吴礼乐

（中国石油大学（北京）信息技术中心，北京 102249）

校园网作为高校信息化建设的基础平台，在学校各项工作中发挥着重要作用。在信息技术飞速发展的背景下，高校信息化进程的深度和幅度日益提升，对校园网的管理、性能和安全性的要求也在不断提高[1]。随着校园WLAN的普及、云计算的发展、校园网用户数量的增加以及网络业务、用户需求的多样化,校园网的功能定位已经逐步从满足接入功能为主转向可管理、可运维、满足日益丰富的业务需求为主,需要网络能承载数据、视频、组播、W L AN等多种业务,及对不同业务提供区分服务。传统的基于三层交换架构的网络,在实际使用过程中存在诸多难以解决的问题,如：无法实现用户的精细化管理、ARP病毒和抢占带宽等行为难以彻底解决、管理维护难度较大、用户体验差,已经难以满足日益增长的多业务需求。为了解决以上问题，BRAS设备扁平化校园网络方案在各高校逐步得到应用。通过认真分析校园网络扁平化架构的优缺点，结合我校网络实际情况，探索一种适合我校自身特色的校园网络认证模式，适应和满足国家法律和政策对于校园网用户的行为要求；降低校园网的管理难度和减少维护工作量；满足各类业务和应用的拓展[2]。总之，要实现整个校园网的高性能、易管理、精细化网络、提供不同业务、实现用户实名制认证的校园网络。

1 网络现状分析

中国石油大学（北京）采用了传统的三层网络组网架构，即核心—汇聚—接入的三层网络结构。以核心交换机H3C 9508E为中心，通过万兆或千兆下联至汇聚交换机H3C 5800，汇聚交换机千兆下联至接入交换机，接入交换机千兆或百兆到桌面；核心交换机通过万兆上联至流控设备网络掌门20000，流控设备万兆上联至校园网出口防火墙山石X6150，通过防火墙分别接入了中国教育网、中国联通和中国移动三家互联网供应商，出口总带宽2.3 G，防火墙通过静态路由和策略路由选择运营商线路；数据中心服务器交换机通过万兆上联核心交换机，千兆下联各服务器；用户通过邻居发现协议获取IPv6地址，核心交换机直联IPv6网络出口至IPv6网络，IPv6出口总带宽2G，不经过流控设备转发，网络拓扑结构清晰简洁，校园网络拓扑如图1。全网采用RIP和RIPng路由协议，用户通过IPv4和IPv6双栈模式访问互联网，但没有统一认证，网络故障排查困难，日常运维工作量大,校园网出口压力大。在校园网实际运行中，存在管理运维复杂、上网监管困难等问题，校园网络结构、运行模式已不能满足管理和服务的需要，矛盾日益突出，主要表现在以下方面：

1)认证计费不统一

图1 校园网络拓扑图Fig.1 Campus network topology

长期以来，我校有线网没有采用用户认证上网的方式，其中办公区有线网采用静态IP分配方式上网，教职工需要亲自到信息技术中心申请IP地址，办公区接入交换机品牌有北电、华三、华为、锐捷；学生宿舍区有线网采用在接入交换机端口绑定MAC地址+DHCP获取地址的方式，学生宿舍区全部采用北电交换机，针对北电交换机开发了批量绑定交换机端口与缴费用户的计算机MAC地址的管理软件。

2012年开始大规模建设校园无线网络，至今全校已部署AP数量1 000台，覆盖了除学生宿舍区之外的所有楼宇和操场等空旷的室外区域，无线网采用在H3C 5800汇聚交换机三层vlan接口上开启Portal重定向和深澜认证计费系统对接认证的方式。经过两年的运行，发现了不少问题，例如：汇聚交换机Portal支持的用户少、性能差，没有用户流量update报文发送给深澜计费系统进行用户流量统计，不能实现用户无流量自动下线。

因为我校有线网和无线网一直以来没有实行统一认证，用户申请入网工作繁琐，上网方式不一，用户体验差、抱怨多，也给日常管理工作带来了一系列问题。

2)网络运维复杂

学校IPv4网络共3条出口链路，连接3个不同的互联网运营商。由于运营商的路由数目众多，而且路由信息更新较快，所以需要定期检查并及时更新出口路由表，进行路由优化。同时，为保障网络稳定运行，需要通过流控设备长期对校园网出口流量进行优化，限制P2P下载、在线视频等与日常工作和学习无关的应用，缓解校园网出口压力。

