龍 飛，劉 凱，王英冬

（湖南省郵電規(guī)劃設(shè)計(jì)院有限公司，長沙 410011）

隨著高校信息化應(yīng)用的不斷深入和推進(jìn)，同時(shí)互聯(lián)網(wǎng)應(yīng)用和信息資源不斷地豐富，校園網(wǎng)用戶對(duì)接入Internet的網(wǎng)絡(luò)帶寬的需求越來越大，構(gòu)建全面滿足教學(xué)、科研、及高速上網(wǎng)需求，各運(yùn)營商也紛紛入駐校園網(wǎng)分別組建自己的網(wǎng)絡(luò)，形成了校園網(wǎng)多鏈路、多出口、認(rèn)證節(jié)點(diǎn)多、用戶體驗(yàn)差的局面，校園網(wǎng)的可控可管存在安全隱患。本文基于這種背景之下，對(duì)校園網(wǎng)出口問題進(jìn)行分析，探討了對(duì)多個(gè)運(yùn)營商進(jìn)行統(tǒng)一出口改造的部署方案，為校園用戶提供穩(wěn)定可靠的電信級(jí)的認(rèn)證計(jì)費(fèi)服務(wù)，確保校園網(wǎng)達(dá)到可運(yùn)營的電信服務(wù)質(zhì)量。

1 校園網(wǎng)出口現(xiàn)狀及問題分析

目前，大多高校和運(yùn)營商合作運(yùn)營校園網(wǎng)，采取由學(xué)校委托運(yùn)營商進(jìn)行校園網(wǎng)基礎(chǔ)網(wǎng)絡(luò)建設(shè)，運(yùn)營商前期投入設(shè)備，再從后期的運(yùn)營收入中獲取一定比例的回報(bào)。當(dāng)多家運(yùn)營商進(jìn)入高校，通常是各運(yùn)營商分別承建高校不同區(qū)域網(wǎng)絡(luò)。即分別在校園網(wǎng)部署出口路由器，每個(gè)運(yùn)營商都給系統(tǒng)分配接入公網(wǎng)的IP地址，不論是硬件設(shè)備連接上還是IP地址分配上，網(wǎng)絡(luò)的接入都相對(duì)復(fù)雜。多個(gè)運(yùn)營商采用不同的認(rèn)證方式、不同的出口鏈路，有著各自獨(dú)立的賬號(hào)和計(jì)費(fèi)系統(tǒng)。造成認(rèn)證節(jié)點(diǎn)多，用戶體驗(yàn)差，可溯源管理薄弱。

2 可運(yùn)營解決方案部署

校方與多運(yùn)營商的合作運(yùn)營是基于避免多運(yùn)營商相互干擾和重復(fù)建設(shè)的原則，實(shí)現(xiàn)共建共營的目標(biāo)，從而降低維護(hù)壓力，提高管理效率，提升用戶體驗(yàn)。

在校園網(wǎng)接入多個(gè)運(yùn)營商的路由出口，能保證各運(yùn)營商有各自獨(dú)立的賬號(hào)和認(rèn)證計(jì)費(fèi)系統(tǒng)；按照用戶選擇哪個(gè)運(yùn)營商，則訪問互聯(lián)網(wǎng)就走哪個(gè)運(yùn)營商鏈路的原則，用戶的運(yùn)營商賬號(hào)認(rèn)證之后應(yīng)自動(dòng)路由至運(yùn)營商鏈路。本文提出了兩種組網(wǎng)部署方案：

2.1 方案一部署專用BRAS解決方案

本方案以校區(qū)防火墻為統(tǒng)一出口，在防火墻內(nèi)側(cè)與校園網(wǎng)核心交換機(jī)之間部署一臺(tái)專用BRAS，所有需認(rèn)證計(jì)費(fèi)用戶全部通過校園網(wǎng)核心交換機(jī)采用二層方式接入BRAS，和各運(yùn)營商可以采用合作運(yùn)營分成模式。

2.1.1 一次登錄，多種認(rèn)證方式

用戶運(yùn)營商賬號(hào)可與校園網(wǎng)賬號(hào)進(jìn)行綁定，通過這種方式校園用戶可直接使用校園網(wǎng)賬號(hào)，通過校園端的校園認(rèn)證計(jì)費(fèi)系統(tǒng)認(rèn)證，選擇相應(yīng)的運(yùn)營商出口，即完成運(yùn)營商賬號(hào)的認(rèn)證。BRAS可提供多種主流認(rèn)證技術(shù)，組網(wǎng)時(shí)可以自由選擇認(rèn)證方式，可以任選一個(gè)或多個(gè)。如A用戶選擇移動(dòng)，采用Portal認(rèn)證，B用戶選擇電信，采用PPPOE認(rèn)證。

