盧明星

摘 要：本文對學院和運營商合作建設校園網(wǎng)絡進行了方案探討，提出了解決措施。

關鍵詞：校園網(wǎng)；運營商；網(wǎng)絡規(guī)劃

中圖分類號：TP393.18 文獻標志碼：B 文章編號：1673-8454（2014）09-0087-03

教育是社會發(fā)展的先導，21世紀的教育必須能夠適應信息化社會的需求。發(fā)達國家已清楚地認識到高速發(fā)展的信息技術和教育工作之間相互影響、相互促進的重要關系，并通過一系列舉措加快教育信息化建設進度，以求能夠滿足信息時代人才培養(yǎng)的需求。我國政府十分重視教育信息化建設，特別是在“面向21世紀教育振興行動計劃”中著重強調了：“利用信息技術推進教育改革，具備網(wǎng)絡化、智能化教學環(huán)境及教學、科研、管理、服務數(shù)字信息系統(tǒng)是建設一流大學的必要條件和重要標志”。我院領導提出新校區(qū)數(shù)字化校園要高起點規(guī)劃、高標準設計，統(tǒng)籌兼顧、分布實施。在這種背景下筆者及同事結合學院具體情況，設計出了新校區(qū)網(wǎng)絡建設規(guī)劃方案。

一、方案概述

為充分發(fā)揮資源優(yōu)勢，節(jié)省學院建設資金，網(wǎng)絡建設方案采取和運營商合作共建的方式。即由學院和運營商共同商討建設方案，根據(jù)商務談判協(xié)議，運營商負責建設學生宿舍網(wǎng)絡及其他內(nèi)容，并與學院校園網(wǎng)無縫對接。

我院提出新校區(qū)網(wǎng)絡建設要滿足“高起點、面向未來、充分考慮教學、科研、管理”的內(nèi)在需求，兼顧生活環(huán)境等配套因素，最大限度地實現(xiàn)資源共享，最終建成高起點、高質量、高水平、高度信息化、智能化。實現(xiàn)有線、無線、VPN用戶統(tǒng)一身份認證，全網(wǎng)部署IPv6，緊扣前沿技術脈搏，統(tǒng)一規(guī)劃高性能、高安全、帶寬透明管理的校園網(wǎng)邊界，關注安全熱點，消除安全盲點?；谝陨弦笪覀冊O計出了網(wǎng)絡拓撲如圖1所示。

建設中總體來說要考慮以下幾點：

（1）學生用戶訪問校園網(wǎng)資源不進行計費，為了實現(xiàn)該要求，因此需要對運營網(wǎng)關進行下移，通過對網(wǎng)關的下移，可以方便地對訪問校內(nèi)網(wǎng)流量以及互聯(lián)網(wǎng)流量進行分流，既不造成流量迂回對運營商城域網(wǎng)的影響，也更方便校園網(wǎng)資源的開放。

（2）為了更好地執(zhí)行公安部下發(fā)的82號令要求，對學生上網(wǎng)行為進行審計，因此整個網(wǎng)絡需要支持學生用戶上網(wǎng)行為審計功能。

（3）高品質的網(wǎng)絡不僅需要網(wǎng)絡具備可擴展性，而且還需要很強的可用性。本期網(wǎng)絡建設項目不僅要考慮有線網(wǎng)的可用性，還要考慮無線網(wǎng)的可用性，目前無線網(wǎng)絡建設經(jīng)常存在無線信號強，但是網(wǎng)絡可用性差的特點，因此需要在方案中特別的考慮。除此之外網(wǎng)絡還需具備可擴展性，包括帶寬的擴展，業(yè)務的擴展等。

（4）業(yè)務可平滑向下一代網(wǎng)絡遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護投資；業(yè)務可以隨時隨地使用，業(yè)務可以基于移動漫游環(huán)境，移動漫游環(huán)境無需管理者手工干預

（5）出口具備抵御攻擊、非法業(yè)務的隔離、控制，具備在線主動抵御的能力；核心網(wǎng)絡自身集成安全防御能力，縮小攻擊、病毒在校園影響范圍；用戶接入網(wǎng)絡屏蔽用戶非法操作，隔離網(wǎng)絡攻擊

