吳禮樂

（中國石油大學(xué)（北京）信息技術(shù)中心，北京 102249）

校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)平臺，在學(xué)校各項工作中發(fā)揮著重要作用。在信息技術(shù)飛速發(fā)展的背景下，高校信息化進(jìn)程的深度和幅度日益提升，對校園網(wǎng)的管理、性能和安全性的要求也在不斷提高[1]。隨著校園WLAN的普及、云計算的發(fā)展、校園網(wǎng)用戶數(shù)量的增加以及網(wǎng)絡(luò)業(yè)務(wù)、用戶需求的多樣化,校園網(wǎng)的功能定位已經(jīng)逐步從滿足接入功能為主轉(zhuǎn)向可管理、可運(yùn)維、滿足日益豐富的業(yè)務(wù)需求為主,需要網(wǎng)絡(luò)能承載數(shù)據(jù)、視頻、組播、W L AN等多種業(yè)務(wù),及對不同業(yè)務(wù)提供區(qū)分服務(wù)。傳統(tǒng)的基于三層交換架構(gòu)的網(wǎng)絡(luò),在實(shí)際使用過程中存在諸多難以解決的問題,如：無法實(shí)現(xiàn)用戶的精細(xì)化管理、ARP病毒和搶占帶寬等行為難以徹底解決、管理維護(hù)難度較大、用戶體驗差,已經(jīng)難以滿足日益增長的多業(yè)務(wù)需求。為了解決以上問題，BRAS設(shè)備扁平化校園網(wǎng)絡(luò)方案在各高校逐步得到應(yīng)用。通過認(rèn)真分析校園網(wǎng)絡(luò)扁平化架構(gòu)的優(yōu)缺點(diǎn)，結(jié)合我校網(wǎng)絡(luò)實(shí)際情況，探索一種適合我校自身特色的校園網(wǎng)絡(luò)認(rèn)證模式，適應(yīng)和滿足國家法律和政策對于校園網(wǎng)用戶的行為要求；降低校園網(wǎng)的管理難度和減少維護(hù)工作量；滿足各類業(yè)務(wù)和應(yīng)用的拓展[2]。總之，要實(shí)現(xiàn)整個校園網(wǎng)的高性能、易管理、精細(xì)化網(wǎng)絡(luò)、提供不同業(yè)務(wù)、實(shí)現(xiàn)用戶實(shí)名制認(rèn)證的校園網(wǎng)絡(luò)。

1 網(wǎng)絡(luò)現(xiàn)狀分析

中國石油大學(xué)（北京）采用了傳統(tǒng)的三層網(wǎng)絡(luò)組網(wǎng)架構(gòu)，即核心—匯聚—接入的三層網(wǎng)絡(luò)結(jié)構(gòu)。以核心交換機(jī)H3C 9508E為中心，通過萬兆或千兆下聯(lián)至匯聚交換機(jī)H3C 5800，匯聚交換機(jī)千兆下聯(lián)至接入交換機(jī)，接入交換機(jī)千兆或百兆到桌面；核心交換機(jī)通過萬兆上聯(lián)至流控設(shè)備網(wǎng)絡(luò)掌門20000，流控設(shè)備萬兆上聯(lián)至校園網(wǎng)出口防火墻山石X6150，通過防火墻分別接入了中國教育網(wǎng)、中國聯(lián)通和中國移動三家互聯(lián)網(wǎng)供應(yīng)商，出口總帶寬2.3 G，防火墻通過靜態(tài)路由和策略路由選擇運(yùn)營商線路；數(shù)據(jù)中心服務(wù)器交換機(jī)通過萬兆上聯(lián)核心交換機(jī)，千兆下聯(lián)各服務(wù)器；用戶通過鄰居發(fā)現(xiàn)協(xié)議獲取IPv6地址，核心交換機(jī)直聯(lián)IPv6網(wǎng)絡(luò)出口至IPv6網(wǎng)絡(luò)，IPv6出口總帶寬2G，不經(jīng)過流控設(shè)備轉(zhuǎn)發(fā)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)清晰簡潔，校園網(wǎng)絡(luò)拓?fù)淙鐖D1。全網(wǎng)采用RIP和RIPng路由協(xié)議，用戶通過IPv4和IPv6雙棧模式訪問互聯(lián)網(wǎng)，但沒有統(tǒng)一認(rèn)證，網(wǎng)絡(luò)故障排查困難，日常運(yùn)維工作量大,校園網(wǎng)出口壓力大。在校園網(wǎng)實(shí)際運(yùn)行中，存在管理運(yùn)維復(fù)雜、上網(wǎng)監(jiān)管困難等問題，校園網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)行模式已不能滿足管理和服務(wù)的需要，矛盾日益突出，主要表現(xiàn)在以下方面：

