校園網改造與多運營商接入機制的探索與實踐
——以廣州番禺職業技術學院校園網建設項目為例

黃中偉，林 勤，賈志偉

（廣州番禺職業技術學院 教育技術與信息中心，廣東 廣州511483）

校園網改造與多運營商接入機制的探索與實踐
——以廣州番禺職業技術學院校園網建設項目為例

黃中偉，林 勤，賈志偉

（廣州番禺職業技術學院 教育技術與信息中心，廣東 廣州511483）

本文通過對網絡架構和用戶認證技術的研究，結合實際信息化建設項目，完成校園網網絡架構的升級改造，搭建多電信級運營商接入平臺，調整校園網用戶認證方式，完善多運營商接入校園網的服務協作機制，實現校園網有線無線接入的統一W eb+Portal認證，學生用戶可以自主選擇運營商訪問互聯網。

網絡架構扁平化，W eb+Portal認證，多運營商接入服務機制

在高校，校園網的廣域網接入服務，大多數由學校通過公開招標，或直接與電信級運營商簽訂包含廣域網接入服務在內的一攬子合作協議的方式確定，一旦確定運營商，在一個合同周期內幾乎不可能再進行更換。此外，由于運營商為了保護既得利益，在與學校簽訂服務協議時往往會列出一些排他條款，對校內用戶，尤其是學生用戶來說，基本上沒有自主選擇運營商的可能，學校對一些服務條款上的調整也顯得相對被動。

一、校園網原基本情況和存在的主要問題

我校在校生人數萬余名，近90%學生開通宿舍網絡，高峰時段在線人數超8千用戶。2015年以前，校園網采用傳統的三層網絡構建模式，即核心—匯聚—接入的三層架構，雖然其端口密集和數據交換性能等優勢在一段時期內完全符合校園網建設的需求。隨著校園網用戶增加，承載業務多樣化，以及園區網技術的不斷發展，原有三層結構運行方式也呈現出許多不盡如人意的地方，如：控制點多且分散、各層設備功能和性能利用不合理、無法實現VLAN的更加細分和隔離等矛盾越來越凸顯。

學生用戶在宿舍區一直通過單獨一家電信級運營商的廣域網線路訪問外網，采用基于接入層交換機的802.1X認證通過有線方式接入校園網，每用戶只能一臺設備接入；開戶學生用戶在校內WiFi覆蓋區域，可使用移動終端通過“Web+Portal”認證后訪問外網。

802.1X認證是在邊緣的接入層交換機上實現，由此帶來了大量接入層交換機管理維護的問題，特別是在遇到內網攻擊時，接入層交換機很容易出現問題而導致斷網；此外，上網認證需要安裝專用客戶端軟件，學生使用的計算機型號、配置和安裝的操作系統各異，操作計算機的能力也有所不同，日常維護量較大，通常需要維護的時間往往集中在下課之后，階段時間內需要安排較多網管人員進行維護，時常出現應接不暇的狀況。

與有線網認證一樣，802.1X兼容性的問題在無線網絡中同樣存在，特別是由于移動終端設備廠家、類型與架構的不同，設備型號成千上萬，針對這些移動設備，網絡設備廠家無法提供滿足所有設備的認證客戶端，會有許多移動設備無法通過802.1X認證接入網絡，因此學校一般會采用“Web+Portal”認證作為無線局域網的接入認證。而在傳統三層網絡環境中的“Web+Portal”認證，終端設備在請求接入網絡且還未完成認證之前，會向網絡大量發送Http請求報文做鏈接嘗試，而這些報文都會都被接入交換機重定向到Portal服務器，最終服務器往往因無法正常收斂報文而宕機，這就是所謂的“認證噪聲”，它會使Portal服務器長期處于高負荷狀態之下，造成認證頁面在移動端彈出緩慢或失去響應等現象，影響上網感受，甚至造成認證失敗。

上述問題隨著校園網規模和用戶數的逐步擴大，多業務多應用的疊加，多運營商接入和用戶個性化需求的增加，將顯得越來越突出，最終導致校園網整體的穩定性、可靠性降低，管理維護壓力和成本越來越大。

