尹海翔

（深圳信息职业技术学院信息中心，广东 深圳 518172）

一种基于认证系统的多运营商共网解决方案

尹海翔

（深圳信息职业技术学院信息中心，广东 深圳 518172）

本文分析了校园网的常见运营模式，并针对目前热衷的多运营商运营模式的缺点，提出了一种基于认证系统的运营商共网解决方案。该方案通过将认证系统的VLAN下发功能与出口路由器的源地址策略路由功能相结合，实现运营商在同一张网中和谐共处，消除了安全隐患，解决了访问内网资源的问题。

认证系统；策略路由；共用网络

随着网络技术的发展，访问互联网成为学生用户的刚性需求。部分经费充足的高校，早期往往独立建设校园网，自主运营，但后期逐渐分化为两类：引入运营商或者坚持学校运营[1]。部分经费或者人员相对紧张的高校，则往往引入运营商共同建设和运营。与学校运营相比，运营商的介入可降低学校的运营成本，减少对技术人员的需求，凭借其带宽的先天优势可为用户提供更优质的网络质量，因此成为目前的应用趋势。但若按目前普遍的做法，仅引入一家运营商，则会因为缺少竞争，导致用户选择性少、上网资费较高，服务质量难以保证等问题。

因此，引入多家运营商，既可为学生提供各具特色的资费套餐，满足不同学生的需求，又可通过竞争降低网络费用，提高服务质量。目前多运营商运营的模式包括以下两种：

（1）各自建网模式。各运营商均独自铺设自有网络线路，提供独立接入服务。但由于需建设基础网络，增加项目成本，因此上网资费普遍较高。新增加用户后运营商需穿墙打洞新增线路，影响建筑物美观。此外，由于各运营商网络相互独立，用户相互之间不便于互联，不能访问校园网内部资源，外部资源也必须通过互联网访问，访问速度不能得到保证；用户不能免费访问教育网。

（2）基于PPPoE协议[2]局部共网模式。运营商将BRAS与校园网连接，不需要额外建设网络，一定程度上克服了各自建网模式的缺点。但由于拨号后用户将获得外网IP地址，仍不能解决访问校园网资源及免费访问教育网的问题，且由于协议自身的限制运营商必须接入校园网内部使用局部校园网，导致学校网络设备暴露在公网上，带来一定的安全隐患。此外，由于PPPoE协议是透传的，接入层和汇聚层交换机无法识别运营商应用，无法对运营商流量作出有效控制，影响学校正常业务的运行[3]。

为此，本文提出一种基于认证系统的多运营商共网解决方案，既能正确区分并定向到用户选定的互联网出口，又不会在认证后将用户隔离出校园网，实现内部资源的充分利用。此外，将运营商网络出口置于出口路由器上，提高了网络安全系数，增强了网络流量管控能力。

1 基于认证系统的多运营商共网方案设计

为了充分利用学校现有网络基础以及应用系统资源，解决人员配备紧张、出口费用高昂等问题，结合学生对网络质量、服务水平要求高，对上网费用敏感的现状，深圳信息职业技术学院设计了多运营商共网解决方案，向多家运营商开放了学生宿舍区的校园网，实现不同运营商在同一张网上互不干扰的运营。该方案结合原有的华三认证系统，在无需改变原有网络架构，不增加任何网络设备、不改变用户使用习惯的情况下，完美解决了多运营商共网运营的技术难题。

1.1 解决方案架构

多运营商共网解决方案如图1所示，涵盖了5个主要组成部件，包括：核心交换机、接入交换机、出口路由器、认证系统及DHCP服务器。其中核心交换机作为连接的桥梁，与其他4个部件相连，形成完整的解决方案。

