校园网改造与多运营商接入机制的探索与实践

来源 :中国教育信息化·高教职教 | 被引量 : 0次 | 上传用户:williamchu2008
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘 要:本文通过对网络架构和用户认证技术的研究,结合实际信息化建设项目,完成校园网网络架构的升级改造,搭建多电信级运营商接入平台,调整校园网用户认证方式,完善多运营商接入校园网的服务协作机制,实现校园网有线无线接入的统一Web Portal认证,学生用户可以自主选择运营商访问互联网。
  关键词:网络架构扁平化,Web Portal认证,多运营商接入服务机制
  中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2017)19-0091-03
  在高校,校园网的广域网接入服务,大多数由学校通过公开招标,或直接与电信级运营商签订包含广域网接入服务在内的一揽子合作协议的方式确定,一旦确定运营商,在一个合同周期内几乎不可能再进行更换。此外,由于运营商为了保护既得利益,在与学校签订服务协议时往往会列出一些排他条款,对校内用户,尤其是学生用户来说,基本上没有自主选择运营商的可能,学校对一些服务条款上的调整也显得相对被动。
  一、校园网原基本情况和存在的主要问题
  我校在校生人数万余名,近90%学生开通宿舍网络,高峰时段在线人数超8千用户。2015年以前,校园网采用传统的三层网络构建模式,即核心—汇聚—接入的三层架构,虽然其端口密集和数据交换性能等优势在一段时期内完全符合校园网建设的需求。随着校园网用户增加,承载业务多样化,以及园区网技术的不断发展,原有三层结构运行方式也呈现出许多不尽如人意的地方,如:控制点多且分散、各层设备功能和性能利用不合理、无法实现VLAN的更加细分和隔离等矛盾越来越凸显。
  学生用户在宿舍区一直通过单独一家电信级运营商的广域网线路访问外网,采用基于接入层交换机的802.1X认证通过有线方式接入校园网,每用户只能一台设备接入;开户学生用户在校内WiFi覆盖区域,可使用移动终端通过“Web Portal”认证后访问外网。
  802.1X认证是在边缘的接入层交换机上实现,由此带来了大量接入层交换机管理维护的问题,特别是在遇到内网攻击时,接入层交换机很容易出现问题而导致断网;此外,上网认证需要安装专用客户端软件,学生使用的计算机型号、配置和安装的操作系统各异,操作计算机的能力也有所不同,日常维护量较大,通常需要维护的时间往往集中在下课之后,阶段时间内需要安排较多网管人员进行维护,时常出现应接不暇的状况。
  与有线网认证一样,802.1X兼容性的问题在无线网络中同样存在,特别是由于移动终端设备厂家、类型与架构的不同,设备型号成千上万,针对这些移动设备,网络设备厂家无法提供满足所有设备的认证客户端,会有许多移动设备无法通过802.1X认证接入网络,因此学校一般会采用“Web Portal”认证作为无线局域网的接入认证。而在传统三层网络环境中的“Web Portal”认证,终端设备在请求接入网络且还未完成认证之前,会向网络大量发送Http请求报文做链接尝试,而这些报文都会都被接入交换机重定向到Portal服务器,最终服务器往往因无法正常收敛报文而宕机,这就是所谓的“认证噪声”,它会使Portal服务器长期处于高负荷状态之下,造成认证页面在移动端弹出缓慢或失去响应等现象,影响上网感受,甚至造成认证失败。
  上述问题随着校园网规模和用户数的逐步扩大,多业务多应用的叠加,多运营商接入和用户个性化需求的增加,将显得越来越突出,最终导致校园网整體的稳定性、可靠性降低,管理维护压力和成本越来越大。
  二、网络优化改造技术实施方案的探索与实践
