孔令峰

（常州信息職業(yè)技術(shù)學院 江蘇 常州 213164）

1 學校校園網(wǎng)及學生宿舍網(wǎng)絡管理現(xiàn)狀

在高校學生宿舍的建設過程中，學生宿舍的網(wǎng)絡基本上有兩類建設模式：一類是學校自建，另一類是社會共建。

我校采用的是社會共建的模式，由運營商投資建設，運維管理也全部由運營商負責，不需要學校投資，運維人員全部由運營商負責，網(wǎng)絡出口由運營商提供。但是管理中存在相關(guān)問題，比如學生上網(wǎng)不受學校的管理控制，運營商基于安全理由無法提供學生的上網(wǎng)記錄等，需要加強對學生宿舍運營商網(wǎng)絡的管理。

學校校園網(wǎng)絡已經(jīng)進行了扁平化改造，采用了銳捷的扁平化方案，整體網(wǎng)絡采用扁平化架構(gòu)，所有網(wǎng)絡的三層接口地址都在銳捷的N18K 核心交換機上，出口采用銳捷的77-X 系列路由器，身份認證為銳捷SAM+平臺。

學校內(nèi)所有有線辦公電腦及無線上網(wǎng)均需要進行身份認證，全網(wǎng)準入準出一次性完成認證，可以實現(xiàn)賬號上下行速率限制、登錄區(qū)域限制、登錄數(shù)量限制、登錄時間限制等功能。

學生宿舍都是運營商鋪設的GPON 網(wǎng)絡，學生用戶都是直接通過運營商訪問互聯(lián)網(wǎng)，學校沒有任何控制權(quán)。隨著網(wǎng)絡安全要求的提高，學校要求學生宿舍必須實名制且上網(wǎng)流量必須經(jīng)過校園網(wǎng)才能訪問互聯(lián)網(wǎng)，如何把GPON 網(wǎng)絡融入校園網(wǎng)且不損害運營商的利益成為首要問題[1]。

2 高校學生宿舍網(wǎng)絡管理的需求

根據(jù)上級主管部門對學校學生管理工作要求的不斷提高，需要加強對學生宿舍運營商網(wǎng)絡的管理，包括留存學生的上網(wǎng)記錄、對學生的上網(wǎng)行為進行管控、將學生宿舍上網(wǎng)統(tǒng)一納入校園網(wǎng)進行管理等。

為實現(xiàn)這樣的管理要求，需要在現(xiàn)有校園網(wǎng)絡及學生宿舍運營商網(wǎng)絡的基礎(chǔ)上進行相應的改造。理想情況下，實現(xiàn)學生宿舍上網(wǎng)統(tǒng)一管理后，學生在校內(nèi)使用統(tǒng)一的校園網(wǎng)賬號上網(wǎng)，在學校任何地方都只需要一套賬號，在教學區(qū)使用校園網(wǎng)、在宿舍選擇使用運營商的網(wǎng)絡，并由學校統(tǒng)一進行管理，統(tǒng)一留存上網(wǎng)日志，以滿足上級部門對安全管理的需要。

3 學生宿舍運營商網(wǎng)絡統(tǒng)一管理的實現(xiàn)方法

學生宿舍的運營商網(wǎng)絡，均采用了GPON 的方式來構(gòu)建，中間為無源光網(wǎng)絡，客戶端使用O N U（用戶端的光網(wǎng)絡單元）接入，局端使用O L T（中心局的光線路終端）匯總，兩者之間通過O D N（無源光器件的光分配網(wǎng)）連通。

各家運營商網(wǎng)絡將OLT設備經(jīng)過匯聚交換機進行匯總，匯聚為兩根萬兆光纖鏈路接到學校的N18K 核心交換機，在N18K 上啟用QINQ 二層極簡功能來部署網(wǎng)絡。

各家運營商的出口線路均接到出口設備銳捷77-X 路由器，出口帶寬根據(jù)各家運營商的用戶需求提供。

上網(wǎng)認證則由S A M 認證平臺直接對接各家運營商省公司RADIUS Server 系統(tǒng)，將對應運營商用戶發(fā)起的認證報文中的校園網(wǎng)賬號轉(zhuǎn)換成運營商賬號，直接發(fā)送給對應運營商的A A A 服務器進行認證，認證通過則放行上網(wǎng)[2]。

4 學生宿舍運營商網(wǎng)絡統(tǒng)一管理的相關(guān)配置過程

在進行配置割接之前，先與各家運營商溝通好了QINQ內(nèi)層VLAN 及外層VLAN 的分配情況，分配結(jié)果為：各家運營商統(tǒng)一使用內(nèi)層VLAN：207-266；電信外層VLAN：3501-3800、移動外層VLAN：2501-2700、聯(lián)通外層VLAN：2701-2900。

各家運營商設備（ONU 和OLT）的VLAN 配置及QINQ封裝由各自的技術(shù)部門完成，學校完成核心交換機及出口路由的相關(guān)配置，以下為相關(guān)配置過程。

核心交換機（銳捷N18K）配置說明：

（1）添加QINQ 配置，增加外層VLAN 的數(shù)量。

（2）將運營商的外層VLAN 劃分到三個supervlan 中。

（3）分別給三個運營商規(guī)劃一個B 的地址。

（4）三個地址段分別配置DHCP 地址池。

（5）將運營商三個地址段用策略路由指向?qū)某隹诼酚善鳌?/p>

出口路由器（銳捷77-X）配置說明：

（1）添加SAM 上配置的學生用戶組信息。

（2）添加學生的策略路由以及NAT。

（3）添加運營商地址庫路由。

（4）添加DNS 正向代理。

5 學生用戶宿舍上網(wǎng)的相關(guān)說明

學生在學校認證時統(tǒng)一使用的是校園網(wǎng)賬號，在各家運營商營業(yè)廳開通的賬號是運營商賬號，通常為手機或固話號碼。學生在宿舍使用運營商網(wǎng)絡上網(wǎng)前，需要登錄上網(wǎng)認證自助服務系統(tǒng)，將“運營商賬號”與“校園網(wǎng)賬號”進行綁定，實現(xiàn)一一對應的關(guān)系。

學生的電腦在接入宿舍的GPON 網(wǎng)絡后，用瀏覽器打開任意一個網(wǎng)站，會彈出認證界面，輸入校園網(wǎng)賬號和密碼，在“選擇服務”欄選擇自己開通的運營商，點擊“登錄”認證上網(wǎng)。

學生在宿舍以外地區(qū)上網(wǎng)時，登錄界面是一樣的，只是在“選擇服務”欄選擇校園網(wǎng)即可[3]。

6 結(jié)語

目前，學校對學生宿舍運營商網(wǎng)絡的統(tǒng)一管理已經(jīng)實現(xiàn)，當然，在實際割接過程中還是遇到了各種各樣的問題，主要原因在于割接過程牽涉面比較廣、需要協(xié)調(diào)的技術(shù)人員比較多，此處不再詳述。

后續(xù)針對學生管理的進一步需求，對于留存的上網(wǎng)日志，可以進行詳細日志分析，從不同的角度來統(tǒng)計學生的上網(wǎng)情況，便于有針對性地開展學生管理工作，更好地實現(xiàn)對學生宿舍的管理。