二、網絡優化改造技術實施方案的探索與實踐

結合原有校園網絡的實際使用情況和存在的問題，通過對網絡架構、廣域網多運營商接入、網絡用戶認證等方面的技術研究，制定出相應的技術實施方案，并依托實際的信息化建設項目實踐，完成了對校園網網絡架構的升級改造和相應認證方式的調整。

1.網絡架構方面

針對三層架構校園網中存在的這些問題，就目前技術發展和實際使用案例來看，可以通過對網絡架構的扁平化來解決。所謂扁平化網絡架構，是指采用QinQ或SuperVlan技術，根據網絡中設備所承擔的功能進行劃分，將網絡分為業務控制層和寬帶接入層。寬帶接入層由原三層架構中的匯聚和接入層設備構成，僅提供基本的用戶帶寬接入功能和相互之間的VLAN二層隔離；業務控制層則由核心層設備構成，提供網絡中的用戶接入控制、業務功能實現等復雜功能。

按照扁平化網絡架構思路，本次校園網升級改造項目中，通過購置兩臺扁平化核心交換機與一臺高性能多端口核心路由器組成整個網絡的核心，構建成整個校園網絡互聯的業務控制核心層，原三層架構中的匯聚和接入層設備構成寬帶接入層，實現原有三層網絡改造成扁平化架構，同時在核心旁掛一套防代理盒子對接入的用戶進行防代理檢測。如圖1所示，扁平化改造后的網絡拓撲結構示意圖。

圖1 扁平化改造后的網絡拓撲結構示意圖

扁平化核心交換機部署后，將原來分布在接入設備上的各項功能和策略上收至核心交換機，由核心交換機完成，全網用戶統一網關移至核心設備，認證管理同樣上收到核心設備，原有接入網的接入、匯聚交換機只負責進行各種數據的轉發。

作為全校核心的扁平化核心交換機，需要重點考慮安全性和可靠性，因此，出于安全設計，使用虛擬化技術將一臺物理設備虛擬化多臺邏輯設備，實現學生、教師、辦公業務網數據獨立轉發；而在可靠性設計方面，將兩臺物理設備虛擬化為一臺設備，其中任何一臺出現故障用戶數據快速切換另外一臺上，以保證業務的連續性。

高性能路由器部署在出口區域邊界，做策略路由，搭建多運營商接入平臺，支持多運營商鏈路萬兆線路接入，并通過與認證系統聯動實現流量分類認證、計費和審計日志功能，實現學生接入用戶自主選擇運營商以及各類寬帶套餐服務，開放學生用戶有線或無線接入方式的自由選擇。

防代理設備能夠對接入的用戶進行防代理檢測，保證用戶實名制上網，是保障網絡安全、避免違規信息發布的有效手段之一。

2.認證方式的調整

針對802.1X認證系統存在用戶配置和使用方面的不足，本次網絡改造的一個重點工作就是將全網用戶的有線、無線認證方式調整為統一的“Web+Portal”認證，這種認證方式除了具有與業務密切相關，容易開展增值業務，尤其是僅需要使用瀏覽器而不需要安裝專門的客戶端軟件，使用非常方便等特點之外，一些在三層架構下存在的不足，經過網絡架構扁平化改造后，相關問題也能夠得到解決，比如，采用網絡扁平化后的校園網，所有功能與認證業務均上收至核心交換機，因此，利用核心交換機強大的處理性能，采取分布式過濾、階段放行及服務器降噪等技術，過濾掉除認證請求以外的其余大部分無用Http報文，只放行認證報文至Portal服務器，實現了對服務器的降噪功能，提高認證響應速度的同時也保證了認證服務的持續穩定。另外，由于對接入設備兼容性要求也大大降低，也為在接入設備選型中帶來更大的自由度。

3．多廣域網鏈路智能選擇設計

認證系統能與出口路由器智能聯動，引導用戶強制到Portal服務器，Portal服務器向用戶終端推送Web認證頁面，如圖2所示，用戶認證界面截圖。在Web頁面具備下拉框，用戶可選擇需要接入的運營商，輸入校園網帳號，認證系統聯動出口路由器設備，將該用戶的屬性下發，路由器根據帳號屬性引導向不同的運營商鏈路，然后在運營商端進行第二次認證；用戶下線后，認證系統下發指令給路由器，路由器清空用戶屬性，下一次用戶上線后重復上面動作，這樣可實現用戶基于不同運營商鏈路的出口選擇，學生可選擇不同運營商的帳號。如圖3所示，為學生接入校園網認證過程示意圖。