  结合原有校园网络的实际使用情况和存在的问题,通过对网络架构、广域网多运营商接入、网络用户认证等方面的技术研究,制定出相应的技术实施方案,并依托实际的信息化建设项目实践,完成了对校园网网络架构的升级改造和相应认证方式的调整。
  1.网络架构方面
  针对三层架构校园网中存在的这些问题,就目前技术发展和实际使用案例来看,可以通过对网络架构的扁平化来解决。所谓扁平化网络架构,是指采用QinQ 或SuperVlan技術,根据网络中设备所承担的功能进行划分,将网络分为业务控制层和宽带接入层。宽带接入层由原三层架构中的汇聚和接入层设备构成,仅提供基本的用户带宽接入功能和相互之间的VLAN二层隔离;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
  按照扁平化网络架构思路,本次校园网升级改造项目中,通过购置两台扁平化核心交换机与一台高性能多端口核心路由器组成整个网络的核心,构建成整个校园网络互联的业务控制核心层,原三层架构中的汇聚和接入层设备构成宽带接入层,实现原有三层网络改造成扁平化架构,同时在核心旁挂一套防代理盒子对接入的用户进行防代理检测。如图1所示,扁平化改造后的网络拓扑结构示意图。
  扁平化核心交换机部署后,将原来分布在接入设备上的各项功能和策略上收至核心交换机,由核心交换机完成,全网用户统一网关移至核心设备,认证管理同样上收到核心设备,原有接入网的接入、汇聚交换机只负责进行各种数据的转发。
  作为全校核心的扁平化核心交换机,需要重点考虑安全性和可靠性,因此,出于安全设计,使用虚拟化技术将一台物理设备虚拟化多台逻辑设备,实现学生、教师、办公业务网数据独立转发;而在可靠性设计方面,将两台物理设备虚拟化为一台设备,其中任何一台出现故障用户数据快速切换另外一台上,以保证业务的连续性。
  高性能路由器部署在出口区域边界,做策略路由,搭建多运营商接入平台,支持多运营商链路万兆线路接入,并通过与认证系统联动实现流量分类认证、计费和审计日志功能,实现学生接入用户自主选择运营商以及各类宽带套餐服务,开放学生用户有线或无线接入方式的自由选择。
  防代理设备能够对接入的用户进行防代理检测,保证用户实名制上网,是保障网络安全、避免违规信息发布的有效手段之一。   2.认证方式的调整
  针对802.1X认证系统存在用户配置和使用方面的不足,本次网络改造的一个重点工作就是将全网用户的有线、无线认证方式调整为统一的“Web Portal”认证,这种认证方式除了具有与业务密切相关,容易开展增值业务,尤其是仅需要使用浏览器而不需要安装专门的客户端软件,使用非常方便等特点之外,一些在三层架构下存在的不足,经过网络架构扁平化改造后,相关问题也能够得到解决,比如,采用网络扁平化后的校园网,所有功能与认证业务均上收至核心交换机,因此,利用核心交换机强大的处理性能,采取分布式过滤、阶段放行及服务器降噪等技术,过滤掉除认证请求以外的其余大部分无用Http报文,只放行认证报文至Portal服务器,实现了对服务器的降噪功能,提高认证响应速度的同时也保证了认证服务的持续稳定。另外,由于对接入设备兼容性要求也大大降低,也为在接入设备选型中带来更大的自由度。
  3.多广域网链路智能选择设计
  认证系统能与出口路由器智能联动,引导用户强制到Portal服务器,Portal服务器向用户终端推送Web认证页面,如图2所示,用户认证界面截图。在Web页面具备下拉框,用户可选择需要接入的运营商,输入校园网帐号,认证系统联动出口路由器设备,将该用户的属性下发,路由器根据帐号属性引导向不同的运营商链路,然后在运营商端进行第二次认证;用户下线后,认证系统下发指令给路由器,路由器清空用户属性,下一次用户上线后重复上面动作,这样可实现用户基于不同运营商链路的出口选择,学生可选择不同运营商的帐号。如图3所示,为学生接入校园网认证过程示意图。
