基于IPFIX和CoA的高校多運營商融合網(wǎng)絡建設

解攀科　吳小平　郭偉秀　許婷　唐亦非　余琳

摘? 要：大多數(shù)校園網(wǎng)早期使用傳統(tǒng)的三層架構(gòu)模式部署，易于實現(xiàn)快速組網(wǎng)。但隨著終端數(shù)量不斷增多，校園網(wǎng)帶寬發(fā)生了爆發(fā)性的增長，校園網(wǎng)的QoS保障也面臨新的挑戰(zhàn)，高校師生不斷增長，多業(yè)務用網(wǎng)需求無法得到滿足。本文采用一種扁平化架構(gòu)設計校園網(wǎng)，并通過IPFIX協(xié)議精準識別流量后進行處理，可有效降低網(wǎng)絡擁塞?；贑oA靈活策略處理，可實現(xiàn)校園網(wǎng)與運營商網(wǎng)絡的有機整合?？紤]網(wǎng)絡安全管控因素，在網(wǎng)絡邊界部署代撥設備實現(xiàn)網(wǎng)絡隔離，并支持校園網(wǎng)建立高并發(fā)寬帶通道連接運營商核心網(wǎng)，實現(xiàn)校園網(wǎng)與多運營商網(wǎng)絡的有機融合。

關鍵詞：扁平化網(wǎng)絡;IPFIX;CoA;融合網(wǎng)絡

中圖分類號：TP393? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）23-0046-05

Construction of Multi-Operator Fusion Network in Universities Based on IPFIX and CoA

XIE Panke1，WU Xiaoping1，GUO Weixiu2，XU Ting1，TANG Yifei1，YU Lin1

（1.Information Office of Central China Normal University，Wuhan? 430079，China;

2.No.1 Middle School Affiliated to Central China Normal University，Wuhan? 430223，China）

Abstract：Most of the early campus networks use the traditional three-tier architecture mode deployment，which is easy to achieve rapid networking. However，with the increasing number of terminals and the explosive growth of the bandwidth of the campus network，the QoS guarantee of the campus network is also facing new challenges. With the continuous growth of college teachers and students，the demand for multi service network cannot be met. In this paper，a flat architecture is used to design the campus network，and the traffic is accurately identified by IPFIX protocol，which can effectively reduce network congestion. Based on the flexible strategy processing of CoA ，the organic integration of campus network and operator network can be realized. Considering the factors of network security management and control，the network isolation is realized by deploying the proxy equipment at the network boundary，and the high concurrent broadband channel is supported in the campus network to connect the core network of the operator，so as to realize the organic integration of the campus network and the multi operator network.

Keywords：flat network;IPFIX;CoA;fusion network

0? 引? 言

隨著教育信息化的不斷發(fā)展，高校校園網(wǎng)作為信息化基礎設施的重要性日益凸顯。2016年中共中央辦公廳、國務院辦公廳印發(fā)《國家信息化發(fā)展戰(zhàn)略綱要》，要求將信息化貫穿我國現(xiàn)代化進程始終，按“三步走”戰(zhàn)略建設網(wǎng)絡強國。2018年6月教育部印發(fā)了《教育信息化2.0行動計劃》，要求深入推進“三通兩平臺”建設。實現(xiàn)“寬帶網(wǎng)絡校校通”，要求所有學校全部接入互聯(lián)網(wǎng)。

在國家信息化戰(zhàn)略和新時期高校師生日益豐富的網(wǎng)絡需求下，對校園網(wǎng)建設和運行模式提出了新的挑戰(zhàn)。校園網(wǎng)絡建設與運營，從早期以提供網(wǎng)絡基礎接入為主，已轉(zhuǎn)變?yōu)槊嫦蚋咝Ｐ畔⒒娜珮I(yè)務網(wǎng)絡支撐。在教育信息化2.0和“互聯(lián)網(wǎng)+教育”的新形勢下，基于校園網(wǎng)的數(shù)字化學習模式正全面鋪開，校園網(wǎng)正逐步成為高校數(shù)字化學習和人才培養(yǎng)的業(yè)務支撐平臺。

