中興通訊承載網(wǎng)規(guī)劃系統(tǒng)部 | 陳遲馨 劉菊梅 伊國(guó)力

利用BRAS設(shè)備升級(jí)后的高校網(wǎng)絡(luò)不僅認(rèn)證計(jì)費(fèi)更加安全可靠，更是大大減輕了網(wǎng)絡(luò)維護(hù)工作量。

21世紀(jì)是信息化時(shí)代，高效校園網(wǎng)已成為各學(xué)校必備的重要信息基礎(chǔ)設(shè)施，其規(guī)模和應(yīng)用水平也成為衡量學(xué)校教學(xué)與科研綜合實(shí)力的一個(gè)重要標(biāo)志。但是許多高校的網(wǎng)絡(luò)用戶數(shù)量都達(dá)到了3、4萬(wàn)的規(guī)模。龐大的接入用戶數(shù)、多種網(wǎng)絡(luò)服務(wù)的管理、不同的資費(fèi)政策無(wú)疑給校園網(wǎng)的管理帶來(lái)了巨大的困難，因此一套完善的接入、認(rèn)證、管理的體系顯得尤為重要。

校園網(wǎng)面臨的主要問(wèn)題

校園網(wǎng)前期建設(shè)大多采用基于IEEE 802.Ix協(xié)議的以太網(wǎng)接入認(rèn)證技術(shù)，802.1X以其技術(shù)簡(jiǎn)單、成本低廉的特點(diǎn)的確可以滿足一定范圍內(nèi)用戶的接入認(rèn)證需求，但隨著校園網(wǎng)用戶規(guī)模的不斷擴(kuò)大，其本身一些弊端也越發(fā)顯現(xiàn)。

1.802.1x的認(rèn)證點(diǎn)為接入交換機(jī)，運(yùn)維需要對(duì)接入交換機(jī)進(jìn)行管理，在業(yè)務(wù)規(guī)模大的時(shí)候，接入交換機(jī)數(shù)量太多，大大增加了管理的難度。

2.802.1x認(rèn)證對(duì)網(wǎng)絡(luò)用戶的管理控制能力較弱，且很多RADIUS屬性功能不能得到有效使用，大多數(shù)校園網(wǎng)只采用單一的計(jì)費(fèi)模式，缺乏靈活管理策略。

3.采用802.1X認(rèn)證，接入交換機(jī)、客戶端軟件、認(rèn)證記費(fèi)系統(tǒng)需綁定，無(wú)法引入多廠家設(shè)備參與競(jìng)爭(zhēng)，不能有效降低建網(wǎng)投資。

綜上所述，校園網(wǎng)急需一個(gè)合理細(xì)致的管理控制方式、更加高效的管理手段以減輕管理者的負(fù)擔(dān)。

校園網(wǎng)引入BRAS的好處

BRAS（寬帶遠(yuǎn)程接入服務(wù)器）是一種面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的應(yīng)用網(wǎng)關(guān)，可用來(lái)完成寬帶網(wǎng)絡(luò)用戶的接入、認(rèn)證、計(jì)費(fèi)、控制、管理，滿足不同用戶對(duì)傳輸容量和帶寬利用率的要求，是寬帶網(wǎng)絡(luò)可運(yùn)營(yíng)、可管理的基石，被廣泛應(yīng)用于運(yùn)營(yíng)商網(wǎng)絡(luò)中。在校園網(wǎng)中引入BRAS設(shè)備，旨在保留原有的園區(qū)網(wǎng)優(yōu)勢(shì)，引入運(yùn)營(yíng)商網(wǎng)絡(luò)的優(yōu)勢(shì)，打造成易管理、高效安全的校園網(wǎng)。BRAS的優(yōu)勢(shì)主要體現(xiàn)在以下幾方面。

1.多種接入認(rèn)證方式：PPPoE、IPoE、DHCP+Web、綁定認(rèn)證等，可根據(jù)需要靈活選用，且同一網(wǎng)絡(luò)中可多種接入認(rèn)證方式并存。

2.靈活的計(jì)費(fèi)策略：按時(shí)長(zhǎng)計(jì)費(fèi)、按流量計(jì)費(fèi)、上網(wǎng)卡計(jì)費(fèi)、不計(jì)費(fèi)，且提供計(jì)費(fèi)保護(hù)功能，可根據(jù)用戶提供不同“套餐”，滿足收費(fèi)差異化需求。

3.強(qiáng)大的用戶管理能力：通過(guò)域管理能很好地區(qū)分不同用戶，提供不同帶寬、不同訪問(wèn)權(quán)限等差異化的服務(wù)，實(shí)現(xiàn)用戶的精細(xì)化管理。

