湖北工業(yè)大學(xué)校園網(wǎng)聯(lián)合運營方案

文/李倩倩 唐華 張濤

隨著校園網(wǎng)用戶對接入網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)模、帶寬出口要求越來越高以及業(yè)務(wù)應(yīng)用越來越復(fù)雜，校園網(wǎng)與多網(wǎng)絡(luò)提供商（ISP）聯(lián)合運營成為各地高校尋找支撐校園網(wǎng)絡(luò)服務(wù)的解決辦法。聯(lián)合運營的建設(shè)目標(biāo)主要集中在打通內(nèi)部校園網(wǎng)網(wǎng)絡(luò)和外部運營商網(wǎng)絡(luò)對接的壁壘，形成邊界清晰、資源節(jié)約的生態(tài)網(wǎng)絡(luò)環(huán)境；確保校園用戶上網(wǎng)行為的可控性，如身份識別、實名認證、權(quán)限管理等，滿足國家相關(guān)法律法規(guī)對校園網(wǎng)用戶上網(wǎng)行為的要求；建設(shè)基于服務(wù)類型的、開放的承載系統(tǒng)，把握用戶不同服務(wù)接入、各類業(yè)務(wù)拓展的精細化管理趨勢?？傊?，聯(lián)合運營后的高校校園網(wǎng)意在成為一個融合開放、泛在可控、簡易管理、高速接入、有線無線一體的網(wǎng)絡(luò)服務(wù)輸出基地。

聯(lián)合運營發(fā)展歷程及不足

發(fā)展歷程

大部分高校與三大網(wǎng)絡(luò)提供商（ISP）合作方式經(jīng)歷了各自運營、部分融合和整合統(tǒng)一三大階段。

第一階段：辦公樓棟和宿舍樓棟網(wǎng)絡(luò)獨立部署、不互聯(lián)。在這個階段，高校對宿舍區(qū)運營商的運營行為沒有任何監(jiān)管權(quán)，學(xué)生用戶上網(wǎng)行為如上網(wǎng)總?cè)藬?shù)、網(wǎng)絡(luò)總流量、開號費用等信息不納入學(xué)校的管理系統(tǒng)，不利于溯源管理。宿舍樓棟學(xué)生訪問學(xué)校資源困難，需要繞過運營商再進入校園網(wǎng)，無法滿足學(xué)生的需求，也不利于學(xué)校信息化建設(shè)。

第二階段：局部試點，對運營商網(wǎng)絡(luò)與校園網(wǎng)絡(luò)進行對接。以用戶選擇哪個運營商則訪問互聯(lián)網(wǎng)就走哪個運營商鏈路為原則，通過BRAS設(shè)備的帶域認證模式和出口路由器協(xié)助滿足互相兼容模式下的多方需求。高校出口同時接入三家運營商網(wǎng)絡(luò)，并且通過計費軟件系統(tǒng)與運營商的計費平臺直接對接，實現(xiàn)校園網(wǎng)統(tǒng)一運營。計費系統(tǒng)的對接，學(xué)校和運營商雙方都能明確用戶在線的活動情況。但這個階段也存在需要統(tǒng)籌多家運營商、合作難度大、周期長等問題，制約高校整體信息化發(fā)展。

第三階段：校園網(wǎng)逐步從運營型網(wǎng)絡(luò)向服務(wù)型網(wǎng)絡(luò)轉(zhuǎn)型，智慧校園建設(shè)成為本階段高校校園網(wǎng)建設(shè)的熱點。同時，隨著扁平化的網(wǎng)絡(luò)架構(gòu)在高校校園網(wǎng)的落地實施，為“三網(wǎng)合一”提供了可行條件，隨之開啟運營商租用校園基礎(chǔ)網(wǎng)絡(luò)設(shè)施模式。在智慧校園浪潮的推動下，學(xué)校開始自建校園基礎(chǔ)網(wǎng)絡(luò)，各家運營商租用校園網(wǎng)絡(luò)開展固移融合套餐模式。校園內(nèi)部的網(wǎng)絡(luò)管理和控制由學(xué)校負責(zé)，運營商投資自家出口設(shè)備和帶寬線路，負責(zé)出口的管理和運營，同時根據(jù)收益和用戶開戶情況給學(xué)校支付相應(yīng)的基礎(chǔ)網(wǎng)絡(luò)租金。

