鄭　民　張偉勝　楊廣輝

摘 要:本文分析了目前常見的校園網接入Internet方案的利弊。既要引入運營商成熟的管理和技術,又要保留校園網原有的三層網絡結構,校園網作為一個接入服務的提供者,采用L2TP為ISP提供用戶接入服務能夠有效地解決這一矛盾。

關鍵詞:校園網 L2TP Internet接入

中圖分類號:TP393.18 文獻標識碼:B 文章編號:1673-8454(2009)13-0014-03

一、引言

常見的校園網運營或由學校購買運營商出口帶寬,為學生提供認證和計費服務,或直接由運營商負責網絡管理和運營。本文提出了校園網用戶采用L2TP(Layer Two Tunneling Protocol,二層隧道協(xié)議)方式接入Internet,校園網保持自治,同時由運營商提供認證計費以及流量控制的技術方案。自治可以保持校園網的傳統(tǒng)三層結構,有利于學校網絡和信息部門進一步建設和普及校園的網絡應用,有利于師生網絡之間的互聯(lián)互通和資源共享。運營商的優(yōu)勢在于他們的認證計費平臺和網絡服務質量的保證都已非常成熟和穩(wěn)定,能夠為師生提供專業(yè)的寬帶接入服務。兩者結合可以使學校的網絡和信息部門從為師生提供Internet接入服務的工作中解放出來,專注于學校的信息化建設和網絡技術的研究。另外,也可以為學校節(jié)省認證計費平臺和專業(yè)流量控制設備的投資。

二、常見校園網Internet接入方式分析

1.PPPOE+QINQ

學生用戶VLAN隔離,通過QINQ(通過在以太幀中堆疊兩個802.1Q包頭的技術)可以復用有限的VLAN號。同時,學生用戶VLAN隔離也能夠避免大量用戶同時上線時產生的廣播流量(PPPOE協(xié)議中的PADI廣播報文)。該技術的方案優(yōu)勢在于電信等運營商有非常成熟穩(wěn)定的部署管理經驗及產品應用,能夠為單個用戶提供可靠的寬帶接入服務。缺點在于人為地將學生用戶從校園網中割裂開來,將用戶訪問Internet的需求和訪問校園網的需求對立起來。用戶在撥號之前,不能夠自由地訪問學校的網絡資源,撥號之后,也需要到公網之后再回來訪問校園網,速度也受到BAS(Broadband Access Server,寬帶接入服務器)的限制,而校園網內部本身在物理上是百兆到桌面并且是互聯(lián)互通的,因而喪失了原有的網絡性能。為了能夠保留校園網的功能,可以按如圖1所示的拓撲設計網絡。

該方案需要額外的光路和光模塊等硬件投入。另外,PPPOE的廣播報文導致了該方案是排他的,即只能允許一家運營商采用PPPOE的形式來接入用戶,校園網用戶的寬帶服務無法引入多家運營商。

2.802.1x

802.1x是基于端口的網絡接入控制協(xié)議,即在局域網接入設備這一級對所接入的設備進行認證和控制。各設備廠商為了更好地支持用戶的管理需求,開發(fā)了很多應用特性,比如H3C的代理用戶檢測,CISCO的VLAN分配等。而且,各自都有不同的認證計費平臺、專屬應用特性要求交換機軟件的支持,因此在多品牌設備的網絡下無法實現特定的應用特性。如單個物理端口下的多主機支持特性,H3C的設備支持多用戶分別認證,而CISCO只支持單一主機或者多主機情況下某一個主機認證通過即可。如果網絡環(huán)境由單一品牌的設備組成,并且可以保證每個用戶都擁有一個物理端口接入,802.1X是校園網認證的較好應用方案。

3.基于DHCP的Web認證

用戶端無需安裝撥號軟件,無需用戶作額外的配置。而采用撥號軟件,上網故障時,用戶往往無法辨別是網絡的問題還是計算機自身的問題,會帶來較多的維護工作量。簡便易用,維護量小是該方式的最大優(yōu)點。但是和寬帶接入服務器BAS/BRAS(Broadband Remote Access Server,寬帶遠程接入服務器)相比,計費網關缺乏精確的用戶帶寬控制(需要額外增加專用的流量控制設備),也不能解決地址沖突和盜用問題,這一點,PPPOE和802.1X通過用戶的MAC/IP/端口號的三者綁定,均能很好地解決。

