黃中偉，林 勤，賈志偉

（廣州番禺職業(yè)技術(shù)學院 教育技術(shù)與信息中心，廣東 廣州511483）

校園網(wǎng)改造與多運營商接入機制的探索與實踐
——以廣州番禺職業(yè)技術(shù)學院校園網(wǎng)建設(shè)項目為例

黃中偉，林 勤，賈志偉

（廣州番禺職業(yè)技術(shù)學院 教育技術(shù)與信息中心，廣東 廣州511483）

本文通過對網(wǎng)絡(luò)架構(gòu)和用戶認證技術(shù)的研究，結(jié)合實際信息化建設(shè)項目，完成校園網(wǎng)網(wǎng)絡(luò)架構(gòu)的升級改造，搭建多電信級運營商接入平臺，調(diào)整校園網(wǎng)用戶認證方式，完善多運營商接入校園網(wǎng)的服務(wù)協(xié)作機制，實現(xiàn)校園網(wǎng)有線無線接入的統(tǒng)一W eb+Portal認證，學生用戶可以自主選擇運營商訪問互聯(lián)網(wǎng)。

網(wǎng)絡(luò)架構(gòu)扁平化，W eb+Portal認證，多運營商接入服務(wù)機制

在高校，校園網(wǎng)的廣域網(wǎng)接入服務(wù)，大多數(shù)由學校通過公開招標，或直接與電信級運營商簽訂包含廣域網(wǎng)接入服務(wù)在內(nèi)的一攬子合作協(xié)議的方式確定，一旦確定運營商，在一個合同周期內(nèi)幾乎不可能再進行更換。此外，由于運營商為了保護既得利益，在與學校簽訂服務(wù)協(xié)議時往往會列出一些排他條款，對校內(nèi)用戶，尤其是學生用戶來說，基本上沒有自主選擇運營商的可能，學校對一些服務(wù)條款上的調(diào)整也顯得相對被動。

一、校園網(wǎng)原基本情況和存在的主要問題

我校在校生人數(shù)萬余名，近90%學生開通宿舍網(wǎng)絡(luò)，高峰時段在線人數(shù)超8千用戶。2015年以前，校園網(wǎng)采用傳統(tǒng)的三層網(wǎng)絡(luò)構(gòu)建模式，即核心—匯聚—接入的三層架構(gòu)，雖然其端口密集和數(shù)據(jù)交換性能等優(yōu)勢在一段時期內(nèi)完全符合校園網(wǎng)建設(shè)的需求。隨著校園網(wǎng)用戶增加，承載業(yè)務(wù)多樣化，以及園區(qū)網(wǎng)技術(shù)的不斷發(fā)展，原有三層結(jié)構(gòu)運行方式也呈現(xiàn)出許多不盡如人意的地方，如：控制點多且分散、各層設(shè)備功能和性能利用不合理、無法實現(xiàn)VLAN的更加細分和隔離等矛盾越來越凸顯。

學生用戶在宿舍區(qū)一直通過單獨一家電信級運營商的廣域網(wǎng)線路訪問外網(wǎng)，采用基于接入層交換機的802.1X認證通過有線方式接入校園網(wǎng)，每用戶只能一臺設(shè)備接入；開戶學生用戶在校內(nèi)WiFi覆蓋區(qū)域，可使用移動終端通過“Web+Portal”認證后訪問外網(wǎng)。

802.1X認證是在邊緣的接入層交換機上實現(xiàn)，由此帶來了大量接入層交換機管理維護的問題，特別是在遇到內(nèi)網(wǎng)攻擊時，接入層交換機很容易出現(xiàn)問題而導(dǎo)致斷網(wǎng)；此外，上網(wǎng)認證需要安裝專用客戶端軟件，學生使用的計算機型號、配置和安裝的操作系統(tǒng)各異，操作計算機的能力也有所不同，日常維護量較大，通常需要維護的時間往往集中在下課之后，階段時間內(nèi)需要安排較多網(wǎng)管人員進行維護，時常出現(xiàn)應(yīng)接不暇的狀況。

