湖北工業大學校園網聯合運營方案

文/李倩倩 唐華 張濤

隨著校園網用戶對接入網絡的網絡規模、帶寬出口要求越來越高以及業務應用越來越復雜，校園網與多網絡提供商（ISP）聯合運營成為各地高校尋找支撐校園網絡服務的解決辦法。聯合運營的建設目標主要集中在打通內部校園網網絡和外部運營商網絡對接的壁壘，形成邊界清晰、資源節約的生態網絡環境；確保校園用戶上網行為的可控性，如身份識別、實名認證、權限管理等，滿足國家相關法律法規對校園網用戶上網行為的要求；建設基于服務類型的、開放的承載系統，把握用戶不同服務接入、各類業務拓展的精細化管理趨勢。總之，聯合運營后的高校校園網意在成為一個融合開放、泛在可控、簡易管理、高速接入、有線無線一體的網絡服務輸出基地。

聯合運營發展歷程及不足

發展歷程

大部分高校與三大網絡提供商（ISP）合作方式經歷了各自運營、部分融合和整合統一三大階段。

第一階段：辦公樓棟和宿舍樓棟網絡獨立部署、不互聯。在這個階段，高校對宿舍區運營商的運營行為沒有任何監管權，學生用戶上網行為如上網總人數、網絡總流量、開號費用等信息不納入學校的管理系統，不利于溯源管理。宿舍樓棟學生訪問學校資源困難，需要繞過運營商再進入校園網，無法滿足學生的需求，也不利于學校信息化建設。

第二階段：局部試點，對運營商網絡與校園網絡進行對接。以用戶選擇哪個運營商則訪問互聯網就走哪個運營商鏈路為原則，通過BRAS設備的帶域認證模式和出口路由器協助滿足互相兼容模式下的多方需求。高校出口同時接入三家運營商網絡，并且通過計費軟件系統與運營商的計費平臺直接對接，實現校園網統一運營。計費系統的對接，學校和運營商雙方都能明確用戶在線的活動情況。但這個階段也存在需要統籌多家運營商、合作難度大、周期長等問題，制約高校整體信息化發展。

第三階段：校園網逐步從運營型網絡向服務型網絡轉型，智慧校園建設成為本階段高校校園網建設的熱點。同時，隨著扁平化的網絡架構在高校校園網的落地實施，為“三網合一”提供了可行條件，隨之開啟運營商租用校園基礎網絡設施模式。在智慧校園浪潮的推動下，學校開始自建校園基礎網絡，各家運營商租用校園網絡開展固移融合套餐模式。校園內部的網絡管理和控制由學校負責，運營商投資自家出口設備和帶寬線路，負責出口的管理和運營，同時根據收益和用戶開戶情況給學校支付相應的基礎網絡租金。

傳統方案的不足

從湖北來看，大多數高校處于第二階段或者向第三階段過渡的時期。傳統高校聯合運營部署方案體系分為兩種場景，如圖1、圖2所示。兩種場景中高校均引入多家運營商，搭建了一個開放的良性競爭平臺。

圖1 BRAS帶域認證與運營商AAA對接解決方案

圖2 代撥與運營商BRAS對接解決方案

場景一：校內BRAS帶域認證對接運營商認證計費系統。這種場景下，運營商提供各自的認證域名，如電信提供的域名為user@dianxin，校方對學號和帶域賬號進行綁定，用戶帶域或不帶域撥號，BRAS通過域對服務控制策略的引用，區別不同用戶類型，對用戶進行業務控制和管理。校園網用戶走本地認證，運營商用戶通過BRAS的隧道認證模式走運營商的認證流程，直接發送給運營商認證計費系統服務器。該方案架構直接對接多個運營商的寬帶出口和AAA計費系統，避免相互干擾，但校方一側管理上網用戶不靈活，有線、無線認證不統一，需要部署多套認證計費系統，造成計費系統之間信息不同步、有線賬號和無線賬號不通用的困擾，認證節點多，對接復雜，不能同時滿足多方需求且存在單點故障問題。