三、采用L2TP的VPN方式

L2TP是一種將二層電路穿越包交換網絡的動態(tài)隧道技術,除了PPP(Point to Point Protocol),還支持以太網、Frame-relay和ATM(Asynchronous Transfer Mode,異步傳輸模式)等其他二層負載。相比前三種接入方式,由于全部流量都被封裝在UDP或者IP(l2tp over udp or l2tp over ip)報文中,加上PPP的開銷,L2TP的負荷效率最低。而且,封裝之后也增加了網絡流量分析中的拆包工作。Windows XP及VISTA自帶L2TP客戶端,缺省和IPSEC綁定,為了提高效率,需要修改注冊表解除和IPSEC的綁定。盡管有上述不足,L2TP仍舊是校園網接入Internet的一個不錯的選擇,如圖2所示。

首先,由于L2TP運行在包交換網絡之上,對接入層的設備沒有特別的要求,比如第一種方案要求匯聚交換機支持QINQ,第二種方案中802.1x在某些應用特性的要求下,認證平臺和交換機必須是同一個廠商的產品等。其次,隨著中國電信、中國聯(lián)通和中國移動擁有全業(yè)務牌照之后,寬帶接入網的競爭也勢必激烈起來。采用L2TP方式可以同時引入多家運營商為學生提供寬帶接入服務,而競爭必然帶來服務的提升和價格的下降。當前市場上支持該技術方案的設備也較多,包括寬帶接入設備BAS、BRAS或VPN網關,如JUNIPER的ERX系列BRAS寬帶接入服務器,HUAWEI的MA5200G,CISCO的ASA5500等。其三,BAS/BRAS能夠對接入用戶進行嚴格的流量控制,可以引入成熟的用戶管理機制,并且擁有海量的L2TP隧道終結能力。其四,L2TP方式接入Internet,不改變校園網的網絡拓撲,保留了校園網原有的包交換網絡結構。

四、同時訪問校內網與運營商網

圖1和圖2的方案中,用戶在撥號后將無法正常訪問校內網和教科網,因為寬帶連接或者L2TP連接建立后將修改本機的缺省網關。在Windows操作系統(tǒng)中,還需要關注適配器的訪問次序,特別是DNS,用戶的網絡服務程序將按照適配器的訪問次序逐個嘗試域名解析。除了在用戶的系統(tǒng)上增加訪問內網及教科網的靜態(tài)路由之外,如果內網卡的訪問次序排在寬帶連接或者L2TP連接之前,會造成運營商的用戶使用校園網的DNS來進行域名解析。Windows的網絡連接窗口中高級設置可用于設定適配器的訪問次序,確保寬帶連接或者L2TP連接即遠程訪問連接排在首位,如圖3所示。

但是,在XP或者Windows 2000等操作系統(tǒng)中,該操作有時會是無效的,即無法通過該菜單有效修改適配器的訪問次序,只能通過修改注冊表表項HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipLinkage中的BIND參數,將其中的DEVICENdisWanIp行放在其他接口設備之上,如圖4所示。

在確保正確的適配器訪問次序后,內網資源的域名解析可以通過在客戶端Hosts文件中設置內網資源的域名記錄來解決。也可以在校內架設一臺DNS服務器,校內資源由它直接解析,校外資源則根據用戶的IP段選擇相應的轉發(fā)服務器(運營商的DNS服務器)。內網的靜態(tài)路由可以通過DHCP服務器249選項動態(tài)下發(fā)給客戶端。

五、結論

校園網委托運營商運營的案例越來越多,中國電信的數字校園也在強勢推廣。運營商總是希望接入網用戶之間是隔離的,這樣安全性高,易于管理。而校園網建設的初衷和Internet一樣,要求互聯(lián)互通,資源共享,是一張開放的、基于IP的網絡。如果按照運營商的建設思路,校園網有可能會被PPP沙漠化。學?；谛@網資源共享,建設校園網絡文化的努力也會大打折扣。采用L2TP方式為用戶提供Internet接入的方案可以較好地解決這一矛盾。一方面,校園能夠引入運營商所擅長的網絡接入服務,同時,又保留了校園網原有的三層網絡結構,師生在享用運營商提供的高質接入服務的同時,仍然能夠通過校園內網高速訪問學校的數字資源。

參考文獻:

[1]黃國賢,李斌奇,王以勒.VPN實現“走出去”與“引進來”[J].中國教育網絡,2008(9):14.

[2]IETF,RFC3931,Layer Two Tunneling Protocol - Version 3 (L2TPv3),2005.

[3]邢小良.關于寬帶IP網的認證計費方式的探討[J].電信科學,2001(10):48-49.