常偉鵬，許建真，袁 泉

（中國(guó)藥科大學(xué) 圖書與信息中心，江蘇 南京211198）

一、高校宿舍網(wǎng)的運(yùn)營(yíng)模式

作為構(gòu)建于宿舍內(nèi)部的網(wǎng)絡(luò)，高校宿舍網(wǎng)在大學(xué)生的學(xué)習(xí)、生活中占據(jù)重要位置，因此也成為高校信息化建設(shè)的重點(diǎn)關(guān)注區(qū)域。關(guān)于宿舍網(wǎng)的運(yùn)營(yíng)和管理，傳統(tǒng)的模式有高校自主建設(shè)運(yùn)營(yíng)和運(yùn)營(yíng)商獨(dú)家投資建設(shè)運(yùn)營(yíng)兩種，[1]但高校自主運(yùn)營(yíng)存在出口帶寬有限、高峰時(shí)段使用體驗(yàn)不佳等不足，運(yùn)營(yíng)商獨(dú)家運(yùn)營(yíng)存在收費(fèi)較高、用戶因?qū)拵暇W(wǎng)與手機(jī)綁定而無法自主選擇、無法訪問校內(nèi)資源等不足。

近年來工信部多次發(fā)文規(guī)范運(yùn)營(yíng)商在校園內(nèi)的經(jīng)營(yíng)行為，[2-3]禁止運(yùn)營(yíng)商與學(xué)校簽訂排他性協(xié)議、禁止移動(dòng)通信業(yè)務(wù)與寬帶業(yè)務(wù)綁定等資費(fèi)方案，運(yùn)營(yíng)商在宿舍網(wǎng)中的獨(dú)家壟斷運(yùn)營(yíng)模式開始被打破，宿舍網(wǎng)多家運(yùn)營(yíng)商共同接入的運(yùn)營(yíng)模式開始出現(xiàn)。

二、中國(guó)藥科大學(xué)宿舍網(wǎng)的運(yùn)營(yíng)模式

1.中國(guó)藥科大學(xué)宿舍網(wǎng)簡(jiǎn)介

當(dāng)前在用的中國(guó)藥科大學(xué)宿舍網(wǎng)，基礎(chǔ)設(shè)施由學(xué)校于2014-2015年分步驟建成，而后于2016年完成了與電信、移動(dòng)、聯(lián)通三家運(yùn)營(yíng)商的對(duì)接。宿舍網(wǎng)采用扁平化（QinQ）架構(gòu)，該架構(gòu)與運(yùn)營(yíng)商主流接入網(wǎng)絡(luò)架構(gòu)相同，保證了與運(yùn)營(yíng)商網(wǎng)絡(luò)的順利對(duì)接。采用兩臺(tái)園區(qū)網(wǎng)核心交換機(jī)，作為宿舍組團(tuán)匯聚級(jí)光纖匯集以及與運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)接的核心。核心交換機(jī)通過雙路由萬兆光纖與宿舍組團(tuán)匯聚交換機(jī)相連，匯聚交換機(jī)下連組團(tuán)內(nèi)各樓宇的接入交換機(jī)，QinQ外層標(biāo)簽配置匯聚交換機(jī)的下連接口上。接入交換機(jī)通過千兆光纖與匯聚交換機(jī)相連，接入交換機(jī)接口劃分不同的vlan，作為Qinq的內(nèi)層標(biāo)簽。宿舍網(wǎng)拓?fù)淙鐖D1所示。

宿舍網(wǎng)通過Juniper MX960作為BRAS（Broadband Remote Access Server）設(shè)備與校園網(wǎng)對(duì)接。用戶終端接入宿舍網(wǎng)時(shí)，首先會(huì)獲得MX960下發(fā)的IP地址，完成IPoE認(rèn)證 （DHCP+OPTION擴(kuò)展字段認(rèn)證），同時(shí)該Mx960與校園網(wǎng)核心交換機(jī)相連，使通過IPoE認(rèn)證的宿舍網(wǎng)用戶可訪問校園網(wǎng)資源。

