基于IPFIX和CoA的高校多運營商融合網絡建設

解攀科　吳小平　郭偉秀　許婷　唐亦非　余琳

摘? 要：大多數校園網早期使用傳統的三層架構模式部署，易于實現快速組網。但隨著終端數量不斷增多，校園網帶寬發生了爆發性的增長，校園網的QoS保障也面臨新的挑戰，高校師生不斷增長，多業務用網需求無法得到滿足。本文采用一種扁平化架構設計校園網，并通過IPFIX協議精準識別流量后進行處理，可有效降低網絡擁塞。基于CoA靈活策略處理，可實現校園網與運營商網絡的有機整合。考慮網絡安全管控因素，在網絡邊界部署代撥設備實現網絡隔離，并支持校園網建立高并發寬帶通道連接運營商核心網，實現校園網與多運營商網絡的有機融合。

關鍵詞：扁平化網絡;IPFIX;CoA;融合網絡

中圖分類號：TP393? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）23-0046-05

Construction of Multi-Operator Fusion Network in Universities Based on IPFIX and CoA

XIE Panke1，WU Xiaoping1，GUO Weixiu2，XU Ting1，TANG Yifei1，YU Lin1

（1.Information Office of Central China Normal University，Wuhan? 430079，China;

2.No.1 Middle School Affiliated to Central China Normal University，Wuhan? 430223，China）

Abstract：Most of the early campus networks use the traditional three-tier architecture mode deployment，which is easy to achieve rapid networking. However，with the increasing number of terminals and the explosive growth of the bandwidth of the campus network，the QoS guarantee of the campus network is also facing new challenges. With the continuous growth of college teachers and students，the demand for multi service network cannot be met. In this paper，a flat architecture is used to design the campus network，and the traffic is accurately identified by IPFIX protocol，which can effectively reduce network congestion. Based on the flexible strategy processing of CoA ，the organic integration of campus network and operator network can be realized. Considering the factors of network security management and control，the network isolation is realized by deploying the proxy equipment at the network boundary，and the high concurrent broadband channel is supported in the campus network to connect the core network of the operator，so as to realize the organic integration of the campus network and the multi operator network.

Keywords：flat network;IPFIX;CoA;fusion network

0? 引? 言

隨著教育信息化的不斷發展，高校校園網作為信息化基礎設施的重要性日益凸顯。2016年中共中央辦公廳、國務院辦公廳印發《國家信息化發展戰略綱要》，要求將信息化貫穿我國現代化進程始終，按“三步走”戰略建設網絡強國。2018年6月教育部印發了《教育信息化2.0行動計劃》，要求深入推進“三通兩平臺”建設。實現“寬帶網絡校校通”，要求所有學校全部接入互聯網。

在國家信息化戰略和新時期高校師生日益豐富的網絡需求下，對校園網建設和運行模式提出了新的挑戰。校園網絡建設與運營，從早期以提供網絡基礎接入為主，已轉變為面向高校信息化的全業務網絡支撐。在教育信息化2.0和“互聯網+教育”的新形勢下，基于校園網的數字化學習模式正全面鋪開，校園網正逐步成為高校數字化學習和人才培養的業務支撐平臺。

1? 高校校園網與運營商融合趨勢

我國高校校園網建設普遍起步較早，大部分高校均較早建設了有線校園網絡。從早期以覆蓋教學辦公區為主，到實現教學辦公區、學生宿舍區、教工住宅區的全覆蓋。隨著智能移動設備的普及，高校校園網逐步從有線網絡轉向有線無線一體化的網絡建設。高校無線網絡以成熟的IEEE 802.11技術為標準實施，逐步發展成“全終端兼容、高速無縫漫游、覆蓋全業務”的重要支撐網絡，并和有線主干高速網實現了有機集成。我國高校校園網建設根據學校性質、學校經費投入等復雜因素呈現多種模式，主要有以下幾種。

（1）學校全業務自主建設類型。學校投入足夠的經費建設校園網，自行采購網絡設備，根據自身需求選擇合適的網絡架構組網。一般會覆蓋教學辦公區和學生宿舍網，有的甚至覆蓋了教師家屬區。完全自主建設和自主運營網絡，可靈活地根據學校自身需求靈活實施網絡接入和擴展網絡，可為各種業務場景下的網絡需求提供相應的保障。學校自行采購所需的互聯網出口帶寬，均接入中國教育科研與計算機網（CERNET）。校園網絡出口至少有2個運營商的接入。絕大部分211高校和985高校由于經費及人員隊伍有基本保障，一般采用這種自主建設模式。

