鄒鵬 李鍇淞 任永奎 劉世忠

[摘 ? ?要] 隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的普及，越來越多的學(xué)生不再使用傳統(tǒng)的有線網(wǎng)絡(luò)方式，為了方便學(xué)生用戶使用，簡化運(yùn)營商和校園網(wǎng)賬號(hào)之間頻繁切換，提供更好的用戶網(wǎng)絡(luò)體驗(yàn)，學(xué)校與運(yùn)營商合作，采用BRAC方案，實(shí)現(xiàn)了校園網(wǎng)與運(yùn)營認(rèn)證的無縫對(duì)接。

[關(guān)鍵詞] BRAC;校園網(wǎng);運(yùn)營

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 23. 062

[中圖分類號(hào)] G645;TP311 ? ?[文獻(xiàn)標(biāo)識(shí)碼] ?A ? ? ?[文章編號(hào)] ?1673 - 0194（2019）23- 0145- 02

1 ? ? ?現(xiàn)狀及問題

隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的普及，越來越多的學(xué)生不再使用傳統(tǒng)的有線網(wǎng)絡(luò)方式，經(jīng)過多期的無線校園網(wǎng)建設(shè)，校內(nèi)移動(dòng)終端已超過有線終端數(shù)量，校內(nèi)業(yè)務(wù)流量模型由以前的文字轉(zhuǎn)變?yōu)橐曨l等大流量應(yīng)用，校園網(wǎng)整體出口帶寬需求增長迅猛，校外訪問出口帶寬費(fèi)用巨大。因?yàn)槌隹趲挓o法完全滿足日益增長的用戶終端，校內(nèi)用戶的網(wǎng)絡(luò)體驗(yàn)一直無法得到大幅度的提升，本地運(yùn)營商積極與學(xué)校開張相關(guān)合作，正好可以彌補(bǔ)出口帶寬的不足，提升師生的上網(wǎng)體驗(yàn)。通過市場調(diào)研和與運(yùn)營商溝通，目前主要有以下幾種合作模式。

1.1 ? 將宿舍網(wǎng)的運(yùn)營維護(hù)交由第三方進(jìn)行運(yùn)維

校方網(wǎng)絡(luò)中心主要負(fù)責(zé)辦公網(wǎng)絡(luò)的運(yùn)維，在同樣帶寬的情況下，可以保證辦公用戶的使用體驗(yàn)和正常教學(xué)。在此種模式下學(xué)生上網(wǎng)不受管控，如第三方不能承擔(dān)相應(yīng)的安全管理，將會(huì)產(chǎn)生大量的負(fù)面效應(yīng)，因此此方案不作為首選。

1.2 ? 學(xué)校與運(yùn)營商進(jìn)行聯(lián)合運(yùn)營，學(xué)校與運(yùn)營商通過明確的出口邊界隔離

以校園網(wǎng)出口為邊界，校園網(wǎng)以內(nèi)部分，由學(xué)校負(fù)責(zé)管理，進(jìn)行實(shí)名制認(rèn)證。出校園網(wǎng)后，由運(yùn)營商負(fù)責(zé)管理，校園網(wǎng)賬號(hào)與運(yùn)營商賬號(hào)對(duì)接，進(jìn)行實(shí)名制認(rèn)證。最終要求做到如下效果：①聯(lián)合運(yùn)營后，不改變學(xué)生的任何使用習(xí)慣，認(rèn)證頁面，方式，繳費(fèi)方式（學(xué)生一卡通圈存繳費(fèi)），報(bào)修方式均保持和聯(lián)合運(yùn)營前一致。②對(duì)現(xiàn)有校園網(wǎng)拓?fù)涓膭?dòng)最小，只需要對(duì)運(yùn)營商提供的線路進(jìn)行提速擴(kuò)容和優(yōu)化選路。③按運(yùn)營商的級(jí)別優(yōu)化校園基礎(chǔ)設(shè)施的建設(shè)和運(yùn)維。④為了保證用戶的體驗(yàn)，不能讓學(xué)生多次認(rèn)證。校園網(wǎng)學(xué)生現(xiàn)有上網(wǎng)賬號(hào)需要與運(yùn)營商BOSS系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)，實(shí)現(xiàn)學(xué)生用戶使用校園網(wǎng)賬號(hào)撥號(hào)成功后，按已注冊的運(yùn)營商套餐計(jì)費(fèi)管理。例如：如果該學(xué)生辦理了運(yùn)營商的相關(guān)優(yōu)惠套餐業(yè)務(wù)，撥號(hào)成功后，通過該運(yùn)營商訪問網(wǎng)絡(luò)資源時(shí)，執(zhí)行運(yùn)營商的優(yōu)惠套餐資費(fèi)策略。校園網(wǎng)不再收取任何費(fèi)用，只是認(rèn)證記錄。