（1）針對(duì)Portal用戶，BRAS到DHCP服務(wù)器給用戶分配IP地址，用戶第一個(gè)HTTP報(bào)文進(jìn)行重定向到Portal服務(wù)器，通過用戶名和密碼實(shí)現(xiàn)WEB認(rèn)證，認(rèn)證通過后給用戶分配合法地址，允許用戶訪問公網(wǎng)。（2）針對(duì)PPPoE用戶，BRAS到AAA服務(wù)器進(jìn)行用戶名和密碼認(rèn)證，認(rèn)證通過后，給用戶分配IP地址。

2.1.2 靈活計(jì)費(fèi)方式

BRAS可針對(duì)每用戶進(jìn)行計(jì)費(fèi)，計(jì)費(fèi)報(bào)文實(shí)時(shí)發(fā)送給AAA服務(wù)器。校園網(wǎng)對(duì)用戶接入業(yè)務(wù)訪問目的地址的差別進(jìn)行管理，根據(jù)不同的目的地址定義不同的費(fèi)率級(jí)別進(jìn)行收費(fèi)和不同的網(wǎng)速控制，實(shí)現(xiàn)訪問校內(nèi)資源或教育網(wǎng)不計(jì)費(fèi)，訪問公網(wǎng)計(jì)費(fèi)，采用不同的收費(fèi)策略。

圖1 部署專用BRAS

2.1.3 運(yùn)營價(jià)值

精細(xì)化的網(wǎng)絡(luò)運(yùn)營方案，可提供運(yùn)營級(jí)的城域網(wǎng)業(yè)務(wù)支撐。

（1）能夠?qū)τ脩暨M(jìn)行精細(xì)化管理，提供細(xì)化到用戶級(jí)的QoS保障，多維度用戶資源管理；（2）能夠統(tǒng)一業(yè)務(wù)平臺(tái)，全面支持各種用戶管理方式，適應(yīng)多樣化的設(shè)備接入，一體化設(shè)計(jì)來降低建網(wǎng)成本，提高業(yè)務(wù)部署效率，增加業(yè)務(wù)開展的靈活性，實(shí)現(xiàn)盈利能力的提升；（3）根據(jù)學(xué)生的上網(wǎng)帶寬需求，給不同上網(wǎng)帶寬需求的學(xué)生分配不同的帶寬，并可提供先進(jìn)的調(diào)度與擁塞避免技術(shù)，提供精確的流量監(jiān)管和流量整形功能，支持流細(xì)粒度鑒別，有效的提高了學(xué)校出口帶寬的利用率，另一方面，還可以通過學(xué)生的上網(wǎng)帳號(hào)，實(shí)時(shí)查看學(xué)生的上網(wǎng)流量、上網(wǎng)時(shí)長等信息，做到可溯源管理。

2.2 方案二部署SAM系統(tǒng)解決方案

本方案部署出口路由器1臺(tái)，可繞行BRAS，直聯(lián)各運(yùn)營商城域網(wǎng)核心節(jié)點(diǎn)，并在校園網(wǎng)部署SAM（安全計(jì)費(fèi)管理）系統(tǒng)1套，作為全網(wǎng)的用戶認(rèn)證中心，各運(yùn)營商分別部署運(yùn)營商SAM系統(tǒng)1套，負(fù)責(zé)運(yùn)營商用戶的管理、以及該類用戶認(rèn)證計(jì)費(fèi)請(qǐng)求轉(zhuǎn)發(fā)，和運(yùn)營商BOSS（業(yè)務(wù)運(yùn)營支撐系統(tǒng)）聯(lián)動(dòng)。運(yùn)營商SAM可以部署在運(yùn)營商機(jī)房、也可部署在學(xué)校機(jī)房。保持IP地址可達(dá)即可。實(shí)現(xiàn)校內(nèi)學(xué)校師生用戶只需一套校園網(wǎng)帳號(hào)通過統(tǒng)一的認(rèn)證接口平臺(tái)即可按需登錄，基于賬戶對(duì)應(yīng)的權(quán)限訪問校園網(wǎng)資源、運(yùn)營商出口等資源。學(xué)校管理方通過統(tǒng)一的校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)用戶進(jìn)行網(wǎng)絡(luò)的準(zhǔn)入和準(zhǔn)出管理與記錄。

圖2 部署SAM系統(tǒng)

2.2.1 一個(gè)賬戶、統(tǒng)一認(rèn)證

運(yùn)營商和校園網(wǎng)獨(dú)立開戶后，通過運(yùn)營商BOSS系統(tǒng)與運(yùn)營商SAM的配合，將兩個(gè)運(yùn)營商帳號(hào)和校園網(wǎng)賬號(hào)進(jìn)行關(guān)聯(lián)，達(dá)到兩套帳號(hào)但使用時(shí)只記憶校園網(wǎng)帳號(hào)即可。