1)認(rèn)證計費(fèi)不統(tǒng)一

圖1 校園網(wǎng)絡(luò)拓?fù)鋱DFig.1 Campus network topology

長期以來，我校有線網(wǎng)沒有采用用戶認(rèn)證上網(wǎng)的方式，其中辦公區(qū)有線網(wǎng)采用靜態(tài)IP分配方式上網(wǎng)，教職工需要親自到信息技術(shù)中心申請IP地址，辦公區(qū)接入交換機(jī)品牌有北電、華三、華為、銳捷；學(xué)生宿舍區(qū)有線網(wǎng)采用在接入交換機(jī)端口綁定MAC地址+DHCP獲取地址的方式，學(xué)生宿舍區(qū)全部采用北電交換機(jī)，針對北電交換機(jī)開發(fā)了批量綁定交換機(jī)端口與繳費(fèi)用戶的計算機(jī)MAC地址的管理軟件。

2012年開始大規(guī)模建設(shè)校園無線網(wǎng)絡(luò)，至今全校已部署AP數(shù)量1 000臺，覆蓋了除學(xué)生宿舍區(qū)之外的所有樓宇和操場等空曠的室外區(qū)域，無線網(wǎng)采用在H3C 5800匯聚交換機(jī)三層vlan接口上開啟Portal重定向和深瀾認(rèn)證計費(fèi)系統(tǒng)對接認(rèn)證的方式。經(jīng)過兩年的運(yùn)行，發(fā)現(xiàn)了不少問題，例如：匯聚交換機(jī)Portal支持的用戶少、性能差，沒有用戶流量update報文發(fā)送給深瀾計費(fèi)系統(tǒng)進(jìn)行用戶流量統(tǒng)計，不能實(shí)現(xiàn)用戶無流量自動下線。

因為我校有線網(wǎng)和無線網(wǎng)一直以來沒有實(shí)行統(tǒng)一認(rèn)證，用戶申請入網(wǎng)工作繁瑣，上網(wǎng)方式不一，用戶體驗差、抱怨多，也給日常管理工作帶來了一系列問題。

2)網(wǎng)絡(luò)運(yùn)維復(fù)雜

學(xué)校IPv4網(wǎng)絡(luò)共3條出口鏈路，連接3個不同的互聯(lián)網(wǎng)運(yùn)營商。由于運(yùn)營商的路由數(shù)目眾多，而且路由信息更新較快，所以需要定期檢查并及時更新出口路由表，進(jìn)行路由優(yōu)化。同時，為保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行，需要通過流控設(shè)備長期對校園網(wǎng)出口流量進(jìn)行優(yōu)化，限制P2P下載、在線視頻等與日常工作和學(xué)習(xí)無關(guān)的應(yīng)用，緩解校園網(wǎng)出口壓力。

現(xiàn)在的校園網(wǎng)結(jié)構(gòu)、用戶管理和IP管理方式給日常運(yùn)維帶來巨大的工作量。例如：辦公區(qū)域用戶盜用IP地址，教工用戶改變辦公樓宇時需要重新到信息技術(shù)中心辦理變更業(yè)務(wù)，人工催繳網(wǎng)費(fèi)工作繁瑣；學(xué)生宿舍用戶自行修改MAC地址導(dǎo)致無法上網(wǎng)，學(xué)生宿舍區(qū)接入交換機(jī)只能使用北電品牌，運(yùn)行時間長達(dá)10年，功能和性能差，不能防偽DHCP服務(wù)器、ARP欺騙，解決上述問題占用時間多，處理故障較為困難。

