多运营商合作模式下的校园网多出口策略

祁　辉，于春燕

（滁州学院计算机与信息工作学院，安徽　滁州239000）

多运营商合作模式下的校园网多出口策略

祁辉，于春燕

（滁州学院计算机与信息工作学院，安徽滁州239000）

为了解决与多运营商合作过程中的多网络出口问题，借助扁平化网络架构的集中控制及精细化管理，通过BRAS设备、Radius服务器以及出口防火墙等的协同工作，实现了多网络出口情况下的流量的按需求转发。校园网的运行情况说明设计达到了预期的效果。

多运营商合作；多出口；扁平化

滁州学院校园网络现已覆盖所有教学楼、办公楼、学生公寓和教工公寓。在校园网络建设中，办公、教学及教工公寓区域的网络与学生公寓区域的网络采用了不同的建设模式，前者由学校自行建设，后者则与运营商合作共建。学生公寓网络的共建过程是先与中国电信合作，共建了学生公寓有线网络，后又与中国移动合作建成了校园无线网络。目前，在部分学生公寓有线网络建设中，正逐步引入三家运营商（中国电信、中国移动和中国联通，以下简称为电信、移动和联通），让学生可自由选择不同运营商的网络，方法是：三家运营商共同建设同一套学生公寓的接入层网络，各自提供满足用户需求的公网出口链路、带宽和IP地址，核心层网络、用户管理系统等均由校方建设。

随着合作模式的改变，传统的校园网三层网络结构及出口路由策略已不能很好地满足多运营商业务和有线、无线用户的统一认证接入等要求。本文参考电信运营商的扁平化网络架构［1］，配以合适的出口策略，实现流量按需转发，解决多运营商合作中的多出口问题。

1　多出口策略实现

1.1扁平化网络架构

所谓扁平化的网络架构，就是将网络划分为宽带接入层和业务控制层。宽带接入层由汇聚和接入层设备构成，实现用户带宽接入和VLAN隔离等功能；业务控制层由核心层设备构成，提供网络中的用户集中接入控制、业务功能实现等复杂功能［2］。

扁平化的网络架构使模糊的校园网络层次清晰化，不同层次各司其职［3］，网络管理趋向于简单化、精细化和高效化，有利于网络的扩展、管理和维护。

1.2用户管理与控制

滁州学院校园网络用户管理与控制采用的是宽带远程接入服务器BRAS（BroadbandRemoteAccessServer）+Radius（Remote authentication dial in user service）系统，学生公寓网络中通过IPoE+Web Portal认证的方式实现网络接入，教工公寓网络使用PPPoE拨号方式实现网络接入。本文重点讨论学生公寓网络的用户管理与控制。

学生公寓网络用户在接入网络后即获得IP地址，可以免费访问校园网资源，但访问Internet资源时需要登录认证。具体过程是：学生用户终端在接入校园网时发出DHCP请求，该请求通过BRAS设备转发到Radius服务器进行验证，Radius服务器验证后返回确认用户身份的响应，同时将用户访问策略、带宽管理策略下发到BRAS设备，通过BRAS设备与用户终端之间的DHCP协议使用户获取IP地址。同时，在BRAS设备上自动生成该用户对应的子接口（demux接口），并在该子接口上应用Radius下发的默认控制策略［4］实现对用户的控制。用户demux接口的默认权限是访问特定的资源（如校内网站等），当用户访问非默认授权资源（如校外网站）时，用户的HTTP请求将通过HTTP Redirect重新定向到Portal页面上进行身份认证，从而扩大用户访问权限，流程如图1所示。