（2）學校部分業務自主建設類型。學校投入適量的經費建設校園網，主要以覆蓋教學辦公區的有線網絡為主，部分區域覆蓋有無線網絡。這類高校受學校經費投入限制，往往無法建設全業務、廣覆蓋的校園網。校園網建設以滿足學校迫切的基礎業務需求為主。學校自行采購基本所需的互聯網出口帶寬，一般會接入中國教育科研與計算機網。大部分省屬高校，特別是一些經濟薄弱省份的高校通常采用這種模式建設和運營校園網。

（3）引入運營商或第三方投資建設類型。由于校園網建設及運維投資較大，部分高校、特別是一些民辦高校采取了引入運營商或第三方投資建設和運營校園網的模式。在這種模式下，校園網設備投入、出口帶寬以及網絡運維均交給運營商或第三方實施。學校通過資源置換，投資建設方通過直接收取師生網絡費用模式來收回成本及獲取收益。

校園網本質上是一張用戶接入網，其要接入互聯網離不開運營商，因此校園網天然存在和運營商網絡融合的需求。基礎電信運營商一般是指中國移動、中國電信、中國聯通、中國廣電和中信網絡，它們均具有工業和信息化部頒發的基礎電信業務經營許可證。普通高校除接入中國教育科研與計算機網外，一般至少和基礎電信運營商中的一家合作，使用其提供的固網出口帶寬接入互聯網。高校與運營商在互聯網帶寬、網絡建設、信息化融合等多個方面存在合作和融合的需求，部分有相關學科的院校還在學科建設與基礎電信運營商有合作的需求。

2? 校園網運營商融合組網技術原理

2.1? 扁平化網絡架構

扁平化網絡架構是一種簡化了接入網和核心網關系的網絡架構。早期的校園網一般使用傳統的三層網絡架構。在傳統的三層架構下，校園網依次由接入層、匯聚層、核心層組成。傳統三層架構存在“輕核心-重接入”的特點，負責用戶接入的二層交換機承擔VLAN控制、端口隔離控制、ACL策略等復雜的業務管理，但核心設備則僅承擔高速互聯轉發的功能。

扁平化網絡簡化了校園網的層次關系，形成統一控制、功能明確、易于擴展、易于管理的網絡結構。扁平化網絡架構下，接入網通過擴展的雙層VLAN靈活地接入核心網。既可以在接入網進行網絡隔離，又可通過核心網策略實現網絡共享。扁平化架構下的核心網則實現校園網業務的集中化管控、精細化管理及全局性網絡擴展。扁平化校園網架構與傳統校園網架構相比，有如下的優點。

（1）統一的核心網管控及精細化管理，采用運營商級別的寬帶接入服務器（BRAS）組成核心設備集群。具有高性能、精細管控、簡化擴展的特點。支持靈活的校園網新業務開展和各類網絡認證、控制及優化。

（2）大幅度簡化接入網實施，降低維護成本。在扁平化下架構下，接入層交換機只需要進行簡單的VLAN透傳、VLAN隔離及QinQ部署。接入網的維護工作大幅度減輕，接入網設備的成本也大幅度降低。

（3）扁平化網絡具有簡潔的整體可擴展性。采用扁平化架構后，校園網具有了整體可擴展的優點。接入設備可以方便地實現橫向擴展，如接入交換機和無線AP均可以基于配置模板快速部署上線。核心設備也可以方便地基于業務承載負荷實施橫向擴展，基于QinQ接入設備也可以靈活地隨之擴展。

2.2? IPFIX網絡流量處理

為滿足高校信息化日益增長的需求，校園網要實現網絡業務的全覆蓋。隨著校園網用戶數和接入終端的不斷增長和膨脹，校園網面臨的一個現實問題就是互聯網帶寬不足，即使不斷加大互聯網帶寬的投入，仍然會在網絡高峰期供小于求，導致校園網出口擁塞。校園網進行扁平化改造后，采用BRAS作為核心設備，一個需要解決的問題就是實現網絡流量的精細化控制。若不對校園網進行精細化控制，粗放式的網絡流量會爆發增長，校園網擁塞的概率隨之提升，從而導致校園網服務高校教學科研的水平下降。BRAS設備的一個重要功能就是支持對流量的有效管控。

