论文部分内容阅读
摘 要:本文通过对网络架构和用户认证技术的研究,结合实际信息化建设项目,完成校园网网络架构的升级改造,搭建多电信级运营商接入平台,调整校园网用户认证方式,完善多运营商接入校园网的服务协作机制,实现校园网有线无线接入的统一Web Portal认证,学生用户可以自主选择运营商访问互联网。
关键词:网络架构扁平化,Web Portal认证,多运营商接入服务机制
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2017)19-0091-03
在高校,校园网的广域网接入服务,大多数由学校通过公开招标,或直接与电信级运营商签订包含广域网接入服务在内的一揽子合作协议的方式确定,一旦确定运营商,在一个合同周期内几乎不可能再进行更换。此外,由于运营商为了保护既得利益,在与学校签订服务协议时往往会列出一些排他条款,对校内用户,尤其是学生用户来说,基本上没有自主选择运营商的可能,学校对一些服务条款上的调整也显得相对被动。
一、校园网原基本情况和存在的主要问题
我校在校生人数万余名,近90%学生开通宿舍网络,高峰时段在线人数超8千用户。2015年以前,校园网采用传统的三层网络构建模式,即核心—汇聚—接入的三层架构,虽然其端口密集和数据交换性能等优势在一段时期内完全符合校园网建设的需求。随着校园网用户增加,承载业务多样化,以及园区网技术的不断发展,原有三层结构运行方式也呈现出许多不尽如人意的地方,如:控制点多且分散、各层设备功能和性能利用不合理、无法实现VLAN的更加细分和隔离等矛盾越来越凸显。
学生用户在宿舍区一直通过单独一家电信级运营商的广域网线路访问外网,采用基于接入层交换机的802.1X认证通过有线方式接入校园网,每用户只能一台设备接入;开户学生用户在校内WiFi覆盖区域,可使用移动终端通过“Web Portal”认证后访问外网。
802.1X认证是在边缘的接入层交换机上实现,由此带来了大量接入层交换机管理维护的问题,特别是在遇到内网攻击时,接入层交换机很容易出现问题而导致断网;此外,上网认证需要安装专用客户端软件,学生使用的计算机型号、配置和安装的操作系统各异,操作计算机的能力也有所不同,日常维护量较大,通常需要维护的时间往往集中在下课之后,阶段时间内需要安排较多网管人员进行维护,时常出现应接不暇的状况。
与有线网认证一样,802.1X兼容性的问题在无线网络中同样存在,特别是由于移动终端设备厂家、类型与架构的不同,设备型号成千上万,针对这些移动设备,网络设备厂家无法提供满足所有设备的认证客户端,会有许多移动设备无法通过802.1X认证接入网络,因此学校一般会采用“Web Portal”认证作为无线局域网的接入认证。而在传统三层网络环境中的“Web Portal”认证,终端设备在请求接入网络且还未完成认证之前,会向网络大量发送Http请求报文做链接尝试,而这些报文都会都被接入交换机重定向到Portal服务器,最终服务器往往因无法正常收敛报文而宕机,这就是所谓的“认证噪声”,它会使Portal服务器长期处于高负荷状态之下,造成认证页面在移动端弹出缓慢或失去响应等现象,影响上网感受,甚至造成认证失败。
上述问题随着校园网规模和用户数的逐步扩大,多业务多应用的叠加,多运营商接入和用户个性化需求的增加,将显得越来越突出,最终导致校园网整體的稳定性、可靠性降低,管理维护压力和成本越来越大。
二、网络优化改造技术实施方案的探索与实践
结合原有校园网络的实际使用情况和存在的问题,通过对网络架构、广域网多运营商接入、网络用户认证等方面的技术研究,制定出相应的技术实施方案,并依托实际的信息化建设项目实践,完成了对校园网网络架构的升级改造和相应认证方式的调整。
1.网络架构方面
针对三层架构校园网中存在的这些问题,就目前技术发展和实际使用案例来看,可以通过对网络架构的扁平化来解决。所谓扁平化网络架构,是指采用QinQ 或SuperVlan技術,根据网络中设备所承担的功能进行划分,将网络分为业务控制层和宽带接入层。宽带接入层由原三层架构中的汇聚和接入层设备构成,仅提供基本的用户带宽接入功能和相互之间的VLAN二层隔离;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
