校园网改造与多运营商接入机制探索与实践.docVIP

校园网改造与多运营商接入机制探索与实践 　　摘 要：本文通过对网络架构和用户认证技术的研究，结合实际信息化建设项目，完成校园网网络架构的升级改造，搭建多电信级运营商接入平台，调整校园网用户认证方式，完善多运营商接入校园网的服务协作机制，实现校园网有线无线接入的统一Web+Portal认证，学生用户可以自主选择运营商访问互联网。 　　关键词：网络架构扁平化，Web+Portal认证，多运营商接入服务机制 　　中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2017）19-0091-03 　　在高校，校园网的广域网接入服务，大多数由学校通过公开招标，或直接与电信级运营商签订包含广域网接入服务在内的一揽子合作协议的方式确定，一旦确定运营商，在一个合同周期内几乎不可能再进行更换。此外，由于运营商为了保护既得利益，在与学校签订服务协议时往往会列出一些排他条款，对校内用户，尤其是学生用户来说，基本上没有自主选择运营商的可能，学校对一些服务条款上的调整也显得相对被动。 　　一、校园网原基本情况和存在的主要问题 　　我校在校生人数万余名，近90%学生开通宿舍网络，高峰时段在线人数超8千用户。2015年以前，校园网采用传统的三层网络构建模式，即核心―汇聚―接入的三层架构，虽然其端口密集和数据交换性能等优势在一段时期内完全符合校园网建设的需求。随着校园网用户增加，承载业务多样化，以及园区网技术的不断发展，原有三层结构运行方式也呈现出许多不尽如人意的地方，如：控制点多且分散、各层设备功能和性能利用不合理、无法实现VLAN的更加细分和隔离等矛盾越来越凸显。 　　学生用户在宿舍区一直通过单独一家电信级运营商的广域网线路访问外网，采用基于接入层交换机的802.1X认证通过有线方式接入校园网，每用户只能一台设备接入；开户学生用户在校内WiFi覆盖区域，可使用移动终端通过“Web+Portal”认证后访问外网。 　　802.1X认证是在边缘的接入层交换机上实现，由此带来了大量接入层交换机管理维护的问题，特别是在遇到内网攻击时，接入层交换机很容易出现问题而导致断网；此外，上网认证需要安装专用客户端软件，学生使用的计算机型号、配置和安装的操作系统各异，操作计算机的能力也有所不同，日常维护量较大，通常需要维护的时间往往集中在下课之后，阶段时间内需要安排较多网管人员进行维护，时常出现应接不暇的状况。 　　与有线网认证一样，802.1X兼容性的问题在无线网络中同样存在，特别是由于移动终端设备厂家、类型与架构的不同，设备型号成千上万，针对这些移动设备，网络设备厂家无法提供满足所有设备的认证客户端，会有许多移动设备无法通过802.1X认证接入网络，因此学校一般会采用“Web+Portal”认证作为无线局域网的接入认证。而在传统三层网络环境中的“Web+Portal”认证，终端设备在请求接入网络且还未完成认证之前，会向网络大量发送Http请求报文做链接尝试，而这些报文都会都被接入交换机重定向到Portal服务器，最终服务器往往因无法正常收敛报文而宕机，这就是所谓的“认证噪声”，它会使Portal服务器长期处于高负荷状态之下，造成认证页面在移动端弹出缓慢或失去响应等现象，影响上网感受，甚至造成认证失败。 　　上述问题随着校园网规模和用户数的逐步扩大，多业务多应用的叠加，多运营商接入和用户个性化需求的增加，将显得越来越突出，最终导致校园网整?w的稳定性、可靠性降低，管理维护压力和成本越来越大。 　　二、网络优化改造技术实施方案的探索与实践 　　结合原有校园网络的实际使用情况和存在的问题，通过对网络架构、广域网多运营商接入、网络用户认证等方面的技术研究，制定出相应的技术实施方案，并依托实际的信息化建设项目实践，完成了对校园网网络架构的升级改造和相应认证方式的调整。 　　1.网络架构方面 　　针对三层架构校园网中存在的这些问题，就目前技术发展和实际使用案例来看，可以通过对网络架构的扁平化来解决。所谓扁平化网络架构，是指采用QinQ 或SuperVlan技术，根据网络中设备所承担的功能进行划分，将网络分为业务控制层和宽带接入层。宽带接入层由原三层架构中的汇聚和接入层设备构成，仅提供基本的用户带宽接入功能和相互之间的VLAN二层隔离；业务控制层则由核心层设备构成，提供网络中的用户接入控制、业务功能实现等复杂功能。 　　按照扁平化网络架构思路，本次校园网升级改造项目中，通过购置两台扁平化核心交换机与一台高性能多端口核心路由器组成整个网络的核心，构建成整个校园网络互联的业务控制核心层，原三层架构中的汇聚和接入层设备构成宽带接入层，实现原有三层网络改造成扁平化架构，同时在核心旁挂一套防代理盒子对接入的用户进行防代理检测。如图1所示，扁平化