郭玉勇，徐義民，黃鵬，艾中進（中國移動通信集團江西有限公司，南昌 330038）

?

工程與設(shè)計

三大電信運營商共建共營高校校園網(wǎng)設(shè)計方案

郭玉勇，徐義民，黃鵬，艾中進
（中國移動通信集團江西有限公司，南昌 330038）

首先對校園網(wǎng)現(xiàn)狀進行了分析，梳理出目前存在的問題及校方的潛在需求，然后結(jié)合現(xiàn)網(wǎng)實際情況，分別提出了學(xué)校統(tǒng)一認證和學(xué)校與運營商分開認證的方案，對于兩種方案的實現(xiàn)原理和存在問題進行了逐一闡述，通過對比分析給出了相應(yīng)的建議解決方案。

校園網(wǎng)；認證；全流程；DNS

1 現(xiàn)狀分析

1.1 網(wǎng)絡(luò)及業(yè)務(wù)現(xiàn)狀

由于投資建設(shè)等原因，目前絕大多數(shù)的高校校園網(wǎng)（本文所指校園網(wǎng)均指覆蓋宿舍區(qū)域的有線及覆蓋整個校園的無線網(wǎng)絡(luò)，主要用于訪問互聯(lián)網(wǎng)，不包含學(xué)校自建的教學(xué)網(wǎng)絡(luò)及資源系統(tǒng)）都只由單一電信運營商進行運營。

下面將詳細描述在進行共建共營之前整個校園網(wǎng)架構(gòu)及資源訪問方式，如圖1所示。

1.1.1 學(xué)校教學(xué)網(wǎng)

包括圖書館、實驗室、教室及辦公室、教師宿舍等接入網(wǎng)，同時設(shè)置信息中心，中心內(nèi)設(shè)置有校園DNS系統(tǒng)、AAA認證系統(tǒng)以及學(xué)校官網(wǎng)、論壇、選課系統(tǒng)、教學(xué)課件、在線教育等資源。大部分的教學(xué)網(wǎng)資源網(wǎng)站域名并沒有發(fā)布在公網(wǎng)上，只能通過學(xué)校DNS進行解析。

圖1　共建前學(xué)校教學(xué)網(wǎng)與校園網(wǎng)拓撲圖

教學(xué)網(wǎng)通過路由器連接教育網(wǎng)和互聯(lián)網(wǎng)，同時通過匯聚交換機與運營商建設(shè)的校園網(wǎng)互聯(lián)，方便學(xué)生在宿舍訪問教學(xué)網(wǎng)資源。

1.1.2 學(xué)校校園網(wǎng)

包括學(xué)生宿舍區(qū)域的接入網(wǎng)，通過寬帶接入服務(wù)器（簡稱BRAS）連接運營商城域網(wǎng)，BRAS可設(shè)置在校園內(nèi)，也可以設(shè)置在運營商機房。

1.1.3 學(xué)生用戶訪問教學(xué)網(wǎng)

學(xué)生使用特定的賬號（賬號一般是學(xué)號，由學(xué)校統(tǒng)一分配）進行PPPoE撥號，BRAS根據(jù)賬號類型將認證請求轉(zhuǎn)發(fā)至校園AAA認證，通過后分配特定網(wǎng)段的IP地址和DNS地址。

在BRAS上面部署策略路由，將匹配特定網(wǎng)段的源IP請求報文統(tǒng)一發(fā)送至教學(xué)網(wǎng)匯聚交換機，從而完成教學(xué)資源的訪問。除此外可以將教學(xué)網(wǎng)的路由信息與BRAS下用戶路由信息進行互相宣告，通過動態(tài)路由來完成流量轉(zhuǎn)發(fā)。

但是在實際操作中并沒有將路由信息互聯(lián)宣告學(xué)習(xí)，主要是考慮到雙方網(wǎng)絡(luò)信息安全以及日常維護工作量等原因。

這種情形下，學(xué)生用戶并不能訪問互聯(lián)網(wǎng)資源。

1.1.4 學(xué)生用戶訪問互聯(lián)網(wǎng)