傳統(tǒng)方案的不足

從湖北來看，大多數(shù)高校處于第二階段或者向第三階段過渡的時期。傳統(tǒng)高校聯(lián)合運營部署方案體系分為兩種場景，如圖1、圖2所示。兩種場景中高校均引入多家運營商，搭建了一個開放的良性競爭平臺。

圖1 BRAS帶域認證與運營商AAA對接解決方案

圖2 代撥與運營商BRAS對接解決方案

場景一：校內(nèi)BRAS帶域認證對接運營商認證計費系統(tǒng)。這種場景下，運營商提供各自的認證域名，如電信提供的域名為user@dianxin，校方對學(xué)號和帶域賬號進行綁定，用戶帶域或不帶域撥號，BRAS通過域?qū)Ψ?wù)控制策略的引用，區(qū)別不同用戶類型，對用戶進行業(yè)務(wù)控制和管理。校園網(wǎng)用戶走本地認證，運營商用戶通過BRAS的隧道認證模式走運營商的認證流程，直接發(fā)送給運營商認證計費系統(tǒng)服務(wù)器。該方案架構(gòu)直接對接多個運營商的寬帶出口和AAA計費系統(tǒng)，避免相互干擾，但校方一側(cè)管理上網(wǎng)用戶不靈活，有線、無線認證不統(tǒng)一，需要部署多套認證計費系統(tǒng)，造成計費系統(tǒng)之間信息不同步、有線賬號和無線賬號不通用的困擾，認證節(jié)點多，對接復(fù)雜，不能同時滿足多方需求且存在單點故障問題。

場景二：認證計費系統(tǒng)通過代撥設(shè)備對接運營商BRAS系統(tǒng)。該場景屬于最常見的一種融合運營模式，整個部署方案由校內(nèi)BRAS、校內(nèi)Radius服務(wù)器、出口設(shè)備組、ISP(運營商)BRAS、ISP(運營商)AAA等五個部分構(gòu)成，用于實現(xiàn)基本的接入管理、實名制管理、撥號認證管理和計費管理等功能。該方案通過代撥設(shè)備實現(xiàn)了學(xué)校與運營商賬號的統(tǒng)一，簡化了校園網(wǎng)側(cè)與運營商側(cè)對接問題和上網(wǎng)認證過程。但從整個架構(gòu)來說，運營商鏈路并不共享，出口設(shè)備數(shù)量太多，各運營商均需購買自己的代撥設(shè)備，增加了運營商的建設(shè)成本，造成資源浪費、鏈路復(fù)雜，也容易造成流量穿越。出口邊界串聯(lián)部署多個硬件設(shè)備負責(zé)不同的業(yè)務(wù)功能，增加了業(yè)務(wù)數(shù)據(jù)交換延遲風(fēng)險，不利于校方簡化管理和網(wǎng)絡(luò)運維工作。

從以上場景分析可以看出，部署方案各有利弊，校方應(yīng)從簡潔組網(wǎng)模式、優(yōu)化運維管理和簡化認證流程三個方面出發(fā)，探究高校校園網(wǎng)與多ISP聯(lián)合運營的最佳方案。

需求分析

在高校信息化建設(shè)過程中，關(guān)注各方的需求點是多方合作的基礎(chǔ)。經(jīng)過一段時間的合作、實踐和探索，各方關(guān)注點主要集中在以下幾個方面，見表1。

表1 三方需求分析

建設(shè)思路和部署方案

體系架構(gòu)

按照三方需求，遵循實用性、可擴展性、可靠性以及易維護性原則，從高校校園網(wǎng)建設(shè)的實際出發(fā)，構(gòu)建了一個集管理模式與技術(shù)架構(gòu)于一體的簡潔、簡易、高效的聯(lián)合運營框架，如圖3所示。

圖3 聯(lián)合運營部署新方案體系架構(gòu)