按照扁平化网络架构思路,本次校园网升级改造项目中,通过购置两台扁平化核心交换机与一台高性能多端口核心路由器组成整个网络的核心,构建成整个校园网络互联的业务控制核心层,原三层架构中的汇聚和接入层设备构成宽带接入层,实现原有三层网络改造成扁平化架构,同时在核心旁挂一套防代理盒子对接入的用户进行防代理检测。如图1所示,扁平化改造后的网络拓扑结构示意图。
扁平化核心交换机部署后,将原来分布在接入设备上的各项功能和策略上收至核心交换机,由核心交换机完成,全网用户统一网关移至核心设备,认证管理同样上收到核心设备,原有接入网的接入、汇聚交换机只负责进行各种数据的转发。
作为全校核心的扁平化核心交换机,需要重点考虑安全性和可靠性,因此,出于安全设计,使用虚拟化技术将一台物理设备虚拟化多台逻辑设备,实现学生、教师、办公业务网数据独立转发;而在可靠性设计方面,将两台物理设备虚拟化为一台设备,其中任何一台出现故障用户数据快速切换另外一台上,以保证业务的连续性。
高性能路由器部署在出口区域边界,做策略路由,搭建多运营商接入平台,支持多运营商链路万兆线路接入,并通过与认证系统联动实现流量分类认证、计费和审计日志功能,实现学生接入用户自主选择运营商以及各类宽带套餐服务,开放学生用户有线或无线接入方式的自由选择。
防代理设备能够对接入的用户进行防代理检测,保证用户实名制上网,是保障网络安全、避免违规信息发布的有效手段之一。 2.认证方式的调整
针对802.1X认证系统存在用户配置和使用方面的不足,本次网络改造的一个重点工作就是将全网用户的有线、无线认证方式调整为统一的“Web Portal”认证,这种认证方式除了具有与业务密切相关,容易开展增值业务,尤其是仅需要使用浏览器而不需要安装专门的客户端软件,使用非常方便等特点之外,一些在三层架构下存在的不足,经过网络架构扁平化改造后,相关问题也能够得到解决,比如,采用网络扁平化后的校园网,所有功能与认证业务均上收至核心交换机,因此,利用核心交换机强大的处理性能,采取分布式过滤、阶段放行及服务器降噪等技术,过滤掉除认证请求以外的其余大部分无用Http报文,只放行认证报文至Portal服务器,实现了对服务器的降噪功能,提高认证响应速度的同时也保证了认证服务的持续稳定。另外,由于对接入设备兼容性要求也大大降低,也为在接入设备选型中带来更大的自由度。
3.多广域网链路智能选择设计
认证系统能与出口路由器智能联动,引导用户强制到Portal服务器,Portal服务器向用户终端推送Web认证页面,如图2所示,用户认证界面截图。在Web页面具备下拉框,用户可选择需要接入的运营商,输入校园网帐号,认证系统联动出口路由器设备,将该用户的属性下发,路由器根据帐号属性引导向不同的运营商链路,然后在运营商端进行第二次认证;用户下线后,认证系统下发指令给路由器,路由器清空用户属性,下一次用户上线后重复上面动作,这样可实现用户基于不同运营商链路的出口选择,学生可选择不同运营商的帐号。如图3所示,为学生接入校园网认证过程示意图。
4.电信级运营商接入服务合作模式改进
广域网接入平台建立起来后,由于出口高端路由器拥有更加丰富的广域网接口,可以实现与多家电信级运營商的接入服务,本着既开放、自主,又能有效监管的思路,与电信级运营商接入服务合作模式也进行了相应调整,具体情况如下:
制定运营商准入机制,接入运营商需免费提供一定额度的广域网带宽供学校教学办公网使用,对每学生用户保证提供基本网络带宽(4M或6M),不允许有其他捆绑业务,这部分网络资费,严格按照政府财政部门关于学生在校内开通校园网的收费标准进行收取。同时允许运营商提供如更大带宽的增值服务,这部分服务完全由学生自愿选择。
学生用户可以根据上网感受,自主选择运营商服务,根据自身情况和应用需求决定是否选择增值服务;此外,每个用户的一个运营商账号就能实现在宿舍通过有线或无线方式接入访问外网,使用该账号也能够用智能移动设备在校内无线WiFi信号覆盖区域访问外网。
在多运营商接入模式下,由于学生用户的外网出口是使用专用的广域网线路,运营商都会主动根据自己学生用户数量以及配置的带宽总量,动态调整学生出口带宽,让学生用户得到更好的上网体验,以赢得更多学生用户数,获取更高的经济效益。
三、实施效果总结
