多網(wǎng)融合的智慧校園業(yè)務(wù)隨行架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

王理想 廖永紅 郭潤(rùn)峰 何志勇

（廣東輕工職業(yè)技術(shù)學(xué)院信息化建設(shè)中心 廣東省廣州市 510000）

高等院校在前期信息化建設(shè)過(guò)程中已經(jīng)建成了全面覆蓋的有線網(wǎng)絡(luò)，廣泛覆蓋的無(wú)線網(wǎng)絡(luò)，運(yùn)營(yíng)商也積極對(duì)校園進(jìn)行了5G 網(wǎng)絡(luò)覆蓋，在新一輪以智能為主題的智慧校園建設(shè)中，如何實(shí)現(xiàn)有線+無(wú)線+5G 的融合，實(shí)現(xiàn)資源互通，并實(shí)現(xiàn)統(tǒng)一安全認(rèn)證、業(yè)務(wù)隨行、基于用戶組選路的業(yè)務(wù)能力，為用戶提供無(wú)感、智能、泛在的網(wǎng)絡(luò)接入能力是當(dāng)前智慧校園研究的重點(diǎn)。

1 網(wǎng)絡(luò)現(xiàn)狀

隨著校園信息化建設(shè)的持續(xù)推進(jìn)，各高校在基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全保障系統(tǒng)、后勤服務(wù)系統(tǒng)都已具有一定規(guī)模。有線無(wú)線融合的校園網(wǎng)絡(luò)為用戶提供隨時(shí)隨地快捷的網(wǎng)絡(luò)接入，為智慧校園建設(shè)提供基礎(chǔ)保障。校園各類系統(tǒng)建設(shè)已基本完成，辦公發(fā)文、項(xiàng)目管理、考勤人事、學(xué)生管理等均有線上系統(tǒng)支撐，基本已實(shí)現(xiàn)無(wú)紙化辦公。雖然基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)已經(jīng)初具規(guī)模，但是還停留在網(wǎng)絡(luò)可接入、業(yè)務(wù)可訪問(wèn)、網(wǎng)絡(luò)可達(dá)的基本需求，沒(méi)有實(shí)現(xiàn)校園網(wǎng)的智能化、智慧化、資源充分利用[1]，且網(wǎng)絡(luò)接入層體量巨大，改造升級(jí)涉及資金投入大，其中主要表現(xiàn)在以下幾個(gè)方面：

（1）網(wǎng)絡(luò)隔離、資源浪費(fèi)：5G/4G 網(wǎng)絡(luò)校園覆蓋率高，但是沒(méi)有跟校園網(wǎng)打通，校內(nèi)資源無(wú)法通過(guò)5G 訪問(wèn)，校園網(wǎng)自建有線、無(wú)線網(wǎng)絡(luò)資金投入大，運(yùn)維壓力大，因?yàn)榫W(wǎng)絡(luò)隔離造成資源、資金、人員的巨大浪費(fèi)。

（2）有線無(wú)線、不同認(rèn)證：有線認(rèn)證需要安裝客戶端，無(wú)線認(rèn)證采用http+portal 認(rèn)證方式[2]，賬號(hào)密碼未與LDAP 對(duì)接，用戶體感差，無(wú)線portal 采用http 認(rèn)證方式存在安全隱患。

（3）業(yè)務(wù)暴露、無(wú)法選路：現(xiàn)網(wǎng)沒(méi)有基于用戶組、資源組、出口的策略控制，只要入網(wǎng)則所有資源均可訪問(wèn)，出口是基于源IP進(jìn)行策略路由，則同一個(gè)用戶在不同區(qū)域則可能業(yè)務(wù)權(quán)限不同、互聯(lián)網(wǎng)出口不同。

2 智慧校園5G+多網(wǎng)融合架構(gòu)

智慧校園建設(shè)融合網(wǎng)絡(luò)架構(gòu)能夠?yàn)橛脩?、終端、邊緣設(shè)備提供泛在接入能力，打破校園網(wǎng)局限，利用5G 移動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)校園萬(wàn)物互聯(lián)，打造校園5G 專網(wǎng)，解決基礎(chǔ)網(wǎng)絡(luò)帶寬、時(shí)延、性能不足，避免大規(guī)模基礎(chǔ)網(wǎng)絡(luò)改造的資金投資，提供隨時(shí)隨地快速網(wǎng)絡(luò)接入的能力，為多校區(qū)資源融合提供快速穩(wěn)定的途徑。

通過(guò)光纖直連將運(yùn)營(yíng)商近校園網(wǎng)的5G 邊緣節(jié)點(diǎn)與校園網(wǎng)核心互聯(lián)（或直接將5G邊緣節(jié)點(diǎn)落地校園），實(shí)現(xiàn)校園網(wǎng)與5G鏈路互通，梳理校園網(wǎng)內(nèi)網(wǎng)資源，并利用5G-DNN 技術(shù)為本校園網(wǎng)資源打標(biāo)記，如廣東輕院廣州資源集合DNNTag=GDQYGZ1@CMCC，為廣東輕院師生手機(jī)號(hào)授予該資源權(quán)限，則經(jīng)過(guò)授權(quán)的手機(jī)號(hào)通過(guò)任何區(qū)域的5G 網(wǎng)絡(luò)則可訪問(wèn)校內(nèi)資源，實(shí)現(xiàn)用戶、終端泛在接入智慧校園[3][4]。智慧校園5G+多網(wǎng)融合架構(gòu)如圖1所示。