二、問題探究

經(jīng)過招標建設，我院網(wǎng)絡核心使用一臺H3C S10508-V交換機，教學辦公區(qū)域采用有線無線全覆蓋方式，整網(wǎng)采取萬兆主干、千兆到桌面方式建設。學生宿舍區(qū)域使用無源光網(wǎng)絡作為接入設備，共有一套OLT和八套ONU組成。為了保證學生區(qū)域的使用安全，全套光網(wǎng)絡使用每用戶每VLAN的方式，進行二層隔離。每個從光網(wǎng)絡上行到核心交換機的報文均有兩層標簽的封裝。

根據(jù)數(shù)字化校園建設整體要求，我院校園網(wǎng)內(nèi)部有豐富的網(wǎng)絡資源可供訪問，故希望將學生宿舍互聯(lián)網(wǎng)的訪問需求和內(nèi)網(wǎng)的訪問需求分開處理。即，互聯(lián)網(wǎng)的訪問需求由運營商負責收費，提供訪問出口，內(nèi)網(wǎng)的訪問需求只要是在校學生都能夠無償訪問。

原計劃通過核心交換機的DHCP功能為所有上網(wǎng)用戶分配IP地址，此時可以訪問內(nèi)網(wǎng)，而后希望上外網(wǎng)的用戶，付費上網(wǎng)，通過PPPoE的方式獲取地址，基于PPPoE方式獲取的IP地址，優(yōu)先級會高于DHCP方式獲取的地址，那么此時客戶就可以直接訪問外網(wǎng)，不能夠訪問內(nèi)網(wǎng)，若想要重新訪問內(nèi)網(wǎng)，則需要將PPPoE連接斷開。不希望上外網(wǎng)的客戶，則可以使用DHCP方式獲取的地址直接訪問內(nèi)網(wǎng)。

由于兩層標簽的存在，以太網(wǎng)交換機通常不能夠對其進行處理，最多只能夠將流量放行，保持兩層標簽的形式。這意味著核心交換機不能夠為客戶端提供DHCP服務。上述的解決方案完全不能夠實現(xiàn)。

三、解決方法

要解決上述問題，并保障學生用戶的正常訪問，有如下幾種方式：

1.無源光網(wǎng)絡不使用兩層標簽

理論上，無源光網(wǎng)絡可以不配置兩層標簽，這并不困難。原本需要兩層標簽的主要原因是為了網(wǎng)絡傳輸和二層終結的方便。若是配置OLT設備，讓用戶流量只帶有一層標簽上行到核心交換機，則可以實現(xiàn)核心交換機對客戶端通過DHCP的方式分配地址這一操作。要求OLT設備配置多個用戶在一個VLAN中，比如，6000用戶，可以分為30個VLAN，每VLAN有200用戶?；谝酝?jīng)驗，同時在線的用戶數(shù)量通常都不到一半。

使用這個方案就可以實現(xiàn)最初的設想，讓不同訪問需求的客戶獲取不同地址，按需收費。

這個方法的問題就是客戶端之間的二層網(wǎng)絡是不能夠互相隔離的，這樣會造成一定的安全隱患，同時，對OLT設備的性能也提出了更高的要求。

2.將網(wǎng)關上移，使用運營商的BARS設備作為學生宿舍出口網(wǎng)關

如圖2所示，BARS設備可以分為認證域和DHCP域，實際上BARS也是一個路由器，也可以提供DHCP服務。BARS是有能力終結兩層VLAN的標簽。而后，按照原有的方案，所有上網(wǎng)的客戶都直接分配DHCP的IP地址，所有訪問互聯(lián)網(wǎng)絡的客戶仍然PPPoE撥號，直接獲取PPPoE的地址。