现在的校园网结构、用户管理和IP管理方式给日常运维带来巨大的工作量。例如：办公区域用户盗用IP地址，教工用户改变办公楼宇时需要重新到信息技术中心办理变更业务，人工催缴网费工作繁琐；学生宿舍用户自行修改MAC地址导致无法上网，学生宿舍区接入交换机只能使用北电品牌，运行时间长达10年，功能和性能差，不能防伪DHCP服务器、ARP欺骗，解决上述问题占用时间多，处理故障较为困难。

3)出口带宽压力大

由于全校采用包月不限流量的计费策略，校园网Internet出口带宽有限，部分用户无节制地在线视频、使用P2P工具进行下载，造成校园网出口拥塞，出口的拥塞又会造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致网络丢包严重，大量数据包重复发送，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。所以，需要采取限制用户在线视频、P2P下载等应用，限制每用户的速度和会话数，保障出口防火墙的稳定运行，保障校园网用户对浏览网页、即时通信等关键应用的畅通。

2 BRAS设备扁平化网络架构

1)网络扁平化的趋势

随着高校校园网络的发展和建设，网络规模越来越大，结构越来越复杂，用户数量越来越多，网络应用越来越丰富,采取的认证模式也各不同一,有802.1x模式、网关计费认证模式等。各高校在建设校园网络时普遍会遇到以下问题：如何建设有线无线一体化的认证计费平台；如何适应和满足国家法律和政策对于校园网用户的行为要求；如何降低校园网的管理难度和减少维护工作量；如何满足各类业务和应用的拓展。要解决以上这些问题必须从网络架构和业务部署模式上进行改变，而网络扁平化架构切中了解决这些问题，将原有网络各层的功能从逻辑上进行了重新划分，使得各层设备各尽其能，并重新部署业务模式。通过充分调研，部分高校已经实施或正在计划将原有的802.1x、网关认证计费等认证计费模式改造成BRAS网络扁平化架构[3]。

2)扁平化网络架构

网络扁平化通常意义下是指功能上和逻辑上的扁平化，其核心是减少网络的中间层，使网络架构和形态变得更为简单，将网络架构从原来的三层甚至是多层转变为二层，业务控制层和宽带接入层。业务控制层由BRAS核心设备构成，替代原有网络架构中的核心交换机，提供统一的QinQ用户终结、准入认证、业务控制等多种功能，满足校园网大用户量、高并发连接、差异化计费的需求。宽带接入层由汇聚交换机和接入交换机构成，仅提供基本的户带宽接入功能和用户之间的二层vlan隔离功能，汇聚交换机和接入交换机仍然使用网络中正在运行的现有设备，但是需要修改配置，在原有汇聚交换机接口上启用QinQ功能，对用户私网vlan进行二次封装，实现封装后的二层用户vlan透传到BRAS核心设备，由原来的三层汇聚变成了大二层汇聚；在原有接入交换机上为每个下联端口配置一个不同的用户vlan，上联端口设置为trunk允许所有用户vlan通过到汇聚交换机，接入交换机每端口使用不同vlan将用户隔离，防止ARP病毒等网络攻击。原有三层网络的扁平化演变模型如图2所示。

图2 扁平化演变模型Fig.2 Flattening evolution model

3)扁平化网络架构的优势

①用户和业务集中控制

扁平化架构采用集中管理控制模式，由性能强、功能丰富的BRAS核心设备提供统一集中的用户精细化管理和业务控制，有利于校园网各项业务和功能的部署，提高了校园网运行的稳定性和可靠性。

②网络层次简洁清晰

扁平化架构将传统网络中功能模糊的层次数量减少，功能清晰化，从而使整个网络架构和网络层次由复杂化转变为简单化，将原有三层甚至多层网络架构演变为以BRAS设备为核心的大二层网络架构，有利于管理和维护，使得网络有更高的效率。

③网络易扩展和管理

基于BRAS设备的扁平化校园网络更有利于今后新功能、新业务的扩展，业务功能只涉到BRAS核心设备，因此只需要考虑BRAS核心设备是否能够支持这些业务特性即可，对于汇聚交换机和接入交换机这些设备，仅仅需要考虑接口的扩充和上行带宽的增加，网络管理更加简单、高效。