3 智慧校園統(tǒng)一認(rèn)證體系

校園網(wǎng)絡(luò)分為三層架構(gòu)：接入層、匯聚層、核心層，接入層和匯聚層設(shè)備品牌不同、性能不同、新舊不同，無(wú)法實(shí)現(xiàn)全局統(tǒng)一策略調(diào)整，因此首先進(jìn)行校園網(wǎng)扁平化改造，將業(yè)務(wù)網(wǎng)關(guān)、認(rèn)證網(wǎng)關(guān)均上移校園網(wǎng)核心設(shè)備，然后再做LDAP 統(tǒng)一認(rèn)證，基于用戶組的策略下發(fā)。

3.1 扁平化改造

扁平化改造即將業(yè)務(wù)網(wǎng)關(guān)、認(rèn)證網(wǎng)關(guān)上移至網(wǎng)絡(luò)核心，核心層以下均為二層網(wǎng)絡(luò)，減少異構(gòu)網(wǎng)絡(luò)的復(fù)雜性，減輕網(wǎng)絡(luò)升級(jí)、運(yùn)維的壓力，為實(shí)現(xiàn)根據(jù)不同區(qū)域、不同用戶組下發(fā)不同策略，在扁平化改造過(guò)程中應(yīng)為不同區(qū)域分配不同vlan，考慮接入層網(wǎng)絡(luò)設(shè)備體量巨大，因此在盡量保持原有vlan 的情況下將學(xué)校分成兩個(gè)區(qū)域，vlan 相互隔離不混用，在各層網(wǎng)絡(luò)設(shè)備開啟端口隔離。扁平化區(qū)域vlan 示例如表1所示。

圖3：網(wǎng)絡(luò)核心UCL+策略配置示例

表1：扁平化區(qū)域vlan 示例

表2：業(yè)務(wù)隨行策略規(guī)劃示例

3.2 統(tǒng)一認(rèn)證

在網(wǎng)絡(luò)核心設(shè)備開啟radius 協(xié)議，通過(guò)radius 協(xié)議與后臺(tái)認(rèn)證系統(tǒng)進(jìn)行AAA 對(duì)接，做用戶的準(zhǔn)入準(zhǔn)出認(rèn)證，對(duì)所有認(rèn)證區(qū)域（通過(guò)vlan 標(biāo)識(shí)）開啟認(rèn)證，認(rèn)證方式采用Portal 認(rèn)證，Portal 認(rèn)證又稱為強(qiáng)制WEB 認(rèn)證，無(wú)需安裝客戶軟件、與組網(wǎng)設(shè)備無(wú)關(guān)，可為新業(yè)務(wù)提供強(qiáng)大支撐。Portal 頁(yè)面采用https 協(xié)議（或在portal 服務(wù)器進(jìn)行http 轉(zhuǎn)https）保證賬號(hào)密碼在認(rèn)證交互過(guò)程不泄露[6][7]。

AAA 認(rèn)證計(jì)費(fèi)服務(wù)器對(duì)接校內(nèi)LDAP 服務(wù)器，實(shí)現(xiàn)校園統(tǒng)一身份對(duì)接，為保證認(rèn)證穩(wěn)定[8]，認(rèn)證模式采用先LDAP 認(rèn)證，再本地認(rèn)證，LDAP 認(rèn)證過(guò)程中如本地沒(méi)有賬號(hào)則同步開戶，密碼以LDAP 服務(wù)器上面賬號(hào)密碼為優(yōu)先，并保持更新。LDAP+本地認(rèn)證流程如圖2所示。

3.3 業(yè)務(wù)隨行

按人員、業(yè)務(wù)、區(qū)域、出口類別細(xì)分校園網(wǎng)資源組，并按需求進(jìn)行策略制定，然后在校園網(wǎng)核心通過(guò)UCL 進(jìn)行策略的配置[9][10]，同時(shí)在認(rèn)證后臺(tái)通過(guò)用戶組、區(qū)域類型對(duì)用戶進(jìn)行區(qū)分，并在認(rèn)證交互時(shí)進(jìn)行策略下發(fā)，實(shí)現(xiàn)用戶業(yè)務(wù)隨行。業(yè)務(wù)隨行策略規(guī)劃示例如表2所示，網(wǎng)絡(luò)核心UCL+策略配置示例如圖3所示。

4 總結(jié)展望

當(dāng)前智慧校園已經(jīng)實(shí)現(xiàn)5G+校園有線/無(wú)線的多網(wǎng)融合，并通過(guò)對(duì)接LDAP，深度利用radius 協(xié)議，實(shí)現(xiàn)認(rèn)證統(tǒng)一，實(shí)現(xiàn)基于用戶組、資源組的用戶業(yè)務(wù)隨行，實(shí)現(xiàn)在網(wǎng)絡(luò)層對(duì)校內(nèi)資源進(jìn)行安全管控，實(shí)現(xiàn)無(wú)感、自動(dòng)選擇互聯(lián)網(wǎng)出口，已經(jīng)實(shí)現(xiàn)的一定的智能化，為智慧校園建設(shè)提供智能的網(wǎng)絡(luò)層管控，但是目前管控策略仍然需要手工配置，對(duì)各類資源劃分顆粒度不能太小，否則運(yùn)維及其繁瑣，下一步將通過(guò)升級(jí)校園網(wǎng)核心，升級(jí)后支持Openflow 相關(guān)協(xié)議，通過(guò)SDN 控制器實(shí)現(xiàn)各類資源的細(xì)顆粒度的劃分及對(duì)應(yīng)策略的自動(dòng)下發(fā)[11]，提高智慧校園網(wǎng)絡(luò)層的智能化程度及安全管控深度[12]。