1? 高校校園網(wǎng)與運營商融合趨勢

我國高校校園網(wǎng)建設普遍起步較早，大部分高校均較早建設了有線校園網(wǎng)絡。從早期以覆蓋教學辦公區(qū)為主，到實現(xiàn)教學辦公區(qū)、學生宿舍區(qū)、教工住宅區(qū)的全覆蓋。隨著智能移動設備的普及，高校校園網(wǎng)逐步從有線網(wǎng)絡轉(zhuǎn)向有線無線一體化的網(wǎng)絡建設。高校無線網(wǎng)絡以成熟的IEEE 802.11技術為標準實施，逐步發(fā)展成“全終端兼容、高速無縫漫游、覆蓋全業(yè)務”的重要支撐網(wǎng)絡，并和有線主干高速網(wǎng)實現(xiàn)了有機集成。我國高校校園網(wǎng)建設根據(jù)學校性質(zhì)、學校經(jīng)費投入等復雜因素呈現(xiàn)多種模式，主要有以下幾種。

（1）學校全業(yè)務自主建設類型。學校投入足夠的經(jīng)費建設校園網(wǎng)，自行采購網(wǎng)絡設備，根據(jù)自身需求選擇合適的網(wǎng)絡架構(gòu)組網(wǎng)。一般會覆蓋教學辦公區(qū)和學生宿舍網(wǎng)，有的甚至覆蓋了教師家屬區(qū)。完全自主建設和自主運營網(wǎng)絡，可靈活地根據(jù)學校自身需求靈活實施網(wǎng)絡接入和擴展網(wǎng)絡，可為各種業(yè)務場景下的網(wǎng)絡需求提供相應的保障。學校自行采購所需的互聯(lián)網(wǎng)出口帶寬，均接入中國教育科研與計算機網(wǎng)（CERNET）。校園網(wǎng)絡出口至少有2個運營商的接入。絕大部分211高校和985高校由于經(jīng)費及人員隊伍有基本保障，一般采用這種自主建設模式。

（2）學校部分業(yè)務自主建設類型。學校投入適量的經(jīng)費建設校園網(wǎng)，主要以覆蓋教學辦公區(qū)的有線網(wǎng)絡為主，部分區(qū)域覆蓋有無線網(wǎng)絡。這類高校受學校經(jīng)費投入限制，往往無法建設全業(yè)務、廣覆蓋的校園網(wǎng)。校園網(wǎng)建設以滿足學校迫切的基礎業(yè)務需求為主。學校自行采購基本所需的互聯(lián)網(wǎng)出口帶寬，一般會接入中國教育科研與計算機網(wǎng)。大部分省屬高校，特別是一些經(jīng)濟薄弱省份的高校通常采用這種模式建設和運營校園網(wǎng)。

（3）引入運營商或第三方投資建設類型。由于校園網(wǎng)建設及運維投資較大，部分高校、特別是一些民辦高校采取了引入運營商或第三方投資建設和運營校園網(wǎng)的模式。在這種模式下，校園網(wǎng)設備投入、出口帶寬以及網(wǎng)絡運維均交給運營商或第三方實施。學校通過資源置換，投資建設方通過直接收取師生網(wǎng)絡費用模式來收回成本及獲取收益。

校園網(wǎng)本質(zhì)上是一張用戶接入網(wǎng)，其要接入互聯(lián)網(wǎng)離不開運營商，因此校園網(wǎng)天然存在和運營商網(wǎng)絡融合的需求?；A電信運營商一般是指中國移動、中國電信、中國聯(lián)通、中國廣電和中信網(wǎng)絡，它們均具有工業(yè)和信息化部頒發(fā)的基礎電信業(yè)務經(jīng)營許可證。普通高校除接入中國教育科研與計算機網(wǎng)外，一般至少和基礎電信運營商中的一家合作，使用其提供的固網(wǎng)出口帶寬接入互聯(lián)網(wǎng)。高校與運營商在互聯(lián)網(wǎng)帶寬、網(wǎng)絡建設、信息化融合等多個方面存在合作和融合的需求，部分有相關學科的院校還在學科建設與基礎電信運營商有合作的需求。