  4.电信级运营商接入服务合作模式改进
  广域网接入平台建立起来后,由于出口高端路由器拥有更加丰富的广域网接口,可以实现与多家电信级运營商的接入服务,本着既开放、自主,又能有效监管的思路,与电信级运营商接入服务合作模式也进行了相应调整,具体情况如下:
  制定运营商准入机制,接入运营商需免费提供一定额度的广域网带宽供学校教学办公网使用,对每学生用户保证提供基本网络带宽(4M或6M),不允许有其他捆绑业务,这部分网络资费,严格按照政府财政部门关于学生在校内开通校园网的收费标准进行收取。同时允许运营商提供如更大带宽的增值服务,这部分服务完全由学生自愿选择。
  学生用户可以根据上网感受,自主选择运营商服务,根据自身情况和应用需求决定是否选择增值服务;此外,每个用户的一个运营商账号就能实现在宿舍通过有线或无线方式接入访问外网,使用该账号也能够用智能移动设备在校内无线WiFi信号覆盖区域访问外网。
  在多运营商接入模式下,由于学生用户的外网出口是使用专用的广域网线路,运营商都会主动根据自己学生用户数量以及配置的带宽总量,动态调整学生出口带宽,让学生用户得到更好的上网体验,以赢得更多学生用户数,获取更高的经济效益。
  三、实施效果总结
  网络改造成扁平化架构后,增强了校园网核心交换机的资源利用率,弱化了整个网络运行对接入、汇聚设备的依赖。其优势十分明显,如:网络中由能力最强、功能最丰富的核心设备提供集中的业务控制和管理,有利于功能和业务的部署,确保了业务和功能的高效性和高可靠性;原三层架构中数量众多的汇聚/接入设备在扁平化架构中只是提供了二层透传和VLAN隔离等基本功能,使网络的可靠性和稳定性大为提高,也大大降低网络的运维成本。对于今后的业务、功能扩展仅涉及到核心层设备,只需要考虑核心层设备是否能够支持这些业务特性即可,对于宽带接入层设备,其兼容性要求降低,仅需要考虑端口的扩充和上行带宽的增加,因此,在购置接入设备选型方面也增加了许多灵活度。
  实现有线、无线接入校园网统一“Web Portal”认证后,降低用户接入网络的技术门槛,解决安装认证软件带来的各种兼容性问题;学生用户可以自主选择电信级运营商,能够使用统一账号在校园内所有WiFi覆盖区域使用智能移动终端访问网络,每一账号允许一台PC机通过有线方式和一部移动终端通过无线方式同时访问外网,进一步提升用户的上网感受。
  通过搭建一个开放的接入平台,创新性地制定了相应的接入机制,按照一定规范要求允许多家运营商接入校园网,进一步改善了学校教学、办公和校园生活对广域网带宽的需要。运营商也一改在一些高校采取的拼价格、误导消费,而对已有用户服务却不到位的现象,为了争取更多学生用户而把主要精力放在不断提升自身服务和线路质量上,这不仅为运营商营造了一个良好服务于校园的商业环境,同时学校在今后的网络改造和服务上也明显占据主动。
  参考文献:
  [1]李白燕,郑州.基于扁平化架构精细化管理校园网络方式探究[J].中国教育信息化,2016(17):48-51.
  [2]何建新,張松明,王思琪,周文芳.校园网络升级改造方案设计与实现[J].计算机时代,2016(2):56-60.
  [3]祁辉,于春燕.多运营商合作模式下的校园网多出口策略[J].新乡学院学报,2016(3):25-28.
  [4]向小平.报业有线无线一体化网络的设计与实践[J].信息技术与信息化,2016(5):85-87.
  [5]高猗男.新一代高校校园网改造研究[J].中国教育信息化,2017(1):45-48.
  [6]文剑平.大学校园网改造的网络规划与设计研究[J].网络安全技术与应用,2017(3):116 118.