IP流信息輸出協議（IP Flow Information ExportProtocol，簡稱IPFIX協議），是網絡流量監測的IETF標準協議（RFC 3917）。IPFIX協議默認使用七元組來表示一份網絡流量，包含源IP地址、目標IP地址、源通信端口號、目標通信端口號、第三層協議類型、TOS字節、邏輯網絡端口。七元組信息一致的數據包則都被歸屬于同一個通信流，該通信流中的所有包累計后按照相同的標準進行統計和處理。BRAS設備可以按照IPFIX協議發送網絡流量給流量采集處理系統，并且這個發送流量的過程實際開銷很小，并不影響BRAS設備核心運行業務。基于標準IPFIX流量的采集和歸納，網絡計費系統從而可以識別用戶的網絡流量，根據實際運行的網絡流量對校園網用戶進行干預，從而可以實現對流量的精準控制和高效利用。表1顯示了IPFIX網絡流量處理的結果示例。

2.3? CoA網絡控制技術

扁平化架構的校園網一般采用RADIUS協議實施網絡準入控制。早期的網絡認證服務器（RADIUS）在網絡訪問服務器（NAS）接入網絡后不再干預其網絡狀態。在校園網多業務場景下，要實現靈活的網絡策略下發，需要有一種可以按需實施聯網狀態調整的機制。RFC3576協議對Radius進行了合理的拓展，從而可以實現對RADIUS的動態控制。網絡授權變更Change-of-Authorization（CoA）就是RFC3576實現的重要功能，RADIUS服務器可以通過CoA對RADIUS客戶端主動發起控制，例如觸發用戶下線、用戶上網帶寬動態修改等網絡狀態控制。正是CoA機制被網絡認證控制系統廣泛采用，才使得校園網的網絡管控、與運營商的協同動態對接具備了可行性。CoA基于BRAS在線會話列表中的Session ID識別網絡會話，從而在網絡控制系統中主動觸發協議對接的控制動作，執行相應的網絡策略并使之生效。華為、中興、Juniper的BRAS設備均以各自的技術方式實現了RFC3576協議，從而可支持靈活的CoA操作。CoA的工作流程如圖1所示。

2.4? 代理撥號原理

PPPoE和IPoE是運營商廣泛采用的網絡結構，如用于構建運營商光纖到戶的家用寬帶。PPPoE整合了PPP連接和以太網協議，實現在以太網廣播鏈路上的點到點通信。PPPoE在運營商網絡中大規模部署，一般用華為ME60等BRAS設備實現PPPoE網絡的終結。在寬帶網全業務發展的背景下，基于DHCP的IPoE協議被廣泛采用。IPoE基于DHCP協議攜帶信息來和Radius實現認證交互，在DHCP Option82屬性配置特定信息來識別策略，實現校園網與運營商融合網絡下復雜業務的靈活實施。

高校校園網在自主建設模式下，可根據業務需要靈活組網。除了可使用PPPoE和IPoE組件扁平化網絡外，還有傳統的集中式Portal網關或者802.1x，運營商網絡則以PPPoE為主。為將扁平化的校園網和運營商寬帶有機安全地整合對接，需考慮一種轉化機制實現。代理撥號服務器部署在校園網和運營商網絡之間，采用一種高并發的PPPoE會話撥號模式工作。代撥將校園網端過來的網絡會話予以識別，進行映射轉換后發起PPPoE撥號。代理撥號成功后，校園網用戶即通過代理網關接入了運營商網絡。代撥工作原理及全部流程如圖2所示。

3? 校園網融合組網技術實現

3.1? 校園網融合組網架構設計

校園網在采用扁平化架構后，通過IPFIX精準識別網絡流量并實施相應策略，可將校園網日益增長的出口流量合理引流至運營商，促進校園網帶寬的合理使用，并通過直接引流機制滿足師生用網的差異化需求。校園網作為教育與科研網絡的一部分，既要滿足學校教學科研等主要業務，又要滿足師生多樣化的用網需求，因此在同運營商網絡融合對接時，需考慮以下幾點：