這個方案最大的好處，仍然是可以區(qū)分不同的訪問需要的用戶，只訪問內(nèi)網(wǎng)的用戶仍然不需要繳費。

最大的問題就是，BARS能否直接作為用戶的網(wǎng)關？在運營商規(guī)范上是否允許？

3.所有用戶都進行認證

不論是否有訪問互聯(lián)網(wǎng)的需求，所有用戶都要求有運營商的賬號號，才能夠上網(wǎng)。也就是說，不采用兩套認證的方式，只要接入網(wǎng)絡就要進行PPPoE撥號，撥號之后，能夠訪問內(nèi)網(wǎng)，也能夠訪問外網(wǎng)。這樣所有問題都可以解決，核心交換機作為一個二層通道，直接將流量透傳到BARS設備，如圖3所示。

這個方案的好處就是能夠完美的解決地址分配和認證的問題，而且不需要對網(wǎng)絡設備進行大的更改。

最大的問題就是無論是訪問內(nèi)網(wǎng)還是訪問外網(wǎng)學生都需要繳費，對學生是個負擔。

4.增加路由器，對兩層VLAN標簽進行處理

如圖4所示，增加一個路由器，作為DHCP網(wǎng)關，使用路由器對兩層標簽進行處理，在帶有兩層標簽的報文上送到路由器的時候，進行解標簽的處理。在不帶標簽的流量會到路由器的時候，進行兩層VLAN標簽的封裝。兩層標簽被剝離之后，網(wǎng)絡中的其他設備均可以進行識別和處理。

同時，需要增加核心交換機對二層標簽透傳的配置，保障流量能夠正常上行到路由器。

具體過程如下：

（1）設備接入到網(wǎng)絡中，通過DHCP廣播的方式，請求地址；

（2）路由器收到DHCP請求報文之后，在相應VLAN內(nèi)，為設備分配地址，網(wǎng)關為路由器；

（3）如果采用PPPoE的撥號方式，客戶端會直接將報文發(fā)送到運營商BARS設備上，請求地址，在獲取到地址之后，虛擬撥號的地址優(yōu)先級高于DHCP，故可以訪問公網(wǎng)，網(wǎng)關配置的是BARS的地址；

（4）如果希望回到內(nèi)網(wǎng)，將PPPoE下線即可。

不管采用哪種方案都能夠解決問題，但同時也需要進行一些改變，但無論如何作為學院和運營商合作建設的一種嘗試，值得推廣。我院經(jīng)過討論采取了第四種解決方案，且完美實現(xiàn)了校園網(wǎng)的整體建設。

參考文獻：

[1]呂紀霆,霍振興.基于校園網(wǎng)建設WLAN的網(wǎng)絡建設與運營管理方案[J].數(shù)據(jù)通信, 2013(5).

[2]鄭迅雷.淺談EPON網(wǎng)絡建設方案[J].鐵道通信信號,2008(12).

(編輯：楊馥紅)

endprint

摘 要：本文對學院和運營商合作建設校園網(wǎng)絡進行了方案探討，提出了解決措施。

關鍵詞：校園網(wǎng)；運營商；網(wǎng)絡規(guī)劃

中圖分類號：TP393.18 文獻標志碼：B 文章編號：1673-8454（2014）09-0087-03

教育是社會發(fā)展的先導，21世紀的教育必須能夠適應信息化社會的需求。發(fā)達國家已清楚地認識到高速發(fā)展的信息技術和教育工作之間相互影響、相互促進的重要關系，并通過一系列舉措加快教育信息化建設進度，以求能夠滿足信息時代人才培養(yǎng)的需求。我國政府十分重視教育信息化建設，特別是在“面向21世紀教育振興行動計劃”中著重強調了：“利用信息技術推進教育改革，具備網(wǎng)絡化、智能化教學環(huán)境及教學、科研、管理、服務數(shù)字信息系統(tǒng)是建設一流大學的必要條件和重要標志”。我院領導提出新校區(qū)數(shù)字化校園要高起點規(guī)劃、高標準設計，統(tǒng)籌兼顧、分布實施。在這種背景下筆者及同事結合學院具體情況，設計出了新校區(qū)網(wǎng)絡建設規(guī)劃方案。