與有線網(wǎng)認證一樣，802.1X兼容性的問題在無線網(wǎng)絡(luò)中同樣存在，特別是由于移動終端設(shè)備廠家、類型與架構(gòu)的不同，設(shè)備型號成千上萬，針對這些移動設(shè)備，網(wǎng)絡(luò)設(shè)備廠家無法提供滿足所有設(shè)備的認證客戶端，會有許多移動設(shè)備無法通過802.1X認證接入網(wǎng)絡(luò)，因此學校一般會采用“Web+Portal”認證作為無線局域網(wǎng)的接入認證。而在傳統(tǒng)三層網(wǎng)絡(luò)環(huán)境中的“Web+Portal”認證，終端設(shè)備在請求接入網(wǎng)絡(luò)且還未完成認證之前，會向網(wǎng)絡(luò)大量發(fā)送Http請求報文做鏈接嘗試，而這些報文都會都被接入交換機重定向到Portal服務(wù)器，最終服務(wù)器往往因無法正常收斂報文而宕機，這就是所謂的“認證噪聲”，它會使Portal服務(wù)器長期處于高負荷狀態(tài)之下，造成認證頁面在移動端彈出緩慢或失去響應(yīng)等現(xiàn)象，影響上網(wǎng)感受，甚至造成認證失敗。

上述問題隨著校園網(wǎng)規(guī)模和用戶數(shù)的逐步擴大，多業(yè)務(wù)多應(yīng)用的疊加，多運營商接入和用戶個性化需求的增加，將顯得越來越突出，最終導(dǎo)致校園網(wǎng)整體的穩(wěn)定性、可靠性降低，管理維護壓力和成本越來越大。

二、網(wǎng)絡(luò)優(yōu)化改造技術(shù)實施方案的探索與實踐

結(jié)合原有校園網(wǎng)絡(luò)的實際使用情況和存在的問題，通過對網(wǎng)絡(luò)架構(gòu)、廣域網(wǎng)多運營商接入、網(wǎng)絡(luò)用戶認證等方面的技術(shù)研究，制定出相應(yīng)的技術(shù)實施方案，并依托實際的信息化建設(shè)項目實踐，完成了對校園網(wǎng)網(wǎng)絡(luò)架構(gòu)的升級改造和相應(yīng)認證方式的調(diào)整。

1.網(wǎng)絡(luò)架構(gòu)方面

針對三層架構(gòu)校園網(wǎng)中存在的這些問題，就目前技術(shù)發(fā)展和實際使用案例來看，可以通過對網(wǎng)絡(luò)架構(gòu)的扁平化來解決。所謂扁平化網(wǎng)絡(luò)架構(gòu)，是指采用QinQ或SuperVlan技術(shù)，根據(jù)網(wǎng)絡(luò)中設(shè)備所承擔的功能進行劃分，將網(wǎng)絡(luò)分為業(yè)務(wù)控制層和寬帶接入層。寬帶接入層由原三層架構(gòu)中的匯聚和接入層設(shè)備構(gòu)成，僅提供基本的用戶帶寬接入功能和相互之間的VLAN二層隔離；業(yè)務(wù)控制層則由核心層設(shè)備構(gòu)成，提供網(wǎng)絡(luò)中的用戶接入控制、業(yè)務(wù)功能實現(xiàn)等復(fù)雜功能。

按照扁平化網(wǎng)絡(luò)架構(gòu)思路，本次校園網(wǎng)升級改造項目中，通過購置兩臺扁平化核心交換機與一臺高性能多端口核心路由器組成整個網(wǎng)絡(luò)的核心，構(gòu)建成整個校園網(wǎng)絡(luò)互聯(lián)的業(yè)務(wù)控制核心層，原三層架構(gòu)中的匯聚和接入層設(shè)備構(gòu)成寬帶接入層，實現(xiàn)原有三層網(wǎng)絡(luò)改造成扁平化架構(gòu)，同時在核心旁掛一套防代理盒子對接入的用戶進行防代理檢測。如圖1所示，扁平化改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)示意圖。

圖1 扁平化改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)示意圖

扁平化核心交換機部署后，將原來分布在接入設(shè)備上的各項功能和策略上收至核心交換機，由核心交換機完成，全網(wǎng)用戶統(tǒng)一網(wǎng)關(guān)移至核心設(shè)備，認證管理同樣上收到核心設(shè)備，原有接入網(wǎng)的接入、匯聚交換機只負責進行各種數(shù)據(jù)的轉(zhuǎn)發(fā)。

作為全校核心的扁平化核心交換機，需要重點考慮安全性和可靠性，因此，出于安全設(shè)計，使用虛擬化技術(shù)將一臺物理設(shè)備虛擬化多臺邏輯設(shè)備，實現(xiàn)學生、教師、辦公業(yè)務(wù)網(wǎng)數(shù)據(jù)獨立轉(zhuǎn)發(fā)；而在可靠性設(shè)計方面，將兩臺物理設(shè)備虛擬化為一臺設(shè)備，其中任何一臺出現(xiàn)故障用戶數(shù)據(jù)快速切換另外一臺上，以保證業(yè)務(wù)的連續(xù)性。