在宿舍網(wǎng)中，用戶如需通過運(yùn)營(yíng)商網(wǎng)絡(luò)訪問公網(wǎng)資源，可以在 PPPoE（Point to Point Protocol over Ethernet）撥號(hào)客戶端設(shè)置相應(yīng)的運(yùn)營(yíng)商服務(wù)名稱（Service Name），然后根據(jù)運(yùn)營(yíng)商提供的賬號(hào)和密碼即可撥入相應(yīng)的運(yùn)營(yíng)商網(wǎng)絡(luò)。在該模式下，同一網(wǎng)絡(luò)接口可撥入多家運(yùn)營(yíng)商網(wǎng)絡(luò)，網(wǎng)絡(luò)接口與運(yùn)營(yíng)商不是一一對(duì)應(yīng)的關(guān)系。

圖1 中國(guó)藥科大學(xué)宿舍網(wǎng)拓?fù)?/p>

2.技術(shù)架構(gòu)

宿舍網(wǎng)核心交換機(jī)除直連學(xué)校的RADIUS（Remote Authentication Dial In User Service）設(shè)備外，還直連運(yùn)營(yíng)商的RADIUS設(shè)備。作為對(duì)接的核心設(shè)備，由于宿舍網(wǎng)核心交換機(jī)作為二層設(shè)備與運(yùn)營(yíng)商的RADIUS設(shè)備進(jìn)行對(duì)接，因此可稱該模式為二層對(duì)接模式 （Layer 2 Docking Mode）。在該模式下網(wǎng)絡(luò)終端根據(jù)在運(yùn)營(yíng)商處開通寬帶業(yè)務(wù)時(shí)的賬號(hào)信息和服務(wù)名稱，可通過PPPoE方式撥入相應(yīng)的運(yùn)營(yíng)商網(wǎng)絡(luò)，宿舍網(wǎng)網(wǎng)絡(luò)端口可撥入已對(duì)接的任意一家運(yùn)營(yíng)商網(wǎng)絡(luò)。

其原理為在用戶進(jìn)行PPPoE撥號(hào)連接的PPPoE Discovery階段，用戶端（PPPoE client）廣播發(fā)送的PADI（PPPoE Active Discovery Initiation）報(bào)文中包含該賬號(hào)所屬的運(yùn)營(yíng)商名稱。而運(yùn)營(yíng)商寬帶接入服務(wù)器（PPPoE Server）在收到PADI報(bào)文后，將其中的服務(wù)名稱與自己的服務(wù)名稱相比較，如果匹配則單播回復(fù)PADO（PPPoE Active Discovery Offer）報(bào)文，如果不匹配則丟棄。而后PPPoE client單播發(fā)送PADR （PPPoE Active Discovery Request）報(bào)文請(qǐng)求建立會(huì)話，PPPoE Server回復(fù)PADS（PPPoE Active Discovery Session-confirmation） 報(bào)文，其中包含Session-ID，而后PPPoE會(huì)話建立，寬帶撥號(hào)連接建立完成[4]。會(huì)話建立過程如圖2所示。

圖2 帶ServiceName的多BRAS設(shè)備網(wǎng)絡(luò)中PPPoE會(huì)話建立過程

三、多運(yùn)營(yíng)商共同接入的三層對(duì)接模式

中國(guó)藥科大學(xué)宿舍網(wǎng)與多家運(yùn)營(yíng)商對(duì)接采用的是二層對(duì)接模式，當(dāng)前還有另一種多運(yùn)營(yíng)商對(duì)接模式，在該模式下，校方的宿舍網(wǎng)RADIUS設(shè)備直接與運(yùn)營(yíng)商的RADIUS設(shè)備進(jìn)行對(duì)接，而不是通過二層交換機(jī)設(shè)備。用戶接入網(wǎng)絡(luò)時(shí)，在通過宿舍網(wǎng)RADIUS認(rèn)證后，后臺(tái)還需宿舍網(wǎng)RADIUS設(shè)備向運(yùn)營(yíng)商RADIUS設(shè)備進(jìn)行二次認(rèn)證。在對(duì)接過程中，宿舍網(wǎng)RADIUS設(shè)備作為三層核心設(shè)備與運(yùn)營(yíng)商的RADIUS設(shè)備進(jìn)行對(duì)接，因此可稱該模式為三層對(duì)接模式（Layer 3 Docking Mode）。