3)出口帶寬壓力大

由于全校采用包月不限流量的計費(fèi)策略，校園網(wǎng)Internet出口帶寬有限，部分用戶無節(jié)制地在線視頻、使用P2P工具進(jìn)行下載，造成校園網(wǎng)出口擁塞，出口的擁塞又會造成更多用戶加入帶寬的爭搶，致使出口更加擁塞，這必將導(dǎo)致網(wǎng)絡(luò)丟包嚴(yán)重，大量數(shù)據(jù)包重復(fù)發(fā)送，進(jìn)一步擁塞整個網(wǎng)絡(luò)，其最終結(jié)果就是整個網(wǎng)絡(luò)出現(xiàn)擁塞，所有用戶不能正常上網(wǎng)。所以，需要采取限制用戶在線視頻、P2P下載等應(yīng)用，限制每用戶的速度和會話數(shù)，保障出口防火墻的穩(wěn)定運(yùn)行，保障校園網(wǎng)用戶對瀏覽網(wǎng)頁、即時通信等關(guān)鍵應(yīng)用的暢通。

2 BRAS設(shè)備扁平化網(wǎng)絡(luò)架構(gòu)

1)網(wǎng)絡(luò)扁平化的趨勢

隨著高校校園網(wǎng)絡(luò)的發(fā)展和建設(shè)，網(wǎng)絡(luò)規(guī)模越來越大，結(jié)構(gòu)越來越復(fù)雜，用戶數(shù)量越來越多，網(wǎng)絡(luò)應(yīng)用越來越豐富,采取的認(rèn)證模式也各不同一,有802.1x模式、網(wǎng)關(guān)計費(fèi)認(rèn)證模式等。各高校在建設(shè)校園網(wǎng)絡(luò)時普遍會遇到以下問題：如何建設(shè)有線無線一體化的認(rèn)證計費(fèi)平臺；如何適應(yīng)和滿足國家法律和政策對于校園網(wǎng)用戶的行為要求；如何降低校園網(wǎng)的管理難度和減少維護(hù)工作量；如何滿足各類業(yè)務(wù)和應(yīng)用的拓展。要解決以上這些問題必須從網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式上進(jìn)行改變，而網(wǎng)絡(luò)扁平化架構(gòu)切中了解決這些問題，將原有網(wǎng)絡(luò)各層的功能從邏輯上進(jìn)行了重新劃分，使得各層設(shè)備各盡其能，并重新部署業(yè)務(wù)模式。通過充分調(diào)研，部分高校已經(jīng)實(shí)施或正在計劃將原有的802.1x、網(wǎng)關(guān)認(rèn)證計費(fèi)等認(rèn)證計費(fèi)模式改造成BRAS網(wǎng)絡(luò)扁平化架構(gòu)[3]。

2)扁平化網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)扁平化通常意義下是指功能上和邏輯上的扁平化，其核心是減少網(wǎng)絡(luò)的中間層，使網(wǎng)絡(luò)架構(gòu)和形態(tài)變得更為簡單，將網(wǎng)絡(luò)架構(gòu)從原來的三層甚至是多層轉(zhuǎn)變?yōu)槎?，業(yè)務(wù)控制層和寬帶接入層。業(yè)務(wù)控制層由BRAS核心設(shè)備構(gòu)成，替代原有網(wǎng)絡(luò)架構(gòu)中的核心交換機(jī)，提供統(tǒng)一的QinQ用戶終結(jié)、準(zhǔn)入認(rèn)證、業(yè)務(wù)控制等多種功能，滿足校園網(wǎng)大用戶量、高并發(fā)連接、差異化計費(fèi)的需求。寬帶接入層由匯聚交換機(jī)和接入交換機(jī)構(gòu)成，僅提供基本的戶帶寬接入功能和用戶之間的二層vlan隔離功能，匯聚交換機(jī)和接入交換機(jī)仍然使用網(wǎng)絡(luò)中正在運(yùn)行的現(xiàn)有設(shè)備，但是需要修改配置，在原有匯聚交換機(jī)接口上啟用QinQ功能，對用戶私網(wǎng)vlan進(jìn)行二次封裝，實(shí)現(xiàn)封裝后的二層用戶vlan透傳到BRAS核心設(shè)備，由原來的三層匯聚變成了大二層匯聚；在原有接入交換機(jī)上為每個下聯(lián)端口配置一個不同的用戶vlan，上聯(lián)端口設(shè)置為trunk允許所有用戶vlan通過到匯聚交換機(jī)，接入交換機(jī)每端口使用不同vlan將用戶隔離，防止ARP病毒等網(wǎng)絡(luò)攻擊。原有三層網(wǎng)絡(luò)的扁平化演變模型如圖2所示。

