祁　輝，于春燕

（滁州學(xué)院計(jì)算機(jī)與信息工作學(xué)院，安徽　滁州239000）

多運(yùn)營(yíng)商合作模式下的校園網(wǎng)多出口策略

祁輝，于春燕

（滁州學(xué)院計(jì)算機(jī)與信息工作學(xué)院，安徽滁州239000）

為了解決與多運(yùn)營(yíng)商合作過程中的多網(wǎng)絡(luò)出口問題，借助扁平化網(wǎng)絡(luò)架構(gòu)的集中控制及精細(xì)化管理，通過BRAS設(shè)備、Radius服務(wù)器以及出口防火墻等的協(xié)同工作，實(shí)現(xiàn)了多網(wǎng)絡(luò)出口情況下的流量的按需求轉(zhuǎn)發(fā)。校園網(wǎng)的運(yùn)行情況說明設(shè)計(jì)達(dá)到了預(yù)期的效果。

多運(yùn)營(yíng)商合作；多出口；扁平化

滁州學(xué)院校園網(wǎng)絡(luò)現(xiàn)已覆蓋所有教學(xué)樓、辦公樓、學(xué)生公寓和教工公寓。在校園網(wǎng)絡(luò)建設(shè)中，辦公、教學(xué)及教工公寓區(qū)域的網(wǎng)絡(luò)與學(xué)生公寓區(qū)域的網(wǎng)絡(luò)采用了不同的建設(shè)模式，前者由學(xué)校自行建設(shè)，后者則與運(yùn)營(yíng)商合作共建。學(xué)生公寓網(wǎng)絡(luò)的共建過程是先與中國(guó)電信合作，共建了學(xué)生公寓有線網(wǎng)絡(luò)，后又與中國(guó)移動(dòng)合作建成了校園無線網(wǎng)絡(luò)。目前，在部分學(xué)生公寓有線網(wǎng)絡(luò)建設(shè)中，正逐步引入三家運(yùn)營(yíng)商（中國(guó)電信、中國(guó)移動(dòng)和中國(guó)聯(lián)通，以下簡(jiǎn)稱為電信、移動(dòng)和聯(lián)通），讓學(xué)生可自由選擇不同運(yùn)營(yíng)商的網(wǎng)絡(luò)，方法是：三家運(yùn)營(yíng)商共同建設(shè)同一套學(xué)生公寓的接入層網(wǎng)絡(luò)，各自提供滿足用戶需求的公網(wǎng)出口鏈路、帶寬和IP地址，核心層網(wǎng)絡(luò)、用戶管理系統(tǒng)等均由校方建設(shè)。

隨著合作模式的改變，傳統(tǒng)的校園網(wǎng)三層網(wǎng)絡(luò)結(jié)構(gòu)及出口路由策略已不能很好地滿足多運(yùn)營(yíng)商業(yè)務(wù)和有線、無線用戶的統(tǒng)一認(rèn)證接入等要求。本文參考電信運(yùn)營(yíng)商的扁平化網(wǎng)絡(luò)架構(gòu)［1］，配以合適的出口策略，實(shí)現(xiàn)流量按需轉(zhuǎn)發(fā)，解決多運(yùn)營(yíng)商合作中的多出口問題。

1　多出口策略實(shí)現(xiàn)

1.1扁平化網(wǎng)絡(luò)架構(gòu)

所謂扁平化的網(wǎng)絡(luò)架構(gòu)，就是將網(wǎng)絡(luò)劃分為寬帶接入層和業(yè)務(wù)控制層。寬帶接入層由匯聚和接入層設(shè)備構(gòu)成，實(shí)現(xiàn)用戶帶寬接入和VLAN隔離等功能；業(yè)務(wù)控制層由核心層設(shè)備構(gòu)成，提供網(wǎng)絡(luò)中的用戶集中接入控制、業(yè)務(wù)功能實(shí)現(xiàn)等復(fù)雜功能［2］。

扁平化的網(wǎng)絡(luò)架構(gòu)使模糊的校園網(wǎng)絡(luò)層次清晰化，不同層次各司其職［3］，網(wǎng)絡(luò)管理趨向于簡(jiǎn)單化、精細(xì)化和高效化，有利于網(wǎng)絡(luò)的擴(kuò)展、管理和維護(hù)。

1.2用戶管理與控制

滁州學(xué)院校園網(wǎng)絡(luò)用戶管理與控制采用的是寬帶遠(yuǎn)程接入服務(wù)器BRAS（BroadbandRemoteAccessServer）+Radius（Remote authentication dial in user service）系統(tǒng)，學(xué)生公寓網(wǎng)絡(luò)中通過IPoE+Web Portal認(rèn)證的方式實(shí)現(xiàn)網(wǎng)絡(luò)接入，教工公寓網(wǎng)絡(luò)使用PPPoE撥號(hào)方式實(shí)現(xiàn)網(wǎng)絡(luò)接入。本文重點(diǎn)討論學(xué)生公寓網(wǎng)絡(luò)的用戶管理與控制。