2? 校園網(wǎng)運營商融合組網(wǎng)技術原理

2.1? 扁平化網(wǎng)絡架構(gòu)

扁平化網(wǎng)絡架構(gòu)是一種簡化了接入網(wǎng)和核心網(wǎng)關系的網(wǎng)絡架構(gòu)。早期的校園網(wǎng)一般使用傳統(tǒng)的三層網(wǎng)絡架構(gòu)。在傳統(tǒng)的三層架構(gòu)下，校園網(wǎng)依次由接入層、匯聚層、核心層組成。傳統(tǒng)三層架構(gòu)存在“輕核心-重接入”的特點，負責用戶接入的二層交換機承擔VLAN控制、端口隔離控制、ACL策略等復雜的業(yè)務管理，但核心設備則僅承擔高速互聯(lián)轉(zhuǎn)發(fā)的功能。

扁平化網(wǎng)絡簡化了校園網(wǎng)的層次關系，形成統(tǒng)一控制、功能明確、易于擴展、易于管理的網(wǎng)絡結(jié)構(gòu)。扁平化網(wǎng)絡架構(gòu)下，接入網(wǎng)通過擴展的雙層VLAN靈活地接入核心網(wǎng)。既可以在接入網(wǎng)進行網(wǎng)絡隔離，又可通過核心網(wǎng)策略實現(xiàn)網(wǎng)絡共享。扁平化架構(gòu)下的核心網(wǎng)則實現(xiàn)校園網(wǎng)業(yè)務的集中化管控、精細化管理及全局性網(wǎng)絡擴展。扁平化校園網(wǎng)架構(gòu)與傳統(tǒng)校園網(wǎng)架構(gòu)相比，有如下的優(yōu)點。

（1）統(tǒng)一的核心網(wǎng)管控及精細化管理，采用運營商級別的寬帶接入服務器（BRAS）組成核心設備集群。具有高性能、精細管控、簡化擴展的特點。支持靈活的校園網(wǎng)新業(yè)務開展和各類網(wǎng)絡認證、控制及優(yōu)化。

（2）大幅度簡化接入網(wǎng)實施，降低維護成本。在扁平化下架構(gòu)下，接入層交換機只需要進行簡單的VLAN透傳、VLAN隔離及QinQ部署。接入網(wǎng)的維護工作大幅度減輕，接入網(wǎng)設備的成本也大幅度降低。

（3）扁平化網(wǎng)絡具有簡潔的整體可擴展性。采用扁平化架構(gòu)后，校園網(wǎng)具有了整體可擴展的優(yōu)點。接入設備可以方便地實現(xiàn)橫向擴展，如接入交換機和無線AP均可以基于配置模板快速部署上線。核心設備也可以方便地基于業(yè)務承載負荷實施橫向擴展，基于QinQ接入設備也可以靈活地隨之擴展。

2.2? IPFIX網(wǎng)絡流量處理

為滿足高校信息化日益增長的需求，校園網(wǎng)要實現(xiàn)網(wǎng)絡業(yè)務的全覆蓋。隨著校園網(wǎng)用戶數(shù)和接入終端的不斷增長和膨脹，校園網(wǎng)面臨的一個現(xiàn)實問題就是互聯(lián)網(wǎng)帶寬不足，即使不斷加大互聯(lián)網(wǎng)帶寬的投入，仍然會在網(wǎng)絡高峰期供小于求，導致校園網(wǎng)出口擁塞。校園網(wǎng)進行扁平化改造后，采用BRAS作為核心設備，一個需要解決的問題就是實現(xiàn)網(wǎng)絡流量的精細化控制。若不對校園網(wǎng)進行精細化控制，粗放式的網(wǎng)絡流量會爆發(fā)增長，校園網(wǎng)擁塞的概率隨之提升，從而導致校園網(wǎng)服務高校教學科研的水平下降。BRAS設備的一個重要功能就是支持對流量的有效管控。