2 ? ? ?技術(shù)方案

學(xué)?，F(xiàn)有的網(wǎng)絡(luò)拓?fù)涫菢?biāo)準(zhǔn)的以太網(wǎng)結(jié)構(gòu)，通過出口路由器的三個(gè)接口，同時(shí)連接聯(lián)通、電信和科研教育網(wǎng)三條出口線路?，F(xiàn)在的路由策略是科研教育網(wǎng)出口主要是提供學(xué)術(shù)資源的查詢與訪問，因此所有訪問高校資源、圖書資源、招生就業(yè)等都通過策略路由將訪問指向科研教育網(wǎng)出口，全校師生的其他網(wǎng)絡(luò)訪問需求通過其他兩條運(yùn)營商的出口。

東北財(cái)經(jīng)大學(xué)是最早一批使用802.1X認(rèn)證的單位，在2003年就已使用基于802.1X認(rèn)證的接入交換機(jī)在用戶接入端實(shí)現(xiàn)全網(wǎng)的802.1X認(rèn)證。筆者在2005年發(fā)表的論文《東北財(cái)經(jīng)大學(xué)宿舍區(qū)802.1x認(rèn)證計(jì)費(fèi)方案》中已對(duì)采用IEEE 802.1X認(rèn)證的優(yōu)點(diǎn)進(jìn)行了描述，主要是：“當(dāng)用戶未通過認(rèn)證時(shí)，受控端口處于開路，端口狀態(tài)為未認(rèn)證狀態(tài)，此時(shí)交換機(jī)的交換功能是關(guān)閉的，也就是說交換機(jī)無法像傳統(tǒng)的通過查找目標(biāo)MAC地址來進(jìn)行交換，如果用戶有業(yè)務(wù)報(bào)文是無法通過的。當(dāng)用戶通過認(rèn)證后，受控端口閉合，端口狀態(tài)為通過認(rèn)證狀態(tài)，此時(shí)交換機(jī)的交換功能打開，就和傳統(tǒng)的交換方式一致了，用戶的業(yè)務(wù)報(bào)文就可從順利通過。因此，在采用802.1X認(rèn)證計(jì)費(fèi)系統(tǒng)后，對(duì)接入用戶進(jìn)行賬號(hào)與MAC、端口等多元素綁定，在宿舍區(qū)對(duì)學(xué)生用戶進(jìn)行多元素復(fù)合綁定，以唯一確定用戶身份。網(wǎng)絡(luò)中的非法用戶由于無法通過認(rèn)證，支持802.1X的交換機(jī)此端口在物理上將此用戶隔離在網(wǎng)絡(luò)之外。有效地對(duì)用戶進(jìn)行接入控制， 保證只有申請(qǐng)開通的合法用戶可以使用網(wǎng)絡(luò)。每一個(gè)接入交換機(jī)的端口即相當(dāng)于一個(gè)認(rèn)證者，實(shí)現(xiàn)了最大程度的分布認(rèn)證，既沒有單點(diǎn)故障，同時(shí)又克服了傳統(tǒng)的網(wǎng)關(guān)設(shè)備進(jìn)行認(rèn)證計(jì)費(fèi)造成的嚴(yán)重的性能瓶頸?！?/p>

近些年，經(jīng)過無線校園網(wǎng)的建設(shè)，校園內(nèi)部建筑已經(jīng)實(shí)現(xiàn)無線網(wǎng)絡(luò)全覆蓋，無線采用的是WEB portal認(rèn)證方式。基于設(shè)備的MAC地址，還可以啟用無線的無感認(rèn)證。

通過十幾年的認(rèn)證系統(tǒng)建設(shè)，學(xué)校已經(jīng)建成一套完整的有線無線一體的認(rèn)證計(jì)費(fèi)體系。實(shí)踐證明，校園網(wǎng)現(xiàn)用的802.1X認(rèn)證+WEB portal認(rèn)證方式+無線無感認(rèn)證是非?？煽糠€(wěn)定的。與學(xué)校的認(rèn)證體系不同，運(yùn)營商的認(rèn)證采用是PPPoE的方式，通過寬帶遠(yuǎn)程接入服務(wù)器（BRAS）進(jìn)行認(rèn)證與計(jì)費(fèi)。因此，認(rèn)證系統(tǒng)的轉(zhuǎn)換和對(duì)接問題就成了聯(lián)合運(yùn)營的主要技術(shù)問題。