SAM系統(tǒng)支持WEB認(rèn)證和802.1X 兩種認(rèn)證方式。校園網(wǎng)SAM收集用戶認(rèn)證信息后，判斷用戶是否有權(quán)限訪問內(nèi)網(wǎng)；接著在校園網(wǎng)SAM上將校園網(wǎng)賬號(hào)轉(zhuǎn)換成運(yùn)營商賬號(hào)，通過radius proxy協(xié)議將用戶的認(rèn)證請(qǐng)求和計(jì)費(fèi)請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給運(yùn)營商BOSS處理，由BOSS系統(tǒng)的判斷結(jié)果告知校園網(wǎng)SAM是否得到認(rèn)證通過，一旦認(rèn)證通過，將放行用戶端口啟動(dòng)計(jì)費(fèi)流程。

2.2.2 不同計(jì)費(fèi)策略

運(yùn)營商寬帶業(yè)務(wù)的校園網(wǎng)用戶在在運(yùn)營商BOSS系統(tǒng)計(jì)費(fèi)。認(rèn)證系統(tǒng)在收到用戶的計(jì)費(fèi)信息后，會(huì)將其帳號(hào)轉(zhuǎn)換成運(yùn)營商帳號(hào)，并將該報(bào)文透明轉(zhuǎn)發(fā)給運(yùn)營商計(jì)費(fèi)系統(tǒng)，由運(yùn)營商系統(tǒng)進(jìn)行計(jì)費(fèi)。同時(shí)可實(shí)現(xiàn)內(nèi)網(wǎng)與公網(wǎng)用戶不同計(jì)費(fèi)策略。

并且由校園網(wǎng)出口設(shè)備來實(shí)行運(yùn)營商下發(fā)的套餐控制策略，所以在SAM系統(tǒng)上可以記錄不同的運(yùn)營商、不同的套餐對(duì)應(yīng)的用戶，校方即可按照不同檔位的套餐用戶按照不同的分成金額進(jìn)行準(zhǔn)確的分成核算。

2.2.3 運(yùn)營價(jià)值

通過此種方式，使運(yùn)營商和校方雙方投入最少的資源和工作量進(jìn)行運(yùn)營，且滿足雙方不同的需求，兼顧了運(yùn)營商開戶和收費(fèi)的權(quán)利，以及校方參與監(jiān)管的需求。

（1）運(yùn)營商擁有開戶和收費(fèi)的權(quán)利，同時(shí)，校方能夠監(jiān)控該網(wǎng)絡(luò)、在必要時(shí)進(jìn)行控制管理；（2）統(tǒng)一認(rèn)證、統(tǒng)一管理，支持多運(yùn)營商共同運(yùn)營；（3）精準(zhǔn)的分成核算，校園網(wǎng)出口設(shè)備實(shí)行運(yùn)營商下發(fā)的套餐控制策略，所以在SAM系統(tǒng)上可以記錄不同的運(yùn)營商、不同的套餐對(duì)應(yīng)的用戶，校方即可按照不同檔位的套餐用戶按照不同的分成金額進(jìn)行進(jìn)行準(zhǔn)確的分成核算。

3 結(jié)束語

打造一個(gè)安全可運(yùn)營的校園認(rèn)證計(jì)費(fèi)系統(tǒng)，可以保障校園擁有獨(dú)立的運(yùn)營管理，運(yùn)營商可以贏得收益，同時(shí)校園師生還能享受到便捷貼心的連網(wǎng)服務(wù)，真正實(shí)現(xiàn)三方共贏的最終目的。本文提供的部署方案靈活的解決了多接入、多出口、多認(rèn)證計(jì)費(fèi)的組網(wǎng)問題，校方及合作運(yùn)營商實(shí)現(xiàn)了對(duì)校園網(wǎng)的共同運(yùn)營和監(jiān)管，并最大限度的保護(hù)了既有網(wǎng)絡(luò)建設(shè)的投資，又做到可溯源管理，幫助學(xué)校把信息安全事件防患于未然。

[1] 周俊杰.校園網(wǎng)中三種常用認(rèn)證計(jì)費(fèi)技術(shù)的對(duì)比分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（9）.

[2] 劉嵐.校園網(wǎng)多出口優(yōu)化技術(shù)與應(yīng)用探討[J].科技資訊，2011，1.

[3] 劉晨光，殷麗.校園網(wǎng)認(rèn)證技術(shù)的研究與應(yīng)用[J].電腦知識(shí)與技術(shù)，2009（5）.