（1）師生便捷免費訪問校園網內網的策略設計。校園內網部署有大量教學資源和信息應用，提供給師生免費使用，需在全局設計合適的網絡策略來執行。統一定義內網策略模板，在RADIUS初次認證成功后，通過ACCESS-ACCEPT報文下發相應策略給BRAS或無線控制器，BRAS或無線控制器執行相應的行為策略從而允許用戶訪問內網。

（2）有線網絡與無線網絡一致性流量識別和策略控制。校園網支持有線網絡與無線網絡的統一訪問，需要將有線網絡、無線網絡的網絡流量合并識別處理。流量合并處理的一種方法是將實際網絡流量合并到集中的流量處理網關處理，這對于流量處理網關性能有很高的要求。另一種更好的方法是使用分布式網關發送各自的IPFIX流量給計費系統處理，從而避免集中式網關的性能瓶頸。

（3）校園網與運營商融合模式下用戶的體驗問題。校園網采用扁平化架構后，支持基于MAC和IPoE的無感知認證，實現了較好的用戶體驗。由于運營商寬帶的運營機制，在對接后往往需要二次認證。一種帶域識別的模式可解決這個問題，基于域后綴來識別是學校本地業務還是運營商業務，然后自動調用已綁定的運營商賬號發起PPPoE請求，這個過程對于用戶是透明執行的，因此可改善用戶體驗。

（4）校園網與運營商的網絡邊界與網絡安全審計問題。校園網和運營商雖然在業務網絡融合上存在需求，但由于網絡管理機制的差異性，雙方存在各自的網絡安全管理需求。在校園網絡與運營商網絡間部署代撥服務器，形成清晰的網絡邊界，實現雙邊的網絡安全管理與審計。

綜上所述，基于IPFIX流量管理和CoA策略的整合，可設計一種高校與多運營商融合的網絡架構。在扁平化的校園網核心集群下，支持統一的校園網初始策略下發和CoA策略調整，并通過邊界代撥服務器和各運營商整合。這種網絡融合架構的總體設計如圖3所示。

3.2? 校園網融合組網實施及完成情況

華中師范大學2017年12月完成了校園網與中國移動、中國電信、中國聯通三大運營商的融合組網對接工作。華中師范大學校園網（包含有線網和無線校園網的一體化網絡）用戶均可以直接方便的選擇CERNET、移動、電信、聯通出口訪問互聯網，既可以靈活選擇互聯網出口，又具有一致的校園內網訪問策略，可便捷免費地訪問校園網教學科研資源，并可直達訪問學校已購置的學術期刊庫資源等。2017年累計使用了融合寬帶的用戶數達20717，月均活躍用戶數達9800。項目實施以來，使用融合網絡的月均活躍用戶占用戶總數比例達到27%，校園網出口帶寬約節省了25%，校園網與運營商融合網絡運行情況良好。融合組網模式下校園網的統一Portal界面如圖4所示。

4? 結? 論

高校校園網不同于一般的園區網，存在用戶數量大、用戶活躍程度高、網絡應用繁多、網絡安全態勢復雜等特點。校園網要有效支撐不斷增長的教學、科研、校園生活等多業務的信息化應用，從出口帶寬和多業務QoS保障方面優化創新。運營商核心骨干網是國家高速網絡基礎設施，校園網要實現良性發展，離不開和運營商網絡的優化整合。本文研究了如何通過IPFIX的流量處理技術優化校園網的互聯網帶寬有效管理，探討了基于CoA實現多業務融合的策略分發機制，并部署代撥設備合理劃分了網絡安全邊界。實踐表明，該方案可在大規模的校園網中實現和運營商網絡的直接融合，具有一定的實用性，并可以達到預期的應用效果。

參考文獻：

[1] 凡民丁.GPON部署扁平化設計 [J].信息通信，2015（9）：209-210.

[2] 王珊，陳松，周明天.網絡流量分析系統的設計與實現 [J].計算機工程與應用，2009，45（10）：86-88.

[3] 湯小康.扁平化的校園網絡架構設計 [J].信息與電腦（理論版），2014（7）：62-63.

[4] 馬安龍.利用QINQ技術構建扁平化網絡 [J].電腦知識與技術，2012，8（15）：3528-3529.

作者簡介：解攀科（1981-），男，漢族，湖北大冶人，工程師，理學碩士，主要研究方向：教育信息化和數字化學習。