黃中偉+林勤+賈志偉

摘 要：本文通過對網(wǎng)絡架構和用戶認證技術的研究，結合實際信息化建設項目，完成校園網(wǎng)網(wǎng)絡架構的升級改造，搭建多電信級運營商接入平臺，調(diào)整校園網(wǎng)用戶認證方式，完善多運營商接入校園網(wǎng)的服務協(xié)作機制，實現(xiàn)校園網(wǎng)有線無線接入的統(tǒng)一Web+Portal認證，學生用戶可以自主選擇運營商訪問互聯(lián)網(wǎng)。

關鍵詞：網(wǎng)絡架構扁平化，Web+Portal認證，多運營商接入服務機制

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-8454（2017）19-0091-03

在高校，校園網(wǎng)的廣域網(wǎng)接入服務，大多數(shù)由學校通過公開招標，或直接與電信級運營商簽訂包含廣域網(wǎng)接入服務在內(nèi)的一攬子合作協(xié)議的方式確定，一旦確定運營商，在一個合同周期內(nèi)幾乎不可能再進行更換。此外，由于運營商為了保護既得利益，在與學校簽訂服務協(xié)議時往往會列出一些排他條款，對校內(nèi)用戶，尤其是學生用戶來說，基本上沒有自主選擇運營商的可能，學校對一些服務條款上的調(diào)整也顯得相對被動。

一、校園網(wǎng)原基本情況和存在的主要問題

我校在校生人數(shù)萬余名，近90%學生開通宿舍網(wǎng)絡，高峰時段在線人數(shù)超8千用戶。2015年以前，校園網(wǎng)采用傳統(tǒng)的三層網(wǎng)絡構建模式，即核心—匯聚—接入的三層架構，雖然其端口密集和數(shù)據(jù)交換性能等優(yōu)勢在一段時期內(nèi)完全符合校園網(wǎng)建設的需求。隨著校園網(wǎng)用戶增加，承載業(yè)務多樣化，以及園區(qū)網(wǎng)技術的不斷發(fā)展，原有三層結構運行方式也呈現(xiàn)出許多不盡如人意的地方，如：控制點多且分散、各層設備功能和性能利用不合理、無法實現(xiàn)VLAN的更加細分和隔離等矛盾越來越凸顯。

學生用戶在宿舍區(qū)一直通過單獨一家電信級運營商的廣域網(wǎng)線路訪問外網(wǎng)，采用基于接入層交換機的802.1X認證通過有線方式接入校園網(wǎng)，每用戶只能一臺設備接入；開戶學生用戶在校內(nèi)WiFi覆蓋區(qū)域，可使用移動終端通過“Web+Portal”認證后訪問外網(wǎng)。

802.1X認證是在邊緣的接入層交換機上實現(xiàn)，由此帶來了大量接入層交換機管理維護的問題，特別是在遇到內(nèi)網(wǎng)攻擊時，接入層交換機很容易出現(xiàn)問題而導致斷網(wǎng)；此外，上網(wǎng)認證需要安裝專用客戶端軟件，學生使用的計算機型號、配置和安裝的操作系統(tǒng)各異，操作計算機的能力也有所不同，日常維護量較大，通常需要維護的時間往往集中在下課之后，階段時間內(nèi)需要安排較多網(wǎng)管人員進行維護，時常出現(xiàn)應接不暇的狀況。