學(xué)生公寓網(wǎng)絡(luò)用戶在接入網(wǎng)絡(luò)后即獲得IP地址，可以免費(fèi)訪問校園網(wǎng)資源，但訪問Internet資源時(shí)需要登錄認(rèn)證。具體過程是：學(xué)生用戶終端在接入校園網(wǎng)時(shí)發(fā)出DHCP請(qǐng)求，該請(qǐng)求通過BRAS設(shè)備轉(zhuǎn)發(fā)到Radius服務(wù)器進(jìn)行驗(yàn)證，Radius服務(wù)器驗(yàn)證后返回確認(rèn)用戶身份的響應(yīng)，同時(shí)將用戶訪問策略、帶寬管理策略下發(fā)到BRAS設(shè)備，通過BRAS設(shè)備與用戶終端之間的DHCP協(xié)議使用戶獲取IP地址。同時(shí)，在BRAS設(shè)備上自動(dòng)生成該用戶對(duì)應(yīng)的子接口（demux接口），并在該子接口上應(yīng)用Radius下發(fā)的默認(rèn)控制策略［4］實(shí)現(xiàn)對(duì)用戶的控制。用戶demux接口的默認(rèn)權(quán)限是訪問特定的資源（如校內(nèi)網(wǎng)站等），當(dāng)用戶訪問非默認(rèn)授權(quán)資源（如校外網(wǎng)站）時(shí)，用戶的HTTP請(qǐng)求將通過HTTP Redirect重新定向到Portal頁面上進(jìn)行身份認(rèn)證，從而擴(kuò)大用戶訪問權(quán)限，流程如圖1所示。

圖1用戶認(rèn)證過程

圖1所示用戶的認(rèn)證過程是：用戶獲取IP地址并通過瀏覽器發(fā)起HTTP請(qǐng)求→HTTP請(qǐng)求被重新定向到Portal服務(wù)器→Portal服務(wù)器彈出用戶登錄頁面，要求用戶輸入賬號(hào)進(jìn)行認(rèn)證→用戶輸入賬號(hào)信息并提交給Portal服務(wù)器→Portal服務(wù)器將用戶賬號(hào)信息轉(zhuǎn)交給Radius服務(wù)器進(jìn)行認(rèn)證→認(rèn)證通過后，Radius服務(wù)器一方面通知Portal服務(wù)器給出相關(guān)用戶提示，另一方面通知BRAS設(shè)備調(diào)整用戶的控制策略→BRAS設(shè)備將新的用戶控制策略應(yīng)用到對(duì)應(yīng)的用戶的demux接口上→COA（Change Of Authorization）應(yīng)用成功的確認(rèn)信息由BRAS設(shè)備轉(zhuǎn)發(fā)到Portal服務(wù)器，用戶訪問權(quán)限得到提升。在COA過程中，由Portal/Radius服務(wù)器下發(fā)的用戶控制策略包括用戶所屬運(yùn)營(yíng)商、用戶速率控制、訪問權(quán)限控制和業(yè)務(wù)功能控制等信息。

1.3校園網(wǎng)出口結(jié)構(gòu)

滁州學(xué)院現(xiàn)有六條公網(wǎng)出口，分別是辦公教學(xué)區(qū)域的教育網(wǎng)、電信和聯(lián)通，學(xué)生公寓區(qū)域的電信、移動(dòng)和聯(lián)通。此六條出口鏈路通過一臺(tái)出口防火墻接入互聯(lián)網(wǎng)，如圖2所示。

圖2　校園網(wǎng)出口拓?fù)鋱D

在圖2中，辦公教學(xué)出口的流量主要來自A核心所接的辦公教學(xué)區(qū)、教工公寓區(qū)以及B核心所接的辦公教學(xué)區(qū)和數(shù)據(jù)中心區(qū)等。這些流量經(jīng)B核心與出口防火墻之間的鏈路傳送至出口防火墻，在出口防火墻上根據(jù)訪問控制策略和策略路由等，完成在教育網(wǎng)、電信和聯(lián)通出口之間的選擇轉(zhuǎn)發(fā)。