网络改造成扁平化架构后,增强了校园网核心交换机的资源利用率,弱化了整个网络运行对接入、汇聚设备的依赖。其优势十分明显,如:网络中由能力最强、功能最丰富的核心设备提供集中的业务控制和管理,有利于功能和业务的部署,确保了业务和功能的高效性和高可靠性;原三层架构中数量众多的汇聚/接入设备在扁平化架构中只是提供了二层透传和VLAN隔离等基本功能,使网络的可靠性和稳定性大为提高,也大大降低网络的运维成本。对于今后的业务、功能扩展仅涉及到核心层设备,只需要考虑核心层设备是否能够支持这些业务特性即可,对于宽带接入层设备,其兼容性要求降低,仅需要考虑端口的扩充和上行带宽的增加,因此,在购置接入设备选型方面也增加了许多灵活度。
实现有线、无线接入校园网统一“Web Portal”认证后,降低用户接入网络的技术门槛,解决安装认证软件带来的各种兼容性问题;学生用户可以自主选择电信级运营商,能够使用统一账号在校园内所有WiFi覆盖区域使用智能移动终端访问网络,每一账号允许一台PC机通过有线方式和一部移动终端通过无线方式同时访问外网,进一步提升用户的上网感受。
通过搭建一个开放的接入平台,创新性地制定了相应的接入机制,按照一定规范要求允许多家运营商接入校园网,进一步改善了学校教学、办公和校园生活对广域网带宽的需要。运营商也一改在一些高校采取的拼价格、误导消费,而对已有用户服务却不到位的现象,为了争取更多学生用户而把主要精力放在不断提升自身服务和线路质量上,这不仅为运营商营造了一个良好服务于校园的商业环境,同时学校在今后的网络改造和服务上也明显占据主动。
参考文献:
[1]李白燕,郑州.基于扁平化架构精细化管理校园网络方式探究[J].中国教育信息化,2016(17):48-51.
[2]何建新,張松明,王思琪,周文芳.校园网络升级改造方案设计与实现[J].计算机时代,2016(2):56-60.
[3]祁辉,于春燕.多运营商合作模式下的校园网多出口策略[J].新乡学院学报,2016(3):25-28.
[4]向小平.报业有线无线一体化网络的设计与实践[J].信息技术与信息化,2016(5):85-87.
[5]高猗男.新一代高校校园网改造研究[J].中国教育信息化,2017(1):45-48.
[6]文剑平.大学校园网改造的网络规划与设计研究[J].网络安全技术与应用,2017(3):116 118.
关键词:网络架构扁平化,Web Portal认证,多运营商接入服务机制
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2017)19-0091-03
在高校,校园网的广域网接入服务,大多数由学校通过公开招标,或直接与电信级运营商签订包含广域网接入服务在内的一揽子合作协议的方式确定,一旦确定运营商,在一个合同周期内几乎不可能再进行更换。此外,由于运营商为了保护既得利益,在与学校签订服务协议时往往会列出一些排他条款,对校内用户,尤其是学生用户来说,基本上没有自主选择运营商的可能,学校对一些服务条款上的调整也显得相对被动。
一、校园网原基本情况和存在的主要问题
我校在校生人数万余名,近90%学生开通宿舍网络,高峰时段在线人数超8千用户。2015年以前,校园网采用传统的三层网络构建模式,即核心—汇聚—接入的三层架构,虽然其端口密集和数据交换性能等优势在一段时期内完全符合校园网建设的需求。随着校园网用户增加,承载业务多样化,以及园区网技术的不断发展,原有三层结构运行方式也呈现出许多不尽如人意的地方,如:控制点多且分散、各层设备功能和性能利用不合理、无法实现VLAN的更加细分和隔离等矛盾越来越凸显。
学生用户在宿舍区一直通过单独一家电信级运营商的广域网线路访问外网,采用基于接入层交换机的802.1X认证通过有线方式接入校园网,每用户只能一台设备接入;开户学生用户在校内WiFi覆盖区域,可使用移动终端通过“Web Portal”认证后访问外网。
802.1X认证是在边缘的接入层交换机上实现,由此带来了大量接入层交换机管理维护的问题,特别是在遇到内网攻击时,接入层交换机很容易出现问题而导致断网;此外,上网认证需要安装专用客户端软件,学生使用的计算机型号、配置和安装的操作系统各异,操作计算机的能力也有所不同,日常维护量较大,通常需要维护的时间往往集中在下课之后,阶段时间内需要安排较多网管人员进行维护,时常出现应接不暇的状况。
