孫中全

(滁州職業(yè)技術(shù)學(xué)院，安徽滁州 239000)

隨著網(wǎng)絡(luò)應(yīng)用的日益增長，教育信息化進程的快速發(fā)展，用戶對網(wǎng)絡(luò)帶寬資源的需求越來越大，學(xué)校需要花費大量資金租用ISP(互聯(lián)網(wǎng)服務(wù)提供商)手中的網(wǎng)絡(luò)資源，卻仍然不能滿足校園網(wǎng)用戶的上網(wǎng)需求，由此高校開始接納運營商參與校園網(wǎng)絡(luò)的建設(shè)和運維。高校與單運營商合作建設(shè)校園網(wǎng)，由一家運營商承擔(dān)校園網(wǎng)所有投資，雖然在管理、技術(shù)方面更簡單、更容易實現(xiàn)，但這種做法往往會讓校方處在輿論的風(fēng)口浪尖。從國家政策上看，不提倡單運營商的合作機制，工信部《關(guān)于規(guī)范基礎(chǔ)電信運營企業(yè)校園電信業(yè)務(wù)市場經(jīng)營行為的意見》《工業(yè)和信息化部關(guān)于進一步規(guī)范基礎(chǔ)電信運營企業(yè)校園電信業(yè)務(wù)市場經(jīng)營行為的意見》等都已經(jīng)明確表明：禁止電信企業(yè)與學(xué)校等各級教育機構(gòu)或下屬部門簽訂排他性合作協(xié)議(含口頭協(xié)議)，不得禁止或限制競爭對手進入校園開展電信業(yè)務(wù)營銷活動。因此，高校與多運營商合作建設(shè)校園網(wǎng)，由多家運營商共同投資建設(shè)，是當(dāng)前高校校園網(wǎng)建設(shè)的主流。

1 當(dāng)前校園網(wǎng)建設(shè)存在的問題

校園網(wǎng)改造建設(shè)需要投入大量的人力、物力，高職院校多正處于建設(shè)發(fā)展的初期，建設(shè)資金不足、專業(yè)技術(shù)人員缺乏，大部分院校引入電信運營商投入資金、人力和物力等，共同參與校園網(wǎng)絡(luò)建設(shè)，運營商利用高校學(xué)生資源，通過辦理帶寬、手機業(yè)務(wù)獲取利益，與學(xué)校實現(xiàn)共贏。

現(xiàn)階段多運營商參與校園網(wǎng)建設(shè)運維模式主要存在著以下一些問題：各運營商之間網(wǎng)絡(luò)相互獨立，重復(fù)投資建網(wǎng)，資源浪費嚴(yán)重，維護管理比較困難；校園網(wǎng)絡(luò)出口無法統(tǒng)一，用戶帳號無法統(tǒng)一，有線無線網(wǎng)絡(luò)無法統(tǒng)一；學(xué)生寬帶接入方式受限，上網(wǎng)行為和上網(wǎng)時間無法監(jiān)管；缺少安全審計日志，發(fā)生網(wǎng)絡(luò)安全事件而無法追查，不符合公安部以及網(wǎng)絡(luò)安全法等相關(guān)要求。傳統(tǒng)網(wǎng)絡(luò)運維模式及出口路由策略無法很好地解決以上問題，急需尋求新的網(wǎng)絡(luò)技術(shù)和突破口，重新規(guī)劃和建設(shè)校園網(wǎng)絡(luò)。

校園網(wǎng)絡(luò)主要包括教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)，教學(xué)辦公區(qū)由學(xué)院自建自維護，學(xué)生宿舍區(qū)由電信和移動兩家運營商各自獨立投資建設(shè)，各自維護自家網(wǎng)絡(luò)，最終導(dǎo)致學(xué)生宿舍橋架網(wǎng)絡(luò)線路較多，房間內(nèi)線路混亂，若出現(xiàn)問題，則故障排除困難，安全隱患較大，宿舍網(wǎng)絡(luò)重復(fù)投資建設(shè)，資金浪費較大，寬帶資源得不到合理利用，學(xué)生上網(wǎng)行為得不到監(jiān)管，在管理、維護期間運營商之間易發(fā)生沖突和矛盾。加之后期，聯(lián)通運營商的寬帶可能接入，移動網(wǎng)絡(luò)技術(shù)的快速發(fā)展，無線網(wǎng)絡(luò)建設(shè)迫在眉睫，學(xué)生宿舍區(qū)橋架也已無法容納后期網(wǎng)絡(luò)建設(shè)發(fā)展需求，教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)無法互連互通，學(xué)生不能訪問校內(nèi)教學(xué)資源，教師無法監(jiān)管學(xué)生。因此，亟待尋求一種新的網(wǎng)絡(luò)技術(shù)建設(shè)方案，將運營商各自獨立建設(shè)的宿舍網(wǎng)絡(luò)和教學(xué)辦公網(wǎng)絡(luò)整合在一起，來解決當(dāng)前發(fā)展中遇到的諸多困難和問題。