BRAS設(shè)備通過三條鏈路與出口防火墻互聯(lián)，將學(xué)生公寓區(qū)的流量根據(jù)其所屬的不同運(yùn)營(yíng)商從相應(yīng)的鏈路轉(zhuǎn)發(fā)至出口防火墻。出口防火墻上的學(xué)生用戶主要有兩種類型：第一種，認(rèn)證之前已根據(jù)運(yùn)營(yíng)商的不同分配了IP地址。出口防火墻通過定義源路由，實(shí)現(xiàn)根據(jù)數(shù)據(jù)包的源IP地址選擇路由，將用戶流量轉(zhuǎn)發(fā)至不同運(yùn)營(yíng)商出口，這種方式實(shí)現(xiàn)起來較容易。第二種，認(rèn)證前不區(qū)分運(yùn)營(yíng)商，所有用戶都獲取同一段IP地址。此部分學(xué)生用戶流量的轉(zhuǎn)發(fā)策略包括認(rèn)證后BRAS設(shè)備獲取的Radius下發(fā)的用戶控制策略，以及出口防火墻的源接口路由策略等。這些策略的共同作用，實(shí)現(xiàn)了不同運(yùn)營(yíng)商的網(wǎng)絡(luò)用戶流量從不同的出口轉(zhuǎn)發(fā)。

1.4配置實(shí)現(xiàn)

學(xué)生公寓網(wǎng)絡(luò)用戶首次開通網(wǎng)絡(luò)時(shí)，可選擇到任何一個(gè)提供Internet接入的運(yùn)營(yíng)商營(yíng)業(yè)廳開通賬號(hào)并繳納相應(yīng)套餐的費(fèi)用，從下一個(gè)計(jì)費(fèi)周期開始時(shí)，就可選擇到其他運(yùn)營(yíng)商處繳費(fèi)并使用其網(wǎng)絡(luò)。需要說明的是，各運(yùn)營(yíng)商均是在校方認(rèn)證的計(jì)費(fèi)系統(tǒng)中進(jìn)行開戶，開戶使用的均是學(xué)號(hào)，認(rèn)證過程使用的也是學(xué)號(hào)，不需要與運(yùn)營(yíng)商的系統(tǒng)進(jìn)行任何對(duì)接。

學(xué)生公寓網(wǎng)絡(luò)用戶接入網(wǎng)絡(luò)時(shí)獲取的IP地址未根據(jù)不同運(yùn)營(yíng)商進(jìn)行區(qū)分，因此在進(jìn)行如圖1所示的認(rèn)證過程中，Radius服務(wù)器會(huì)根據(jù)用戶所屬的運(yùn)營(yíng)商不同而下發(fā)預(yù)定義的不同COA屬性，主要包括聯(lián)通上行cnc-up-4m和聯(lián)通下行cnc-dw-4m，移動(dòng)上行cmcc-up-4m和移動(dòng)下行cmcc-up-4m，電信上行ct-up-4m和電信下行ct-up-4m；BRAS設(shè)備則根據(jù)COA值動(dòng)態(tài)生成用戶demux子接口的值，如學(xué)生公寓某移動(dòng)用戶認(rèn)證成功后的demux子接口的值為“Input Filters: cmcc-up-4m-demux0.1073821232-in”和“Output Filters: cmcc-dw-4m-demux0.1073821232-out”。此用戶會(huì)根據(jù)demux子接口的屬性調(diào)用預(yù)定義的上行策略cmccup-4m和下行策略cmcc-dw-4m。其中，cmcc-up-4m的配置內(nèi)容如下：

set firewall filter cmcc-up-4m term 0 from destination-address 10.0.0.0/8

set firewall filter cmcc-up-4m term 0 then accept

set firewall filter cmcc-up-4m term 1 then policer 4m

set firewall filter cmcc-up-4m term 1 then routinginstance chinamobile

這里，filter cmcc-up-4m配置了源地址destination-address 10.0.0.0/8、匹配的帶寬控制策略policer 4m和路由策略routing-instance chinamobile。下行策略cmcc-dw-4m的配置與cmcc-up-4m類似，但其只需配置源地址和帶寬控制策略即可，不需要配置路由策略。

帶寬控制策略policer 4m設(shè)置了最大限速值4 096 000 b/s，具體配置如下：

set firewall policer 4m if-exceeding bandwidth-limit 4096000

路由策略routing-instance chinamobile定義了具體的轉(zhuǎn)發(fā)路由策略，具體配置如下：

set routing-instances chinamobile instance-type forwarding

set routing-instances chinamobile routing-options static route 0.0.0.0/0 next-hop 172.16.0.9

與移動(dòng)用戶的路由策略routing-instance chinamobile相比，電信用戶的路由策略routing-instance chinatelecom和聯(lián)通用戶的路由策略routing-instance chinaunicom的配置僅有next-hop不同。