在運(yùn)營模式和管理方式上，各方都溝通得非常順利。在認(rèn)證和計(jì)費(fèi)的方式上，因運(yùn)營商在大連市沒有認(rèn)證和計(jì)費(fèi)系統(tǒng)的管理權(quán)限，必須要到遼寧省的總公司進(jìn)行系統(tǒng)對(duì)接。經(jīng)調(diào)研，各大運(yùn)營商的遼寧省總公司尚未對(duì)認(rèn)證計(jì)費(fèi)系統(tǒng)進(jìn)行開放，沒有直接與外部系統(tǒng)（高校）對(duì)接的先例，單為學(xué)校進(jìn)行系統(tǒng)對(duì)接可能性非常小，直接對(duì)接的方案基本不可行。

從學(xué)校角度看，如果改變校園網(wǎng)的認(rèn)證方式，就必須改變校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)和用戶的使用習(xí)慣。經(jīng)專家論證，改變校園網(wǎng)的認(rèn)證方式除了要投入一筆不小的設(shè)備投資，還要對(duì)拓?fù)浜桶踩O(shè)備進(jìn)行很大的改動(dòng)，最主要還是要改變校園用戶的使用習(xí)慣，對(duì)整個(gè)管理模式的沖擊太大，短時(shí)間內(nèi)如操作不當(dāng)可能會(huì)大大降低用戶的使用體驗(yàn)，因此保留校園網(wǎng)原有的認(rèn)證計(jì)費(fèi)方式，采用一套轉(zhuǎn)換模式，在不改變學(xué)校和運(yùn)營商各自的認(rèn)證計(jì)費(fèi)系統(tǒng)的前提下，實(shí)現(xiàn)雙方認(rèn)證協(xié)議的互通，解決認(rèn)證計(jì)費(fèi)的問題就是本次項(xiàng)目的技術(shù)重點(diǎn)。

確定好技術(shù)方向后，技術(shù)組與原認(rèn)證計(jì)費(fèi)設(shè)備提供商進(jìn)行了技術(shù)溝通，經(jīng)技術(shù)調(diào)研，確定了采取市場上成熟可行的代撥方案實(shí)現(xiàn)校園網(wǎng)和運(yùn)營商網(wǎng)絡(luò)的一次同時(shí)認(rèn)證。

雖然之前市場上有一些類似方案，但是均無法滿足學(xué)校上述要求，需要根據(jù)運(yùn)營商BOSS，AAA系統(tǒng)和學(xué)校現(xiàn)有運(yùn)營系統(tǒng)做一些聯(lián)合開發(fā)，才能實(shí)現(xiàn)全部功能。通過詳細(xì)的技術(shù)論證與實(shí)地調(diào)研，最終選擇了銳捷網(wǎng)絡(luò)的BRAC方案加部分定制開發(fā)，解決了認(rèn)證系統(tǒng)的無縫對(duì)接問題。

在網(wǎng)絡(luò)拓?fù)浞矫?，不用修改原有的拓?fù)浣Y(jié)構(gòu)。只需將出口設(shè)備更換為支持PPPOE代理撥號(hào)的路由設(shè)備，用于實(shí)現(xiàn)代理校園網(wǎng)用戶撥號(hào)到運(yùn)營商的BRAS設(shè)備。其工作原理，簡單說就類似于在校園網(wǎng)出口放置一臺(tái)大型的設(shè)備，模擬家庭寬帶路由器的工作過程，實(shí)現(xiàn)用戶撥號(hào)與運(yùn)營商BoSS，AAA網(wǎng)絡(luò)的互通。

具體實(shí)現(xiàn)過程如下：

第一步，由校園網(wǎng)內(nèi)的用戶發(fā)起認(rèn)證，認(rèn)證的方式不限制，可以是802.1X、WEB等方式，認(rèn)證數(shù)據(jù)將通過相應(yīng)的NAS設(shè)備將認(rèn)證報(bào)文送給認(rèn)證服務(wù)器;校園網(wǎng)內(nèi)的認(rèn)證RADIUS服務(wù)器接收到校園網(wǎng)內(nèi)用戶發(fā)起的上網(wǎng)認(rèn)證后，會(huì)判斷該用戶是不是合法的用戶，如其是合法的用戶，將相關(guān)的認(rèn)證信息發(fā)送給出口的路由器，由出口路由器模擬上網(wǎng)撥號(hào)方式，進(jìn)行校園網(wǎng)內(nèi)用戶的PPPoE撥號(hào)。

第二步，集成了PPPOE功能的出口路由器，將校園網(wǎng)的認(rèn)證轉(zhuǎn)換成運(yùn)營商的撥號(hào)方式，將數(shù)據(jù)傳送至運(yùn)營商的BRAS設(shè)備，進(jìn)行PPPoE協(xié)議通訊，建立用戶的PPPoE隧道，運(yùn)營商BRAS設(shè)備將會(huì)把通過認(rèn)證的結(jié)果反饋給帶PPPOE功能的出口路由器，再由出口路由器轉(zhuǎn)換成校園網(wǎng)的認(rèn)證信息，將認(rèn)證結(jié)果通知給校園網(wǎng)內(nèi)的認(rèn)證RADIUS服務(wù)器，如該用戶是該運(yùn)營商的合法用戶且無欠費(fèi)的正常用戶狀態(tài)，該用戶會(huì)正常通過認(rèn)證，正常使用運(yùn)營商的資費(fèi)套餐上網(wǎng);如該用戶狀態(tài)異常，其將無法使用相關(guān)的網(wǎng)絡(luò)服務(wù)。