高性能路由器部署在出口區(qū)域邊界，做策略路由，搭建多運營商接入平臺，支持多運營商鏈路萬兆線路接入，并通過與認證系統(tǒng)聯(lián)動實現(xiàn)流量分類認證、計費和審計日志功能，實現(xiàn)學生接入用戶自主選擇運營商以及各類寬帶套餐服務(wù)，開放學生用戶有線或無線接入方式的自由選擇。

防代理設(shè)備能夠?qū)尤氲挠脩暨M行防代理檢測，保證用戶實名制上網(wǎng)，是保障網(wǎng)絡(luò)安全、避免違規(guī)信息發(fā)布的有效手段之一。

2.認證方式的調(diào)整

針對802.1X認證系統(tǒng)存在用戶配置和使用方面的不足，本次網(wǎng)絡(luò)改造的一個重點工作就是將全網(wǎng)用戶的有線、無線認證方式調(diào)整為統(tǒng)一的“Web+Portal”認證，這種認證方式除了具有與業(yè)務(wù)密切相關(guān)，容易開展增值業(yè)務(wù)，尤其是僅需要使用瀏覽器而不需要安裝專門的客戶端軟件，使用非常方便等特點之外，一些在三層架構(gòu)下存在的不足，經(jīng)過網(wǎng)絡(luò)架構(gòu)扁平化改造后，相關(guān)問題也能夠得到解決，比如，采用網(wǎng)絡(luò)扁平化后的校園網(wǎng)，所有功能與認證業(yè)務(wù)均上收至核心交換機，因此，利用核心交換機強大的處理性能，采取分布式過濾、階段放行及服務(wù)器降噪等技術(shù)，過濾掉除認證請求以外的其余大部分無用Http報文，只放行認證報文至Portal服務(wù)器，實現(xiàn)了對服務(wù)器的降噪功能，提高認證響應(yīng)速度的同時也保證了認證服務(wù)的持續(xù)穩(wěn)定。另外，由于對接入設(shè)備兼容性要求也大大降低，也為在接入設(shè)備選型中帶來更大的自由度。

3．多廣域網(wǎng)鏈路智能選擇設(shè)計

認證系統(tǒng)能與出口路由器智能聯(lián)動，引導(dǎo)用戶強制到Portal服務(wù)器，Portal服務(wù)器向用戶終端推送Web認證頁面，如圖2所示，用戶認證界面截圖。在Web頁面具備下拉框，用戶可選擇需要接入的運營商，輸入校園網(wǎng)帳號，認證系統(tǒng)聯(lián)動出口路由器設(shè)備，將該用戶的屬性下發(fā)，路由器根據(jù)帳號屬性引導(dǎo)向不同的運營商鏈路，然后在運營商端進行第二次認證；用戶下線后，認證系統(tǒng)下發(fā)指令給路由器，路由器清空用戶屬性，下一次用戶上線后重復(fù)上面動作，這樣可實現(xiàn)用戶基于不同運營商鏈路的出口選擇，學生可選擇不同運營商的帳號。如圖3所示，為學生接入校園網(wǎng)認證過程示意圖。

4．電信級運營商接入服務(wù)合作模式改進

廣域網(wǎng)接入平臺建立起來后，由于出口高端路由器擁有更加豐富的廣域網(wǎng)接口，可以實現(xiàn)與多家電信級運營商的接入服務(wù)，本著既開放、自主，又能有效監(jiān)管的思路，與電信級運營商接入服務(wù)合作模式也進行了相應(yīng)調(diào)整，具體情況如下：

圖3 學生接入校園網(wǎng)認證過程示意圖

制定運營商準入機制，接入運營商需免費提供一定額度的廣域網(wǎng)帶寬供學校教學辦公網(wǎng)使用，對每學生用戶保證提供基本網(wǎng)絡(luò)帶寬（4M或6M），不允許有其他捆綁業(yè)務(wù)，這部分網(wǎng)絡(luò)資費，嚴格按照政府財政部門關(guān)于學生在校內(nèi)開通校園網(wǎng)的收費標準進行收取。同時允許運營商提供如更大帶寬的增值服務(wù)，這部分服務(wù)完全由學生自愿選擇。

