中南民族大學：打造無邊界校園網接入認證

文/高杰欣

中南民族大學：打造無邊界校園網接入認證

文/高杰欣

學校改造后的技術方案實際上是一個全冗余的網絡結構，從核心到邊界，任何一個單點的故障都不會影響其他設備的運行，允許將所有設備分散在主機房和容災機房兩個不同地理位置同時運行，極大地保障了架構的健壯性和可用性。

改造背景

中南民族大學校園網自2004年廣泛應用以來，教學辦公區一直使用人工ARP綁定方式認證，在此區域師生用戶均不收費，學生區先后使用了兩個廠商的網關型認證設備，按每月20元，不限制流量和上下行帶寬包月，IP獲取需要到服務大廳打印并手工配置，由認證網關進行ARP綁定。隨著校園網的發展，綁定ARP認證給用戶帶來諸多不便，舊設備性能已遠遠無法滿足用戶量的增長，認證無法滿足多種終端和操作系統的支持，無法提供IPv6的認證，設備不具備組網架構冗余和負載均衡等可靠性要求，以及與數字化校園統一身份認證集成、靈活的技術架構等管理方面的需要。

改造認證系統前，校園網完成了匯聚層升級，實現了匯聚層雙萬兆到核心，樓棟接入層雙萬兆到匯聚，接入層千兆到桌面，IP地址使用10段虛地址DHCP動態分配。這樣一來，用戶不用認證就可以自由訪問園區網內資源和站點，只是訪問互聯網需要鑒權準出。

建設思路

認證系統的總原則是：在避免改動原有三層網絡架構的基礎上，以滿足未來5～10年的性能趨勢進行技術選型，兼顧無線網絡、有線網絡和IPv4/IPv6雙棧的統一認證，支持豐富的終端類型，同時減輕管理維護的復雜度。

首先是保持現有網絡三層架構，相當于直接排除了802.1X和PPPoE兩種認證方式。802.1X不僅需要現有接入層和匯聚層交換機支持相應的功能，還需要在這些大量的交換機上做配置，工作量較大；PPPoE則要求把三層結構廢除，重新配置成大二層網絡，暫且不說大二層網絡自身的缺點，僅是全網的大二層改造就是一項費時費力的工程。保持網絡架構，能夠最大可能地保證用戶接入的可靠穩定，避免這一項改造對用戶造成的持續影響，同時也降低本項工程自身的成本和復雜度。

其次是滿足未來5～10年的性能，這要求該設備至少是10Gbps以上的業務接口，單臺交換能力應在300Gbps以上，同時在線不少于12000用戶。

再次是兼顧有線和無線、IPv4和IPv6的統一認證，有線網絡的認證靈活性較大，支持的方式較多，無線網絡則須考慮IPoE、無感知認證等方式，IPv4和IPv6雙棧要求一次認證，同時獲得雙棧的網絡地址，提升用戶網絡訪問體驗。

最后是管理維護，其復雜度和認證系統架構本身息息相關，認證系統部署在園區網中，是串接還是旁掛，影響著核心網絡架構的修改，雙機集群將保證認證系統自身的高可用性，此外還須兼顧辦公室環境的局域網共享。除去了上述802.1X和PPPoE方式后，設備能支持的認證方式也所剩不多，在綜合比較后，計劃采用BRAS支持的L2TP方式。

方案設計

圖1 認證系統改造網絡拓撲

經過仔細的比較篩選和分析研判，中南民族大學最終選用了ME60設備作為認證網關的改造方案，圖1為認證系統改造網絡拓撲。

兩臺ME60-X3作為全網的有線和無線的統一認證網關，物理結構上是串接在網絡中的，相對于舊認證網關而言，在整個改造過程中ME60更像旁掛在網絡中。每個ME60通過Virtual port-channel雙萬兆鏈路與Nexus7000核心交換相連，對于核心交換而言是看見兩個ME60設備。ME60之間進行集群方式連接和配置，分別啟用相同IP的loopback地址作為用戶使用的LNS地址，將該LNS的默認路由等值指向兩個ME60各自實際的LNS地址，實現所有認證撥入請求均衡的連接到兩個ME60，任一ME60因故停止能夠確保ME60集群內的會話接管和用戶體驗。