學(xué)生通過辦理上網(wǎng)卡獲取運營商分配的賬號，使用該賬號進行PPPoE撥號，運營商認證通過后分配特定網(wǎng)段的IP地址和DNS信息，從而實現(xiàn)互聯(lián)網(wǎng)資源訪問。

這種情形下，用戶并不能夠訪問教學(xué)網(wǎng)內(nèi)的大部分資源。

1.2 存在問題

（1） 無法實現(xiàn)教學(xué)網(wǎng)與互聯(lián)網(wǎng)資源同時訪問，用戶感知較差，學(xué)生反映強烈。

（2） 對學(xué)生用戶上網(wǎng)行為進行管控力度較差，如晚上熄燈后不允許連接互聯(lián)網(wǎng)。

（3） 寬帶產(chǎn)品單一，滿足不了學(xué)生用戶的個性化需求，且價格偏高，增加了學(xué)生負擔(dān)。

除此以外，更多的運營商想?yún)⑴c到校園網(wǎng)的建設(shè)和運營中來，為校園帶來更多的信息化產(chǎn)品和更好的互聯(lián)網(wǎng)體驗。

2 建設(shè)思路

為了解決上述問題，同時滿足多運營商接入運營的需求，借鑒新建小區(qū)多運營商接入的建設(shè)模式，提出了共建共營校園網(wǎng)的建設(shè)思路，共享底層物理網(wǎng)絡(luò)資源，避免基礎(chǔ)設(shè)施的重復(fù)建設(shè)。

主要建設(shè)和改造思路如下。

（1）學(xué)校通過收購等方式實現(xiàn)對現(xiàn)有網(wǎng)絡(luò)資源的統(tǒng)一維護和管理，為多運營商接入提供可行基礎(chǔ)，同時為校園網(wǎng)和教學(xué)網(wǎng)打通，實現(xiàn)資源互訪消除信息安全隱患。

（2）運營商租用校園網(wǎng)網(wǎng)絡(luò)資源，學(xué)校不參與各運營商的具體營銷活動，但需對銷售情況進行統(tǒng)一管控，以便獲取相應(yīng)的租金。

（3）運營商仍然負責(zé)各自用戶互聯(lián)網(wǎng)接入的認證、授權(quán)及計費。

（4）學(xué)校通過管理BRAS對用戶接入實現(xiàn)靈活控制，適當(dāng)管控學(xué)生上網(wǎng)行為。

（5）為了盡量節(jié)省公網(wǎng)IPv4地址，學(xué)生用戶撥號獲取的地址統(tǒng)一分配私網(wǎng)IPv4地址，然后在進入城域網(wǎng)時再通過NAT轉(zhuǎn)換成公網(wǎng)地址。

下面將從網(wǎng)絡(luò)架構(gòu)、用戶認證訪問流程入手，詳細描述共建共營方案的實現(xiàn)原理，存在問題和相應(yīng)的解決方案，并對可行方案進行對比分析，給高校和運營商在后期的建設(shè)提供參考。

3 設(shè)計方案

3.1 方案1：學(xué)校統(tǒng)一認證方案

3.1.1 方案簡介

用戶通過一次認證即可實現(xiàn)教學(xué)網(wǎng)和互聯(lián)網(wǎng)的訪問，學(xué)校認證系統(tǒng)完成用戶接入認證，分配IP地址和DNS地址，如用戶開通了訪問互聯(lián)網(wǎng)權(quán)限，則再由學(xué)校認證系統(tǒng)代替學(xué)生用戶送運營商進行二次認證。

3.1.2 網(wǎng)絡(luò)改造

為了節(jié)省IPv4公網(wǎng)地址，在現(xiàn)有網(wǎng)絡(luò)出口部署一臺防火墻設(shè)備，用作NAT使用，同時防火墻分別上聯(lián)到各家運營商網(wǎng)絡(luò)。防火墻下聯(lián)BRAS帶寬可根據(jù)流量情況擴容，如流量較小可使用一個端口，通過劃分子接口的方式疏導(dǎo)不同運營商的流量，減少設(shè)備端口投資。