與有線網(wǎng)認證一樣，802.1X兼容性的問題在無線網(wǎng)絡中同樣存在，特別是由于移動終端設備廠家、類型與架構的不同，設備型號成千上萬，針對這些移動設備，網(wǎng)絡設備廠家無法提供滿足所有設備的認證客戶端，會有許多移動設備無法通過802.1X認證接入網(wǎng)絡，因此學校一般會采用“Web+Portal”認證作為無線局域網(wǎng)的接入認證。而在傳統(tǒng)三層網(wǎng)絡環(huán)境中的“Web+Portal”認證，終端設備在請求接入網(wǎng)絡且還未完成認證之前，會向網(wǎng)絡大量發(fā)送Http請求報文做鏈接嘗試，而這些報文都會都被接入交換機重定向到Portal服務器，最終服務器往往因無法正常收斂報文而宕機，這就是所謂的“認證噪聲”，它會使Portal服務器長期處于高負荷狀態(tài)之下，造成認證頁面在移動端彈出緩慢或失去響應等現(xiàn)象，影響上網(wǎng)感受，甚至造成認證失敗。

上述問題隨著校園網(wǎng)規(guī)模和用戶數(shù)的逐步擴大，多業(yè)務多應用的疊加，多運營商接入和用戶個性化需求的增加，將顯得越來越突出，最終導致校園網(wǎng)整體的穩(wěn)定性、可靠性降低，管理維護壓力和成本越來越大。

二、網(wǎng)絡優(yōu)化改造技術實施方案的探索與實踐

結合原有校園網(wǎng)絡的實際使用情況和存在的問題，通過對網(wǎng)絡架構、廣域網(wǎng)多運營商接入、網(wǎng)絡用戶認證等方面的技術研究，制定出相應的技術實施方案，并依托實際的信息化建設項目實踐，完成了對校園網(wǎng)網(wǎng)絡架構的升級改造和相應認證方式的調(diào)整。

1.網(wǎng)絡架構方面

針對三層架構校園網(wǎng)中存在的這些問題，就目前技術發(fā)展和實際使用案例來看，可以通過對網(wǎng)絡架構的扁平化來解決。所謂扁平化網(wǎng)絡架構，是指采用QinQ 或SuperVlan技術，根據(jù)網(wǎng)絡中設備所承擔的功能進行劃分，將網(wǎng)絡分為業(yè)務控制層和寬帶接入層。寬帶接入層由原三層架構中的匯聚和接入層設備構成，僅提供基本的用戶帶寬接入功能和相互之間的VLAN二層隔離；業(yè)務控制層則由核心層設備構成，提供網(wǎng)絡中的用戶接入控制、業(yè)務功能實現(xiàn)等復雜功能。

按照扁平化網(wǎng)絡架構思路，本次校園網(wǎng)升級改造項目中，通過購置兩臺扁平化核心交換機與一臺高性能多端口核心路由器組成整個網(wǎng)絡的核心，構建成整個校園網(wǎng)絡互聯(lián)的業(yè)務控制核心層，原三層架構中的匯聚和接入層設備構成寬帶接入層，實現(xiàn)原有三層網(wǎng)絡改造成扁平化架構，同時在核心旁掛一套防代理盒子對接入的用戶進行防代理檢測。如圖1所示，扁平化改造后的網(wǎng)絡拓撲結構示意圖。

扁平化核心交換機部署后，將原來分布在接入設備上的各項功能和策略上收至核心交換機，由核心交換機完成，全網(wǎng)用戶統(tǒng)一網(wǎng)關移至核心設備，認證管理同樣上收到核心設備，原有接入網(wǎng)的接入、匯聚交換機只負責進行各種數(shù)據(jù)的轉(zhuǎn)發(fā)。

作為全校核心的扁平化核心交換機，需要重點考慮安全性和可靠性，因此，出于安全設計，使用虛擬化技術將一臺物理設備虛擬化多臺邏輯設備，實現(xiàn)學生、教師、辦公業(yè)務網(wǎng)數(shù)據(jù)獨立轉(zhuǎn)發(fā)；而在可靠性設計方面，將兩臺物理設備虛擬化為一臺設備，其中任何一臺出現(xiàn)故障用戶數(shù)據(jù)快速切換另外一臺上，以保證業(yè)務的連續(xù)性。