“扁平化網(wǎng)絡(luò)架構(gòu)+QinQ技術(shù)”實現(xiàn)了運營商共用校園基礎(chǔ)鏈路的簡潔組網(wǎng)模式，為上層系統(tǒng)融合打下基礎(chǔ)。邏輯上的“大二層”在簡化網(wǎng)絡(luò)架構(gòu)的同時使功能層次更清晰，業(yè)務(wù)控制更集中，接入層開啟VLAN隔離避免用戶數(shù)據(jù)接入時造成環(huán)路；匯聚層采用QinQ技術(shù)，將打了一層VLAN Tag的用戶報文封裝在事先規(guī)定好的外層VLAN Tag中進行傳播；外層VLAN Tag可以根據(jù)不同樓棟的有線無線接入場景事先規(guī)劃?！按蠖印苯Y(jié)構(gòu)強化了核心層處理業(yè)務(wù)數(shù)據(jù)和接入網(wǎng)關(guān)的功能，核心層不僅用于VLAN的終結(jié)，還擔(dān)負著高速轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)和三層接入網(wǎng)關(guān)的任務(wù)。這種扁平化設(shè)計有效實現(xiàn)校園內(nèi)部網(wǎng)絡(luò)和運營商網(wǎng)絡(luò)的融合。

“高性能BRAS設(shè)備+認證計費服務(wù)器+代撥設(shè)備”實現(xiàn)了簡易的認證計費流程。BRAS設(shè)備旁掛認證計費服務(wù)器、數(shù)據(jù)中心和服務(wù)器群，與認證計費系統(tǒng)配合完成校內(nèi)有線無線用戶訪問校內(nèi)資源的準(zhǔn)入邊界。校園網(wǎng)出口部署代撥設(shè)備作為互聯(lián)網(wǎng)準(zhǔn)出邊界，與BRAS和校園網(wǎng)認證計費系統(tǒng)聯(lián)動，實現(xiàn)準(zhǔn)入準(zhǔn)出一體化。用戶采用學(xué)號登錄通過本地認證計費系統(tǒng)認證后，BRAS設(shè)備放行數(shù)據(jù)，可直接免費訪問校內(nèi)資源服務(wù)器。當(dāng)用戶需要訪問互聯(lián)網(wǎng)時，則通過認證計費系統(tǒng)給BRAS下發(fā)授權(quán)，通過BRAS的策略路由。如果是校園網(wǎng)用戶則走校園網(wǎng)出口，如果是運營商用戶，代撥通過PPPoE撥號動作配合防火墻的負載均衡功能將綁定的運營商帳號發(fā)送給相應(yīng)的運營商BRAS進行Radius認證，認證成功后由運營商放行。至此，用戶方可訪問互聯(lián)網(wǎng)資源，并由運營商的Radius系統(tǒng)進行計費。整個認證過程只需用戶一次登錄，同時完成校內(nèi)準(zhǔn)入和互聯(lián)網(wǎng)準(zhǔn)出，認證轉(zhuǎn)換后臺自動完成，能夠同時實現(xiàn)校園內(nèi)部網(wǎng)絡(luò)和認證計費運營平臺以及“二次認證”的無縫融合。

一套認證計費管理平臺實現(xiàn)了軟硬件高度融合下的高效運維管理。管理平臺全面支持多種認證模式，可以根據(jù)用戶組類型、接入網(wǎng)絡(luò)的物理區(qū)域、接入網(wǎng)絡(luò)的方式（有線/無線）等模式制定多樣化的計費策略，達到校園網(wǎng)用戶精細化控制管理的目的，致力于與學(xué)校和運營商聯(lián)合運營方案結(jié)合，從時間與空間上滿足多樣化的管理需求。

在本框架中，校方投入相關(guān)網(wǎng)絡(luò)設(shè)備與基礎(chǔ)網(wǎng)絡(luò)改造，在其監(jiān)管下，不同運營商僅需在出口邊界做好出口帶寬服務(wù)即可。這樣，既讓校方獲得網(wǎng)絡(luò)管理所有權(quán)，又降低運營商的運營成本。校方用極簡的理念打造一個簡潔的組網(wǎng)模式、簡易的認證計費流程和高效的運維管理技術(shù)方案。

無線認證計費原理和寬帶上網(wǎng)流程

無線網(wǎng)絡(luò)技術(shù)的到來，使海量教學(xué)終端、校園管理物聯(lián)接入成為趨勢，無線網(wǎng)絡(luò)覆蓋成為各大高校信息化建設(shè)的重中之重。在聯(lián)合運營方案下，無線網(wǎng)絡(luò)作為其中關(guān)鍵環(huán)節(jié)，其認證計費原理大致分為四個步驟。