图1 多运营商共网解决方案架构Fig.1 Solution of network sharing for operators

（1）认证系统

网络准入控制的概念是思科公司在2003 年首先提出的，通过网络准入控制，确保网络中设备的安全系数达到一定程度后才允许接入指定网络，使网络安全系数大幅提高。在国内华三也推出了“终端准入控制（EAD，End user Admission Domination）”认证系统。现在安全认证系统分为两种类型，一种基于硬件设备，包括上述思科的NAC和华三的EAD，另一种基于软件实现，主要代表有微软的NAP和Symantec 的SEP[4]。

其中，华三EAD准入认证解决方案得到了广大用户的普遍认可。2008年12月，CCID赛迪顾问推出的《中国终端准入解决方案市场白皮书》中显示EAD已占据国内终端准入解决方案领域30.7%的销售份额、38.8%的终端部署份额，综合竞争力位列第一。截止2012年12月份，在现网中使用EAD的用户数突破300万。该认证系统可以很好地做到“入网即认证”，在用户接入的入口，进行精细的控制。系统除了支持基于用户的用户名和密码的身份认证之外，还支持用户所选定的域与获得的VLAN（Virtual Local Area Network）之间的关联。例如，用户选择“电信”域，将获得划分给电信用户的校内VLAN，其他域也将获得类似效果，这是本解决方案中的关键技术之一。

（2）接入交换机

接入交换机负责连接用户终端，如果想通过认证系统控制到交换机端口，决定用户能否接入校园网络，以及认证系统下发VLAN后能否应用到相应交换机端口，都需要在接入交换机中应用到802.1x协议或Portal技术。

802.1 x协议是一种基于端口的网络接入控制协议（port based network access control protocol）[5]。“基于端口的网络接入控制”是指针对接入交换机端口这一级别进行认证和控制，如果用户的设备能通过认证，就解除对该设备的控制；如果不能通过认证，则封锁该设备，相当于被断开物理连接[6]。认证系统通过802.1x协议与交换机配合，可以支持丰富的访问控制和VLAN授权信息下发功能，其中的VLAN授权信息下发功能是实现本方案所必需使用的技术。

Portal认证通常也称为Web认证，该技术使用时不需要安装客户端软件，且对组网设备要求不多，特别适合于无线网络以及公共场所的认证[7]。当用户需要使用网络时，须先物理接入网络，并使用浏览器访问任意站点。访问会被转向Portal认证页面。用户输入用户名和密码通过验证后即可访问网络。由接入交换机结合 Portal认证方式，可实现对网络用户的端点准入控制，由认证系统进行认证、计费以及准入策略控制和安全状态检测。

（3）DHCP服务器

DHCP（Dynamic Host Configuration Protocol）服务器[8,9]通常在大型的局域网络环境中应用，主要作用是集中的管理、分配IP地址，使网络环境中的PC动态的获得IP地址、网关地址、DNS服务器地址等信息。本方案中的DHCP服务器就是根据用户获得的VLAN，对照预先配置好的IP地址信息，通过DHCP协议将校园网内网IP地址及相应网关地址、对应DNS服务器地址等下发到用户PC。

（4）出口路由器

本解决方案中的出口路由器可以是具有策略路由功能的传统路由器，也可以是具有智能选路功能的新型路由器或者专业的负载均衡设备，主要是利用其基于源地址的策略路由功能实现网络出口选路。策略路由，是一种策略优先的数据包路由转发机制，常用的有源地址策略路由、目标地址策略路由等。其中源地址策略路由是根据用户获得的IP地址决定用户数据包的下一跳转发路由器。例如，若用户获得的是预置好的电信用户校园网内网IP地址，则将该用户的数据包转发至电信网络出口路由器。

此外，为了让用户在学生宿舍区免费使用教育网，可通过基于目标地址的策略路由功能，凡是以教育网IP地址段作为目标地址的数据包均转发至教育网出口路由器。

1.2 实现思路

学生用户先根据运营商提供的资费套餐，选择合适的运营商。在用户认证时，除输入用户名、密码外，在认证界面的选择框中人工选择预先选定的运营商。当用户通过认证后，认证系统给用户的接入交换机下发对应运营商出口的VLAN，用户根据所属VLAN分配对应IP地址，出口路由器根据IP地址确定出下一跳所转发的运营商路由器，以实现用户出口的分配、选择。这里以802.1x认证为例：