与有线网认证一样,802.1X兼容性的问题在无线网络中同样存在,特别是由于移动终端设备厂家、类型与架构的不同,设备型号成千上万,针对这些移动设备,网络设备厂家无法提供满足所有设备的认证客户端,会有许多移动设备无法通过802.1X认证接入网络,因此学校一般会采用“Web Portal”认证作为无线局域网的接入认证。而在传统三层网络环境中的“Web Portal”认证,终端设备在请求接入网络且还未完成认证之前,会向网络大量发送Http请求报文做链接尝试,而这些报文都会都被接入交换机重定向到Portal服务器,最终服务器往往因无法正常收敛报文而宕机,这就是所谓的“认证噪声”,它会使Portal服务器长期处于高负荷状态之下,造成认证页面在移动端弹出缓慢或失去响应等现象,影响上网感受,甚至造成认证失败。
上述问题随着校园网规模和用户数的逐步扩大,多业务多应用的叠加,多运营商接入和用户个性化需求的增加,将显得越来越突出,最终导致校园网整體的稳定性、可靠性降低,管理维护压力和成本越来越大。
二、网络优化改造技术实施方案的探索与实践
结合原有校园网络的实际使用情况和存在的问题,通过对网络架构、广域网多运营商接入、网络用户认证等方面的技术研究,制定出相应的技术实施方案,并依托实际的信息化建设项目实践,完成了对校园网网络架构的升级改造和相应认证方式的调整。
1.网络架构方面
针对三层架构校园网中存在的这些问题,就目前技术发展和实际使用案例来看,可以通过对网络架构的扁平化来解决。所谓扁平化网络架构,是指采用QinQ 或SuperVlan技術,根据网络中设备所承担的功能进行划分,将网络分为业务控制层和宽带接入层。宽带接入层由原三层架构中的汇聚和接入层设备构成,仅提供基本的用户带宽接入功能和相互之间的VLAN二层隔离;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
按照扁平化网络架构思路,本次校园网升级改造项目中,通过购置两台扁平化核心交换机与一台高性能多端口核心路由器组成整个网络的核心,构建成整个校园网络互联的业务控制核心层,原三层架构中的汇聚和接入层设备构成宽带接入层,实现原有三层网络改造成扁平化架构,同时在核心旁挂一套防代理盒子对接入的用户进行防代理检测。如图1所示,扁平化改造后的网络拓扑结构示意图。
扁平化核心交换机部署后,将原来分布在接入设备上的各项功能和策略上收至核心交换机,由核心交换机完成,全网用户统一网关移至核心设备,认证管理同样上收到核心设备,原有接入网的接入、汇聚交换机只负责进行各种数据的转发。
作为全校核心的扁平化核心交换机,需要重点考虑安全性和可靠性,因此,出于安全设计,使用虚拟化技术将一台物理设备虚拟化多台逻辑设备,实现学生、教师、办公业务网数据独立转发;而在可靠性设计方面,将两台物理设备虚拟化为一台设备,其中任何一台出现故障用户数据快速切换另外一台上,以保证业务的连续性。
高性能路由器部署在出口区域边界,做策略路由,搭建多运营商接入平台,支持多运营商链路万兆线路接入,并通过与认证系统联动实现流量分类认证、计费和审计日志功能,实现学生接入用户自主选择运营商以及各类宽带套餐服务,开放学生用户有线或无线接入方式的自由选择。
防代理设备能够对接入的用户进行防代理检测,保证用户实名制上网,是保障网络安全、避免违规信息发布的有效手段之一。 2.认证方式的调整
针对802.1X认证系统存在用户配置和使用方面的不足,本次网络改造的一个重点工作就是将全网用户的有线、无线认证方式调整为统一的“Web Portal”认证,这种认证方式除了具有与业务密切相关,容易开展增值业务,尤其是仅需要使用浏览器而不需要安装专门的客户端软件,使用非常方便等特点之外,一些在三层架构下存在的不足,经过网络架构扁平化改造后,相关问题也能够得到解决,比如,采用网络扁平化后的校园网,所有功能与认证业务均上收至核心交换机,因此,利用核心交换机强大的处理性能,采取分布式过滤、阶段放行及服务器降噪等技术,过滤掉除认证请求以外的其余大部分无用Http报文,只放行认证报文至Portal服务器,实现了对服务器的降噪功能,提高认证响应速度的同时也保证了认证服务的持续稳定。另外,由于对接入设备兼容性要求也大大降低,也为在接入设备选型中带来更大的自由度。