教學(xué)網(wǎng)與校園網(wǎng)的路由信息互相宣告學(xué)習(xí)，實現(xiàn)用戶對教學(xué)網(wǎng)和校園網(wǎng)資源的同時訪問。

3.1.3 系統(tǒng)改造

需要改造學(xué)校的認證系統(tǒng)，在完成用戶使用學(xué)號的認證后，通過數(shù)據(jù)庫查找該學(xué)號是否綁定了寬帶賬號，如果綁定了運營商的寬帶賬號，則代替用戶再向BRAS發(fā)起一次PPPoE認證，BRAS根據(jù)賬號類型/域選擇不同運營商進行二次認證，并向BRAS進行授權(quán)（不再向用戶發(fā)送IP地址和DNS地址）。

開發(fā)難點：由學(xué)校認證系統(tǒng)發(fā)起的二次PPPoE認證請求報文需要將用戶真實的VLAN信息、接入端口ID等信息進行封裝，同時在用戶斷開連接后，BRAS同樣需要將下線報文發(fā)送至學(xué)校認證系統(tǒng)，這需要做大量的開發(fā)和調(diào)試工作，難度較大。

維護難點：綁定賬號信息錄入可由學(xué)生用戶登錄校園網(wǎng)后，進行認證系統(tǒng)進行錄入綁定，也可由發(fā)卡運營商統(tǒng)一從后臺導(dǎo)入。一般新賬號錄入后會自動覆蓋老賬號，但是如果老賬號到期后未清除，則認證系統(tǒng)仍然會發(fā)起二次認證，增加系統(tǒng)壓力，同時也給學(xué)校的統(tǒng)計工作帶來了相當(dāng)?shù)睦щy。

共建共營拓撲圖如圖2所示。

實現(xiàn)原理如下。

（1） 用戶接入網(wǎng)絡(luò)后使用學(xué)號發(fā)起PPPoE認證，BRAS匹配賬號類型/域，將認證請求發(fā)送至學(xué)校認證系統(tǒng)，認證通過后給用戶分配私網(wǎng)IPv4地址和學(xué)校DNS地址，可實現(xiàn)對教學(xué)網(wǎng)資源的訪問。

圖2　三網(wǎng)共建網(wǎng)絡(luò)拓撲圖

（2） 學(xué)校認證系統(tǒng)會查詢該學(xué)號是否綁定互聯(lián)網(wǎng)接入賬號，如綁定了則將相關(guān)信息發(fā)送給BRAS進行二次認證。

（3） BRAS收到認證請求后，查詢該認證請求中的用戶名后綴，通過后綴判斷該賬戶屬于哪個運營商，再將認證請求轉(zhuǎn)發(fā)至具體運營商的認證系統(tǒng)認證。

（4）二次認證通過后，運營商認證系統(tǒng)會發(fā)送給BRAS該用戶授權(quán)帶寬等信息。

（5） 用戶發(fā)起互聯(lián)網(wǎng)資源訪問，BRAS通過源IP反查賬號及所屬運營商，確定運營商后將流量轉(zhuǎn)發(fā)至防火墻設(shè)備上歸屬該運營商的虛擬防火墻，虛擬防火墻設(shè)備對源IP進行NAT轉(zhuǎn)換后發(fā)送至城域網(wǎng)，實現(xiàn)用戶接入互聯(lián)網(wǎng)。

（6） 由于用戶設(shè)置了學(xué)校DNS，故訪問教學(xué)網(wǎng)內(nèi)的資源可直接通過路由信息由BRAS轉(zhuǎn)發(fā)至教學(xué)網(wǎng)，實現(xiàn)教學(xué)網(wǎng)資源與互聯(lián)網(wǎng)資源同時訪問。