4.集中式運(yùn)營(yíng)管理：采用BRAS集中認(rèn)證方式，設(shè)備與認(rèn)證計(jì)費(fèi)系統(tǒng)無(wú)關(guān)，擺脫802.1x網(wǎng)絡(luò)設(shè)備與認(rèn)證計(jì)費(fèi)系統(tǒng)綁定，降低建網(wǎng)投資；接入層設(shè)備與業(yè)務(wù)無(wú)關(guān)，便于新業(yè)務(wù)開展；集中式維護(hù)也大大降低了對(duì)接入交換機(jī)的維護(hù)工作量。

5.完善的安全防護(hù)功能：BRAS可通過(guò)對(duì)終端鑒別和授權(quán)、仿冒終端的識(shí)別、隔離與控制，充分保證終端的安全性，一方面可以隔離非法終端，另一方面可以抑止合法終端的非法活動(dòng)，如網(wǎng)絡(luò)攻擊、病毒等。

校園網(wǎng)引入BRAS后的網(wǎng)絡(luò)改造

當(dāng)前典型的校園網(wǎng)拓?fù)鋱D如圖1所示。

改造方案一

將校園網(wǎng)內(nèi)部服務(wù)器群改接于核心交換機(jī)上，三層網(wǎng)絡(luò)邊緣上移，樓道匯聚交換機(jī)與樓層接入交換機(jī)使用二層VLAN透?jìng)骷夹g(shù)。用戶開機(jī)即獲得內(nèi)網(wǎng)地址可訪問(wèn)校園網(wǎng)內(nèi)部服務(wù)器，不計(jì)費(fèi)，內(nèi)網(wǎng)用戶的跨網(wǎng)段互訪通過(guò)核心交換機(jī)實(shí)現(xiàn)。訪問(wèn)外網(wǎng)或教育網(wǎng)時(shí)通過(guò)BRAS+RADIUS服務(wù)器接入認(rèn)證，合法用戶方可訪問(wèn)外部網(wǎng)絡(luò)，計(jì)費(fèi)可根據(jù)時(shí)長(zhǎng)也可根據(jù)流量靈活選擇。改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

此方案特點(diǎn)是：對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)調(diào)整較小，內(nèi)外網(wǎng)流量三層隔離，外網(wǎng)流量不經(jīng)過(guò)核心交換機(jī)，但BRAS設(shè)備與樓道匯聚交換機(jī)需分別建立連接，較耗費(fèi)BRAS端口和傳輸資源。

改造方案二

與方案一差別體現(xiàn)在BRAS設(shè)備接至核心交換機(jī)與出口路由器之間，從用戶使用角度來(lái)說(shuō)與方案一無(wú)異。改造后網(wǎng)絡(luò)拓?fù)淙鐖D3所示。此方案由于BRAS只需與核心交換機(jī)建立連接，較節(jié)省BRAS端口和傳輸資源，但外網(wǎng)訪問(wèn)流量也經(jīng)過(guò)核心交換機(jī)，核心交換機(jī)上二三層流量混跑，對(duì)核心交換機(jī)要求較高。

BRAS創(chuàng)造校園網(wǎng)新價(jià)值

隨著高校學(xué)生數(shù)日益增多，校園網(wǎng)規(guī)模不斷擴(kuò)大，原有的802.1x方式不能適應(yīng)大規(guī)模網(wǎng)絡(luò)用戶認(rèn)證需求的缺點(diǎn)逐漸顯現(xiàn)，尋求高效管理、可運(yùn)營(yíng)寬帶校園網(wǎng)成為當(dāng)前高校網(wǎng)絡(luò)的熱門話題。中興通訊BRAS設(shè)備以其穩(wěn)定強(qiáng)大的性能，成功改造升級(jí)了華中農(nóng)業(yè)大學(xué)、青海大學(xué)的校園網(wǎng)，并在清華大學(xué)、中國(guó)人民大學(xué)等高校部署了試驗(yàn)網(wǎng)，升級(jí)后的網(wǎng)絡(luò)不僅認(rèn)證計(jì)費(fèi)更加安全可靠，更是大大減輕了網(wǎng)絡(luò)維護(hù)工作量。

對(duì)于校園網(wǎng)來(lái)說(shuō)，豐富的應(yīng)用是關(guān)鍵，穩(wěn)定可靠的網(wǎng)絡(luò)是基礎(chǔ)，而完善的安全和管理手段是保障。中興通訊針對(duì)每一個(gè)校園網(wǎng)的升級(jí)改造都會(huì)量身定制高可行性的方案，旨在充分滿足校方基本需求的同時(shí)，使整個(gè)校園網(wǎng)具備易管理、可運(yùn)營(yíng)、高擴(kuò)展性、高可靠性、能進(jìn)行高質(zhì)量的多業(yè)務(wù)承載的特征，真正構(gòu)建出一個(gè)高品質(zhì)的新型校園網(wǎng)。