一、方案概述

為充分發(fā)揮資源優(yōu)勢，節(jié)省學院建設資金，網(wǎng)絡建設方案采取和運營商合作共建的方式。即由學院和運營商共同商討建設方案，根據(jù)商務談判協(xié)議，運營商負責建設學生宿舍網(wǎng)絡及其他內(nèi)容，并與學院校園網(wǎng)無縫對接。

我院提出新校區(qū)網(wǎng)絡建設要滿足“高起點、面向未來、充分考慮教學、科研、管理”的內(nèi)在需求，兼顧生活環(huán)境等配套因素，最大限度地實現(xiàn)資源共享，最終建成高起點、高質量、高水平、高度信息化、智能化。實現(xiàn)有線、無線、VPN用戶統(tǒng)一身份認證，全網(wǎng)部署IPv6，緊扣前沿技術脈搏，統(tǒng)一規(guī)劃高性能、高安全、帶寬透明管理的校園網(wǎng)邊界，關注安全熱點，消除安全盲點?；谝陨弦笪覀冊O計出了網(wǎng)絡拓撲如圖1所示。

建設中總體來說要考慮以下幾點：

（1）學生用戶訪問校園網(wǎng)資源不進行計費，為了實現(xiàn)該要求，因此需要對運營網(wǎng)關進行下移，通過對網(wǎng)關的下移，可以方便地對訪問校內(nèi)網(wǎng)流量以及互聯(lián)網(wǎng)流量進行分流，既不造成流量迂回對運營商城域網(wǎng)的影響，也更方便校園網(wǎng)資源的開放。

（2）為了更好地執(zhí)行公安部下發(fā)的82號令要求，對學生上網(wǎng)行為進行審計，因此整個網(wǎng)絡需要支持學生用戶上網(wǎng)行為審計功能。

（3）高品質的網(wǎng)絡不僅需要網(wǎng)絡具備可擴展性，而且還需要很強的可用性。本期網(wǎng)絡建設項目不僅要考慮有線網(wǎng)的可用性，還要考慮無線網(wǎng)的可用性，目前無線網(wǎng)絡建設經(jīng)常存在無線信號強，但是網(wǎng)絡可用性差的特點，因此需要在方案中特別的考慮。除此之外網(wǎng)絡還需具備可擴展性，包括帶寬的擴展，業(yè)務的擴展等。

（4）業(yè)務可平滑向下一代網(wǎng)絡遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護投資；業(yè)務可以隨時隨地使用，業(yè)務可以基于移動漫游環(huán)境，移動漫游環(huán)境無需管理者手工干預

（5）出口具備抵御攻擊、非法業(yè)務的隔離、控制，具備在線主動抵御的能力；核心網(wǎng)絡自身集成安全防御能力，縮小攻擊、病毒在校園影響范圍；用戶接入網(wǎng)絡屏蔽用戶非法操作，隔離網(wǎng)絡攻擊

二、問題探究

經(jīng)過招標建設，我院網(wǎng)絡核心使用一臺H3C S10508-V交換機，教學辦公區(qū)域采用有線無線全覆蓋方式，整網(wǎng)采取萬兆主干、千兆到桌面方式建設。學生宿舍區(qū)域使用無源光網(wǎng)絡作為接入設備，共有一套OLT和八套ONU組成。為了保證學生區(qū)域的使用安全，全套光網(wǎng)絡使用每用戶每VLAN的方式，進行二層隔離。每個從光網(wǎng)絡上行到核心交換機的報文均有兩層標簽的封裝。

根據(jù)數(shù)字化校園建設整體要求，我院校園網(wǎng)內(nèi)部有豐富的網(wǎng)絡資源可供訪問，故希望將學生宿舍互聯(lián)網(wǎng)的訪問需求和內(nèi)網(wǎng)的訪問需求分開處理。即，互聯(lián)網(wǎng)的訪問需求由運營商負責收費，提供訪問出口，內(nèi)網(wǎng)的訪問需求只要是在校學生都能夠無償訪問。