以上實現(xiàn)方案存在著以下情況需要特別說明。

由于校方DNS緩存、遞歸能力較弱，除了解析教學(xué)網(wǎng)內(nèi)的域名外，對其余解析請求統(tǒng)一轉(zhuǎn)發(fā)至某運營商的DNS系統(tǒng)。假如遞歸給A運營商電信，那么其他運營商的用戶解析到的IP地址絕大多數(shù)都是在A網(wǎng)內(nèi)，流量需經(jīng)過互聯(lián)互通接口到達A網(wǎng)內(nèi)獲取流量，導(dǎo)致內(nèi)容資源訪問“舍近求遠”，造成其他運營商用戶訪問質(zhì)量明顯下降，影響校園業(yè)務(wù)發(fā)展，同時還會增加網(wǎng)間結(jié)算費用。

解決思路：其他運營商通過獲取用戶的DNS請求報文，修改報文中目的DNS的IP等信息，強制將DNS請求報文進行修改并發(fā)至本省網(wǎng)內(nèi)DNS進行解析，提高流量本網(wǎng)率。

解決方案：在其他運營商（下面以B運營商為例）網(wǎng)內(nèi)建設(shè)一套DNS優(yōu)化平臺，部署在城域網(wǎng)CR設(shè)備上，通過鏡像的方式將該端口中的DNS請求報文截獲進行優(yōu)化處理。

圖3是優(yōu)化后的流程圖。

圖3　DNS優(yōu)化后使用流程

具體流程如下。

（1） 保持校園共建共營方案架構(gòu)和流程不變，用戶照常發(fā)起DNS請求。

（2） 在校園網(wǎng)防火墻到城域網(wǎng)設(shè)備的鏈路上，將上行部分流量鏡像導(dǎo)出（匹配53號端口的DNS流量）至DNS優(yōu)化平臺。

（3） 平臺篩選出真實的DNS請求分組，發(fā)送至移動DNS平臺進行解析，記錄解析結(jié)果。

（4） 優(yōu)化平臺對報文進行重新封裝，將解析結(jié)果發(fā)送至用戶。

（5） 由于網(wǎng)內(nèi)解析速度快于其他運營商，用戶將優(yōu)先接收到解析結(jié)果，完成互聯(lián)網(wǎng)資源訪問，后來的解析結(jié)果將被瀏覽器等應(yīng)用丟棄。

隨著三網(wǎng)共建的持續(xù)推廣，建議DNS優(yōu)化平臺部署在省干至國干的鏈路上，這樣可以就非本省DNS請求的所有解析報文進行截獲并強制修改。除了可以解決校園共建共營帶來的問題，還可以解決專線和家庭寬帶用戶自行修改DNS的問題。

目前國內(nèi)針對這種問題已有成熟的解決方案和實施案例，但由于處理量較大、優(yōu)化能力不足等問題，會造成用戶投訴；且整個系統(tǒng)的建設(shè)和維護成本較高，建議運營商做好投資效益分析。

3.2 方案2：學(xué)校與運營商分開認證方案

3.2.1 方案簡介

與方案1同樣采用兩次認證的方式，區(qū)別在于兩次認證均由學(xué)生用戶自行發(fā)起，學(xué)校認證系統(tǒng)和運營商認證系統(tǒng)分別終結(jié)各自的認證，并且針對每次認證分配各自的IP地址、DNS地址，該方式與未進行共建共營之前保持一致。

3.2.2 網(wǎng)絡(luò)改造

與方案1相同，仍然需要打通校園網(wǎng)和教學(xué)網(wǎng)的路由信息。

3.2.3 DNS優(yōu)化

為了滿足在訪問互聯(lián)網(wǎng)的同時能夠訪問教學(xué)網(wǎng)資源，需要對DNS設(shè)置進行優(yōu)化，具體有以下3種解決方案。

（1）將教學(xué)網(wǎng)內(nèi)的內(nèi)部域名和IP的對應(yīng)關(guān)系加入到運營商DNS系統(tǒng)的緩存列表中，并設(shè)置永不超時。

（2）在運營商的DNS系統(tǒng)中開通DNS轉(zhuǎn)發(fā)功能，將匹配住教學(xué)網(wǎng)的內(nèi)部域名解析請求轉(zhuǎn)發(fā)至學(xué)校的DNS，由學(xué)校DNS進行解析。