IP流信息輸出協(xié)議（IP Flow Information ExportProtocol，簡稱IPFIX協(xié)議），是網(wǎng)絡流量監(jiān)測的IETF標準協(xié)議（RFC 3917）。IPFIX協(xié)議默認使用七元組來表示一份網(wǎng)絡流量，包含源IP地址、目標IP地址、源通信端口號、目標通信端口號、第三層協(xié)議類型、TOS字節(jié)、邏輯網(wǎng)絡端口。七元組信息一致的數(shù)據(jù)包則都被歸屬于同一個通信流，該通信流中的所有包累計后按照相同的標準進行統(tǒng)計和處理。BRAS設備可以按照IPFIX協(xié)議發(fā)送網(wǎng)絡流量給流量采集處理系統(tǒng)，并且這個發(fā)送流量的過程實際開銷很小，并不影響B(tài)RAS設備核心運行業(yè)務?；跇藴蔍PFIX流量的采集和歸納，網(wǎng)絡計費系統(tǒng)從而可以識別用戶的網(wǎng)絡流量，根據(jù)實際運行的網(wǎng)絡流量對校園網(wǎng)用戶進行干預，從而可以實現(xiàn)對流量的精準控制和高效利用。表1顯示了IPFIX網(wǎng)絡流量處理的結(jié)果示例。

2.3? CoA網(wǎng)絡控制技術

扁平化架構(gòu)的校園網(wǎng)一般采用RADIUS協(xié)議實施網(wǎng)絡準入控制。早期的網(wǎng)絡認證服務器（RADIUS）在網(wǎng)絡訪問服務器（NAS）接入網(wǎng)絡后不再干預其網(wǎng)絡狀態(tài)。在校園網(wǎng)多業(yè)務場景下，要實現(xiàn)靈活的網(wǎng)絡策略下發(fā)，需要有一種可以按需實施聯(lián)網(wǎng)狀態(tài)調(diào)整的機制。RFC3576協(xié)議對Radius進行了合理的拓展，從而可以實現(xiàn)對RADIUS的動態(tài)控制。網(wǎng)絡授權(quán)變更Change-of-Authorization（CoA）就是RFC3576實現(xiàn)的重要功能，RADIUS服務器可以通過CoA對RADIUS客戶端主動發(fā)起控制，例如觸發(fā)用戶下線、用戶上網(wǎng)帶寬動態(tài)修改等網(wǎng)絡狀態(tài)控制。正是CoA機制被網(wǎng)絡認證控制系統(tǒng)廣泛采用，才使得校園網(wǎng)的網(wǎng)絡管控、與運營商的協(xié)同動態(tài)對接具備了可行性。CoA基于BRAS在線會話列表中的Session ID識別網(wǎng)絡會話，從而在網(wǎng)絡控制系統(tǒng)中主動觸發(fā)協(xié)議對接的控制動作，執(zhí)行相應的網(wǎng)絡策略并使之生效。華為、中興、Juniper的BRAS設備均以各自的技術方式實現(xiàn)了RFC3576協(xié)議，從而可支持靈活的CoA操作。CoA的工作流程如圖1所示。

2.4? 代理撥號原理

PPPoE和IPoE是運營商廣泛采用的網(wǎng)絡結(jié)構(gòu)，如用于構(gòu)建運營商光纖到戶的家用寬帶。PPPoE整合了PPP連接和以太網(wǎng)協(xié)議，實現(xiàn)在以太網(wǎng)廣播鏈路上的點到點通信。PPPoE在運營商網(wǎng)絡中大規(guī)模部署，一般用華為ME60等BRAS設備實現(xiàn)PPPoE網(wǎng)絡的終結(jié)。在寬帶網(wǎng)全業(yè)務發(fā)展的背景下，基于DHCP的IPoE協(xié)議被廣泛采用。IPoE基于DHCP協(xié)議攜帶信息來和Radius實現(xiàn)認證交互，在DHCP Option82屬性配置特定信息來識別策略，實現(xiàn)校園網(wǎng)與運營商融合網(wǎng)絡下復雜業(yè)務的靈活實施。