④高可靠性和安全性

BRAS作为高性能、高可靠的网络核心设备，很好地保障了校园网业务不中断。汇聚层和接入层设备利用QinQ+VLAN隔离用户，避免ARP病毒的大量传播，提高校园网接入层的安全和稳定。

⑤实现全网有线无线统一认证

基于BRAS设备的扁平化网络，与第三方认证计费系统对接，实现有线无线统一的多元化认证计费，使校园网用户可以方便地在任何一个地点实现校园网访问[5-6]。

4)扁平化网络架构的缺点

①BRAS核心设备压力大

校园网络扁平化之后，全网所有流量都通过BRAS设备，所有用户都在BRAS上集中管理控制，所有业务都在BRAS上部署，对BRAS设备的性能和功能要求极高。BRAS核心设备压力大，一旦出现故障将导致全网瘫痪，而且短时间内难于修复。

②对现有网络改动大

基于BRAS设备的扁平化校园网络，需要把BRAS设备替代原有的核心交换机，在BRAS设备上集中配置全网用户和业务，原有汇聚交换机和接入交换机需要重新配置，用户网段中存在大量服务器、水电计量等特殊设备的IP地址需要逐一排除认证，以上这些网络改动工作量大，施工难度大，实施周期长。

③同网段用户通信问题

由于采取了QinQ+vlan进行用户隔离，当汇聚交换机出现故障时，即使同网段的用户相互无法通信。

3 BRAS设备在我校校园网络认证中的应用

1)对BRAS设备进行网络改造的思路及要求

以学校网络信息化建设规划为指导，按照整体规划、分步实施为建设原则，认真分析我校网络的现状及存在的问题，掌握目前国内外校园网络认证发展的前沿热门技术，充分调研目前高校采取的BRAS设备网络扁平化架构模式，仔细分析校园网络扁平化建设的优势和缺点，结合我校网络的实际情况，提出我校BRAS设备网络认证改造建设的要求是：第一，对我校原有网络架构不做大改动，部署三层接口bas认证模式；第二，对新建网络实施三层接口bas认证模式或扁平化模式的灵活选择；第三，实现有线无线统一认证，与现有的第三方计费软件深澜认证计费系统稳定对接，有流量update报文，能实现用户无流量自动下线；第四，支持IPv4和IPv6双栈，对IPv4网进行认证，对IPv6网实行免认证；第五，能实现基于业务和目的地址的差异化计费策略。

2)建设方案

按照我校网络认证改造建设的思路及要求,经过前期的技术选型和招标,采购了一台华为BRAS设备ME60-X8，配置2块10端口万兆业务板卡和2块48端口千兆业务板卡，形成板卡级冗余，以ME60-X8为中心启用有线无线统一的IPoEWeb认证模式。对原有网络拓扑改变如下：

ME60-X8万兆串联在核心交换机和流控之间,在ME60-X8下联口启用三层接口bas认证，核心交换机上来的IP地址通过IP触发行为进行用户认证上线。

核心交换机以下结构保持不变，办公网改为动态IP地址获取方式，并在相应各区域汇聚交换机上建立地址池，学生宿舍区取消接入交换机端口+MAC地址绑定的安全策略，改造之后全网用户通过DHCP动态获取IP地址。学生宿舍接入交换机运行至今已有十余年，今后适时逐步进行更新改造，提高学生宿舍区域接入交换机的功能和性能，进一步防止伪DHCP服务器、ARP病毒、非法配置静态IP。

数据中心服务器前端交换机从核心交换机上移，万兆直联ME60-X8，实现校内网用户访问数据中心服务器需要进行认证。

取消汇聚交换机无线用户Portal重定向认证，无线控制器从无线网汇聚交换机上移至ME60-X8，通过新增无线控制器前端交换机万兆上联至ME60-X8，在ME60-X8上配置集中转发用户的地址池和二层子接口进行bas认证，无线网本地转发用户同有线网一样通过IP触发行为进行用户认证上线。

利用ME60-X8改造后的校园网络拓扑图如图3所示。3)用户接入

对于有线网用户和无线网本地转发用户来说，在ME60下联核心交换机的接口上建立两个子接口，分别配置IPv4和IPv6地址，在核心交换机上联接口上配置trunk和与ME60子接口对应的两个vlan并且允许两个vlan通过。对IPv4的子接口配置三层接口bas认证，对IPv6的子接口不配置认证，从而实现了IPv4网需要认证而IPv6网不需要认证的功能。IPv4用户通过IP触发行为上线，此时处于认证前域，只能访问Web认证页面和DNS服务器，客户端打开浏览器上网时页面自动调转到深澜Web认证页面，当客户端输入用户名和密码认证成功后即可访问校园网服务器和互联网，此时用户处在认证域，在认证域配置idle-cut命令实现用户在指定时间段内无流量自动下线。