高性能路由器部署在出口區(qū)域邊界，做策略路由，搭建多運營商接入平臺，支持多運營商鏈路萬兆線路接入，并通過與認證系統(tǒng)聯(lián)動實現(xiàn)流量分類認證、計費和審計日志功能，實現(xiàn)學生接入用戶自主選擇運營商以及各類寬帶套餐服務，開放學生用戶有線或無線接入方式的自由選擇。

防代理設備能夠?qū)尤氲挠脩暨M行防代理檢測，保證用戶實名制上網(wǎng)，是保障網(wǎng)絡安全、避免違規(guī)信息發(fā)布的有效手段之一。

2.認證方式的調(diào)整

針對802.1X認證系統(tǒng)存在用戶配置和使用方面的不足，本次網(wǎng)絡改造的一個重點工作就是將全網(wǎng)用戶的有線、無線認證方式調(diào)整為統(tǒng)一的“Web+Portal”認證，這種認證方式除了具有與業(yè)務密切相關，容易開展增值業(yè)務，尤其是僅需要使用瀏覽器而不需要安裝專門的客戶端軟件，使用非常方便等特點之外，一些在三層架構下存在的不足，經(jīng)過網(wǎng)絡架構扁平化改造后，相關問題也能夠得到解決，比如，采用網(wǎng)絡扁平化后的校園網(wǎng)，所有功能與認證業(yè)務均上收至核心交換機，因此，利用核心交換機強大的處理性能，采取分布式過濾、階段放行及服務器降噪等技術，過濾掉除認證請求以外的其余大部分無用Http報文，只放行認證報文至Portal服務器，實現(xiàn)了對服務器的降噪功能，提高認證響應速度的同時也保證了認證服務的持續(xù)穩(wěn)定。另外，由于對接入設備兼容性要求也大大降低，也為在接入設備選型中帶來更大的自由度。

3.多廣域網(wǎng)鏈路智能選擇設計

認證系統(tǒng)能與出口路由器智能聯(lián)動，引導用戶強制到Portal服務器，Portal服務器向用戶終端推送Web認證頁面，如圖2所示，用戶認證界面截圖。在Web頁面具備下拉框，用戶可選擇需要接入的運營商，輸入校園網(wǎng)帳號，認證系統(tǒng)聯(lián)動出口路由器設備，將該用戶的屬性下發(fā)，路由器根據(jù)帳號屬性引導向不同的運營商鏈路，然后在運營商端進行第二次認證；用戶下線后，認證系統(tǒng)下發(fā)指令給路由器，路由器清空用戶屬性，下一次用戶上線后重復上面動作，這樣可實現(xiàn)用戶基于不同運營商鏈路的出口選擇，學生可選擇不同運營商的帳號。如圖3所示，為學生接入校園網(wǎng)認證過程示意圖。

4.電信級運營商接入服務合作模式改進

廣域網(wǎng)接入平臺建立起來后，由于出口高端路由器擁有更加豐富的廣域網(wǎng)接口，可以實現(xiàn)與多家電信級運營商的接入服務，本著既開放、自主，又能有效監(jiān)管的思路，與電信級運營商接入服務合作模式也進行了相應調(diào)整，具體情況如下：

制定運營商準入機制，接入運營商需免費提供一定額度的廣域網(wǎng)帶寬供學校教學辦公網(wǎng)使用，對每學生用戶保證提供基本網(wǎng)絡帶寬（4M或6M），不允許有其他捆綁業(yè)務，這部分網(wǎng)絡資費，嚴格按照政府財政部門關于學生在校內(nèi)開通校園網(wǎng)的收費標準進行收取。同時允許運營商提供如更大帶寬的增值服務，這部分服務完全由學生自愿選擇。

學生用戶可以根據(jù)上網(wǎng)感受，自主選擇運營商服務，根據(jù)自身情況和應用需求決定是否選擇增值服務；此外，每個用戶的一個運營商賬號就能實現(xiàn)在宿舍通過有線或無線方式接入訪問外網(wǎng)，使用該賬號也能夠用智能移動設備在校內(nèi)無線WiFi信號覆蓋區(qū)域訪問外網(wǎng)。

