基于多運(yùn)營(yíng)商共建共享的高校網(wǎng)絡(luò)建設(shè)方案研究與實(shí)現(xiàn)

孫中全

(滁州職業(yè)技術(shù)學(xué)院，安徽滁州 239000)

隨著網(wǎng)絡(luò)應(yīng)用的日益增長(zhǎng)，教育信息化進(jìn)程的快速發(fā)展，用戶對(duì)網(wǎng)絡(luò)帶寬資源的需求越來(lái)越大，學(xué)校需要花費(fèi)大量資金租用ISP(互聯(lián)網(wǎng)服務(wù)提供商)手中的網(wǎng)絡(luò)資源，卻仍然不能滿足校園網(wǎng)用戶的上網(wǎng)需求，由此高校開始接納運(yùn)營(yíng)商參與校園網(wǎng)絡(luò)的建設(shè)和運(yùn)維。高校與單運(yùn)營(yíng)商合作建設(shè)校園網(wǎng)，由一家運(yùn)營(yíng)商承擔(dān)校園網(wǎng)所有投資，雖然在管理、技術(shù)方面更簡(jiǎn)單、更容易實(shí)現(xiàn)，但這種做法往往會(huì)讓校方處在輿論的風(fēng)口浪尖。從國(guó)家政策上看，不提倡單運(yùn)營(yíng)商的合作機(jī)制，工信部《關(guān)于規(guī)范基礎(chǔ)電信運(yùn)營(yíng)企業(yè)校園電信業(yè)務(wù)市場(chǎng)經(jīng)營(yíng)行為的意見》《工業(yè)和信息化部關(guān)于進(jìn)一步規(guī)范基礎(chǔ)電信運(yùn)營(yíng)企業(yè)校園電信業(yè)務(wù)市場(chǎng)經(jīng)營(yíng)行為的意見》等都已經(jīng)明確表明：禁止電信企業(yè)與學(xué)校等各級(jí)教育機(jī)構(gòu)或下屬部門簽訂排他性合作協(xié)議(含口頭協(xié)議)，不得禁止或限制競(jìng)爭(zhēng)對(duì)手進(jìn)入校園開展電信業(yè)務(wù)營(yíng)銷活動(dòng)。因此，高校與多運(yùn)營(yíng)商合作建設(shè)校園網(wǎng)，由多家運(yùn)營(yíng)商共同投資建設(shè)，是當(dāng)前高校校園網(wǎng)建設(shè)的主流。

1 當(dāng)前校園網(wǎng)建設(shè)存在的問題

校園網(wǎng)改造建設(shè)需要投入大量的人力、物力，高職院校多正處于建設(shè)發(fā)展的初期，建設(shè)資金不足、專業(yè)技術(shù)人員缺乏，大部分院校引入電信運(yùn)營(yíng)商投入資金、人力和物力等，共同參與校園網(wǎng)絡(luò)建設(shè)，運(yùn)營(yíng)商利用高校學(xué)生資源，通過(guò)辦理帶寬、手機(jī)業(yè)務(wù)獲取利益，與學(xué)校實(shí)現(xiàn)共贏。

現(xiàn)階段多運(yùn)營(yíng)商參與校園網(wǎng)建設(shè)運(yùn)維模式主要存在著以下一些問題：各運(yùn)營(yíng)商之間網(wǎng)絡(luò)相互獨(dú)立，重復(fù)投資建網(wǎng)，資源浪費(fèi)嚴(yán)重，維護(hù)管理比較困難；校園網(wǎng)絡(luò)出口無(wú)法統(tǒng)一，用戶帳號(hào)無(wú)法統(tǒng)一，有線無(wú)線網(wǎng)絡(luò)無(wú)法統(tǒng)一；學(xué)生寬帶接入方式受限，上網(wǎng)行為和上網(wǎng)時(shí)間無(wú)法監(jiān)管；缺少安全審計(jì)日志，發(fā)生網(wǎng)絡(luò)安全事件而無(wú)法追查，不符合公安部以及網(wǎng)絡(luò)安全法等相關(guān)要求。傳統(tǒng)網(wǎng)絡(luò)運(yùn)維模式及出口路由策略無(wú)法很好地解決以上問題，急需尋求新的網(wǎng)絡(luò)技術(shù)和突破口，重新規(guī)劃和建設(shè)校園網(wǎng)絡(luò)。