图1用户认证过程

图1所示用户的认证过程是：用户获取IP地址并通过浏览器发起HTTP请求→HTTP请求被重新定向到Portal服务器→Portal服务器弹出用户登录页面，要求用户输入账号进行认证→用户输入账号信息并提交给Portal服务器→Portal服务器将用户账号信息转交给Radius服务器进行认证→认证通过后，Radius服务器一方面通知Portal服务器给出相关用户提示，另一方面通知BRAS设备调整用户的控制策略→BRAS设备将新的用户控制策略应用到对应的用户的demux接口上→COA（Change Of Authorization）应用成功的确认信息由BRAS设备转发到Portal服务器，用户访问权限得到提升。在COA过程中，由Portal/Radius服务器下发的用户控制策略包括用户所属运营商、用户速率控制、访问权限控制和业务功能控制等信息。

1.3校园网出口结构

滁州学院现有六条公网出口，分别是办公教学区域的教育网、电信和联通，学生公寓区域的电信、移动和联通。此六条出口链路通过一台出口防火墙接入互联网，如图2所示。

图2　校园网出口拓扑图

在图2中，办公教学出口的流量主要来自A核心所接的办公教学区、教工公寓区以及B核心所接的办公教学区和数据中心区等。这些流量经B核心与出口防火墙之间的链路传送至出口防火墙，在出口防火墙上根据访问控制策略和策略路由等，完成在教育网、电信和联通出口之间的选择转发。

BRAS设备通过三条链路与出口防火墙互联，将学生公寓区的流量根据其所属的不同运营商从相应的链路转发至出口防火墙。出口防火墙上的学生用户主要有两种类型：第一种，认证之前已根据运营商的不同分配了IP地址。出口防火墙通过定义源路由，实现根据数据包的源IP地址选择路由，将用户流量转发至不同运营商出口，这种方式实现起来较容易。第二种，认证前不区分运营商，所有用户都获取同一段IP地址。此部分学生用户流量的转发策略包括认证后BRAS设备获取的Radius下发的用户控制策略，以及出口防火墙的源接口路由策略等。这些策略的共同作用，实现了不同运营商的网络用户流量从不同的出口转发。

1.4配置实现

学生公寓网络用户首次开通网络时，可选择到任何一个提供Internet接入的运营商营业厅开通账号并缴纳相应套餐的费用，从下一个计费周期开始时，就可选择到其他运营商处缴费并使用其网络。需要说明的是，各运营商均是在校方认证的计费系统中进行开户，开户使用的均是学号，认证过程使用的也是学号，不需要与运营商的系统进行任何对接。

学生公寓网络用户接入网络时获取的IP地址未根据不同运营商进行区分，因此在进行如图1所示的认证过程中，Radius服务器会根据用户所属的运营商不同而下发预定义的不同COA属性，主要包括联通上行cnc-up-4m和联通下行cnc-dw-4m，移动上行cmcc-up-4m和移动下行cmcc-up-4m，电信上行ct-up-4m和电信下行ct-up-4m；BRAS设备则根据COA值动态生成用户demux子接口的值，如学生公寓某移动用户认证成功后的demux子接口的值为“Input Filters: cmcc-up-4m-demux0.1073821232-in”和“Output Filters: cmcc-dw-4m-demux0.1073821232-out”。此用户会根据demux子接口的属性调用预定义的上行策略cmccup-4m和下行策略cmcc-dw-4m。其中，cmcc-up-4m的配置内容如下：

set firewall filter cmcc-up-4m term 0 from destination-address 10.0.0.0/8

set firewall filter cmcc-up-4m term 0 then accept

set firewall filter cmcc-up-4m term 1 then policer 4m

set firewall filter cmcc-up-4m term 1 then routinginstance chinamobile

这里，filter cmcc-up-4m配置了源地址destination-address 10.0.0.0/8、匹配的带宽控制策略policer 4m和路由策略routing-instance chinamobile。下行策略cmcc-dw-4m的配置与cmcc-up-4m类似，但其只需配置源地址和带宽控制策略即可，不需要配置路由策略。

带宽控制策略policer 4m设置了最大限速值4 096 000 b/s，具体配置如下：

set firewall policer 4m if-exceeding bandwidth-limit 4096000

路由策略routing-instance chinamobile定义了具体的转发路由策略，具体配置如下：

set routing-instances chinamobile instance-type forwarding

set routing-instances chinamobile routing-options static route 0.0.0.0/0 next-hop 172.16.0.9