場景二：認證計費系統通過代撥設備對接運營商BRAS系統。該場景屬于最常見的一種融合運營模式，整個部署方案由校內BRAS、校內Radius服務器、出口設備組、ISP(運營商)BRAS、ISP(運營商)AAA等五個部分構成，用于實現基本的接入管理、實名制管理、撥號認證管理和計費管理等功能。該方案通過代撥設備實現了學校與運營商賬號的統一，簡化了校園網側與運營商側對接問題和上網認證過程。但從整個架構來說，運營商鏈路并不共享，出口設備數量太多，各運營商均需購買自己的代撥設備，增加了運營商的建設成本，造成資源浪費、鏈路復雜，也容易造成流量穿越。出口邊界串聯部署多個硬件設備負責不同的業務功能，增加了業務數據交換延遲風險，不利于校方簡化管理和網絡運維工作。

從以上場景分析可以看出，部署方案各有利弊，校方應從簡潔組網模式、優化運維管理和簡化認證流程三個方面出發，探究高校校園網與多ISP聯合運營的最佳方案。

需求分析

在高校信息化建設過程中，關注各方的需求點是多方合作的基礎。經過一段時間的合作、實踐和探索，各方關注點主要集中在以下幾個方面，見表1。

表1 三方需求分析

建設思路和部署方案

體系架構

按照三方需求，遵循實用性、可擴展性、可靠性以及易維護性原則，從高校校園網建設的實際出發，構建了一個集管理模式與技術架構于一體的簡潔、簡易、高效的聯合運營框架，如圖3所示。

圖3 聯合運營部署新方案體系架構

“扁平化網絡架構+QinQ技術”實現了運營商共用校園基礎鏈路的簡潔組網模式，為上層系統融合打下基礎。邏輯上的“大二層”在簡化網絡架構的同時使功能層次更清晰，業務控制更集中，接入層開啟VLAN隔離避免用戶數據接入時造成環路；匯聚層采用QinQ技術，將打了一層VLAN Tag的用戶報文封裝在事先規定好的外層VLAN Tag中進行傳播；外層VLAN Tag可以根據不同樓棟的有線無線接入場景事先規劃。“大二層”結構強化了核心層處理業務數據和接入網關的功能，核心層不僅用于VLAN的終結，還擔負著高速轉發業務數據和三層接入網關的任務。這種扁平化設計有效實現校園內部網絡和運營商網絡的融合。

“高性能BRAS設備+認證計費服務器+代撥設備”實現了簡易的認證計費流程。BRAS設備旁掛認證計費服務器、數據中心和服務器群，與認證計費系統配合完成校內有線無線用戶訪問校內資源的準入邊界。校園網出口部署代撥設備作為互聯網準出邊界，與BRAS和校園網認證計費系統聯動，實現準入準出一體化。用戶采用學號登錄通過本地認證計費系統認證后，BRAS設備放行數據，可直接免費訪問校內資源服務器。當用戶需要訪問互聯網時，則通過認證計費系統給BRAS下發授權，通過BRAS的策略路由。如果是校園網用戶則走校園網出口，如果是運營商用戶，代撥通過PPPoE撥號動作配合防火墻的負載均衡功能將綁定的運營商帳號發送給相應的運營商BRAS進行Radius認證，認證成功后由運營商放行。至此，用戶方可訪問互聯網資源，并由運營商的Radius系統進行計費。整個認證過程只需用戶一次登錄，同時完成校內準入和互聯網準出，認證轉換后臺自動完成，能夠同時實現校園內部網絡和認證計費運營平臺以及“二次認證”的無縫融合。

一套認證計費管理平臺實現了軟硬件高度融合下的高效運維管理。管理平臺全面支持多種認證模式，可以根據用戶組類型、接入網絡的物理區域、接入網絡的方式（有線/無線）等模式制定多樣化的計費策略，達到校園網用戶精細化控制管理的目的，致力于與學校和運營商聯合運營方案結合，從時間與空間上滿足多樣化的管理需求。