2 新校園網(wǎng)建設(shè)思路和方案

本文依托我校校園網(wǎng)現(xiàn)狀，針對校園網(wǎng)絡(luò)由多家運營商參與建設(shè)運維造成的諸多問題，提出了以學(xué)校信息技術(shù)中心牽頭，寬帶運營商投資建設(shè)，通過在一條物理線路上實現(xiàn)多家業(yè)務(wù)共同運營的總體解決思路和方案，將不同運營商終端用戶進行基于帳號的分組，從而選擇對應(yīng)的運營商出口線路，通過利用路由準(zhǔn)入準(zhǔn)出策略、路由策略、分流技術(shù)，使各運營商寬帶業(yè)務(wù)流量完全隔離，實現(xiàn)終端用戶數(shù)據(jù)報文選擇各自對應(yīng)寬帶運營商出口線路，本方案主要基于銳捷設(shè)備及相關(guān)信息管理平臺，校園網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 校園網(wǎng)絡(luò)拓?fù)鋱D

極簡出口區(qū)：由兩臺高性能出口路由器組成互備方案形式，接有電信、聯(lián)通、移動、教育網(wǎng)出口寬帶ISP運營商。

極簡核心區(qū)：由兩臺現(xiàn)行主流核心交換機通過虛擬交換單元技術(shù)(Virtual Switch Unit，VSU)將兩臺核心虛擬化成一臺，實現(xiàn)統(tǒng)一管理和熱備，整網(wǎng)采用“扁平化”的大二層結(jié)構(gòu)。

極簡運營區(qū)：主要由網(wǎng)絡(luò)相關(guān)認(rèn)證管理系統(tǒng)組成，主要有引擎、認(rèn)證計費、運維綜合管理等相關(guān)業(yè)務(wù)系統(tǒng)組成。

數(shù)據(jù)中心：由于該層主要存放數(shù)據(jù)、門戶網(wǎng)站、信息系統(tǒng)等，用戶訪問量較大，歸屬于組網(wǎng)建設(shè)中安全重點保護區(qū)，部署了安全防火墻以及網(wǎng)絡(luò)加速等設(shè)備，以確保數(shù)據(jù)安全和訪問速度高效、通暢。

教學(xué)辦公和學(xué)生宿舍區(qū)：主要由三層交換和接入交換機組成，有充足的網(wǎng)絡(luò)接口數(shù)量，保障和延續(xù)了后期網(wǎng)絡(luò)的擴展需要。

3 主要實現(xiàn)原理和設(shè)備配置

3.1 實現(xiàn)原理

以電信終端寬帶10M用戶上網(wǎng)為例，其它運營商終端用戶上網(wǎng)實現(xiàn)方式和配置相同；在安全出口設(shè)備上配置電信10M用戶組和寬帶速率，配置該組用戶訪問控制列表并設(shè)置與電信出口相對應(yīng)的策略路由，通過計費認(rèn)證系統(tǒng)SAM+相結(jié)合匹配，實現(xiàn)動態(tài)的、基于用戶角色訪問控制的、帶寬控制的用戶上網(wǎng)模式，實現(xiàn)在一條物理線路上各自用戶從對應(yīng)運營商寬帶出口準(zhǔn)入和準(zhǔn)出，且各自流量相互隔離，互不干擾，保障了運營商之間的各自利益。

3.2 設(shè)備主要配置

出口設(shè)備：

CZC-RSR7708X (config)#user-group DX10M//創(chuàng)建DX10M用戶組名稱

CZC-RSR7708X (config)#ip access-list extended 100 //配置訪問控制列表

CZC-RSR7708X (config-ext-nacl)#permit ip user-group DX10M any //將電信10M用戶組放入該訪問控制列表

CZC-RSR7708X (config)#interface gigabitEthernet 1/0/1 //進入電信寬帶出口接口

CZC-RSR7708X (config-if-GigabitEthernet 1/0/1)#ip rate-control base-account 100 bandwidth both 1280//配置該組用戶為10M寬帶速率