原計劃通過核心交換機的DHCP功能為所有上網(wǎng)用戶分配IP地址，此時可以訪問內(nèi)網(wǎng)，而后希望上外網(wǎng)的用戶，付費上網(wǎng)，通過PPPoE的方式獲取地址，基于PPPoE方式獲取的IP地址，優(yōu)先級會高于DHCP方式獲取的地址，那么此時客戶就可以直接訪問外網(wǎng)，不能夠訪問內(nèi)網(wǎng)，若想要重新訪問內(nèi)網(wǎng)，則需要將PPPoE連接斷開。不希望上外網(wǎng)的客戶，則可以使用DHCP方式獲取的地址直接訪問內(nèi)網(wǎng)。

由于兩層標簽的存在，以太網(wǎng)交換機通常不能夠對其進行處理，最多只能夠將流量放行，保持兩層標簽的形式。這意味著核心交換機不能夠為客戶端提供DHCP服務。上述的解決方案完全不能夠實現(xiàn)。

三、解決方法

要解決上述問題，并保障學生用戶的正常訪問，有如下幾種方式：

1.無源光網(wǎng)絡不使用兩層標簽

理論上，無源光網(wǎng)絡可以不配置兩層標簽，這并不困難。原本需要兩層標簽的主要原因是為了網(wǎng)絡傳輸和二層終結的方便。若是配置OLT設備，讓用戶流量只帶有一層標簽上行到核心交換機，則可以實現(xiàn)核心交換機對客戶端通過DHCP的方式分配地址這一操作。要求OLT設備配置多個用戶在一個VLAN中，比如，6000用戶，可以分為30個VLAN，每VLAN有200用戶?；谝酝?jīng)驗，同時在線的用戶數(shù)量通常都不到一半。

使用這個方案就可以實現(xiàn)最初的設想，讓不同訪問需求的客戶獲取不同地址，按需收費。

這個方法的問題就是客戶端之間的二層網(wǎng)絡是不能夠互相隔離的，這樣會造成一定的安全隱患，同時，對OLT設備的性能也提出了更高的要求。

2.將網(wǎng)關上移，使用運營商的BARS設備作為學生宿舍出口網(wǎng)關

如圖2所示，BARS設備可以分為認證域和DHCP域，實際上BARS也是一個路由器，也可以提供DHCP服務。BARS是有能力終結兩層VLAN的標簽。而后，按照原有的方案，所有上網(wǎng)的客戶都直接分配DHCP的IP地址，所有訪問互聯(lián)網(wǎng)絡的客戶仍然PPPoE撥號，直接獲取PPPoE的地址。

這個方案最大的好處，仍然是可以區(qū)分不同的訪問需要的用戶，只訪問內(nèi)網(wǎng)的用戶仍然不需要繳費。

最大的問題就是，BARS能否直接作為用戶的網(wǎng)關？在運營商規(guī)范上是否允許？

3.所有用戶都進行認證

不論是否有訪問互聯(lián)網(wǎng)的需求，所有用戶都要求有運營商的賬號號，才能夠上網(wǎng)。也就是說，不采用兩套認證的方式，只要接入網(wǎng)絡就要進行PPPoE撥號，撥號之后，能夠訪問內(nèi)網(wǎng)，也能夠訪問外網(wǎng)。這樣所有問題都可以解決，核心交換機作為一個二層通道，直接將流量透傳到BARS設備，如圖3所示。

這個方案的好處就是能夠完美的解決地址分配和認證的問題，而且不需要對網(wǎng)絡設備進行大的更改。

最大的問題就是無論是訪問內(nèi)網(wǎng)還是訪問外網(wǎng)學生都需要繳費，對學生是個負擔。

4.增加路由器，對兩層VLAN標簽進行處理

如圖4所示，增加一個路由器，作為DHCP網(wǎng)關，使用路由器對兩層標簽進行處理，在帶有兩層標簽的報文上送到路由器的時候，進行解標簽的處理。在不帶標簽的流量會到路由器的時候，進行兩層VLAN標簽的封裝。兩層標簽被剝離之后，網(wǎng)絡中的其他設備均可以進行識別和處理。