圖2 扁平化演變模型Fig.2 Flattening evolution model

3)扁平化網(wǎng)絡(luò)架構(gòu)的優(yōu)勢

①用戶和業(yè)務(wù)集中控制

扁平化架構(gòu)采用集中管理控制模式，由性能強(qiáng)、功能豐富的BRAS核心設(shè)備提供統(tǒng)一集中的用戶精細(xì)化管理和業(yè)務(wù)控制，有利于校園網(wǎng)各項業(yè)務(wù)和功能的部署，提高了校園網(wǎng)運(yùn)行的穩(wěn)定性和可靠性。

②網(wǎng)絡(luò)層次簡潔清晰

扁平化架構(gòu)將傳統(tǒng)網(wǎng)絡(luò)中功能模糊的層次數(shù)量減少，功能清晰化，從而使整個網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)層次由復(fù)雜化轉(zhuǎn)變?yōu)楹唵位?，將原有三層甚至多層網(wǎng)絡(luò)架構(gòu)演變?yōu)橐訠RAS設(shè)備為核心的大二層網(wǎng)絡(luò)架構(gòu)，有利于管理和維護(hù)，使得網(wǎng)絡(luò)有更高的效率。

③網(wǎng)絡(luò)易擴(kuò)展和管理

基于BRAS設(shè)備的扁平化校園網(wǎng)絡(luò)更有利于今后新功能、新業(yè)務(wù)的擴(kuò)展，業(yè)務(wù)功能只涉到BRAS核心設(shè)備，因此只需要考慮BRAS核心設(shè)備是否能夠支持這些業(yè)務(wù)特性即可，對于匯聚交換機(jī)和接入交換機(jī)這些設(shè)備，僅僅需要考慮接口的擴(kuò)充和上行帶寬的增加，網(wǎng)絡(luò)管理更加簡單、高效。

④高可靠性和安全性

BRAS作為高性能、高可靠的網(wǎng)絡(luò)核心設(shè)備，很好地保障了校園網(wǎng)業(yè)務(wù)不中斷。匯聚層和接入層設(shè)備利用QinQ+VLAN隔離用戶，避免ARP病毒的大量傳播，提高校園網(wǎng)接入層的安全和穩(wěn)定。

⑤實(shí)現(xiàn)全網(wǎng)有線無線統(tǒng)一認(rèn)證

基于BRAS設(shè)備的扁平化網(wǎng)絡(luò)，與第三方認(rèn)證計費(fèi)系統(tǒng)對接，實(shí)現(xiàn)有線無線統(tǒng)一的多元化認(rèn)證計費(fèi)，使校園網(wǎng)用戶可以方便地在任何一個地點(diǎn)實(shí)現(xiàn)校園網(wǎng)訪問[5-6]。

4)扁平化網(wǎng)絡(luò)架構(gòu)的缺點(diǎn)

①BRAS核心設(shè)備壓力大

校園網(wǎng)絡(luò)扁平化之后，全網(wǎng)所有流量都通過BRAS設(shè)備，所有用戶都在BRAS上集中管理控制，所有業(yè)務(wù)都在BRAS上部署，對BRAS設(shè)備的性能和功能要求極高。BRAS核心設(shè)備壓力大，一旦出現(xiàn)故障將導(dǎo)致全網(wǎng)癱瘓，而且短時間內(nèi)難于修復(fù)。

