采用L2TP方式可以同時引入多家運營商為學生提供寬帶接入服務,而競爭必然帶來服務的提升和價格的下降。當前市場上支持該技術方案的設備也較多,包括寬帶接入設備BAS、BRAS或VPN網(wǎng)關,如JUNIPER的ERX系列BRAS寬帶接入服務器,HUAWEI的MA5200G,CISCO的ASA5500等。其三,BAS/BRAS能夠對接入用戶進行嚴格的流量控制,可以引入成熟的用戶管理機制,并且擁有海量的L2TP隧道終結能力。其四,L2TP方式接入Internet,不改變校園網(wǎng)的網(wǎng)絡拓撲,保留了校園網(wǎng)原有的包交換網(wǎng)絡結構。

四、同時訪問校內網(wǎng)與運營商網(wǎng)

圖1和圖2的方案中,用戶在撥號后將無法正常訪問校內網(wǎng)和教科網(wǎng),因為寬帶連接或者L2TP連接建立后將修改本機的缺省網(wǎng)關。在Windows操作系統(tǒng)中,還需要關注適配器的訪問次序,特別是DNS,用戶的網(wǎng)絡服務程序將按照適配器的訪問次序逐個嘗試域名解析。除了在用戶的系統(tǒng)上增加訪問內網(wǎng)及教科網(wǎng)的靜態(tài)路由之外,如果內網(wǎng)卡的訪問次序排在寬帶連接或者L2TP連接之前,會造成運營商的用戶使用校園網(wǎng)的DNS來進行域名解析。Windows的網(wǎng)絡連接窗口中高級設置可用于設定適配器的訪問次序,確保寬帶連接或者L2TP連接即遠程訪問連接排在首位,如圖3所示。

但是,在XP或者Windows 2000等操作系統(tǒng)中,該操作有時會是無效的,即無法通過該菜單有效修改適配器的訪問次序,只能通過修改注冊表表項HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipLinkage中的BIND參數(shù),將其中的DEVICENdisWanIp行放在其他接口設備之上,如圖4所示。

在確保正確的適配器訪問次序后,內網(wǎng)資源的域名解析可以通過在客戶端Hosts文件中設置內網(wǎng)資源的域名記錄來解決。也可以在校內架設一臺DNS服務器,校內資源由它直接解析,校外資源則根據(jù)用戶的IP段選擇相應的轉發(fā)服務器(運營商的DNS服務器)。內網(wǎng)的靜態(tài)路由可以通過DHCP服務器249選項動態(tài)下發(fā)給客戶端。

五、結論

校園網(wǎng)委托運營商運營的案例越來越多,中國電信的數(shù)字校園也在強勢推廣。運營商總是希望接入網(wǎng)用戶之間是隔離的,這樣安全性高,易于管理。而校園網(wǎng)建設的初衷和Internet一樣,要求互聯(lián)互通,資源共享,是一張開放的、基于IP的網(wǎng)絡。如果按照運營商的建設思路,校園網(wǎng)有可能會被PPP沙漠化。學?；谛@網(wǎng)資源共享,建設校園網(wǎng)絡文化的努力也會大打折扣。采用L2TP方式為用戶提供Internet接入的方案可以較好地解決這一矛盾。一方面,校園能夠引入運營商所擅長的網(wǎng)絡接入服務,同時,又保留了校園網(wǎng)原有的三層網(wǎng)絡結構,師生在享用運營商提供的高質接入服務的同時,仍然能夠通過校園內網(wǎng)高速訪問學校的數(shù)字資源。

參考文獻:

[1]黃國賢,李斌奇,王以勒.VPN實現(xiàn)“走出去”與“引進來”[J].中國教育網(wǎng)絡,2008(9):14.

[2]IETF,RFC3931,Layer Two Tunneling Protocol - Version 3 (L2TPv3),2005.

[3]邢小良.關于寬帶IP網(wǎng)的認證計費方式的探討[J].電信科學,2001(10):48-49.