在三層對(duì)接模式的認(rèn)證中，用戶采用統(tǒng)一的賬號(hào)（如學(xué)號(hào)）作為上網(wǎng)賬號(hào)，該上網(wǎng)賬號(hào)在后臺(tái)與運(yùn)營(yíng)商所分配的上網(wǎng)賬號(hào)進(jìn)行綁定。在認(rèn)證時(shí)，用戶首先在統(tǒng)一定制的認(rèn)證頁面輸入上網(wǎng)賬號(hào)，并選擇所使用的運(yùn)營(yíng)商進(jìn)行認(rèn)證。通過宿舍網(wǎng)RADIUS認(rèn)證后，宿舍網(wǎng)RADIUS設(shè)備將統(tǒng)一上網(wǎng)賬號(hào)轉(zhuǎn)換為對(duì)應(yīng)運(yùn)營(yíng)商的上網(wǎng)賬號(hào)，以轉(zhuǎn)換后的運(yùn)營(yíng)商賬號(hào)和用戶所選擇的運(yùn)營(yíng)商 （服務(wù)名Service Name），代替用戶向運(yùn)營(yíng)商RADIUS設(shè)備重新發(fā)起一次PPPoE認(rèn)證，根據(jù)轉(zhuǎn)換后的賬號(hào)和服務(wù)名，相應(yīng)的運(yùn)營(yíng)商RADIUS設(shè)備做出響應(yīng)并授權(quán)[5]。三層對(duì)接模式的拓?fù)淙鐖D3所示。

圖3 三層對(duì)接模式的網(wǎng)絡(luò)拓?fù)?/p>

四、兩種對(duì)接模式的對(duì)比

作為宿舍網(wǎng)多運(yùn)營(yíng)商共同接入的兩種對(duì)接模式，二層對(duì)接模式和三層對(duì)接模式都可以實(shí)現(xiàn)“同一張網(wǎng)絡(luò)多家運(yùn)營(yíng)商使用、同一個(gè)網(wǎng)絡(luò)接口接入多家運(yùn)營(yíng)商網(wǎng)絡(luò)”的功能要求，但由于采用的技術(shù)路線不同，兩者在具體使用和管理中還存在一定程度的差異。

首先，從使用便捷性上來講。由于采用了統(tǒng)一認(rèn)證系統(tǒng)和賬號(hào)，三層對(duì)接模式在認(rèn)證系統(tǒng)的易用性上要占優(yōu)勢(shì)，但由于用戶終端的多樣性，定制的統(tǒng)一認(rèn)證系統(tǒng)容易出現(xiàn)操作系統(tǒng)兼容性問題，而該問題一旦出現(xiàn)，往往不易解決。而二層對(duì)接模式采用操作系統(tǒng)自帶的PPPoE客戶端，對(duì)用戶而言，認(rèn)證的操作復(fù)雜性主要表現(xiàn)為首次登錄時(shí)忘記或不知如何配置服務(wù)名，但一旦配置成功，之后便不需要重新配置，使用同樣簡(jiǎn)單、便捷。此外三層對(duì)接模式需用戶將運(yùn)營(yíng)商的上網(wǎng)賬號(hào)與統(tǒng)一認(rèn)證賬號(hào)進(jìn)行綁定操作，而二層對(duì)接模式下由于直接使用運(yùn)營(yíng)商的上網(wǎng)賬號(hào)，則不存在此操作。

其次，從可管理性上來講。三層對(duì)接模式下，用戶認(rèn)證時(shí)首先接入校方的宿舍網(wǎng)RADIUS設(shè)備，校方可直接獲取用戶的認(rèn)證情況和網(wǎng)絡(luò)使用情況，對(duì)用戶上網(wǎng)行為進(jìn)行管理。二層對(duì)接模式下，用戶撥入運(yùn)營(yíng)商網(wǎng)絡(luò)后相當(dāng)于運(yùn)營(yíng)商的網(wǎng)絡(luò)用戶，校方無法細(xì)粒度管理用戶的上網(wǎng)行為，只能通過與運(yùn)營(yíng)商協(xié)商的方式間接管理。