在本框架中，校方投入相關網絡設備與基礎網絡改造，在其監管下，不同運營商僅需在出口邊界做好出口帶寬服務即可。這樣，既讓校方獲得網絡管理所有權，又降低運營商的運營成本。校方用極簡的理念打造一個簡潔的組網模式、簡易的認證計費流程和高效的運維管理技術方案。

無線認證計費原理和寬帶上網流程

無線網絡技術的到來，使海量教學終端、校園管理物聯接入成為趨勢，無線網絡覆蓋成為各大高校信息化建設的重中之重。在聯合運營方案下，無線網絡作為其中關鍵環節，其認證計費原理大致分為四個步驟。

1.無線客戶端與AP，AP與AC建立連接過程。這個階段是建立無線客戶端和AP間數據鏈路的過程，首先通過在多個通道上發送探測（probe）來搜索相應的網絡，探測請求指定網絡的名字（SSID）和支持的速率，通過在客戶端和AP上配置密鑰實現認證,AP會映射一個邏輯端口（AID）到客戶端，此時二者的通信建立起來，AP可以將客戶端發出的幀轉發出去。同時，AP通過地址解析（DNS）獲取AC地址，并與AC通過Discovery-Join-Configuration-Run等過程建立CAPWAP控制隧道轉發數據。

2.無線用戶在portal認證頁面提交用戶名和密碼過程。這個階段分為DHCP地址分配流程和portal頁面提交流程兩個部分。其中，BRAS作為DHCP服務器端，客戶端通過DHCP協議中DHCP Address Assignment報文與其建立連接后，向其分配事先規定好的DHCP地址池中的IP地址，隨后用戶發起HTTP Request portal-url請求，報文發送到AC，AC查看內部信息，并推送給BRAS，BRAS重定向至Portal服務器，向用戶發送Portal認證頁面。上網用戶填入賬號密碼和選擇相應的網絡服務后，發起HTTPs POST portal-url請求將該頁面提交出去。

3.認證過程。BRAS向Radius認證計費服務器發送UserInfo Request報文，Radius認證計費服務器在驗證用戶賬號和密碼無誤后將結果返回給BRAS。認證通過，按照CHAP流程向AC請求Challenge,如果AC在3秒內無響應報文，則重發Challenge請求，AC確認Challenge,后將賬號、Challenge ID、Challenge和Challenge-Password等信息通過BRAS發送到Radius服務器進行認證；認證拒絕，AC返回ACK_AUTH消息，Portal向用戶返回認證失敗結果。在用戶認證通過后，BRAS發起accounting-start報文給Radius服務器，服務器回應accounting-response響應報文，AC確認消息，Portal向用戶返回認證成功結果，用戶開始上網。

4.計費過程。AC轉發用戶流量到BRAS，BRAS終結用戶VLAN，并對用戶進行上網地址分配。為了能夠實時計費，AC每間隔15分鐘向Radius服務器發送Accounting-request Update報文信息，Radius服務器回應Accounting-response Update報文，實時計費。當AC收到用戶請求下線信息時，通過BRAS向Radius服務器發送Accounting-request Stop報文，如果2秒內無響應，則重發請求，超過2次則強制下線。

根據上述方案架構，寬帶上網流程如圖4所示，以便上網用戶能快速掌握上網步驟，感受極佳的用戶體驗。

圖4 用戶上網流程

本文提出的聯合運營解決方案在一定程度上優化了傳統聯合運營模式下的運維和管理難題，對校方來說，運維更高效，管理更聚焦，權力更集中；對用戶來說，把自主上網選擇權還給學生用戶，通過無感知認證簡化了上網流程；對運營商來說，運營成本更低，市場更廣。該解決方案真正做到了網絡設備共享、學校資源共享，實現了高校與運營商共建、共享、共贏的目標，為智慧校園建設打下了堅實的信息化基礎，對高校校園網與運營商聯合運營具有很好的借鑒作用。