高职院校与运营商合作建设校园网的探索与实践

2015-11-22卢明星

中国教育信息化 2015年7期

关键词：校园网网关路由器

卢明星

（河南护理职业学院，河南安阳455001）

高职院校与运营商合作建设校园网的探索与实践

卢明星

（河南护理职业学院，河南安阳455001）

本文以河南护理职业学院校园网建设为例，对高职院校和运营商合作建设校园网络进行了方案探讨，并分析了存在的问题，提出了传统以太网和无源光网络并存建设校园网的解决措施。

校园网；运营商；以太网；光网络

教育是社会发展的先导，21世纪的教育必须能够适应信息化社会的需求。发达国家已清楚地认识到高速发展的信息技术和教育工作之间相互影响、相互促进的重要关系，并通过一系列举措加快教育信息化建设进度，以求能够满足信息时代人才培养的需求。我国政府十分重视教育信息化建设，特别是在“面向21世纪教育振兴行动计划”中着重强调了：“利用信息技术推进教育改革，具备网络化、智能化教学环境及教学、科研、管理、服务数字信息系统是建设一流大学的必要条件和重要标志”。很多高职院校都提出建设数字化校园，并且要高起点规划、高标准设计，统筹兼顾、分布实施。在这种背景下河南护理职业学院结合学院具体情况，设计出了新校区网络建设规划方案。

一、方案概述

为充分发挥资源优势，实现学院信息化建设，进而实现学院教育现代化，节省学院建设资金，网络建设方案采取和运营商合作共建的方式。即由学院和运营商共同商讨建设方案，根据商务谈判协议，运营商负责建设学生宿舍网络及其他内容，并与学院校园网无缝对接。

我院提出新校区网络建设要满足“高起点、面向未来、充分考虑教学、科研、管理”的内在需求，兼顾生活环境等配套因素，最大限度地实现资源共享，最终建成高起点、高质量、高水平、高度信息化、智能化的校区网络。实现有线、无线、VPN用户统一身份认证，全网部署IPv6，紧扣前沿技术脉搏，统一规划高性能、高安全、带宽透明管理的校园网边界，关注安全热点，消除安全盲点。

基于以上要求我校设计出了网络拓扑，如图1所示。经过设备招标，网络设备由华三公司中标，将校园网络分为教学办公区域和宿舍区域，教学办公区域采用传统以太网方式建设，宿舍区域采用无源光网方式建设。教学办公区域核心使用一台H3C S10508-V交换机；无线AP采用H3C2620i；锐捷的NPE50作为网络出口。针对校园网内视频流较多的情况，配置了网络加速设备PowerCache-X5，在服务器区设置了Web防火墙，使用无源光网络作为学生区接入设备，共有一套OLT和八套ONU组成，总体来说方案要考虑以下几点：

图1　网络拓扑

（1）学生用户访问校园网资源不进行计费，为了实现该要求，需要对运营商网关进行下移，通过对网关的下移，可以方便地对访问校内网流量以及互联网流量进行分流，既不造成流量迂回对运营商城域网的影响，也更方便校园网资源的开放。

（2）为了更好地执行公安部下发的82号令要求，对学生上网行为进行审计，整个网络需要有支持学生用户上网行为审计功能。本方案配置了上网行为管理系统AC8300。

（3）高品质的网络不仅需要网络具备可扩展性，而且还需要很强的可用性。本期网络建设项目不仅要考虑有线网的可用性，还要考虑无线网的可用性，目前无线网络建设经常存在无线信号强，但是网络可用性差的特点，因此需要在方案中特别的考虑。除此之外网络还需具备可扩展性，包括带宽的扩展、业务的扩展等等。

（4）业务可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；业务可以随时随地使用，业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预

（5）出口具备抵御攻击，非法业务的隔离、控制，在线主动抵御等能力；核心网络自身集成安全防御能力，缩小攻击、病毒在校园内的影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击。

二、问题探究

经过招标建设，我院网络核心使用一台H3C S10508-V交换机，教学办公区域采用有线无线全覆盖方式，整网采取万兆主干、千兆到桌面方式建设。学生宿舍区域使用无源光网络作为接入设备，共有一套OLT和八套ONU组成。为了保证学生区域的使用安全，全套光网络使用每用户每VLAN的方式，进行二层隔离。每个从光网络上行到核心交换机的报文均有两层标签的封装。

根据数字化校园建设整体要求和信息化教学的整体规划，我院校园网内部有丰富的教学资源可供访问，故希望将学生宿舍互联网的访问需求和内网的访问需求分开处理。即有关于互联网的访问直接经由运营商出口进行访问，需求由运营商负责收费，提供访问出口；内网的访问需求通过核心交换进行，只要是在校学生都能够无偿访问。