对于无线网集中转发用户来说，在ME60上建立各用户段的IPv4地址池和IPv6地址池，在下联无线控制器交换机接口上建立各用户段相应的用户vlan子接口并配置二层接口bas认证。用户通过ME60获取IPv4地址之后，此时处于认证前域，只能访问Web认证页面和DNS服务器，客户端打开浏览器上网时页面自动调转到深澜Web认证页面，当客户端输入用户名和密码认证成功后即可访问校园网服务器和互联网，此时用户处在认证域，在用户vlan子接口下配置arp探测实现指定时间段内无arp报文自动下线。用户通过ME60获取IPv6地址之后，不认证即可访问IPv6网络。

对于内网中院系自建服务器等设备，需要免认证对外提供服务，在ME60上建立一个免认证域，通过layer3-subscriber命令指定服务器IP地址的认证前域为免认证域。

4)有线无线统一认证

ME60与深澜认证计费系统对接，在全网有线无线采取IPoEWeb统一认证方式，当用户上线到认证前域时ME60将客户端浏览器页面自动推送到深澜Web认证页面，用户认证成功之后此时处在认证域，可以访问校园网服务器和互联网，ME60定时发送流量update报文到深澜认证计费系统AAA服务器进行计费，深澜计费系统支持各种不同终端类型，支持Windows、Android、iOS等操作系统的浏览器。

5)内外网区分限速计费

由于校园网用户访问校内服务器不计流量不限速，访问校外计流量限速，需要实现差异化计费策略，在ME60上配置增值业务DAA（目的地址计费），定义限速的QOS模板和不计费的accounting模板，结合acl访问控制来实现内外网差异化业务控制。

图3 利用ME60-X8改造后的校园网络拓扑图Fig.3 Campus network topology after using ME60-X8 to reform

6)新建网络

对于今后学校新建楼宇网络，全新部署汇聚和接入设备，采用网络扁平化方案，汇聚交换机启用QinQ，上行万兆或千兆直联ME60-X8，接入交换机每端口划分不同的vlan，实现用户隔离。

4 结束语

中国石油大学（北京）通过采用华为ME60-X8 BRAS设备来改造校园网络，实现了全网有线无线统一认证，网络建设取得了历史性的突破，实现了用户精细化管理，提高了用户体验度，降低了运维管理难度，满足了日益增长的业务需求，网络运行质量得到大幅改善，提升了学校信息化建设的水平。

[1]刘春艳.校园网扁平化架构的研究与设计[J].信息与电脑：理论版,2014(4):35-36.LIU Chun-yan.Research and design of campus network flat architecture[J].China Computer&Communication,2014(4):35-36.

[2]缪其勇.基于扁平化理论优化设计校园网[J].电脑知识与技术,2014,10（18）:4155-4157.MIU Qi-yong.Optimailly design campus network based on flattening theory[J].Computer Knowledge and Technology,2014,10(18):4155-4157.

[3]吴乃忠.基于扁平化架构的下一代高校校园网的建设研究[J].电子世界,2012(18):28-29.WU Nai-zhong.Study of construction of next-generation campus network based on flat architecture[J].Electronics World,2012(18):28-29.

[4]汤小康.扁平化的校园网络架构设计[J].信息与电脑(理论版)，2014(7):62-63.Tang Xiao-kang.Flattened campus network architecture design[J].China Computer&Communication,2014(7):62-63.

[5]吴宇平，徐俊波，张智萍.校园网扁平化改造优化管理[J].中国教育网络，2014(11):44-47.WU Yu-ping,XU Jun-bo,ZHANG Zhi-ping.The campus net flattening transformation optimization management[J].China Education Network,2014(11):44-47.

[6]王佶，邹池佳，江肖强.校园WLAN扁平化部署和精细化管理的探索与实践[J].网络安全技术与应用，2012(4):69-71.WANG Ji,ZOU Chi-jia,JIANG Xiao-qiang.Exploration and practice of campus WLAN flat deployment and fine management[J].Network Security Technology&Application,2012(4):69-71.