高校校園網(wǎng)在自主建設模式下，可根據(jù)業(yè)務需要靈活組網(wǎng)。除了可使用PPPoE和IPoE組件扁平化網(wǎng)絡外，還有傳統(tǒng)的集中式Portal網(wǎng)關或者802.1x，運營商網(wǎng)絡則以PPPoE為主。為將扁平化的校園網(wǎng)和運營商寬帶有機安全地整合對接，需考慮一種轉(zhuǎn)化機制實現(xiàn)。代理撥號服務器部署在校園網(wǎng)和運營商網(wǎng)絡之間，采用一種高并發(fā)的PPPoE會話撥號模式工作。代撥將校園網(wǎng)端過來的網(wǎng)絡會話予以識別，進行映射轉(zhuǎn)換后發(fā)起PPPoE撥號。代理撥號成功后，校園網(wǎng)用戶即通過代理網(wǎng)關接入了運營商網(wǎng)絡。代撥工作原理及全部流程如圖2所示。

3? 校園網(wǎng)融合組網(wǎng)技術實現(xiàn)

3.1? 校園網(wǎng)融合組網(wǎng)架構(gòu)設計

校園網(wǎng)在采用扁平化架構(gòu)后，通過IPFIX精準識別網(wǎng)絡流量并實施相應策略，可將校園網(wǎng)日益增長的出口流量合理引流至運營商，促進校園網(wǎng)帶寬的合理使用，并通過直接引流機制滿足師生用網(wǎng)的差異化需求。校園網(wǎng)作為教育與科研網(wǎng)絡的一部分，既要滿足學校教學科研等主要業(yè)務，又要滿足師生多樣化的用網(wǎng)需求，因此在同運營商網(wǎng)絡融合對接時，需考慮以下幾點：

（1）師生便捷免費訪問校園網(wǎng)內(nèi)網(wǎng)的策略設計。校園內(nèi)網(wǎng)部署有大量教學資源和信息應用，提供給師生免費使用，需在全局設計合適的網(wǎng)絡策略來執(zhí)行。統(tǒng)一定義內(nèi)網(wǎng)策略模板，在RADIUS初次認證成功后，通過ACCESS-ACCEPT報文下發(fā)相應策略給BRAS或無線控制器，BRAS或無線控制器執(zhí)行相應的行為策略從而允許用戶訪問內(nèi)網(wǎng)。

（2）有線網(wǎng)絡與無線網(wǎng)絡一致性流量識別和策略控制。校園網(wǎng)支持有線網(wǎng)絡與無線網(wǎng)絡的統(tǒng)一訪問，需要將有線網(wǎng)絡、無線網(wǎng)絡的網(wǎng)絡流量合并識別處理。流量合并處理的一種方法是將實際網(wǎng)絡流量合并到集中的流量處理網(wǎng)關處理，這對于流量處理網(wǎng)關性能有很高的要求。另一種更好的方法是使用分布式網(wǎng)關發(fā)送各自的IPFIX流量給計費系統(tǒng)處理，從而避免集中式網(wǎng)關的性能瓶頸。

（3）校園網(wǎng)與運營商融合模式下用戶的體驗問題。校園網(wǎng)采用扁平化架構(gòu)后，支持基于MAC和IPoE的無感知認證，實現(xiàn)了較好的用戶體驗。由于運營商寬帶的運營機制，在對接后往往需要二次認證。一種帶域識別的模式可解決這個問題，基于域后綴來識別是學校本地業(yè)務還是運營商業(yè)務，然后自動調(diào)用已綁定的運營商賬號發(fā)起PPPoE請求，這個過程對于用戶是透明執(zhí)行的，因此可改善用戶體驗。