校園網(wǎng)絡(luò)主要包括教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)，教學(xué)辦公區(qū)由學(xué)院自建自維護(hù)，學(xué)生宿舍區(qū)由電信和移動(dòng)兩家運(yùn)營(yíng)商各自獨(dú)立投資建設(shè)，各自維護(hù)自家網(wǎng)絡(luò)，最終導(dǎo)致學(xué)生宿舍橋架網(wǎng)絡(luò)線路較多，房間內(nèi)線路混亂，若出現(xiàn)問題，則故障排除困難，安全隱患較大，宿舍網(wǎng)絡(luò)重復(fù)投資建設(shè)，資金浪費(fèi)較大，寬帶資源得不到合理利用，學(xué)生上網(wǎng)行為得不到監(jiān)管，在管理、維護(hù)期間運(yùn)營(yíng)商之間易發(fā)生沖突和矛盾。加之后期，聯(lián)通運(yùn)營(yíng)商的寬帶可能接入，移動(dòng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，無(wú)線網(wǎng)絡(luò)建設(shè)迫在眉睫，學(xué)生宿舍區(qū)橋架也已無(wú)法容納后期網(wǎng)絡(luò)建設(shè)發(fā)展需求，教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)無(wú)法互連互通，學(xué)生不能訪問校內(nèi)教學(xué)資源，教師無(wú)法監(jiān)管學(xué)生。因此，亟待尋求一種新的網(wǎng)絡(luò)技術(shù)建設(shè)方案，將運(yùn)營(yíng)商各自獨(dú)立建設(shè)的宿舍網(wǎng)絡(luò)和教學(xué)辦公網(wǎng)絡(luò)整合在一起，來(lái)解決當(dāng)前發(fā)展中遇到的諸多困難和問題。

2 新校園網(wǎng)建設(shè)思路和方案

本文依托我校校園網(wǎng)現(xiàn)狀，針對(duì)校園網(wǎng)絡(luò)由多家運(yùn)營(yíng)商參與建設(shè)運(yùn)維造成的諸多問題，提出了以學(xué)校信息技術(shù)中心牽頭，寬帶運(yùn)營(yíng)商投資建設(shè)，通過(guò)在一條物理線路上實(shí)現(xiàn)多家業(yè)務(wù)共同運(yùn)營(yíng)的總體解決思路和方案，將不同運(yùn)營(yíng)商終端用戶進(jìn)行基于帳號(hào)的分組，從而選擇對(duì)應(yīng)的運(yùn)營(yíng)商出口線路，通過(guò)利用路由準(zhǔn)入準(zhǔn)出策略、路由策略、分流技術(shù)，使各運(yùn)營(yíng)商寬帶業(yè)務(wù)流量完全隔離，實(shí)現(xiàn)終端用戶數(shù)據(jù)報(bào)文選擇各自對(duì)應(yīng)寬帶運(yùn)營(yíng)商出口線路，本方案主要基于銳捷設(shè)備及相關(guān)信息管理平臺(tái)，校園網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 校園網(wǎng)絡(luò)拓?fù)鋱D

極簡(jiǎn)出口區(qū)：由兩臺(tái)高性能出口路由器組成互備方案形式，接有電信、聯(lián)通、移動(dòng)、教育網(wǎng)出口寬帶ISP運(yùn)營(yíng)商。

極簡(jiǎn)核心區(qū)：由兩臺(tái)現(xiàn)行主流核心交換機(jī)通過(guò)虛擬交換單元技術(shù)(Virtual Switch Unit，VSU)將兩臺(tái)核心虛擬化成一臺(tái)，實(shí)現(xiàn)統(tǒng)一管理和熱備，整網(wǎng)采用“扁平化”的大二層結(jié)構(gòu)。