4．電信級運營商接入服務合作模式改進

廣域網接入平臺建立起來后，由于出口高端路由器擁有更加豐富的廣域網接口，可以實現與多家電信級運營商的接入服務，本著既開放、自主，又能有效監管的思路，與電信級運營商接入服務合作模式也進行了相應調整，具體情況如下：

圖3 學生接入校園網認證過程示意圖

制定運營商準入機制，接入運營商需免費提供一定額度的廣域網帶寬供學校教學辦公網使用，對每學生用戶保證提供基本網絡帶寬（4M或6M），不允許有其他捆綁業務，這部分網絡資費，嚴格按照政府財政部門關于學生在校內開通校園網的收費標準進行收取。同時允許運營商提供如更大帶寬的增值服務，這部分服務完全由學生自愿選擇。

學生用戶可以根據上網感受，自主選擇運營商服務，根據自身情況和應用需求決定是否選擇增值服務；此外，每個用戶的一個運營商賬號就能實現在宿舍通過有線或無線方式接入訪問外網，使用該賬號也能夠用智能移動設備在校內無線WiFi信號覆蓋區域訪問外網。

在多運營商接入模式下，由于學生用戶的外網出口是使用專用的廣域網線路，運營商都會主動根據自己學生用戶數量以及配置的帶寬總量，動態調整學生出口帶寬，讓學生用戶得到更好的上網體驗，以贏得更多學生用戶數，獲取更高的經濟效益。

三、實施效果總結

網絡改造成扁平化架構后，增強了校園網核心交換機的資源利用率，弱化了整個網絡運行對接入、匯聚設備的依賴。其優勢十分明顯，如：網絡中由能力最強、功能最豐富的核心設備提供集中的業務控制和管理，有利于功能和業務的部署，確保了業務和功能的高效性和高可靠性；原三層架構中數量眾多的匯聚/接入設備在扁平化架構中只是提供了二層透傳和VLAN隔離等基本功能，使網絡的可靠性和穩定性大為提高，也大大降低網絡的運維成本。對于今后的業務、功能擴展僅涉及到核心層設備，只需要考慮核心層設備是否能夠支持這些業務特性即可，對于寬帶接入層設備，其兼容性要求降低，僅需要考慮端口的擴充和上行帶寬的增加，因此，在購置接入設備選型方面也增加了許多靈活度。

實現有線、無線接入校園網統一“Web+Portal”認證后，降低用戶接入網絡的技術門檻，解決安裝認證軟件帶來的各種兼容性問題；學生用戶可以自主選擇電信級運營商，能夠使用統一賬號在校園內所有WiFi覆蓋區域使用智能移動終端訪問網絡，每一賬號允許一臺PC機通過有線方式和一部移動終端通過無線方式同時訪問外網，進一步提升用戶的上網感受。

通過搭建一個開放的接入平臺，創新性地制定了相應的接入機制，按照一定規范要求允許多家運營商接入校園網，進一步改善了學校教學、辦公和校園生活對廣域網帶寬的需要。運營商也一改在一些高校采取的拼價格、誤導消費，而對已有用戶服務卻不到位的現象，為了爭取更多學生用戶而把主要精力放在不斷提升自身服務和線路質量上，這不僅為運營商營造了一個良好服務于校園的商業環境，同時學校在今后的網絡改造和服務上也明顯占據主動。

[1]李白燕,鄭州.基于扁平化架構精細化管理校園網絡方式探究[J].中國教育信息化,2016(17):48-51.

[2]何建新,張松明,王思琪,周文芳.校園網絡升級改造方案設計與實現[J].計算機時代,2016(2):56-60.

[3]祁輝,于春燕.多運營商合作模式下的校園網多出口策略[J].新鄉學院學報,2016(3):25-28.

[4]向小平.報業有線無線一體化網絡的設計與實踐[J].信息技術與信息化,2016(5):85-87.

[5]高猗男.新一代高校校園網改造研究[J].中國教育信息化,2017(1):45-48.

[6]文劍平.大學校園網改造的網絡規劃與設計研究[J].網絡安全技術與應用,2017(3):116+118.

TP393

A

1673-8454（2017）19-0091-03

（編輯：王曉明）