（3）對于教學(xué)網(wǎng)內(nèi)部的資源，盡量要求學(xué)生直接通過IP地址進行訪問，不通過域名。

以上3種方式都可以實現(xiàn)互聯(lián)網(wǎng)資源和教學(xué)網(wǎng)資源的互訪，前兩種方案的實現(xiàn)基礎(chǔ)是一致的，需要記錄內(nèi)網(wǎng)域名信息，并不斷進行更新。如果共建學(xué)校較少，可以采取手工更新的方式，后期共建學(xué)校較多，可開發(fā)一個接口，讓學(xué)校自行對域名進行更新。

至于第3種方案，小學(xué)校內(nèi)部資源較少可以采用，如內(nèi)部資源較多則不建議采用。

該方案具體流程如下。

（1） 用戶接入網(wǎng)絡(luò)后使用學(xué)號發(fā)起PPPoE認證請求，BRAS匹配賬號類型/域，將認證請求發(fā)送至學(xué)校認證系統(tǒng)，認證通過后給用戶分配私網(wǎng)IPv4地址和學(xué)校DNS地址，可實現(xiàn)對教學(xué)網(wǎng)資源的訪問。BRAS上并沒有開通訪問互聯(lián)網(wǎng)的權(quán)限，故這種方式不能訪問互聯(lián)網(wǎng)資源。

（2） 用戶如需訪問互聯(lián)網(wǎng)，需要重新發(fā)起PPPoE認證請求，BRAS收到認證請求后，查詢該認證請求中的用戶名后綴，通過后綴判斷該賬戶屬于哪個運營商，再將認證請求轉(zhuǎn)發(fā)至具體運營商的認證系統(tǒng)認證。

（3）認證通過后，運營商認證系統(tǒng)會發(fā)送給BRAS該用戶授權(quán)帶寬等信息，同時BRAS給用戶分配IP地址和DNS地址。

（4） 用戶發(fā)起互聯(lián)網(wǎng)資源訪問，BRAS通過源IP反查賬號及所屬運營商，確定運營商后將流量轉(zhuǎn)發(fā)至防火墻設(shè)備上歸屬該運營商的虛擬防火墻，虛擬防火墻設(shè)備對源IP進行NAT轉(zhuǎn)換后發(fā)送至城域網(wǎng)，實現(xiàn)用戶接入互聯(lián)網(wǎng)。

（5） 可以通過上面列出的3種DNS優(yōu)化方案，實現(xiàn)教學(xué)網(wǎng)資源與互聯(lián)網(wǎng)資源同時訪問。

以上實現(xiàn)方案中有以下情況需要說明。

（1） 每個運營商、學(xué)校分配的私網(wǎng)IP地址段需要提前進行規(guī)劃，避免地址沖突帶來的各種問題。

（2） 由于目前運營商租用學(xué)校網(wǎng)絡(luò)資源的結(jié)算方式基本上是以開通的用戶數(shù)為依據(jù)，而這種方案學(xué)校只能通過運營商來獲取具體開通的用戶數(shù)激活用戶數(shù)、開通時間、簽約速率、對應(yīng)關(guān)系等信息。難免存在一定的誤差，如果再從BRAS上獲取信息進行比對，又將增加大量的信息核對工作量。

3.3 分析總結(jié)

以上兩種方案在網(wǎng)絡(luò)層面的改造相同，不需要對現(xiàn)網(wǎng)架構(gòu)進行太多調(diào)整，也無需新增設(shè)備即可實現(xiàn)，而且基本能夠?qū)崿F(xiàn)校方的需求。

但是兩種方案在認證實現(xiàn)、資源訪問、費用結(jié)算等方式上仍然存在一定的差異，表1將從多個方面進行對比分析。

表1　方案對比

從上述對比可以發(fā)現(xiàn)，兩種方案的差別就在于系統(tǒng)的開發(fā)維護以及費用結(jié)算的準(zhǔn)確性。

對于維護和開發(fā)，方案1需要校方和運營商都投入相當(dāng)?shù)某杀?，且維護工作量較大，而方案2雖然也要進行少量的開發(fā)，但是考慮到一般學(xué)校的內(nèi)部域名更新頻率較低，可采用人工更新的方式解決。