極簡(jiǎn)運(yùn)營(yíng)區(qū)：主要由網(wǎng)絡(luò)相關(guān)認(rèn)證管理系統(tǒng)組成，主要有引擎、認(rèn)證計(jì)費(fèi)、運(yùn)維綜合管理等相關(guān)業(yè)務(wù)系統(tǒng)組成。

數(shù)據(jù)中心：由于該層主要存放數(shù)據(jù)、門戶網(wǎng)站、信息系統(tǒng)等，用戶訪問量較大，歸屬于組網(wǎng)建設(shè)中安全重點(diǎn)保護(hù)區(qū)，部署了安全防火墻以及網(wǎng)絡(luò)加速等設(shè)備，以確保數(shù)據(jù)安全和訪問速度高效、通暢。

教學(xué)辦公和學(xué)生宿舍區(qū)：主要由三層交換和接入交換機(jī)組成，有充足的網(wǎng)絡(luò)接口數(shù)量，保障和延續(xù)了后期網(wǎng)絡(luò)的擴(kuò)展需要。

3 主要實(shí)現(xiàn)原理和設(shè)備配置

3.1 實(shí)現(xiàn)原理

以電信終端寬帶10M用戶上網(wǎng)為例，其它運(yùn)營(yíng)商終端用戶上網(wǎng)實(shí)現(xiàn)方式和配置相同；在安全出口設(shè)備上配置電信10M用戶組和寬帶速率，配置該組用戶訪問控制列表并設(shè)置與電信出口相對(duì)應(yīng)的策略路由，通過(guò)計(jì)費(fèi)認(rèn)證系統(tǒng)SAM+相結(jié)合匹配，實(shí)現(xiàn)動(dòng)態(tài)的、基于用戶角色訪問控制的、帶寬控制的用戶上網(wǎng)模式，實(shí)現(xiàn)在一條物理線路上各自用戶從對(duì)應(yīng)運(yùn)營(yíng)商寬帶出口準(zhǔn)入和準(zhǔn)出，且各自流量相互隔離，互不干擾，保障了運(yùn)營(yíng)商之間的各自利益。

3.2 設(shè)備主要配置

出口設(shè)備：

CZC-RSR7708X (config)#user-group DX10M//創(chuàng)建DX10M用戶組名稱

CZC-RSR7708X (config)#ip access-list extended 100 //配置訪問控制列表

CZC-RSR7708X (config-ext-nacl)#permit ip user-group DX10M any //將電信10M用戶組放入該訪問控制列表

CZC-RSR7708X (config)#interface gigabitEthernet 1/0/1 //進(jìn)入電信寬帶出口接口

CZC-RSR7708X (config-if-GigabitEthernet 1/0/1)#ip rate-control base-account 100 bandwidth both 1280//配置該組用戶為10M寬帶速率

計(jì)費(fèi)認(rèn)證系統(tǒng)SAM+：

在計(jì)費(fèi)認(rèn)證系統(tǒng)SAM+上配置接入控制出口聯(lián)動(dòng)策略內(nèi)容名稱與出口設(shè)備配置的用戶組名DX10M相一致，出口聯(lián)動(dòng)配置如圖2所示，圖3為對(duì)不同運(yùn)營(yíng)商的終端用戶分組設(shè)備和管理。

圖2 出口聯(lián)動(dòng)配置

圖3 終端用戶分組配置

核心設(shè)備主要配置：

CZC-N18010 (config)#auth-mode gateway //配置網(wǎng)關(guān)模式，完成后需重啟

CZC-N18010(config)#snmp-server host 10.202.1.22 informs version 2c ruijie //配置N18K同SAM+的snmp交互

CZC-N18010 (config)#web-auth template eportalv2 //配置portal服務(wù)器，進(jìn)行聯(lián)動(dòng)

