解攀科　吴小平　郭伟秀　许婷　唐亦非　余琳

摘  要：大多数校园网早期使用传统的三层架构模式部署，易于实现快速组网。但随着终端数量不断增多，校园网带宽发生了爆发性的增长，校园网的QoS保障也面临新的挑战，高校师生不断增长，多业务用网需求无法得到满足。本文采用一种扁平化架构设计校园网，并通过IPFIX协议精准识别流量后进行处理，可有效降低网络拥塞。基于CoA灵活策略处理，可实现校园网与运营商网络的有机整合。考虑网络安全管控因素，在网络边界部署代拨设备实现网络隔离，并支持校园网建立高并发宽带通道连接运营商核心网，实现校园网与多运营商网络的有机融合。

关键词：扁平化网络;IPFIX;CoA;融合网络

中图分类号：TP393      文献标识码：A 文章编号：2096-4706（2019）23-0046-05

Construction of Multi-Operator Fusion Network in Universities Based on IPFIX and CoA

XIE Panke1，WU Xiaoping1，GUO Weixiu2，XU Ting1，TANG Yifei1，YU Lin1

（1.Information Office of Central China Normal University，Wuhan  430079，China;

2.No.1 Middle School Affiliated to Central China Normal University，Wuhan  430223，China）

Abstract：Most of the early campus networks use the traditional three-tier architecture mode deployment，which is easy to achieve rapid networking. However，with the increasing number of terminals and the explosive growth of the bandwidth of the campus network，the QoS guarantee of the campus network is also facing new challenges. With the continuous growth of college teachers and students，the demand for multi service network cannot be met. In this paper，a flat architecture is used to design the campus network，and the traffic is accurately identified by IPFIX protocol，which can effectively reduce network congestion. Based on the flexible strategy processing of CoA ，the organic integration of campus network and operator network can be realized. Considering the factors of network security management and control，the network isolation is realized by deploying the proxy equipment at the network boundary，and the high concurrent broadband channel is supported in the campus network to connect the core network of the operator，so as to realize the organic integration of the campus network and the multi operator network.

Keywords：flat network;IPFIX;CoA;fusion network

0  引  言

随着教育信息化的不断发展，高校校园网作为信息化基础设施的重要性日益凸显。2016年中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》，要求将信息化贯穿我国现代化进程始终，按“三步走”战略建设网络强国。2018年6月教育部印发了《教育信息化2.0行动计划》，要求深入推进“三通两平台”建设。实现“宽带网络校校通”，要求所有学校全部接入互联网。

在国家信息化战略和新时期高校师生日益丰富的网络需求下，对校园网建设和运行模式提出了新的挑战。校园网络建设与运营，从早期以提供网络基础接入为主，已转变为面向高校信息化的全业务网络支撑。在教育信息化2.0和“互联网+教育”的新形势下，基于校园网的数字化学习模式正全面铺开，校园网正逐步成为高校数字化學习和人才培养的业务支撑平台。

1  高校校园网与运营商融合趋势

我国高校校园网建设普遍起步较早，大部分高校均较早建设了有线校园网络。从早期以覆盖教学办公区为主，到实现教学办公区、学生宿舍区、教工住宅区的全覆盖。随着智能移动设备的普及，高校校园网逐步从有线网络转向有线无线一体化的网络建设。高校无线网络以成熟的IEEE 802.11技术为标准实施，逐步发展成“全终端兼容、高速无缝漫游、覆盖全业务”的重要支撑网络，并和有线主干高速网实现了有机集成。我国高校校园网建设根据学校性质、学校经费投入等复杂因素呈现多种模式，主要有以下几种。

（1）学校全业务自主建设类型。学校投入足够的经费建设校园网，自行采购网络设备，根据自身需求选择合适的网络架构组网。一般会覆盖教学办公区和学生宿舍网，有的甚至覆盖了教师家属区。完全自主建设和自主运营网络，可灵活地根据学校自身需求灵活实施网络接入和扩展网络，可为各种业务场景下的网络需求提供相应的保障。学校自行采购所需的互联网出口带宽，均接入中国教育科研与计算机网（CERNET）。校园网络出口至少有2个运营商的接入。绝大部分211高校和985高校由于经费及人员队伍有基本保障，一般采用这种自主建设模式。