對于費用結(jié)算，依照現(xiàn)有的結(jié)算方式，方案2或許會存在一定的誤差，但可以通過從BRAS上獲取信息進行比對，減少誤差比例。同時針對方案2，建議豐富網(wǎng)絡(luò)資源租用結(jié)算方式，可采用包月或者按流量、帶寬計費等方式。

從本文的分析來看，結(jié)合實際現(xiàn)網(wǎng)情況，推薦采用方案2進行建設(shè)。

4 結(jié)束語

校園網(wǎng)共建共營正在各地如火如荼的推進著，對于后來者這是一個難得的機會，由于缺乏全方面的分析比較，很多校園網(wǎng)都采用了方案1進行改造，雖然眼前發(fā)展迅速，但也為持續(xù)發(fā)展埋下了隱患，如用戶感知較差，網(wǎng)間結(jié)算費用激增等。而且由于前后端銜接不夠，這些問題的暴露一時間難以找到原因，況且要說服校方更改共建共營方式更是困難重重。

建議在前期方案論證時，以開放的態(tài)度入手，以提高用戶感知、滿足用戶需求為目標(biāo)，以“互惠互利、合作共贏”為宗旨，運營商與校方進行充分討論，探索出更好的共建方案，為校園提供更多個性化互聯(lián)網(wǎng)服務(wù)，可以讓學(xué)生參與其中，不斷推進智慧校園向互聯(lián)網(wǎng)+邁進。

［1］ 盧明星. 高職院校與運營商合作建設(shè)校園網(wǎng)的探索與實踐［J］.中國教育信息化， 2015（4）： 67-69.

［2］ 呂紀(jì)霆 霍振興.基于校園網(wǎng)建設(shè)WLAN的網(wǎng)絡(luò)建設(shè)與運營管理方案［J］.數(shù)據(jù)通信， 2013（5）：5-7.

News

福祿克推出Fluke 279 FC熱成像萬用表

福祿克測試儀器（上海）有限公司近日宣布，推出Fluke 279 FC熱成像萬用表。對越來越復(fù)雜的電子設(shè)備而言，反常的溫度表現(xiàn)已經(jīng)成為其故障的重要表征之一。因此，在使用傳統(tǒng)的數(shù)字萬用表對故障進行排查的同時，使用熱成像儀也成為越來越重要的排查手段。而如何兼顧兩者，已經(jīng)成為電氣工程師的一大困擾。Fluke順勢推出熱成像設(shè)備對快速排除電氣設(shè)備、面板和變壓器故障有著舉足輕重的作用，但是，電氣設(shè)備運行和維護人員在需要它們時往往無法立即獲得。即使可以使用紅外測溫或成像設(shè)備獲得熱點或熱圖，卻常常為無法立即使用電氣測量工具進行進一步故障確認而苦惱。Fluke 279 FC真有效值熱成像萬用表，此產(chǎn)品率先將全功能真有效值（TRMS）數(shù)字萬用表（DMM）和熱成像儀合二為一的測試工具，能夠快速排查故障。 （喬治）

GUO Yu-yong， XU Yi-min， HUANG Peng， AI Zhong-jin
（China Mobile Group Jiangxi Co.， Ltd.， Nanchang 330038， China）

Three major telecom operators to build a total business campus network design

First has carried on the analysis to the current situation of campus network， to tease out the existing problem and the school's potential demand， and then combined with the actual situation of the existing network， school unifi ed authentication and schools and operators separate certifi cation schemes were put forward， for the two schemes for the realization principle and the existing problems were described one by one. Through comparative analysis provides corresponding suggestions solutions.

campus network； authenticate； whole process； DNS

TP393.18

A

1008-5599（2016）06-0039-06

2016-03-26