②對現(xiàn)有網(wǎng)絡(luò)改動大

基于BRAS設(shè)備的扁平化校園網(wǎng)絡(luò)，需要把BRAS設(shè)備替代原有的核心交換機(jī)，在BRAS設(shè)備上集中配置全網(wǎng)用戶和業(yè)務(wù)，原有匯聚交換機(jī)和接入交換機(jī)需要重新配置，用戶網(wǎng)段中存在大量服務(wù)器、水電計量等特殊設(shè)備的IP地址需要逐一排除認(rèn)證，以上這些網(wǎng)絡(luò)改動工作量大，施工難度大，實(shí)施周期長。

③同網(wǎng)段用戶通信問題

由于采取了QinQ+vlan進(jìn)行用戶隔離，當(dāng)匯聚交換機(jī)出現(xiàn)故障時，即使同網(wǎng)段的用戶相互無法通信。

3 BRAS設(shè)備在我校校園網(wǎng)絡(luò)認(rèn)證中的應(yīng)用

1)對BRAS設(shè)備進(jìn)行網(wǎng)絡(luò)改造的思路及要求

以學(xué)校網(wǎng)絡(luò)信息化建設(shè)規(guī)劃為指導(dǎo)，按照整體規(guī)劃、分步實(shí)施為建設(shè)原則，認(rèn)真分析我校網(wǎng)絡(luò)的現(xiàn)狀及存在的問題，掌握目前國內(nèi)外校園網(wǎng)絡(luò)認(rèn)證發(fā)展的前沿?zé)衢T技術(shù)，充分調(diào)研目前高校采取的BRAS設(shè)備網(wǎng)絡(luò)扁平化架構(gòu)模式，仔細(xì)分析校園網(wǎng)絡(luò)扁平化建設(shè)的優(yōu)勢和缺點(diǎn)，結(jié)合我校網(wǎng)絡(luò)的實(shí)際情況，提出我校BRAS設(shè)備網(wǎng)絡(luò)認(rèn)證改造建設(shè)的要求是：第一，對我校原有網(wǎng)絡(luò)架構(gòu)不做大改動，部署三層接口bas認(rèn)證模式；第二，對新建網(wǎng)絡(luò)實(shí)施三層接口bas認(rèn)證模式或扁平化模式的靈活選擇；第三，實(shí)現(xiàn)有線無線統(tǒng)一認(rèn)證，與現(xiàn)有的第三方計費(fèi)軟件深瀾認(rèn)證計費(fèi)系統(tǒng)穩(wěn)定對接，有流量update報文，能實(shí)現(xiàn)用戶無流量自動下線；第四，支持IPv4和IPv6雙棧，對IPv4網(wǎng)進(jìn)行認(rèn)證，對IPv6網(wǎng)實(shí)行免認(rèn)證；第五，能實(shí)現(xiàn)基于業(yè)務(wù)和目的地址的差異化計費(fèi)策略。

2)建設(shè)方案

按照我校網(wǎng)絡(luò)認(rèn)證改造建設(shè)的思路及要求,經(jīng)過前期的技術(shù)選型和招標(biāo),采購了一臺華為BRAS設(shè)備ME60-X8，配置2塊10端口萬兆業(yè)務(wù)板卡和2塊48端口千兆業(yè)務(wù)板卡，形成板卡級冗余，以ME60-X8為中心啟用有線無線統(tǒng)一的IPoEWeb認(rèn)證模式。對原有網(wǎng)絡(luò)拓?fù)涓淖內(nèi)缦拢?/p>

ME60-X8萬兆串聯(lián)在核心交換機(jī)和流控之間,在ME60-X8下聯(lián)口啟用三層接口bas認(rèn)證，核心交換機(jī)上來的IP地址通過IP觸發(fā)行為進(jìn)行用戶認(rèn)證上線。

核心交換機(jī)以下結(jié)構(gòu)保持不變，辦公網(wǎng)改為動態(tài)IP地址獲取方式，并在相應(yīng)各區(qū)域匯聚交換機(jī)上建立地址池，學(xué)生宿舍區(qū)取消接入交換機(jī)端口+MAC地址綁定的安全策略，改造之后全網(wǎng)用戶通過DHCP動態(tài)獲取IP地址。學(xué)生宿舍接入交換機(jī)運(yùn)行至今已有十余年，今后適時逐步進(jìn)行更新改造，提高學(xué)生宿舍區(qū)域接入交換機(jī)的功能和性能，進(jìn)一步防止偽DHCP服務(wù)器、ARP病毒、非法配置靜態(tài)IP。