在多運營商接入模式下，由于學生用戶的外網(wǎng)出口是使用專用的廣域網(wǎng)線路，運營商都會主動根據(jù)自己學生用戶數(shù)量以及配置的帶寬總量，動態(tài)調(diào)整學生出口帶寬，讓學生用戶得到更好的上網(wǎng)體驗，以贏得更多學生用戶數(shù)，獲取更高的經(jīng)濟效益。

三、實施效果總結

網(wǎng)絡改造成扁平化架構后，增強了校園網(wǎng)核心交換機的資源利用率，弱化了整個網(wǎng)絡運行對接入、匯聚設備的依賴。其優(yōu)勢十分明顯，如：網(wǎng)絡中由能力最強、功能最豐富的核心設備提供集中的業(yè)務控制和管理，有利于功能和業(yè)務的部署，確保了業(yè)務和功能的高效性和高可靠性；原三層架構中數(shù)量眾多的匯聚/接入設備在扁平化架構中只是提供了二層透傳和VLAN隔離等基本功能，使網(wǎng)絡的可靠性和穩(wěn)定性大為提高，也大大降低網(wǎng)絡的運維成本。對于今后的業(yè)務、功能擴展僅涉及到核心層設備，只需要考慮核心層設備是否能夠支持這些業(yè)務特性即可，對于寬帶接入層設備，其兼容性要求降低，僅需要考慮端口的擴充和上行帶寬的增加，因此，在購置接入設備選型方面也增加了許多靈活度。

實現(xiàn)有線、無線接入校園網(wǎng)統(tǒng)一“Web+Portal”認證后，降低用戶接入網(wǎng)絡的技術門檻，解決安裝認證軟件帶來的各種兼容性問題；學生用戶可以自主選擇電信級運營商，能夠使用統(tǒng)一賬號在校園內(nèi)所有WiFi覆蓋區(qū)域使用智能移動終端訪問網(wǎng)絡，每一賬號允許一臺PC機通過有線方式和一部移動終端通過無線方式同時訪問外網(wǎng)，進一步提升用戶的上網(wǎng)感受。

通過搭建一個開放的接入平臺，創(chuàng)新性地制定了相應的接入機制，按照一定規(guī)范要求允許多家運營商接入校園網(wǎng)，進一步改善了學校教學、辦公和校園生活對廣域網(wǎng)帶寬的需要。運營商也一改在一些高校采取的拼價格、誤導消費，而對已有用戶服務卻不到位的現(xiàn)象，為了爭取更多學生用戶而把主要精力放在不斷提升自身服務和線路質(zhì)量上，這不僅為運營商營造了一個良好服務于校園的商業(yè)環(huán)境，同時學校在今后的網(wǎng)絡改造和服務上也明顯占據(jù)主動。

參考文獻：

[1]李白燕，鄭州.基于扁平化架構精細化管理校園網(wǎng)絡方式探究[J].中國教育信息化，2016（17）：48-51.

[2]何建新，張松明，王思琪，周文芳.校園網(wǎng)絡升級改造方案設計與實現(xiàn)[J].計算機時代，2016（2）：56-60.

[3]祁輝，于春燕.多運營商合作模式下的校園網(wǎng)多出口策略[J].新鄉(xiāng)學院學報，2016（3）：25-28.

[4]向小平.報業(yè)有線無線一體化網(wǎng)絡的設計與實踐[J].信息技術與信息化，2016（5）：85-87.

[5]高猗男.新一代高校校園網(wǎng)改造研究[J].中國教育信息化，2017（1）：45-48.

[6]文劍平.大學校園網(wǎng)改造的網(wǎng)絡規(guī)劃與設計研究[J].網(wǎng)絡安全技術與應用，2017（3）：116+118.