（1）用户认证前

在用户认证前，没有网络接入权限，不能访问网络资源。因为DHCP报文无法通过端口，用户甚至连IP地址都获取不到。

（2）用户认证后

用户PC1通过认证后，认证系统给其授权下发的VLAN是VLAN10，则PC1获取到的IP地址在VLAN10的IP地址段内；用户PC2通过认证后，认证系统给其授权下发的VLAN是VLAN20，则PC2获取到的IP地址在VLAN20的IP地址段内。出口路由器做策略，对不同IP的流量转发到相应的运营商出口。用户在拦截界面输入运营商用户名及密码，即可访问互联网。

2 多运营商共网解决方案的实现

2.1 实现过程

多运营商共网解决方案目标是在同一张网上实现多运营商出口的选路，让用户拥有最大的自主选择权。解决方案的实现过程如图2所示。首先，用户端PC接入网络，通过客户端或浏览器输入用户名、密码、所选运营商，发起认证请求。接入交换机接收到认证请求后，向认证系统转发该请求。然后，认证系统会校验用户信息，并根据用户对于运营商的选择，匹配预置的运营商VLAN对应表，下发相应的VLAN给接入交换机。接入交换机设置VLAN成功后，向认证系统返回下发成功回应。接着，认证系统向终端返回认证成功回应。终端此时可访问DHCP服务器，发出获取IP地址请求。DHCP服务器收到该请求后，根据终端所处的VLAN，分配对应的IP地址。随后，终端获取对应VLAN的IP地址，访问数据包流经出口路由器。在出口路由器上，不同IP的流量通过策略路由转发至相应的运营商。最后，运营商弹出Portal认证界面。用户输入从运营商获得的用户名及密码后，即可访问互联网。

图2 用户网络接入实现流程Fig.2 Implementing process of users accessing internet

2.2 具体配置步骤

以下以802.1x认证为例，具体配置步骤包括:

（1）接入交换机上配置802.1x认证、Radius等认证配置。

（2）在准入认证系统（以华三EAD认证系统为例）为用户分配VLAN。

（3）配置DHCP服务器的IP分配策略，为不同VLAN分配不同IP地址。

（4）配置出口路由器的策略路由，将不同IP的流量转发到不同出口。

2.3 配置实例

以下以电信用户、802.1x认证为例，具体配置步骤包括:

1）交换机配置

2）认证系统配置

a）增加接入策略，配置下发的VLAN。如增加名为“电信出口”的接入策略，并设置下发VLAN号为“10”。

b）增加接入服务。如增加服务名为“电信”的接入服务，该服务中引用“电信出口”的接入策略，并使用服务后缀“CT”域加以区分。

3）DHCP服务器配置

在DHCP服务器中，将学生宿舍划分为多个区域，各区域的端口总数应少于200个。每个区域均为其设置电信、联通、移动的VLAN号，以及对应的IP地址池、子网掩码、网关、运营商DNS服务器IP地址、校内DNS服务器IP地址等信息。配置信息如表1所示。