BRAS設(shè)備有三個(gè)接口與出口防火墻互聯(lián)，分別承載電信、移動(dòng)和聯(lián)通的流量。其中承載移動(dòng)用戶流量的接口interfaces ge-1/1/1的配置為

set interfaces ge-1/1/1 unit 0 family inet address 172.16.0.10/30

它將移動(dòng)用戶的流量通過接口ge-1/1/1轉(zhuǎn)發(fā)至出口防火墻。在出口防火墻上配置的與BRAS設(shè)備互聯(lián)接口interface ethernet1/1的IP地址172.16.0.9，也就是BRAS設(shè)備中routing-instances chinamobile的下一跳地址。同時(shí)，定義一條源接口路由策略，指明來自接口ethernet1/1的流量匹配的策略，即從移動(dòng)公網(wǎng)出口進(jìn)行流量轉(zhuǎn)發(fā)，具體配置如下：

interface ethernet1/1

ip address 172.16.0.9 255.255.255.252

ip route source in-interface ethernet1/1 10.0.0.0/8 211.141.x.x//移動(dòng)出口地址

2　測(cè)試結(jié)果

通過上文所述的配置內(nèi)容，跟蹤論證成功后的用戶接入互聯(lián)網(wǎng)的路由如圖3所示。

圖3　路由跟蹤圖

從圖3可以看出，實(shí)現(xiàn)了認(rèn)證成功后的移動(dòng)用戶從移動(dòng)公網(wǎng)出口（上文中配置的移動(dòng)出口的IP地址為211.141.x.x）接入互聯(lián)網(wǎng)的效果。電信和聯(lián)通用戶認(rèn)證接入的實(shí)現(xiàn)方式與移動(dòng)相同，這里不再贅述。

為了盡可能地提高網(wǎng)絡(luò)訪問的安全性和保證網(wǎng)絡(luò)訪問正常，系統(tǒng)在每個(gè)出口鏈路均配置有監(jiān)控，當(dāng)某一出口鏈路出現(xiàn)故障時(shí)，就會(huì)使該路由失效，流量自動(dòng)轉(zhuǎn)移至其他接口。

3　結(jié)束語

在高校與多運(yùn)營(yíng)商共建學(xué)生公寓網(wǎng)絡(luò)的前提下，基于扁平化網(wǎng)絡(luò)架構(gòu)的特點(diǎn)，通過BRAS設(shè)備、Radius服務(wù)器以及出口防火墻等的協(xié)同工作，有效地實(shí)現(xiàn)了多網(wǎng)絡(luò)出口的流量按策略轉(zhuǎn)發(fā)。在辦公出口方面，根據(jù)訪問的目的地址，在已有的三個(gè)出口之間選擇最優(yōu)的流量轉(zhuǎn)發(fā)出口；在學(xué)生公寓出口方面，根據(jù)學(xué)生公寓網(wǎng)絡(luò)用戶所屬運(yùn)營(yíng)商的不同，經(jīng)由各自的公網(wǎng)出口進(jìn)行流量轉(zhuǎn)發(fā)。

處理校園網(wǎng)多出口問題的方式很多，本文根據(jù)滁州學(xué)院的實(shí)際情況提出了一種實(shí)踐方案，對(duì)其他高校校園網(wǎng)的建設(shè)有一定的借鑒作用。

［1］周忠華.有線無線統(tǒng)一認(rèn)證的校園網(wǎng)扁平化設(shè)計(jì)［J］.現(xiàn)代計(jì)算機(jī)（專業(yè)版），2014（9）：66-68.

［2］李世朋.新一代校園網(wǎng)架構(gòu):集中化智能簡(jiǎn)單化邊緣［J］.中國(guó)教育網(wǎng)絡(luò)，2015（1）：50-51.

［3］張濤，王付強(qiáng).VMAN技術(shù)在學(xué)生宿舍園區(qū)網(wǎng)扁平化改造中的應(yīng)用［J］.新鄉(xiāng)學(xué)院學(xué)報(bào)（自然科學(xué)版），2012（6）：532-534.

［4］張代華，陳宓宓，章翔飛，等.基于扁平化和精細(xì)化管理的校園網(wǎng)基礎(chǔ)平臺(tái)建設(shè)［J］.軟件，2014（8）：59-62.

【責(zé)任編輯梅欣麗】

Implementation of Multi-outlet Strategy on Campus Network under Multi-operators Cooperative Mode

QI Hui，YU Chunyan
（School of Computer and Information Engineering，Chuzhou University，Chuzhou 239000，China）

To solve the multi-outlet problems occurring in the process of multi-operators cooperation，the study was done by means of centralized-control and sophisticated management of flat network.Through collaboration between the BRAS，Radius server and network firewall，the study achieved network traffic forwarding by demand in the multi-outlet situation.The campus network operation has achieved the expected results.

multi-operators cooperation；multi-outlet；flat network

TP393.1

A

2095-7726（2016）03-0025-04

2015-11-10

滁州學(xué)院校級(jí)一般項(xiàng)目（2014KJ09）；安徽省校企合作實(shí)踐教育基地項(xiàng)目（2012sjjd038）

祁輝（1984-），男，安徽鳳陽人，助理實(shí)驗(yàn)師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息化教育。