用戶在校園網內任一接入層連接網絡，首先獲取一個10段虛地址，該虛地址在有線網絡上不用認證可直接訪問校園網資源和所有校園應用，在無線網絡上則需通過IPoE認證。撥入L2TP認證，可以使用操作系統自帶的VPN連接客戶端（Windows、Linux、Macos均有），認證后所有請求均從ME60上發起；還可使用專用的免安裝客戶端，該客戶端確保園區內網絡路由從認證前獲取的地址發起，而不走隧道，兼顧網絡靈活與效率。兩種認證方式均獲取IPv4和IPv6雙棧地址，其中IPv4是獲取另一個10段虛地址，IPv6獲取實地址。認證成功后，用戶訪問互聯網通過ME60發起連接，IPv6的互聯網請求通過核心交換直接送出，IPv4的互聯網請求通過兩個NPE送出。撥入IPoE認證，允許選擇無感知方式，當第一次認證成功后，下次使用同一個移動終端則無須再認證，每個IPoE的會話狀態只存在于一個ME60設備，若一個ME60因故停止，無感知認證則可在用戶未察覺情況下再次完成驗證并繼續上網，未勾選無感知認證的用戶則需重新驗證。

NPE在邊界網絡中是兩個獨立的設備，實現網絡地址轉換和智能選路等功能，通過認證的IPv4上網請求走任一NPE都會做NAT，因此數據包不管從哪一個NPE出去，都會從同一個NPE回來，實現源進源出，平時由兩個NPE分擔全部的出口流量負載，任一NPE若因故停止，也能無縫地由另一臺完全接管。

用戶在接入校際互聯的其他高校連接校園網，不管是無線還是有線，也會先獲取所在高校分配的10段虛IP，該IP由各高校事先所約定好，每校連續且不重復的8個B地址段，從這8個B的10段虛地址無需過各自的邊界即可直接互聯互通。對有線的校際漫游接入，等同于在更大的校園網撥本校的LNS；對無線的校際漫游接入，則只需在他校發布SSID，通過SSID上聯到自校的無線控制器并獲取IP。有線和無線的校際漫游認證均是將用戶和流量引入了自校的網絡，不會占用其他學校的邊界出口流量，不存在用戶信息的跨庫認證，也就不用擔心各自學校用戶隱私的泄漏或數據不一致，有線用戶通過L2TP的所有上網信息通過隧道傳回也不存在被監聽的問題。

用戶在公眾互聯網若擔心上下行數據傳輸安全，或需要使用只有校園網才能訪問的資源，則可用操作系統自帶客戶端撥L2TP進入校園網，這一操作無異于SSL VPN或其他VPN接入校園網。在NPE上映射3條線路的3個實IP給LNS，利用NPE的智能DNS解析功能將3個IP對應為一個域名，從公眾網進行校園網認證，使用該LNS域名進行連接，會自動匹配相應的運營商線路，以獲取最佳的線路體驗，驗證成功后，所有的網絡訪問流量將通過隧道傳入校園網，從校園網出口完成所有網絡訪問，最后再從隧道傳回給用戶。雖然這種方式因L2TP隧道損耗了網絡訪問體驗，但對辦公安全、特殊資源訪問卻能非常便捷的兼顧。

平滑的改造實施

網絡的改造難免會影響用戶的使用，大多會選擇午夜進行停機割接，對技術人員的實施壓力是很大的，尤其對于割接后可能出現的各種問題，更是牽一發而動全身，往往還面臨回退的窘境。

基于ME60部署的認證系統，與舊的認證是獨立的兩套環境，在部署過程中無須切斷原有系統，并且相互間不發生影響，對技術人員壓力減小許多。新認證在部署初期，就完成與統一身份認證系統的集成，實現每個教師、學生都有唯一賬號開通，教師繼續沿用只認證不收費策略，學生的余額信息則從舊認證系統讀取，做到與舊認證系統一致，且允許兩套認證系統并行。過度期結束后，舊認證系統不再接受充值，只允許在新認證系統充值，直至舊認證系統用戶越來越少而最終停用，整個認證系統的上線、測試、小范圍轉換、全部轉換等各環節都可在正常工作時間進行，更容易觀察問題，更少地影響用戶，更彈性地過渡過程，使改造的實施得以平滑完成。