同時，需要增加核心交換機對二層標簽透傳的配置，保障流量能夠正常上行到路由器。

具體過程如下：

（1）設備接入到網(wǎng)絡中，通過DHCP廣播的方式，請求地址；

（2）路由器收到DHCP請求報文之后，在相應VLAN內(nèi)，為設備分配地址，網(wǎng)關為路由器；

（3）如果采用PPPoE的撥號方式，客戶端會直接將報文發(fā)送到運營商BARS設備上，請求地址，在獲取到地址之后，虛擬撥號的地址優(yōu)先級高于DHCP，故可以訪問公網(wǎng)，網(wǎng)關配置的是BARS的地址；

（4）如果希望回到內(nèi)網(wǎng)，將PPPoE下線即可。

不管采用哪種方案都能夠解決問題，但同時也需要進行一些改變，但無論如何作為學院和運營商合作建設的一種嘗試，值得推廣。我院經(jīng)過討論采取了第四種解決方案，且完美實現(xiàn)了校園網(wǎng)的整體建設。

參考文獻：

[1]呂紀霆,霍振興.基于校園網(wǎng)建設WLAN的網(wǎng)絡建設與運營管理方案[J].數(shù)據(jù)通信, 2013(5).

[2]鄭迅雷.淺談EPON網(wǎng)絡建設方案[J].鐵道通信信號,2008(12).

(編輯：楊馥紅)

endprint

摘 要：本文對學院和運營商合作建設校園網(wǎng)絡進行了方案探討，提出了解決措施。

關鍵詞：校園網(wǎng)；運營商；網(wǎng)絡規(guī)劃

中圖分類號：TP393.18 文獻標志碼：B 文章編號：1673-8454（2014）09-0087-03

教育是社會發(fā)展的先導，21世紀的教育必須能夠適應信息化社會的需求。發(fā)達國家已清楚地認識到高速發(fā)展的信息技術和教育工作之間相互影響、相互促進的重要關系，并通過一系列舉措加快教育信息化建設進度，以求能夠滿足信息時代人才培養(yǎng)的需求。我國政府十分重視教育信息化建設，特別是在“面向21世紀教育振興行動計劃”中著重強調了：“利用信息技術推進教育改革，具備網(wǎng)絡化、智能化教學環(huán)境及教學、科研、管理、服務數(shù)字信息系統(tǒng)是建設一流大學的必要條件和重要標志”。我院領導提出新校區(qū)數(shù)字化校園要高起點規(guī)劃、高標準設計，統(tǒng)籌兼顧、分布實施。在這種背景下筆者及同事結合學院具體情況，設計出了新校區(qū)網(wǎng)絡建設規(guī)劃方案。

一、方案概述

為充分發(fā)揮資源優(yōu)勢，節(jié)省學院建設資金，網(wǎng)絡建設方案采取和運營商合作共建的方式。即由學院和運營商共同商討建設方案，根據(jù)商務談判協(xié)議，運營商負責建設學生宿舍網(wǎng)絡及其他內(nèi)容，并與學院校園網(wǎng)無縫對接。

我院提出新校區(qū)網(wǎng)絡建設要滿足“高起點、面向未來、充分考慮教學、科研、管理”的內(nèi)在需求，兼顧生活環(huán)境等配套因素，最大限度地實現(xiàn)資源共享，最終建成高起點、高質量、高水平、高度信息化、智能化。實現(xiàn)有線、無線、VPN用戶統(tǒng)一身份認證，全網(wǎng)部署IPv6，緊扣前沿技術脈搏，統(tǒng)一規(guī)劃高性能、高安全、帶寬透明管理的校園網(wǎng)邊界，關注安全熱點，消除安全盲點?；谝陨弦笪覀冊O計出了網(wǎng)絡拓撲如圖1所示。

建設中總體來說要考慮以下幾點：

（1）學生用戶訪問校園網(wǎng)資源不進行計費，為了實現(xiàn)該要求，因此需要對運營網(wǎng)關進行下移，通過對網(wǎng)關的下移，可以方便地對訪問校內(nèi)網(wǎng)流量以及互聯(lián)網(wǎng)流量進行分流，既不造成流量迂回對運營商城域網(wǎng)的影響，也更方便校園網(wǎng)資源的開放。