（2）学校部分业务自主建设类型。学校投入适量的经费建设校园网，主要以覆盖教学办公区的有线网络为主，部分区域覆盖有无线网络。这类高校受学校经费投入限制，往往无法建设全业务、广覆盖的校园网。校园网建设以满足学校迫切的基础业务需求为主。学校自行采购基本所需的互联网出口带宽，一般会接入中国教育科研与计算机网。大部分省属高校，特别是一些经济薄弱省份的高校通常采用这种模式建设和运营校园网。

（3）引入运营商或第三方投资建设类型。由于校园网建设及运维投资较大，部分高校、特别是一些民办高校采取了引入运营商或第三方投资建设和运营校园网的模式。在这种模式下，校园网设备投入、出口带宽以及网络运维均交给运营商或第三方实施。学校通过资源置换，投资建设方通过直接收取师生网络费用模式来收回成本及获取收益。

校园网本质上是一张用户接入网，其要接入互联网离不开运营商，因此校园网天然存在和运营商网络融合的需求。基础电信运营商一般是指中国移动、中国电信、中国联通、中国广电和中信网络，它们均具有工业和信息化部颁发的基础电信业务经营许可证。普通高校除接入中国教育科研与计算机网外，一般至少和基础电信运营商中的一家合作，使用其提供的固网出口带宽接入互联网。高校与运营商在互联网带宽、网络建设、信息化融合等多个方面存在合作和融合的需求，部分有相关学科的院校还在学科建设与基础电信运营商有合作的需求。

2  校园网运营商融合组网技术原理

2.1  扁平化网络架构

扁平化网络架构是一种简化了接入网和核心网关系的网络架构。早期的校园网一般使用传统的三层网络架构。在传统的三层架构下，校园网依次由接入层、汇聚层、核心层组成。传统三层架构存在“轻核心-重接入”的特点，负责用户接入的二层交换机承担VLAN控制、端口隔离控制、ACL策略等复杂的业务管理，但核心设备则仅承担高速互联转发的功能。

扁平化网络简化了校园网的层次关系，形成统一控制、功能明确、易于扩展、易于管理的网络结构。扁平化网络架构下，接入网通过扩展的双层VLAN灵活地接入核心网。既可以在接入网进行网络隔离，又可通过核心网策略实现网络共享。扁平化架构下的核心网则实现校园网业务的集中化管控、精细化管理及全局性网络扩展。扁平化校园网架构与传统校园网架构相比，有如下的优点。

（1）统一的核心网管控及精细化管理，采用运营商级别的宽带接入服务器（BRAS）组成核心设备集群。具有高性能、精细管控、简化扩展的特点。支持灵活的校园网新业务开展和各类网络认证、控制及优化。

（2）大幅度简化接入网实施，降低维护成本。在扁平化下架构下，接入层交换机只需要进行简单的VLAN透传、VLAN隔离及QinQ部署。接入网的维护工作大幅度减轻，接入网设备的成本也大幅度降低。

（3）扁平化网络具有简洁的整体可扩展性。采用扁平化架构后，校园网具有了整体可扩展的优点。接入设备可以方便地实现横向扩展，如接入交换机和无线AP均可以基于配置模板快速部署上线。核心设备也可以方便地基于业务承载负荷实施横向扩展，基于QinQ接入设备也可以灵活地随之扩展。

2.2  IPFIX网络流量处理

为满足高校信息化日益增长的需求，校园网要实现网络业务的全覆盖。随着校园网用户数和接入终端的不断增长和膨胀，校园网面临的一个现实问题就是互联网带宽不足，即使不断加大互联网带宽的投入，仍然会在网络高峰期供小于求，导致校园网出口拥塞。校园网进行扁平化改造后，采用BRAS作为核心设备，一个需要解决的问题就是实现网络流量的精细化控制。若不对校园网进行精细化控制，粗放式的网络流量会爆发增长，校园网拥塞的概率随之提升，从而导致校园网服务高校教学科研的水平下降。BRAS设备的一个重要功能就是支持对流量的有效管控。