對于教師用戶，原有的ARP綁定方式并不立即解除，只在變更和新開通時告知用戶無須再提出申請，直接使用DHCP自動獲取和L2TP認證即可，動態獲取IP無需老師們再去記憶自己的靜態IP信息，不管筆記本還是臺式機都可以直接拿來就用，在教師用戶中認可度較高，加上L2TP在離邊界網絡更近的拓撲位置發起連接，實際上網速度體驗會比在三層網絡下更好，因為園區網的高速連接消弭了L2TP封裝數據包更大的影響。辦公使用的網絡共享也不受L2TP影響，仍會按掩碼小的本地子網去連接共享打印機或共享文件夾。

對于學生用戶，每個人賬號從入學之日就已開通，只需動態獲取IP后完成自助充值就可使用，同時還可使用具有L2TP功能的家用路由器實現宿舍內共享。此外，ME60的認證比舊認證系統更穩定，上網速度更快，還支持IPv6，用戶更愿意自發轉向使用新的認證方式。

比較與小結

經過半年多的運行和調優，整套技術方案的運行效果遠遠超出了預想所要解決的問題，還在其他方面表現出以下優勢：

彈性的技術架構

目前的技術方案實際上是一個全冗余的網絡結構，從核心到邊界，任何一個單點的故障都不會影響其他設備的運行，允許將所有設備分散在主機房和容災機房兩個不同地理位置同時運行，極大地保障架構的健壯性和可用性。

在安全性上，無論校內、校際還是校外撥入，用戶到校園網核心的鏈路都是隧道，對校園網的安全、數據傳輸的安全都是有益的， 在并發能力上，當前ME60-X3單臺可以支持16000名用戶并發連接L2TP，兩臺總共可以支持到32000，這一參數至少5年內不會存在并發數的瓶頸。假設未來用戶數大幅增加，只需添加一臺ME60，使用相同的loopback地址就能不斷網、不停機的輕松完成擴容。校際間若采用相同的ME60方案，還可以依托loopback建立校際間的認證系統冗余，組建更為彈性、可靠的認證集群，實現更為靈活、可定義的認證系統。

無處不在的校園網

校園網只能在自校內認證使用已經是過去時的狹隘觀念，在校際間漫游使校園網擴展成一張更大的城域網絡，但既然稱之為網，就不應存在邊界的限制，校園網就應該無處不在。運用ME60的L2TP將校內、校際和互聯網都采用統一的入口實現準入，校園網不再是孤立的，對用戶而言具有新穎的體驗。

尤其對于校際認證，校際間交換用戶信息到各自的認證系統，存在用戶信息泄漏的擔憂，存在數據不一致的可能，存在對接技術接口的難題。該方案使得校際認證的用戶信息和計費不超出本校的范疇，鏈路的互聯互通不存在較高的技術難度。更具吸引力的是學生甚至可以選擇他校的校園網服務，比較誰的資源更多，價格更優，服務更好，這也使校園網實現了從封閉走向開放的華麗轉身。

從容不迫的管理

在事務性工作方面，用戶不用跑服務大廳，簡化了手續和流程，支持的終端不受操作系統的限制。在網絡結構方面，改成扁平化的好處并不能掩蓋扁平化后的新問題，還帶來更大的維護量，保持現有網絡結構也是一種可靠的選擇。一次撥入獲得雙棧地址，減去了在每個網絡設備配置IPv6的工作量，也減少了排障時的復雜度，還免去了專門購置IPv6設備的開銷。

（作者單位為中南民族大學網絡技術中心）

什么是L2TP

L2TP協議是由IETF起草，微軟、Ascend、Cisco、3COM等公司參與制定的二層隧道協議，它結合了PPTP和L2F兩種二層隧道協議的優點，為眾多公司所接受，已經成為IETF有關2層通道協議的工業標準。L2TP 是一個數據鏈路層協議，基于UDP。其報文分為數據消息和控制消息兩類。數據消息用投遞 PPP 幀，該幀作為L2TP報文的數據區。L2TP不保證數據消息的可靠投遞，若數據報文丟失，不予重傳，不支持對數據消息的流量控制和擁塞控制。控制消息用以建立、維護和終止控制連接及會話，L2TP確保其可靠投遞，并支持對控制消息的流量控制和擁塞控制。簡而言之，L2TP是一種標準的VPN隧道。