（2）為了更好地執(zhí)行公安部下發(fā)的82號令要求，對學生上網(wǎng)行為進行審計，因此整個網(wǎng)絡需要支持學生用戶上網(wǎng)行為審計功能。

（3）高品質的網(wǎng)絡不僅需要網(wǎng)絡具備可擴展性，而且還需要很強的可用性。本期網(wǎng)絡建設項目不僅要考慮有線網(wǎng)的可用性，還要考慮無線網(wǎng)的可用性，目前無線網(wǎng)絡建設經(jīng)常存在無線信號強，但是網(wǎng)絡可用性差的特點，因此需要在方案中特別的考慮。除此之外網(wǎng)絡還需具備可擴展性，包括帶寬的擴展，業(yè)務的擴展等。

（4）業(yè)務可平滑向下一代網(wǎng)絡遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護投資；業(yè)務可以隨時隨地使用，業(yè)務可以基于移動漫游環(huán)境，移動漫游環(huán)境無需管理者手工干預

（5）出口具備抵御攻擊、非法業(yè)務的隔離、控制，具備在線主動抵御的能力；核心網(wǎng)絡自身集成安全防御能力，縮小攻擊、病毒在校園影響范圍；用戶接入網(wǎng)絡屏蔽用戶非法操作，隔離網(wǎng)絡攻擊

二、問題探究

經(jīng)過招標建設，我院網(wǎng)絡核心使用一臺H3C S10508-V交換機，教學辦公區(qū)域采用有線無線全覆蓋方式，整網(wǎng)采取萬兆主干、千兆到桌面方式建設。學生宿舍區(qū)域使用無源光網(wǎng)絡作為接入設備，共有一套OLT和八套ONU組成。為了保證學生區(qū)域的使用安全，全套光網(wǎng)絡使用每用戶每VLAN的方式，進行二層隔離。每個從光網(wǎng)絡上行到核心交換機的報文均有兩層標簽的封裝。

根據(jù)數(shù)字化校園建設整體要求，我院校園網(wǎng)內(nèi)部有豐富的網(wǎng)絡資源可供訪問，故希望將學生宿舍互聯(lián)網(wǎng)的訪問需求和內(nèi)網(wǎng)的訪問需求分開處理。即，互聯(lián)網(wǎng)的訪問需求由運營商負責收費，提供訪問出口，內(nèi)網(wǎng)的訪問需求只要是在校學生都能夠無償訪問。

原計劃通過核心交換機的DHCP功能為所有上網(wǎng)用戶分配IP地址，此時可以訪問內(nèi)網(wǎng)，而后希望上外網(wǎng)的用戶，付費上網(wǎng)，通過PPPoE的方式獲取地址，基于PPPoE方式獲取的IP地址，優(yōu)先級會高于DHCP方式獲取的地址，那么此時客戶就可以直接訪問外網(wǎng)，不能夠訪問內(nèi)網(wǎng)，若想要重新訪問內(nèi)網(wǎng)，則需要將PPPoE連接斷開。不希望上外網(wǎng)的客戶，則可以使用DHCP方式獲取的地址直接訪問內(nèi)網(wǎng)。

由于兩層標簽的存在，以太網(wǎng)交換機通常不能夠對其進行處理，最多只能夠將流量放行，保持兩層標簽的形式。這意味著核心交換機不能夠為客戶端提供DHCP服務。上述的解決方案完全不能夠實現(xiàn)。

三、解決方法

要解決上述問題，并保障學生用戶的正常訪問，有如下幾種方式：

1.無源光網(wǎng)絡不使用兩層標簽

理論上，無源光網(wǎng)絡可以不配置兩層標簽，這并不困難。原本需要兩層標簽的主要原因是為了網(wǎng)絡傳輸和二層終結的方便。若是配置OLT設備，讓用戶流量只帶有一層標簽上行到核心交換機，則可以實現(xiàn)核心交換機對客戶端通過DHCP的方式分配地址這一操作。要求OLT設備配置多個用戶在一個VLAN中，比如，6000用戶，可以分為30個VLAN，每VLAN有200用戶?；谝酝?jīng)驗，同時在線的用戶數(shù)量通常都不到一半。