与移动用户的路由策略routing-instance chinamobile相比，电信用户的路由策略routing-instance chinatelecom和联通用户的路由策略routing-instance chinaunicom的配置仅有next-hop不同。

BRAS设备有三个接口与出口防火墙互联，分别承载电信、移动和联通的流量。其中承载移动用户流量的接口interfaces ge-1/1/1的配置为

set interfaces ge-1/1/1 unit 0 family inet address 172.16.0.10/30

它将移动用户的流量通过接口ge-1/1/1转发至出口防火墙。在出口防火墙上配置的与BRAS设备互联接口interface ethernet1/1的IP地址172.16.0.9，也就是BRAS设备中routing-instances chinamobile的下一跳地址。同时，定义一条源接口路由策略，指明来自接口ethernet1/1的流量匹配的策略，即从移动公网出口进行流量转发，具体配置如下：

interface ethernet1/1

ip address 172.16.0.9 255.255.255.252

ip route source in-interface ethernet1/1 10.0.0.0/8 211.141.x.x//移动出口地址

2　测试结果

通过上文所述的配置内容，跟踪论证成功后的用户接入互联网的路由如图3所示。

图3　路由跟踪图

从图3可以看出，实现了认证成功后的移动用户从移动公网出口（上文中配置的移动出口的IP地址为211.141.x.x）接入互联网的效果。电信和联通用户认证接入的实现方式与移动相同，这里不再赘述。

为了尽可能地提高网络访问的安全性和保证网络访问正常，系统在每个出口链路均配置有监控，当某一出口链路出现故障时，就会使该路由失效，流量自动转移至其他接口。

3　结束语

在高校与多运营商共建学生公寓网络的前提下，基于扁平化网络架构的特点，通过BRAS设备、Radius服务器以及出口防火墙等的协同工作，有效地实现了多网络出口的流量按策略转发。在办公出口方面，根据访问的目的地址，在已有的三个出口之间选择最优的流量转发出口；在学生公寓出口方面，根据学生公寓网络用户所属运营商的不同，经由各自的公网出口进行流量转发。

处理校园网多出口问题的方式很多，本文根据滁州学院的实际情况提出了一种实践方案，对其他高校校园网的建设有一定的借鉴作用。

［1］周忠华.有线无线统一认证的校园网扁平化设计［J］.现代计算机（专业版），2014（9）：66-68.

［2］李世朋.新一代校园网架构:集中化智能简单化边缘［J］.中国教育网络，2015（1）：50-51.

［3］张涛，王付强.VMAN技术在学生宿舍园区网扁平化改造中的应用［J］.新乡学院学报（自然科学版），2012（6）：532-534.

［4］张代华，陈宓宓，章翔飞，等.基于扁平化和精细化管理的校园网基础平台建设［J］.软件，2014（8）：59-62.

【责任编辑梅欣丽】

Implementation of Multi-outlet Strategy on Campus Network under Multi-operators Cooperative Mode

QI Hui，YU Chunyan
（School of Computer and Information Engineering，Chuzhou University，Chuzhou 239000，China）

To solve the multi-outlet problems occurring in the process of multi-operators cooperation，the study was done by means of centralized-control and sophisticated management of flat network.Through collaboration between the BRAS，Radius server and network firewall，the study achieved network traffic forwarding by demand in the multi-outlet situation.The campus network operation has achieved the expected results.

multi-operators cooperation；multi-outlet；flat network

TP393.1

A

2095-7726（2016）03-0025-04

2015-11-10

滁州学院校级一般项目（2014KJ09）；安徽省校企合作实践教育基地项目（2012sjjd038）

祁辉（1984-），男，安徽凤阳人，助理实验师，硕士，研究方向：计算机网络技术和信息化教育。