3.多广域网链路智能选择设计
认证系统能与出口路由器智能联动,引导用户强制到Portal服务器,Portal服务器向用户终端推送Web认证页面,如图2所示,用户认证界面截图。在Web页面具备下拉框,用户可选择需要接入的运营商,输入校园网帐号,认证系统联动出口路由器设备,将该用户的属性下发,路由器根据帐号属性引导向不同的运营商链路,然后在运营商端进行第二次认证;用户下线后,认证系统下发指令给路由器,路由器清空用户属性,下一次用户上线后重复上面动作,这样可实现用户基于不同运营商链路的出口选择,学生可选择不同运营商的帐号。如图3所示,为学生接入校园网认证过程示意图。
4.电信级运营商接入服务合作模式改进
广域网接入平台建立起来后,由于出口高端路由器拥有更加丰富的广域网接口,可以实现与多家电信级运營商的接入服务,本着既开放、自主,又能有效监管的思路,与电信级运营商接入服务合作模式也进行了相应调整,具体情况如下:
制定运营商准入机制,接入运营商需免费提供一定额度的广域网带宽供学校教学办公网使用,对每学生用户保证提供基本网络带宽(4M或6M),不允许有其他捆绑业务,这部分网络资费,严格按照政府财政部门关于学生在校内开通校园网的收费标准进行收取。同时允许运营商提供如更大带宽的增值服务,这部分服务完全由学生自愿选择。
学生用户可以根据上网感受,自主选择运营商服务,根据自身情况和应用需求决定是否选择增值服务;此外,每个用户的一个运营商账号就能实现在宿舍通过有线或无线方式接入访问外网,使用该账号也能够用智能移动设备在校内无线WiFi信号覆盖区域访问外网。
在多运营商接入模式下,由于学生用户的外网出口是使用专用的广域网线路,运营商都会主动根据自己学生用户数量以及配置的带宽总量,动态调整学生出口带宽,让学生用户得到更好的上网体验,以赢得更多学生用户数,获取更高的经济效益。
三、实施效果总结
网络改造成扁平化架构后,增强了校园网核心交换机的资源利用率,弱化了整个网络运行对接入、汇聚设备的依赖。其优势十分明显,如:网络中由能力最强、功能最丰富的核心设备提供集中的业务控制和管理,有利于功能和业务的部署,确保了业务和功能的高效性和高可靠性;原三层架构中数量众多的汇聚/接入设备在扁平化架构中只是提供了二层透传和VLAN隔离等基本功能,使网络的可靠性和稳定性大为提高,也大大降低网络的运维成本。对于今后的业务、功能扩展仅涉及到核心层设备,只需要考虑核心层设备是否能够支持这些业务特性即可,对于宽带接入层设备,其兼容性要求降低,仅需要考虑端口的扩充和上行带宽的增加,因此,在购置接入设备选型方面也增加了许多灵活度。
实现有线、无线接入校园网统一“Web Portal”认证后,降低用户接入网络的技术门槛,解决安装认证软件带来的各种兼容性问题;学生用户可以自主选择电信级运营商,能够使用统一账号在校园内所有WiFi覆盖区域使用智能移动终端访问网络,每一账号允许一台PC机通过有线方式和一部移动终端通过无线方式同时访问外网,进一步提升用户的上网感受。
通过搭建一个开放的接入平台,创新性地制定了相应的接入机制,按照一定规范要求允许多家运营商接入校园网,进一步改善了学校教学、办公和校园生活对广域网带宽的需要。运营商也一改在一些高校采取的拼价格、误导消费,而对已有用户服务却不到位的现象,为了争取更多学生用户而把主要精力放在不断提升自身服务和线路质量上,这不仅为运营商营造了一个良好服务于校园的商业环境,同时学校在今后的网络改造和服务上也明显占据主动。
参考文献:
[1]李白燕,郑州.基于扁平化架构精细化管理校园网络方式探究[J].中国教育信息化,2016(17):48-51.
[2]何建新,張松明,王思琪,周文芳.校园网络升级改造方案设计与实现[J].计算机时代,2016(2):56-60.
[3]祁辉,于春燕.多运营商合作模式下的校园网多出口策略[J].新乡学院学报,2016(3):25-28.
[4]向小平.报业有线无线一体化网络的设计与实践[J].信息技术与信息化,2016(5):85-87.
[5]高猗男.新一代高校校园网改造研究[J].中国教育信息化,2017(1):45-48.
[6]文剑平.大学校园网改造的网络规划与设计研究[J].网络安全技术与应用,2017(3):116 118.