數(shù)據(jù)中心服務(wù)器前端交換機(jī)從核心交換機(jī)上移，萬兆直聯(lián)ME60-X8，實(shí)現(xiàn)校內(nèi)網(wǎng)用戶訪問數(shù)據(jù)中心服務(wù)器需要進(jìn)行認(rèn)證。

取消匯聚交換機(jī)無線用戶Portal重定向認(rèn)證，無線控制器從無線網(wǎng)匯聚交換機(jī)上移至ME60-X8，通過新增無線控制器前端交換機(jī)萬兆上聯(lián)至ME60-X8，在ME60-X8上配置集中轉(zhuǎn)發(fā)用戶的地址池和二層子接口進(jìn)行bas認(rèn)證，無線網(wǎng)本地轉(zhuǎn)發(fā)用戶同有線網(wǎng)一樣通過IP觸發(fā)行為進(jìn)行用戶認(rèn)證上線。

利用ME60-X8改造后的校園網(wǎng)絡(luò)拓?fù)鋱D如圖3所示。3)用戶接入

對于有線網(wǎng)用戶和無線網(wǎng)本地轉(zhuǎn)發(fā)用戶來說，在ME60下聯(lián)核心交換機(jī)的接口上建立兩個子接口，分別配置IPv4和IPv6地址，在核心交換機(jī)上聯(lián)接口上配置trunk和與ME60子接口對應(yīng)的兩個vlan并且允許兩個vlan通過。對IPv4的子接口配置三層接口bas認(rèn)證，對IPv6的子接口不配置認(rèn)證，從而實(shí)現(xiàn)了IPv4網(wǎng)需要認(rèn)證而IPv6網(wǎng)不需要認(rèn)證的功能。IPv4用戶通過IP觸發(fā)行為上線，此時處于認(rèn)證前域，只能訪問Web認(rèn)證頁面和DNS服務(wù)器，客戶端打開瀏覽器上網(wǎng)時頁面自動調(diào)轉(zhuǎn)到深瀾Web認(rèn)證頁面，當(dāng)客戶端輸入用戶名和密碼認(rèn)證成功后即可訪問校園網(wǎng)服務(wù)器和互聯(lián)網(wǎng)，此時用戶處在認(rèn)證域，在認(rèn)證域配置idle-cut命令實(shí)現(xiàn)用戶在指定時間段內(nèi)無流量自動下線。

對于無線網(wǎng)集中轉(zhuǎn)發(fā)用戶來說，在ME60上建立各用戶段的IPv4地址池和IPv6地址池，在下聯(lián)無線控制器交換機(jī)接口上建立各用戶段相應(yīng)的用戶vlan子接口并配置二層接口bas認(rèn)證。用戶通過ME60獲取IPv4地址之后，此時處于認(rèn)證前域，只能訪問Web認(rèn)證頁面和DNS服務(wù)器，客戶端打開瀏覽器上網(wǎng)時頁面自動調(diào)轉(zhuǎn)到深瀾Web認(rèn)證頁面，當(dāng)客戶端輸入用戶名和密碼認(rèn)證成功后即可訪問校園網(wǎng)服務(wù)器和互聯(lián)網(wǎng)，此時用戶處在認(rèn)證域，在用戶vlan子接口下配置arp探測實(shí)現(xiàn)指定時間段內(nèi)無arp報文自動下線。用戶通過ME60獲取IPv6地址之后，不認(rèn)證即可訪問IPv6網(wǎng)絡(luò)。

對于內(nèi)網(wǎng)中院系自建服務(wù)器等設(shè)備，需要免認(rèn)證對外提供服務(wù)，在ME60上建立一個免認(rèn)證域，通過layer3-subscriber命令指定服務(wù)器IP地址的認(rèn)證前域為免認(rèn)證域。