第三步，出口路由器上需要具有用戶信息管理模塊，用于實(shí)時(shí)存儲(chǔ)管理PPPOE在線用戶的信息，按學(xué)?，F(xiàn)有的用戶量，至少出口路由需要維護(hù)不少于1.5萬的用戶PPPoE隧道，出口路由器需要具備較高的性能處理器能力。

3 ? ? ?使用效果

使用BRAC方案，學(xué)校方面的運(yùn)維工作和聯(lián)合運(yùn)營之前，沒有發(fā)生任何變化，沒有增加網(wǎng)絡(luò)信息中心的工作量。系統(tǒng)對(duì)接不需要考慮運(yùn)營商的網(wǎng)絡(luò)拓?fù)浜陀?jì)費(fèi)模式，直接實(shí)現(xiàn)代撥功能，節(jié)省了大量計(jì)費(fèi)系統(tǒng)對(duì)接的時(shí)間。

對(duì)于學(xué)生用戶來說，具有非常好的易用性。用戶不需要改變原有的上網(wǎng)模式，只需要用學(xué)號(hào)、密碼撥號(hào)一次即可完成校園網(wǎng)和運(yùn)營商網(wǎng)絡(luò)的雙認(rèn)證。

對(duì)于運(yùn)營商來說，無須考慮用戶的接入方式，用戶認(rèn)證通過后，根據(jù)用戶辦理的套餐計(jì)費(fèi)即可，管理簡單靈活。

采用BRAC方案完全實(shí)現(xiàn)了原有的設(shè)計(jì)思想，現(xiàn)在已有12 161個(gè)用戶和運(yùn)營商的賬號(hào)進(jìn)行了綁定，5月份使用過運(yùn)營商賬號(hào)的用戶為7 700人，6月份使用過運(yùn)營商賬號(hào)的用戶為9 100多人，7月份使用過運(yùn)營商的用戶為9 300多人。學(xué)生用戶中，運(yùn)營商用戶的綁定和使用率都超過了90%，系統(tǒng)在三個(gè)月的試運(yùn)行期間，性能監(jiān)控正常，沒有發(fā)現(xiàn)服務(wù)器CPU異常過載和內(nèi)存異常溢出的情況，軟件與出口的77系列路由器配合默契，沒有發(fā)現(xiàn)通訊異常中斷或指令下發(fā)有誤的情況。整體看，系統(tǒng)運(yùn)行穩(wěn)定、情況良好。

系統(tǒng)對(duì)接后，校內(nèi)的認(rèn)證管理方式?jīng)]有發(fā)生變化，使用運(yùn)營商線路的用戶，按辦理的資費(fèi)套餐進(jìn)行收費(fèi)，并未增加雙方的工作量。

4 ? ? ?結(jié) ? ?語

按設(shè)計(jì)，后期會(huì)使用微哨系統(tǒng)建立虛擬服務(wù)座席，將運(yùn)營商的業(yè)務(wù)辦理人員、技術(shù)支持人員、管理人員和學(xué)校的業(yè)務(wù)辦理人員、技術(shù)支持人員、管理人員按職能分配虛擬角色，按相應(yīng)的職責(zé)和流程完成各自的工作任務(wù)，通過自助服務(wù)的方式，讓用戶使用手機(jī)就可以辦理完全的閉環(huán)業(yè)務(wù)流程，提升用戶的服務(wù)體驗(yàn)，提高用戶的滿意度。

主要參考文獻(xiàn)

[1]羅金光，虞金華，先曉兵.高校校園網(wǎng)絡(luò)授權(quán)運(yùn)營模式探索與實(shí)踐[J].中國教育信息化，2015（5）.

[2]李杰. 新建設(shè)模式下的高校校園網(wǎng)管理研究[J].軟件導(dǎo)刊，2015（3）.

[3]張英俊.高校校園網(wǎng)建設(shè)商業(yè)化探討[J].電腦開發(fā)與應(yīng)用，2011（7）.

[4]史彥奎.高校無線網(wǎng)絡(luò)建設(shè)與運(yùn)營商合作模式研究.[J]黑龍江科技信息，2013（34）.

[5]米魯沈，孫劍穎，鄒鵬.東北財(cái)經(jīng)大學(xué)宿舍區(qū)802.1x認(rèn)證計(jì)費(fèi)方案[J]. 教育信息化，2005（2）.