學生用戶可以根據(jù)上網(wǎng)感受，自主選擇運營商服務(wù)，根據(jù)自身情況和應(yīng)用需求決定是否選擇增值服務(wù)；此外，每個用戶的一個運營商賬號就能實現(xiàn)在宿舍通過有線或無線方式接入訪問外網(wǎng)，使用該賬號也能夠用智能移動設(shè)備在校內(nèi)無線WiFi信號覆蓋區(qū)域訪問外網(wǎng)。

在多運營商接入模式下，由于學生用戶的外網(wǎng)出口是使用專用的廣域網(wǎng)線路，運營商都會主動根據(jù)自己學生用戶數(shù)量以及配置的帶寬總量，動態(tài)調(diào)整學生出口帶寬，讓學生用戶得到更好的上網(wǎng)體驗，以贏得更多學生用戶數(shù)，獲取更高的經(jīng)濟效益。

三、實施效果總結(jié)

網(wǎng)絡(luò)改造成扁平化架構(gòu)后，增強了校園網(wǎng)核心交換機的資源利用率，弱化了整個網(wǎng)絡(luò)運行對接入、匯聚設(shè)備的依賴。其優(yōu)勢十分明顯，如：網(wǎng)絡(luò)中由能力最強、功能最豐富的核心設(shè)備提供集中的業(yè)務(wù)控制和管理，有利于功能和業(yè)務(wù)的部署，確保了業(yè)務(wù)和功能的高效性和高可靠性；原三層架構(gòu)中數(shù)量眾多的匯聚/接入設(shè)備在扁平化架構(gòu)中只是提供了二層透傳和VLAN隔離等基本功能，使網(wǎng)絡(luò)的可靠性和穩(wěn)定性大為提高，也大大降低網(wǎng)絡(luò)的運維成本。對于今后的業(yè)務(wù)、功能擴展僅涉及到核心層設(shè)備，只需要考慮核心層設(shè)備是否能夠支持這些業(yè)務(wù)特性即可，對于寬帶接入層設(shè)備，其兼容性要求降低，僅需要考慮端口的擴充和上行帶寬的增加，因此，在購置接入設(shè)備選型方面也增加了許多靈活度。

實現(xiàn)有線、無線接入校園網(wǎng)統(tǒng)一“Web+Portal”認證后，降低用戶接入網(wǎng)絡(luò)的技術(shù)門檻，解決安裝認證軟件帶來的各種兼容性問題；學生用戶可以自主選擇電信級運營商，能夠使用統(tǒng)一賬號在校園內(nèi)所有WiFi覆蓋區(qū)域使用智能移動終端訪問網(wǎng)絡(luò)，每一賬號允許一臺PC機通過有線方式和一部移動終端通過無線方式同時訪問外網(wǎng)，進一步提升用戶的上網(wǎng)感受。

通過搭建一個開放的接入平臺，創(chuàng)新性地制定了相應(yīng)的接入機制，按照一定規(guī)范要求允許多家運營商接入校園網(wǎng)，進一步改善了學校教學、辦公和校園生活對廣域網(wǎng)帶寬的需要。運營商也一改在一些高校采取的拼價格、誤導(dǎo)消費，而對已有用戶服務(wù)卻不到位的現(xiàn)象，為了爭取更多學生用戶而把主要精力放在不斷提升自身服務(wù)和線路質(zhì)量上，這不僅為運營商營造了一個良好服務(wù)于校園的商業(yè)環(huán)境，同時學校在今后的網(wǎng)絡(luò)改造和服務(wù)上也明顯占據(jù)主動。

[1]李白燕,鄭州.基于扁平化架構(gòu)精細化管理校園網(wǎng)絡(luò)方式探究[J].中國教育信息化,2016(17):48-51.

[2]何建新,張松明,王思琪,周文芳.校園網(wǎng)絡(luò)升級改造方案設(shè)計與實現(xiàn)[J].計算機時代,2016(2):56-60.

[3]祁輝,于春燕.多運營商合作模式下的校園網(wǎng)多出口策略[J].新鄉(xiāng)學院學報,2016(3):25-28.

[4]向小平.報業(yè)有線無線一體化網(wǎng)絡(luò)的設(shè)計與實踐[J].信息技術(shù)與信息化,2016(5):85-87.

[5]高猗男.新一代高校校園網(wǎng)改造研究[J].中國教育信息化,2017(1):45-48.

[6]文劍平.大學校園網(wǎng)改造的網(wǎng)絡(luò)規(guī)劃與設(shè)計研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(3):116+118.

TP393

A

1673-8454（2017）19-0091-03

（編輯：王曉明）