第三，從系統(tǒng)穩(wěn)定性上來講。三層對(duì)接模式下，用戶統(tǒng)一通過宿舍網(wǎng)RADIUS的認(rèn)證，需要定制開發(fā)統(tǒng)一的認(rèn)證系統(tǒng)[6]，宿舍網(wǎng)RADIUS在通過用戶的認(rèn)證后，仍需到運(yùn)營(yíng)商RADIUS設(shè)備進(jìn)行二次認(rèn)證，此過程雖然用戶感知不到，但認(rèn)證過程較二層對(duì)接模式復(fù)雜，且認(rèn)證中出現(xiàn)的問題，排查難度較大；由于三層對(duì)接模式在系統(tǒng)內(nèi)部進(jìn)行過對(duì)接，校方與運(yùn)營(yíng)商的責(zé)任界限不易劃分，用戶使用過程中出現(xiàn)問題時(shí)，容易出現(xiàn)由于責(zé)任主體不明而推諉等現(xiàn)象。

第四，從對(duì)接復(fù)雜度上來講。三層對(duì)接模式下，宿舍網(wǎng)RADIUS與運(yùn)營(yíng)商RADIUS對(duì)接較為復(fù)雜，某些型號(hào)的BRAS設(shè)備對(duì)接需要雙方非常專業(yè)的技術(shù)人員聯(lián)調(diào)才能實(shí)現(xiàn)，使用過程中出現(xiàn)的故障處理麻煩。二層對(duì)接模式則不存在類似問題，核心交換機(jī)雙機(jī)運(yùn)行，保證了網(wǎng)絡(luò)核心的可靠性，即便雙機(jī)同時(shí)出現(xiàn)無法立即修復(fù)的故障，由于交換機(jī)的配置非常簡(jiǎn)單，使用其它型號(hào)備機(jī)也可快速恢復(fù)網(wǎng)絡(luò)。

第五，默認(rèn)DNS服務(wù)器轉(zhuǎn)發(fā)的指向問題。在三層對(duì)接模式下，用戶自動(dòng)獲取的IP地址統(tǒng)一由校方的DHCP服務(wù)器下發(fā)，其中的DNS服務(wù)器IP地址為統(tǒng)一分配的地址，不因運(yùn)營(yíng)商而不同，為了可訪問校內(nèi)資源，該DNS服務(wù)器IP地址必須為校內(nèi)DNS服務(wù)器地址。一般來講，學(xué)校的DNS服務(wù)器緩存和遞歸能力較弱，除了校內(nèi)域名外，其他域名一般默認(rèn)都轉(zhuǎn)發(fā)至某運(yùn)營(yíng)商DNS，這樣會(huì)造成其他運(yùn)營(yíng)商用戶所解析到的地址大部分為非本運(yùn)營(yíng)商地址，從而導(dǎo)致網(wǎng)絡(luò)使用質(zhì)量不佳[7]。而在二層對(duì)接模式下，用戶通過PPPoE接入運(yùn)營(yíng)商網(wǎng)絡(luò)后，會(huì)重新獲取運(yùn)營(yíng)商分配的IP地址和DNS服務(wù)器地址，從而避免該問題的發(fā)生。

兩種模式的特點(diǎn)對(duì)比如表1所示。

總體來講，三層對(duì)接模式下的用戶可管理性優(yōu)于二層對(duì)接模式，使用便捷性上兩種模式各有優(yōu)勢(shì)與不足，但對(duì)接復(fù)雜度和系統(tǒng)穩(wěn)定性上，二層對(duì)接模式較三層對(duì)接模式有較大優(yōu)勢(shì)。此外，二層對(duì)接模式還不存在默認(rèn)DNS服務(wù)器轉(zhuǎn)發(fā)的指向問題。

表1 兩種模式的對(duì)比