（4）校園網(wǎng)與運營商的網(wǎng)絡邊界與網(wǎng)絡安全審計問題。校園網(wǎng)和運營商雖然在業(yè)務網(wǎng)絡融合上存在需求，但由于網(wǎng)絡管理機制的差異性，雙方存在各自的網(wǎng)絡安全管理需求。在校園網(wǎng)絡與運營商網(wǎng)絡間部署代撥服務器，形成清晰的網(wǎng)絡邊界，實現(xiàn)雙邊的網(wǎng)絡安全管理與審計。

綜上所述，基于IPFIX流量管理和CoA策略的整合，可設計一種高校與多運營商融合的網(wǎng)絡架構(gòu)。在扁平化的校園網(wǎng)核心集群下，支持統(tǒng)一的校園網(wǎng)初始策略下發(fā)和CoA策略調(diào)整，并通過邊界代撥服務器和各運營商整合。這種網(wǎng)絡融合架構(gòu)的總體設計如圖3所示。

3.2? 校園網(wǎng)融合組網(wǎng)實施及完成情況

華中師范大學2017年12月完成了校園網(wǎng)與中國移動、中國電信、中國聯(lián)通三大運營商的融合組網(wǎng)對接工作。華中師范大學校園網(wǎng)（包含有線網(wǎng)和無線校園網(wǎng)的一體化網(wǎng)絡）用戶均可以直接方便的選擇CERNET、移動、電信、聯(lián)通出口訪問互聯(lián)網(wǎng)，既可以靈活選擇互聯(lián)網(wǎng)出口，又具有一致的校園內(nèi)網(wǎng)訪問策略，可便捷免費地訪問校園網(wǎng)教學科研資源，并可直達訪問學校已購置的學術期刊庫資源等。2017年累計使用了融合寬帶的用戶數(shù)達20717，月均活躍用戶數(shù)達9800。項目實施以來，使用融合網(wǎng)絡的月均活躍用戶占用戶總數(shù)比例達到27%，校園網(wǎng)出口帶寬約節(jié)省了25%，校園網(wǎng)與運營商融合網(wǎng)絡運行情況良好。融合組網(wǎng)模式下校園網(wǎng)的統(tǒng)一Portal界面如圖4所示。

4? 結(jié)? 論

高校校園網(wǎng)不同于一般的園區(qū)網(wǎng)，存在用戶數(shù)量大、用戶活躍程度高、網(wǎng)絡應用繁多、網(wǎng)絡安全態(tài)勢復雜等特點。校園網(wǎng)要有效支撐不斷增長的教學、科研、校園生活等多業(yè)務的信息化應用，從出口帶寬和多業(yè)務QoS保障方面優(yōu)化創(chuàng)新。運營商核心骨干網(wǎng)是國家高速網(wǎng)絡基礎設施，校園網(wǎng)要實現(xiàn)良性發(fā)展，離不開和運營商網(wǎng)絡的優(yōu)化整合。本文研究了如何通過IPFIX的流量處理技術優(yōu)化校園網(wǎng)的互聯(lián)網(wǎng)帶寬有效管理，探討了基于CoA實現(xiàn)多業(yè)務融合的策略分發(fā)機制，并部署代撥設備合理劃分了網(wǎng)絡安全邊界。實踐表明，該方案可在大規(guī)模的校園網(wǎng)中實現(xiàn)和運營商網(wǎng)絡的直接融合，具有一定的實用性，并可以達到預期的應用效果。

參考文獻：

[1] 凡民丁.GPON部署扁平化設計 [J].信息通信，2015（9）：209-210.

[2] 王珊，陳松，周明天.網(wǎng)絡流量分析系統(tǒng)的設計與實現(xiàn) [J].計算機工程與應用，2009，45（10）：86-88.

[3] 湯小康.扁平化的校園網(wǎng)絡架構(gòu)設計 [J].信息與電腦（理論版），2014（7）：62-63.

[4] 馬安龍.利用QINQ技術構(gòu)建扁平化網(wǎng)絡 [J].電腦知識與技術，2012，8（15）：3528-3529.

作者簡介：解攀科（1981-），男，漢族，湖北大冶人，工程師，理學碩士，主要研究方向：教育信息化和數(shù)字化學習。