IP流信息输出协议（IP Flow Information ExportProtocol，简称IPFIX协议），是网络流量监测的IETF标准协议（RFC 3917）。IPFIX协议默认使用七元组来表示一份网络流量，包含源IP地址、目標IP地址、源通信端口号、目标通信端口号、第三层协议类型、TOS字节、逻辑网络端口。七元组信息一致的数据包则都被归属于同一个通信流，该通信流中的所有包累计后按照相同的标准进行统计和处理。BRAS设备可以按照IPFIX协议发送网络流量给流量采集处理系统，并且这个发送流量的过程实际开销很小，并不影响BRAS设备核心运行业务。基于标准IPFIX流量的采集和归纳，网络计费系统从而可以识别用户的网络流量，根据实际运行的网络流量对校园网用户进行干预，从而可以实现对流量的精准控制和高效利用。表1显示了IPFIX网络流量处理的结果示例。

2.3  CoA网络控制技术

扁平化架构的校园网一般采用RADIUS协议实施网络准入控制。早期的网络认证服务器（RADIUS）在网络访问服务器（NAS）接入网络后不再干预其网络状态。在校园网多业务场景下，要实现灵活的网络策略下发，需要有一种可以按需实施联网状态调整的机制。RFC3576协议对Radius进行了合理的拓展，从而可以实现对RADIUS的动态控制。网络授权变更Change-of-Authorization（CoA）就是RFC3576实现的重要功能，RADIUS服务器可以通过CoA对RADIUS客户端主动发起控制，例如触发用户下线、用户上网带宽动态修改等网络状态控制。正是CoA机制被网络认证控制系统广泛采用，才使得校园网的网络管控、与运营商的协同动态对接具备了可行性。CoA基于BRAS在线会话列表中的Session ID识别网络会话，从而在网络控制系统中主动触发协议对接的控制动作，执行相应的网络策略并使之生效。华为、中兴、Juniper的BRAS设备均以各自的技术方式实现了RFC3576协议，从而可支持灵活的CoA操作。CoA的工作流程如图1所示。

2.4  代理拨号原理

PPPoE和IPoE是运营商广泛采用的网络结构，如用于构建运营商光纤到户的家用宽带。PPPoE整合了PPP连接和以太网协议，实现在以太网广播链路上的点到点通信。PPPoE在运营商网络中大规模部署，一般用华为ME60等BRAS设备实现PPPoE网络的终结。在宽带网全业务发展的背景下，基于DHCP的IPoE协议被广泛采用。IPoE基于DHCP协议携带信息来和Radius实现认证交互，在DHCP Option82属性配置特定信息来识别策略，实现校园网与运营商融合网络下复杂业务的灵活实施。

高校校园网在自主建设模式下，可根据业务需要灵活组网。除了可使用PPPoE和IPoE组件扁平化网络外，还有传统的集中式Portal网关或者802.1x，运营商网络则以PPPoE为主。为将扁平化的校园网和运营商宽带有机安全地整合对接，需考虑一种转化机制实现。代理拨号服务器部署在校园网和运营商网络之间，采用一种高并发的PPPoE会话拨号模式工作。代拨将校园网端过来的网络会话予以识别，进行映射转换后发起PPPoE拨号。代理拨号成功后，校园网用户即通过代理网关接入了运营商网络。代拨工作原理及全部流程如图2所示。

3  校园网融合组网技术实现

3.1  校园网融合组网架构设计

校园网在采用扁平化架构后，通过IPFIX精准识别网络流量并实施相应策略，可将校园网日益增长的出口流量合理引流至运营商，促进校园网带宽的合理使用，并通过直接引流机制满足师生用网的差异化需求。校园网作为教育与科研网络的一部分，既要滿足学校教学科研等主要业务，又要满足师生多样化的用网需求，因此在同运营商网络融合对接时，需考虑以下几点：