表1 DHCP服务器配置信息Tab.1 Configuration of DHCP server

4）出口路由器配置

a）定义访问控制列表ACL 2000，用来匹配源地址为VLAN 10的报文。

b）定义0号节点，指定所有源地址为192.168.10.0的报文的下一跳为电信出口2.2.2.2。

c）在VLAN10上应用转发策略路由。

3 结束语

本文介绍了一种基于认证系统的多运营商共网解决方案，通过认证系统对VLAN的下发，以及出口路由器根据VLAN对应IP实行策略路由，实现了多家运营商在同一张网上互不干扰的运营。通过该方案的实施，运营商不需要投资建设基础网络，既降低了运营成本，又避免了各自布线对学校造成的影响。对于学生而言，上网操作与以前基本保持一致，操作便利。学生访问校内资源与方案实施前无异，且还可免费访问教育网。通过多家运营商相互竞争，在保证网络质量的同时，为学生提供了形式多样、价格便宜的上网套餐。有运营商结合手机号码推广甚至免费赠送宽带，学生满意度比以往大幅提高。对学校而言，方案免除了学校在出口带宽方面的运营成本，大大降低了人员投入。技术实现上校园网架构无需改动，网络配置简单易行。运营商仅与出口路由器相连，系统安全系数高。在运维管理方面，学校与运营商之间责任界限清晰，运营商负责用户服务，以及网络模块以下可接触事物的维护工作，校方负责接入交换机以上的校园网设备维护工作。

本方案还可进一步优化，通过与各运营商的认证计费服务器对接，自动导入用户数据，包括带宽、上网期限等信息，便可做到用户上网仅需认证一次，且在认证时不需手动选择运营商。

（

）

[1]杨富华,彭钢.高校校园网运营模式比较研究[J].电脑编程技巧与维护,2010,(10),74-75.Yang Fuhua,PengGang.Comparativestudy of campus network operation modes[J].Computer Programming Skills &Maintenance,2010,(10),74-75.(in Chinese)

[2]L.Mamakos,K.Lidl,J.Evarts.RFC 2516.A method for transmitting PPP over ethernet(PPPoE).http://www.ieth.org/ rfc/rfc2516.txt

[3]涂庆华,李华峰.基于PPPoE协议的多运营商共享接入模式研究与实现[J].中国教育信息化,2014,(12),63-66.TuQinghua,LiHuafeng.Research and realization of networkconnecting mode for operators based on PPPo-Eprotocol[J].The Chinese Journal of ICT in Education,2014,(12),63-66.(in Chinese)

[4]孙刚凝.基于EAD的校园网准入/准出统一认证方案的研究[J].计算机光盘软件与应用,2012,(17),29-30.Sun Gangning.Authentication schemes of campus network base on EAD[J].Computer CD Software and Applications,2012,(17),29-30.(in Chinese)

[5]IEEE 802.1X LAN/WAN bridging &management[OL].http:// standards.ieee.org/getieee802/802.1.html.

[6]范晓宁,刘伟科,林泽东.基于802.1x的校园网认证计费系统的设计与实现[J].计算机安全,2007,(11),5-7.FAN Xiaoning,LIUWeike,LINZedong.The design and realization of campus network authentication charging system based on 802.1x[J].Network &Computer Security,2007,(11),5-7.(in Chinese)

[7]马燕,范植华.Web/Protal认证技术研究[J].微电子学与计算机,2004,(21),76-79.Ma Yan,FanZhihua.Research on Web/Protal authentication technology[J].Microelectronics &Computer,2004,(21),76-79.(in Chinese)

[8]DromsR.Dynamichost configuration protocol[S].IETF,RFC2131,1997.

[9]DromsR,Alexander S.DHCP options and BOOTP vendor extensions[S].IETF,RFC2132,1997.

Solution of network sharing for operators based on authentication system

YIN Haixiang
（Information Center,Shenzhen Institute of Information Technology,Shenzhen 518172,P.R.China）

By analyzing the common operation modes of campus networks,a solution of network sharing for operators is presented,which is based on authentication system and aiming at the shortcomings of multi-operators modes.By combining VLAN sending and policy based routing function,the solution solves the problems of network sharing,network security and internal network accessing.

authentication system;policy based routing;network sharing

TP393.1

A

1672-6332（2015）01-0054-05

【责任编辑：高潮】

2015-03-05

尹海翔（1978-），男（汉），广东东莞人，讲师，硕士，主要研究方向：计算机网络。E-mail:yinhx@sziit.com.cn