使用這個方案就可以實現(xiàn)最初的設想，讓不同訪問需求的客戶獲取不同地址，按需收費。

這個方法的問題就是客戶端之間的二層網(wǎng)絡是不能夠互相隔離的，這樣會造成一定的安全隱患，同時，對OLT設備的性能也提出了更高的要求。

2.將網(wǎng)關上移，使用運營商的BARS設備作為學生宿舍出口網(wǎng)關

如圖2所示，BARS設備可以分為認證域和DHCP域，實際上BARS也是一個路由器，也可以提供DHCP服務。BARS是有能力終結兩層VLAN的標簽。而后，按照原有的方案，所有上網(wǎng)的客戶都直接分配DHCP的IP地址，所有訪問互聯(lián)網(wǎng)絡的客戶仍然PPPoE撥號，直接獲取PPPoE的地址。

這個方案最大的好處，仍然是可以區(qū)分不同的訪問需要的用戶，只訪問內(nèi)網(wǎng)的用戶仍然不需要繳費。

最大的問題就是，BARS能否直接作為用戶的網(wǎng)關？在運營商規(guī)范上是否允許？

3.所有用戶都進行認證

不論是否有訪問互聯(lián)網(wǎng)的需求，所有用戶都要求有運營商的賬號號，才能夠上網(wǎng)。也就是說，不采用兩套認證的方式，只要接入網(wǎng)絡就要進行PPPoE撥號，撥號之后，能夠訪問內(nèi)網(wǎng)，也能夠訪問外網(wǎng)。這樣所有問題都可以解決，核心交換機作為一個二層通道，直接將流量透傳到BARS設備，如圖3所示。

這個方案的好處就是能夠完美的解決地址分配和認證的問題，而且不需要對網(wǎng)絡設備進行大的更改。

最大的問題就是無論是訪問內(nèi)網(wǎng)還是訪問外網(wǎng)學生都需要繳費，對學生是個負擔。

4.增加路由器，對兩層VLAN標簽進行處理

如圖4所示，增加一個路由器，作為DHCP網(wǎng)關，使用路由器對兩層標簽進行處理，在帶有兩層標簽的報文上送到路由器的時候，進行解標簽的處理。在不帶標簽的流量會到路由器的時候，進行兩層VLAN標簽的封裝。兩層標簽被剝離之后，網(wǎng)絡中的其他設備均可以進行識別和處理。

同時，需要增加核心交換機對二層標簽透傳的配置，保障流量能夠正常上行到路由器。

具體過程如下：

（1）設備接入到網(wǎng)絡中，通過DHCP廣播的方式，請求地址；

（2）路由器收到DHCP請求報文之后，在相應VLAN內(nèi)，為設備分配地址，網(wǎng)關為路由器；

（3）如果采用PPPoE的撥號方式，客戶端會直接將報文發(fā)送到運營商BARS設備上，請求地址，在獲取到地址之后，虛擬撥號的地址優(yōu)先級高于DHCP，故可以訪問公網(wǎng)，網(wǎng)關配置的是BARS的地址；

（4）如果希望回到內(nèi)網(wǎng)，將PPPoE下線即可。

不管采用哪種方案都能夠解決問題，但同時也需要進行一些改變，但無論如何作為學院和運營商合作建設的一種嘗試，值得推廣。我院經(jīng)過討論采取了第四種解決方案，且完美實現(xiàn)了校園網(wǎng)的整體建設。

參考文獻：

[1]呂紀霆,霍振興.基于校園網(wǎng)建設WLAN的網(wǎng)絡建設與運營管理方案[J].數(shù)據(jù)通信, 2013(5).

[2]鄭迅雷.淺談EPON網(wǎng)絡建設方案[J].鐵道通信信號,2008(12).

(編輯：楊馥紅)

endprint