原计划通过核心交换机的DHCP功能为所有上网用户分配IP地址，此时可以访问内网同时通过访问策略，限制访问外网；而后希望上外网的用户，付费上网，通过PPPoE的方式获取地址，基于PPPoE方式获取的IP地址，优先级会高于DHCP方式获取的地址，那么此时客户就可以直接访问外网，不能够访问内网，若想要重新访问内网，则需要将PPPoE连接断开。不希望上外网的客户，则可以使用DHCP方式获取的地址直接访问内网。

由于两层标签的存在，以太网交换机通常不能够对其进行处理，最多只能够将流量放行，保持两层标签的形式。这意味着核心交换机不能够为客户端提供DHCP服务。上述的解决方案完全不能够实现，需要将方案进行改进或变更。

三、解决方法

要解决上述问题并保障校园网络用户的正常访问，有如下几种方式：

1.无源光网络不使用两层标签

理论上，无源光网络可以不配置两层标签，这并不困难。原本需要两层标签的主要原因是为了网络传输和二层终结的方便。若是配置OLT设备，让用户流量只带有一层标签上行到核心交换机，则可以实现核心交换机对客户端通过DHCP的方式分配地址这一操作。要求OLT设备配置多个用户在一个VLAN中，比如，6000用户，可以分为30个VLAN，每VLAN有200用户。基于高校学生上网统计，同时在线的用户数量通常都不到一半。如无源光网络采用一层标签，将可以实现核心交换机处理内网的访问需求，实现最初的设想，让不同访问需求的客户获取不同地址，按需收费。访问步骤为：

（1）当宿舍区用户开机时，核心交换机会给所有用户DHCP一个校内网地址，用户通过校内网地址访问校内资源。

（2）当用户需要上网时，通过PPPoE认证由运营商BAS会下发一个公网地址给宿舍区用户终端，这个时候之前获取的DHCP校内网地址和PPPoE的公网地址是并存的，但是PPPoE的地址优先级比DHCP的校内网地址优先级高，所以用户可以通过BAS认证之后访问外网而不能够访问校内资源。

（3）当用户再需要访问校内资源的时候，把运营商的PPPoE认证下线，这个时候PPPoE地址消失，用户终端只有一个DHCP的校内网地址，正常访问校内资源。

这个方法的问题就是同一VLAN客户端之间的二层网络是不能够互相隔离的，这样会造成一定的安全隐患，同时对OLT设备的性能也提出了更高的要求。

2.将网关上移，使用运营商的BAS设备作为学生宿舍区域出口网关

图2　使用BAS设备作为出口网关的网络结构

如图2所示，BAS设备可以分为认证域和DHCP域，实际上BAS也是一个路由器，也可以提供DHCP服务。BAS是有能力终结两层VLAN的标签。而后，按照原有的方案，所有上网的客户都直接分配DHCP的IP地址，所有访问互联网络的客户仍然PPPoE拨号，直接获取PPPoE的地址。访问步骤为：

（1）宿舍区用户在通过了运营商的BAS认证之后获取到PPPoE的公网地址。

（2）在运营商BAS上添加一条静态路由，将目标地址为校内服务器的地址路由再迂回给核心交换机，让核心交换机转发至校内服务器。

这样宿舍区用户在上公网的时候也能够同时访问校内资源。但是需要在运营商BAS上面添加静态路由，而且链路迂回，访问速度及效率上不如直接通过DHCP访问快，这个方案最大的好处仍然是可以区分不同访问需要的用户，只访问内网的用户仍然不需要缴费。最大的问题就是，BAS能否直接作为用户的网关？在运营商规范上是否允许？

3.所有用户都进行认证

不论是否有访问互联网的需求，所有用户都要求有运营商的账号，才能够上网。也就是说，打破原来访问内网不计费的设想，只要接入网络就要进行PPPoE拨号，拨号之后，能够访问内网，也能够访问外网。这样所有问题都可以解决，核心交换机作为一个二层通道，直接将流量透传到BARS设备。其网络结构如图3所示。

图3　所有用户都认证计费网络结构

这个方案的好处就是能够完美地解决地址分配和认证的问题，而且不需要对网络设备进行大的更改。

最大的问题就是无论是访问内网还是访问外网学生都需要缴费，对学生是个负担，也将使校园网络不完整。

4.增加路由器，对两层VLAN标签进行处理

增加一个路由器，作为DHCP网关，使用路由器对两层标签进行处理，在带有两层标签的报文上送到路由器的时候，进行解标签的处理。在不带标签的流量送到路由器的时候，进行两层VLAN标签的封装。两层标签被剥离之后，网络中的其他设备均可以进行识别和处理。同时，需要增加核心交换机对二层标签透传的配置，保障流量能够正常上行到路由器，其网络结构如图4所示。它的具体访问步骤如下：