計費認(rèn)證系統(tǒng)SAM+：

在計費認(rèn)證系統(tǒng)SAM+上配置接入控制出口聯(lián)動策略內(nèi)容名稱與出口設(shè)備配置的用戶組名DX10M相一致，出口聯(lián)動配置如圖2所示，圖3為對不同運營商的終端用戶分組設(shè)備和管理。

圖2 出口聯(lián)動配置

圖3 終端用戶分組配置

核心設(shè)備主要配置：

CZC-N18010 (config)#auth-mode gateway //配置網(wǎng)關(guān)模式，完成后需重啟

CZC-N18010(config)#snmp-server host 10.202.1.22 informs version 2c ruijie //配置N18K同SAM+的snmp交互

CZC-N18010 (config)#web-auth template eportalv2 //配置portal服務(wù)器，進行聯(lián)動

CZC-N18010 (config.tmplt.eportalv2)#ip 10.202.1.23

CZC-N18010(config.tmplt.eportalv2)#urlhttp∶//10.202.1.23/eportal/index.jsp

CZC-N18010 (config)#station-move permit //開啟1x認(rèn)證遷移

CZC-N18010 (config)#web-auth station-move auto //開啟web認(rèn)證遷移

CZC-N18010 (config)#web-auth station-move info-update

4 測試驗證

對各運營商終端用戶上網(wǎng)數(shù)據(jù)報文進行逐一測試，驗證不同用戶組的用戶上網(wǎng)數(shù)據(jù)報文是否會選擇對應(yīng)運營商寬帶網(wǎng)絡(luò)出口進行報文轉(zhuǎn)發(fā)，下面分別選取電信用戶組張三用戶(圖4)和聯(lián)通用戶組李四用戶(圖5)的終端設(shè)備，對他們各自上網(wǎng)出口數(shù)據(jù)報文進行測試驗證，使用tracert命令，對訪問百度同一個網(wǎng)站進行路由跟蹤。

圖4 張三用戶路由測試

圖5 李四用戶路由測試

簡述上述不同用戶組用戶訪問同一網(wǎng)站的數(shù)據(jù)報文路由跟蹤結(jié)果：

電信組用戶張三訪問百度網(wǎng)站的數(shù)據(jù)報文到達IP地址為10.200.1.2的出口設(shè)備后，下一跳轉(zhuǎn)發(fā)至183.167.211.145的IP地址，此地址為電信運營商的IP地址，結(jié)果證明電信組用戶訪問公網(wǎng)，數(shù)據(jù)報文選擇電信ISP線路進行轉(zhuǎn)發(fā)。

聯(lián)通組用戶李四訪問百度網(wǎng)站的數(shù)據(jù)報文到達IP地址為10.200.1.2的出口設(shè)備后，下一跳轉(zhuǎn)發(fā)至58.243.98.217的IP地址，此地址為聯(lián)通運營商的IP地址，結(jié)果證明聯(lián)通組用戶訪問公網(wǎng)，數(shù)據(jù)報文選擇聯(lián)通ISP線路進行轉(zhuǎn)發(fā)。

根據(jù)結(jié)果測試證明，在同一物路線路上實現(xiàn)了不同運營商終端用戶訪問公網(wǎng)時的數(shù)據(jù)報文轉(zhuǎn)發(fā)，可以通過相關(guān)網(wǎng)絡(luò)技術(shù)、策略路由技術(shù)以及相關(guān)配套軟件系統(tǒng)進行聯(lián)動，多運營商共建共享的校園網(wǎng)絡(luò)組網(wǎng)方案得到了驗證。

5 結(jié)語

本文描述了終端用戶上網(wǎng)方式的路由實現(xiàn)原理及相關(guān)網(wǎng)絡(luò)技術(shù)，實現(xiàn)了多運營商統(tǒng)一出口設(shè)備，完成了基于校園網(wǎng)用戶組的多路徑選擇方案，最后通過路由跟蹤測試驗證了方案的可行性，解決了多運營商共同參與高校校園網(wǎng)絡(luò)建設(shè)難題，實現(xiàn)了高校與運營商共建共享共贏的目標(biāo)，本方案對高校校園網(wǎng)的運維、管理，都具有很好的借鑒意義，是未來高校校園網(wǎng)建設(shè)、運維、管理的一種新模式。