4)有線無線統(tǒng)一認(rèn)證

ME60與深瀾認(rèn)證計費(fèi)系統(tǒng)對接，在全網(wǎng)有線無線采取IPoEWeb統(tǒng)一認(rèn)證方式，當(dāng)用戶上線到認(rèn)證前域時ME60將客戶端瀏覽器頁面自動推送到深瀾Web認(rèn)證頁面，用戶認(rèn)證成功之后此時處在認(rèn)證域，可以訪問校園網(wǎng)服務(wù)器和互聯(lián)網(wǎng)，ME60定時發(fā)送流量update報文到深瀾認(rèn)證計費(fèi)系統(tǒng)AAA服務(wù)器進(jìn)行計費(fèi)，深瀾計費(fèi)系統(tǒng)支持各種不同終端類型，支持Windows、Android、iOS等操作系統(tǒng)的瀏覽器。

5)內(nèi)外網(wǎng)區(qū)分限速計費(fèi)

由于校園網(wǎng)用戶訪問校內(nèi)服務(wù)器不計流量不限速，訪問校外計流量限速，需要實(shí)現(xiàn)差異化計費(fèi)策略，在ME60上配置增值業(yè)務(wù)DAA（目的地址計費(fèi)），定義限速的QOS模板和不計費(fèi)的accounting模板，結(jié)合acl訪問控制來實(shí)現(xiàn)內(nèi)外網(wǎng)差異化業(yè)務(wù)控制。

圖3 利用ME60-X8改造后的校園網(wǎng)絡(luò)拓?fù)鋱DFig.3 Campus network topology after using ME60-X8 to reform

6)新建網(wǎng)絡(luò)

對于今后學(xué)校新建樓宇網(wǎng)絡(luò)，全新部署匯聚和接入設(shè)備，采用網(wǎng)絡(luò)扁平化方案，匯聚交換機(jī)啟用QinQ，上行萬兆或千兆直聯(lián)ME60-X8，接入交換機(jī)每端口劃分不同的vlan，實(shí)現(xiàn)用戶隔離。

4 結(jié)束語

中國石油大學(xué)（北京）通過采用華為ME60-X8 BRAS設(shè)備來改造校園網(wǎng)絡(luò)，實(shí)現(xiàn)了全網(wǎng)有線無線統(tǒng)一認(rèn)證，網(wǎng)絡(luò)建設(shè)取得了歷史性的突破，實(shí)現(xiàn)了用戶精細(xì)化管理，提高了用戶體驗度，降低了運(yùn)維管理難度，滿足了日益增長的業(yè)務(wù)需求，網(wǎng)絡(luò)運(yùn)行質(zhì)量得到大幅改善，提升了學(xué)校信息化建設(shè)的水平。

[1]劉春艷.校園網(wǎng)扁平化架構(gòu)的研究與設(shè)計[J].信息與電腦：理論版,2014(4):35-36.LIU Chun-yan.Research and design of campus network flat architecture[J].China Computer&Communication,2014(4):35-36.

[2]繆其勇.基于扁平化理論優(yōu)化設(shè)計校園網(wǎng)[J].電腦知識與技術(shù),2014,10（18）:4155-4157.MIU Qi-yong.Optimailly design campus network based on flattening theory[J].Computer Knowledge and Technology,2014,10(18):4155-4157.

[3]吳乃忠.基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設(shè)研究[J].電子世界,2012(18):28-29.WU Nai-zhong.Study of construction of next-generation campus network based on flat architecture[J].Electronics World,2012(18):28-29.

[4]湯小康.扁平化的校園網(wǎng)絡(luò)架構(gòu)設(shè)計[J].信息與電腦(理論版)，2014(7):62-63.Tang Xiao-kang.Flattened campus network architecture design[J].China Computer&Communication,2014(7):62-63.

[5]吳宇平，徐俊波，張智萍.校園網(wǎng)扁平化改造優(yōu)化管理[J].中國教育網(wǎng)絡(luò)，2014(11):44-47.WU Yu-ping,XU Jun-bo,ZHANG Zhi-ping.The campus net flattening transformation optimization management[J].China Education Network,2014(11):44-47.

[6]王佶，鄒池佳，江肖強(qiáng).校園WLAN扁平化部署和精細(xì)化管理的探索與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012(4):69-71.WANG Ji,ZOU Chi-jia,JIANG Xiao-qiang.Exploration and practice of campus WLAN flat deployment and fine management[J].Network Security Technology&Application,2012(4):69-71.