1.無線客戶端與AP，AP與AC建立連接過程。這個階段是建立無線客戶端和AP間數(shù)據(jù)鏈路的過程，首先通過在多個通道上發(fā)送探測（probe）來搜索相應(yīng)的網(wǎng)絡(luò)，探測請求指定網(wǎng)絡(luò)的名字（SSID）和支持的速率，通過在客戶端和AP上配置密鑰實現(xiàn)認證,AP會映射一個邏輯端口（AID）到客戶端，此時二者的通信建立起來，AP可以將客戶端發(fā)出的幀轉(zhuǎn)發(fā)出去。同時，AP通過地址解析（DNS）獲取AC地址，并與AC通過Discovery-Join-Configuration-Run等過程建立CAPWAP控制隧道轉(zhuǎn)發(fā)數(shù)據(jù)。

2.無線用戶在portal認證頁面提交用戶名和密碼過程。這個階段分為DHCP地址分配流程和portal頁面提交流程兩個部分。其中，BRAS作為DHCP服務(wù)器端，客戶端通過DHCP協(xié)議中DHCP Address Assignment報文與其建立連接后，向其分配事先規(guī)定好的DHCP地址池中的IP地址，隨后用戶發(fā)起HTTP Request portal-url請求，報文發(fā)送到AC，AC查看內(nèi)部信息，并推送給BRAS，BRAS重定向至Portal服務(wù)器，向用戶發(fā)送Portal認證頁面。上網(wǎng)用戶填入賬號密碼和選擇相應(yīng)的網(wǎng)絡(luò)服務(wù)后，發(fā)起HTTPs POST portal-url請求將該頁面提交出去。

3.認證過程。BRAS向Radius認證計費服務(wù)器發(fā)送UserInfo Request報文，Radius認證計費服務(wù)器在驗證用戶賬號和密碼無誤后將結(jié)果返回給BRAS。認證通過，按照CHAP流程向AC請求Challenge,如果AC在3秒內(nèi)無響應(yīng)報文，則重發(fā)Challenge請求，AC確認Challenge,后將賬號、Challenge ID、Challenge和Challenge-Password等信息通過BRAS發(fā)送到Radius服務(wù)器進行認證；認證拒絕，AC返回ACK_AUTH消息，Portal向用戶返回認證失敗結(jié)果。在用戶認證通過后，BRAS發(fā)起accounting-start報文給Radius服務(wù)器，服務(wù)器回應(yīng)accounting-response響應(yīng)報文，AC確認消息，Portal向用戶返回認證成功結(jié)果，用戶開始上網(wǎng)。

4.計費過程。AC轉(zhuǎn)發(fā)用戶流量到BRAS，BRAS終結(jié)用戶VLAN，并對用戶進行上網(wǎng)地址分配。為了能夠?qū)崟r計費，AC每間隔15分鐘向Radius服務(wù)器發(fā)送Accounting-request Update報文信息，Radius服務(wù)器回應(yīng)Accounting-response Update報文，實時計費。當(dāng)AC收到用戶請求下線信息時，通過BRAS向Radius服務(wù)器發(fā)送Accounting-request Stop報文，如果2秒內(nèi)無響應(yīng)，則重發(fā)請求，超過2次則強制下線。

根據(jù)上述方案架構(gòu)，寬帶上網(wǎng)流程如圖4所示，以便上網(wǎng)用戶能快速掌握上網(wǎng)步驟，感受極佳的用戶體驗。

圖4 用戶上網(wǎng)流程

本文提出的聯(lián)合運營解決方案在一定程度上優(yōu)化了傳統(tǒng)聯(lián)合運營模式下的運維和管理難題，對校方來說，運維更高效，管理更聚焦，權(quán)力更集中；對用戶來說，把自主上網(wǎng)選擇權(quán)還給學(xué)生用戶，通過無感知認證簡化了上網(wǎng)流程；對運營商來說，運營成本更低，市場更廣。該解決方案真正做到了網(wǎng)絡(luò)設(shè)備共享、學(xué)校資源共享，實現(xiàn)了高校與運營商共建、共享、共贏的目標(biāo)，為智慧校園建設(shè)打下了堅實的信息化基礎(chǔ)，對高校校園網(wǎng)與運營商聯(lián)合運營具有很好的借鑒作用。