（1）师生便捷免费访问校园网内网的策略设计。校园内网部署有大量教学资源和信息应用，提供给师生免费使用，需在全局设计合适的网络策略来执行。统一定义内网策略模板，在RADIUS初次认证成功后，通过ACCESS-ACCEPT报文下发相应策略给BRAS或无线控制器，BRAS或无线控制器执行相应的行为策略从而允许用户访问内网。

（2）有线网络与无线网络一致性流量识别和策略控制。校园网支持有线网络与无线网络的统一访问，需要将有线网络、无线网络的网络流量合并识别处理。流量合并处理的一种方法是将实际网络流量合并到集中的流量处理网关处理，这对于流量处理网关性能有很高的要求。另一种更好的方法是使用分布式网关发送各自的IPFIX流量给计费系统处理，从而避免集中式网关的性能瓶颈。

（3）校园网与运营商融合模式下用户的体验问题。校园网采用扁平化架构后，支持基于MAC和IPoE的无感知认证，实现了较好的用户体验。由于运营商宽带的运营机制，在对接后往往需要二次认证。一种带域识别的模式可解决这个问题，基于域后缀来识别是学校本地业务还是运营商业务，然后自动调用已绑定的运营商账号发起PPPoE请求，这个过程对于用户是透明执行的，因此可改善用户体验。

（4）校园网与运营商的网络边界与网络安全审计问题。校园网和运营商虽然在业务网络融合上存在需求，但由于网络管理机制的差异性，双方存在各自的网络安全管理需求。在校园网络与运营商网络间部署代拨服务器，形成清晰的网络边界，实现双边的网络安全管理与审计。

综上所述，基于IPFIX流量管理和CoA策略的整合，可设计一种高校与多运营商融合的网络架构。在扁平化的校园网核心集群下，支持统一的校园网初始策略下发和CoA策略调整，并通过边界代拨服务器和各运营商整合。这种网络融合架构的总体设计如图3所示。

3.2  校园网融合组网实施及完成情况

华中师范大学2017年12月完成了校园网与中国移动、中国电信、中国联通三大运营商的融合组网对接工作。华中师范大学校园网（包含有线网和无线校园网的一体化网络）用户均可以直接方便的选择CERNET、移动、电信、联通出口访问互联网，既可以灵活选择互联网出口，又具有一致的校园内网访问策略，可便捷免费地访问校园网教学科研资源，并可直达访问学校已购置的学术期刊库资源等。2017年累计使用了融合宽带的用户数达20717，月均活跃用户数达9800。项目实施以来，使用融合网络的月均活跃用户占用户总数比例达到27%，校园网出口带宽约节省了25%，校园网与运营商融合网络运行情况良好。融合组网模式下校园网的统一Portal界面如图4所示。

4  结  论

高校校园网不同于一般的园区网，存在用户数量大、用户活跃程度高、网络应用繁多、网络安全态势复杂等特点。校园网要有效支撑不断增长的教学、科研、校园生活等多业务的信息化应用，从出口带宽和多业务QoS保障方面优化创新。运营商核心骨干网是国家高速网络基础设施，校园网要实现良性发展，离不开和运营商网络的优化整合。本文研究了如何通过IPFIX的流量处理技术优化校园网的互联网带宽有效管理，探讨了基于CoA实现多业务融合的策略分发机制，并部署代拨设备合理划分了网络安全边界。实践表明，该方案可在大规模的校园网中实现和运营商网络的直接融合，具有一定的实用性，并可以达到预期的应用效果。

参考文献：

[1] 凡民丁.GPON部署扁平化设计 [J].信息通信，2015（9）：209-210.

[2] 王珊，陈松，周明天.网络流量分析系统的设计与实现 [J].计算机工程与应用，2009，45（10）：86-88.

[3] 汤小康.扁平化的校园网络架构设计 [J].信息与电脑（理论版），2014（7）：62-63.

[4] 马安龙.利用QINQ技术构建扁平化网络 [J].电脑知识与技术，2012，8（15）：3528-3529.

作者简介：解攀科（1981-），男，汉族，湖北大冶人，工程师，理学硕士，主要研究方向：教育信息化和数字化学习。