其他文献
摘 要:本文首先阐述了传统高等教学模式中一直存在的弊端,然后分析了MOOC的教学模式特点与其发展中遇到的问题,最后将两种教学模式进行有机地整合,优势互补,实施混合教学模式,并简单介绍了如何将两种教学模式进行融合、混合教学模式的优点以及实施混合教学模式时需要注意的地方。以期为高等教育课程教学改革提供一条新的思路。  关键词:MOOC;高等教育;教学模式;混合教学  中图分类号:G434  文献标志码
摘 要:为了促进教育教学观念转变,引领教学内容和教学方法的改革,推动课程教学资源通过现代信息技术手段共建共享,提高人才培养质量,国内各高校纷纷开始了精品资源共享课的大力建设。本文以我校计算机组成原理课程为例,展示了省级资源共享课平台的建设情况,包括需求分析、设计方案以及ASP.NET MVC架构下的开发实现,对其他省级和国家级资源共享课平台的建设具有很好的参考和借鉴价值。  关键词:精品资源共享课
摘 要:在我国基础教育信息化经费投入快速增长的同时,很多问题也逐渐显现出来。本文从经济和财政的视角对基础教育信息化经费投入进行了分析。研究发现,我国基础教育信息化经费投入的充足程度不断提高,但是经费投入的效率仍然较低,而且教育信息化的公平程度受到教育财政体制的约束。本研究建议通过顶层设计和基层创新相结合、改革教育信息化经费制度以及加强教师队伍人力资本建设的方式解决以上问题,以此推动基础教育信息化更
摘要:本文通过剖析大学知识资产管理的需求持续性,满足机构知识资产管理、机构知识传播和机构知识能力三个层面的目标,结合DSpace系统特征,与大学URP数字化校园建设集成,提出大学个性化知识资产管理系统的设计和实现。  关键词:DSpace;知识资产;大学URP数字化校园  中图分类号:TP315文献标识码:B文章编号:1673-8454(2012)15-0060-04  一、前言  高校图书馆承担
摘 要:区域教育管理信息化是国家教育管理信息化的有机组成部分,是实现教育现代化的必要内容。教育信息化已进入2.0时代,探索信息化时代的教育治理新模式是其一项重点工作,互联网、大数据等技术的快速发展对管理信息化提出了更高要求,区域教育管理信息化建设与应用工作面临着新任务和新挑战。本文立足焦作工作实际,阐述了合理布局地方教育管理信息系统相关内容;并对区域教育管理信息化应用与实践开展了有益探索和研究。 
《中国教育信息化》:不久前,中国电信集团教育信息化行业应用基地落户兰州,请介绍一下基地成立的宗旨是什么?作为运营单位,甘肃万维公司在教育信息化行业有哪些成功经验?  李忠:推进教育信息化建设,建立教育信息化应用基地,既是中国电信战略转型的目标之一,也是中国电信履行央企责任、推动社会发展的体现。这次成立教育行业信息化应用基地,目的就是通过建立市场化的创新机制,适应移动互联网时代服务的市场规则,满足教
本文献给大叔。大叔失踪多年。我爸吴刘振祥,小叔吴刘元祥,大叔吴刘祖祥,他们是我奶奶的吉祥三宝,更像是一只三足鼎,长久缺一足。  一一文外话  一  两个月前,我在泊富四楼费大厨吃饭。一个人。被个学生放鸽子。我来长沙十六年,学生晚我几年到,他先是在岳麓山下念大学,之后进入河西一家大型民企,中意重工,始终未挪窝,从车间工人干起,干到中层管理。他的外表,跟他内心一样执着,发型永远是下面削光,上面留一寸多
摘 要:教育技术国际论坛(International Forum on Educational Technology)是教育部高等学校教育技术专业教学指导分委员会主办的国际性学术会议,第十五届教育技术国际论坛(IFET2016)于2016年8月18-20日在东北师范大学召开。本文采用内容分析法与词频分析法对第十五届教育技术国际论坛的论文集中的140余篇文章按照主题内容进行梳理,以此探究教育技术目前
摘 要:Rui Wang等学者创造性地提出了智能GPA研究,发现了GPA和智能手机传感数据自动推断的一些行为之间有一些显著的关系。提出了一些新的自动检测方法来评估学生的学习和社会行为,包括聚会的情况和时间、学习时间和学习专注度。智能GPA研究深入分析了学习表现,并提出了每个学生数据流时间序列分析,创造性地使用行为斜率和行为断点来捕捉变化行为,以更好地了解成绩高和成绩低的学生之间的个人差异。此外,还
摘 要:通过文献对比研究和访谈,结合传统的课堂教学评价指标,筛选出了评价基于现代教育技术课程内容的案例教学效果指标,并聘请教育技术专家、学前教育专家各五名,对指标进行进一步的筛选和完善,将指标细化为一级指标体系和二级指标体系。为了确定各级指标的权重,利用德尔菲法请10位专家分别对各指标进行独立打分,然后采用变异系数法确定各指标的权重。  关键词:案例教学;评价指标;变异系数法  中图分类号:G42