CZC-N18010 (config.tmplt.eportalv2)#ip 10.202.1.23

CZC-N18010(config.tmplt.eportalv2)#urlhttp∶//10.202.1.23/eportal/index.jsp

CZC-N18010 (config)#station-move permit //開啟1x認(rèn)證遷移

CZC-N18010 (config)#web-auth station-move auto //開啟web認(rèn)證遷移

CZC-N18010 (config)#web-auth station-move info-update

4 測(cè)試驗(yàn)證

對(duì)各運(yùn)營(yíng)商終端用戶上網(wǎng)數(shù)據(jù)報(bào)文進(jìn)行逐一測(cè)試，驗(yàn)證不同用戶組的用戶上網(wǎng)數(shù)據(jù)報(bào)文是否會(huì)選擇對(duì)應(yīng)運(yùn)營(yíng)商寬帶網(wǎng)絡(luò)出口進(jìn)行報(bào)文轉(zhuǎn)發(fā)，下面分別選取電信用戶組張三用戶(圖4)和聯(lián)通用戶組李四用戶(圖5)的終端設(shè)備，對(duì)他們各自上網(wǎng)出口數(shù)據(jù)報(bào)文進(jìn)行測(cè)試驗(yàn)證，使用tracert命令，對(duì)訪問百度同一個(gè)網(wǎng)站進(jìn)行路由跟蹤。

圖4 張三用戶路由測(cè)試

圖5 李四用戶路由測(cè)試

簡(jiǎn)述上述不同用戶組用戶訪問同一網(wǎng)站的數(shù)據(jù)報(bào)文路由跟蹤結(jié)果：

電信組用戶張三訪問百度網(wǎng)站的數(shù)據(jù)報(bào)文到達(dá)IP地址為10.200.1.2的出口設(shè)備后，下一跳轉(zhuǎn)發(fā)至183.167.211.145的IP地址，此地址為電信運(yùn)營(yíng)商的IP地址，結(jié)果證明電信組用戶訪問公網(wǎng)，數(shù)據(jù)報(bào)文選擇電信ISP線路進(jìn)行轉(zhuǎn)發(fā)。

聯(lián)通組用戶李四訪問百度網(wǎng)站的數(shù)據(jù)報(bào)文到達(dá)IP地址為10.200.1.2的出口設(shè)備后，下一跳轉(zhuǎn)發(fā)至58.243.98.217的IP地址，此地址為聯(lián)通運(yùn)營(yíng)商的IP地址，結(jié)果證明聯(lián)通組用戶訪問公網(wǎng)，數(shù)據(jù)報(bào)文選擇聯(lián)通ISP線路進(jìn)行轉(zhuǎn)發(fā)。

根據(jù)結(jié)果測(cè)試證明，在同一物路線路上實(shí)現(xiàn)了不同運(yùn)營(yíng)商終端用戶訪問公網(wǎng)時(shí)的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)，可以通過(guò)相關(guān)網(wǎng)絡(luò)技術(shù)、策略路由技術(shù)以及相關(guān)配套軟件系統(tǒng)進(jìn)行聯(lián)動(dòng)，多運(yùn)營(yíng)商共建共享的校園網(wǎng)絡(luò)組網(wǎng)方案得到了驗(yàn)證。

5 結(jié)語(yǔ)

本文描述了終端用戶上網(wǎng)方式的路由實(shí)現(xiàn)原理及相關(guān)網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)了多運(yùn)營(yíng)商統(tǒng)一出口設(shè)備，完成了基于校園網(wǎng)用戶組的多路徑選擇方案，最后通過(guò)路由跟蹤測(cè)試驗(yàn)證了方案的可行性，解決了多運(yùn)營(yíng)商共同參與高校校園網(wǎng)絡(luò)建設(shè)難題，實(shí)現(xiàn)了高校與運(yùn)營(yíng)商共建共享共贏的目標(biāo)，本方案對(duì)高校校園網(wǎng)的運(yùn)維、管理，都具有很好的借鑒意義，是未來(lái)高校校園網(wǎng)建設(shè)、運(yùn)維、管理的一種新模式。