常伟鹏，许建真，袁 泉

（中国药科大学 图书与信息中心，江苏 南京211198）

一、高校宿舍网的运营模式

作为构建于宿舍内部的网络，高校宿舍网在大学生的学习、生活中占据重要位置，因此也成为高校信息化建设的重点关注区域。关于宿舍网的运营和管理，传统的模式有高校自主建设运营和运营商独家投资建设运营两种，[1]但高校自主运营存在出口带宽有限、高峰时段使用体验不佳等不足，运营商独家运营存在收费较高、用户因宽带上网与手机绑定而无法自主选择、无法访问校内资源等不足。

近年来工信部多次发文规范运营商在校园内的经营行为，[2-3]禁止运营商与学校签订排他性协议、禁止移动通信业务与宽带业务绑定等资费方案，运营商在宿舍网中的独家垄断运营模式开始被打破，宿舍网多家运营商共同接入的运营模式开始出现。

二、中国药科大学宿舍网的运营模式

1.中国药科大学宿舍网简介

当前在用的中国药科大学宿舍网，基础设施由学校于2014-2015年分步骤建成，而后于2016年完成了与电信、移动、联通三家运营商的对接。宿舍网采用扁平化（QinQ）架构，该架构与运营商主流接入网络架构相同，保证了与运营商网络的顺利对接。采用两台园区网核心交换机，作为宿舍组团汇聚级光纤汇集以及与运营商网络对接的核心。核心交换机通过双路由万兆光纤与宿舍组团汇聚交换机相连，汇聚交换机下连组团内各楼宇的接入交换机，QinQ外层标签配置汇聚交换机的下连接口上。接入交换机通过千兆光纤与汇聚交换机相连，接入交换机接口划分不同的vlan，作为Qinq的内层标签。宿舍网拓扑如图1所示。

宿舍网通过Juniper MX960作为BRAS（Broadband Remote Access Server）设备与校园网对接。用户终端接入宿舍网时，首先会获得MX960下发的IP地址，完成IPoE认证 （DHCP+OPTION扩展字段认证），同时该Mx960与校园网核心交换机相连，使通过IPoE认证的宿舍网用户可访问校园网资源。

在宿舍网中，用户如需通过运营商网络访问公网资源，可以在 PPPoE（Point to Point Protocol over Ethernet）拨号客户端设置相应的运营商服务名称（Service Name），然后根据运营商提供的账号和密码即可拨入相应的运营商网络。在该模式下，同一网络接口可拨入多家运营商网络，网络接口与运营商不是一一对应的关系。

图1 中国药科大学宿舍网拓扑

2.技术架构

宿舍网核心交换机除直连学校的RADIUS（Remote Authentication Dial In User Service）设备外，还直连运营商的RADIUS设备。作为对接的核心设备，由于宿舍网核心交换机作为二层设备与运营商的RADIUS设备进行对接，因此可称该模式为二层对接模式 （Layer 2 Docking Mode）。在该模式下网络终端根据在运营商处开通宽带业务时的账号信息和服务名称，可通过PPPoE方式拨入相应的运营商网络，宿舍网网络端口可拨入已对接的任意一家运营商网络。

其原理为在用户进行PPPoE拨号连接的PPPoE Discovery阶段，用户端（PPPoE client）广播发送的PADI（PPPoE Active Discovery Initiation）报文中包含该账号所属的运营商名称。而运营商宽带接入服务器（PPPoE Server）在收到PADI报文后，将其中的服务名称与自己的服务名称相比较，如果匹配则单播回复PADO（PPPoE Active Discovery Offer）报文，如果不匹配则丢弃。而后PPPoE client单播发送PADR （PPPoE Active Discovery Request）报文请求建立会话，PPPoE Server回复PADS（PPPoE Active Discovery Session-confirmation） 报文，其中包含Session-ID，而后PPPoE会话建立，宽带拨号连接建立完成[4]。会话建立过程如图2所示。

图2 带ServiceName的多BRAS设备网络中PPPoE会话建立过程

三、多运营商共同接入的三层对接模式

中国药科大学宿舍网与多家运营商对接采用的是二层对接模式，当前还有另一种多运营商对接模式，在该模式下，校方的宿舍网RADIUS设备直接与运营商的RADIUS设备进行对接，而不是通过二层交换机设备。用户接入网络时，在通过宿舍网RADIUS认证后，后台还需宿舍网RADIUS设备向运营商RADIUS设备进行二次认证。在对接过程中，宿舍网RADIUS设备作为三层核心设备与运营商的RADIUS设备进行对接，因此可称该模式为三层对接模式（Layer 3 Docking Mode）。

在三层对接模式的认证中，用户采用统一的账号（如学号）作为上网账号，该上网账号在后台与运营商所分配的上网账号进行绑定。在认证时，用户首先在统一定制的认证页面输入上网账号，并选择所使用的运营商进行认证。通过宿舍网RADIUS认证后，宿舍网RADIUS设备将统一上网账号转换为对应运营商的上网账号，以转换后的运营商账号和用户所选择的运营商 （服务名Service Name），代替用户向运营商RADIUS设备重新发起一次PPPoE认证，根据转换后的账号和服务名，相应的运营商RADIUS设备做出响应并授权[5]。三层对接模式的拓扑如图3所示。

图3 三层对接模式的网络拓扑

四、两种对接模式的对比

作为宿舍网多运营商共同接入的两种对接模式，二层对接模式和三层对接模式都可以实现“同一张网络多家运营商使用、同一个网络接口接入多家运营商网络”的功能要求，但由于采用的技术路线不同，两者在具体使用和管理中还存在一定程度的差异。

首先，从使用便捷性上来讲。由于采用了统一认证系统和账号，三层对接模式在认证系统的易用性上要占优势，但由于用户终端的多样性，定制的统一认证系统容易出现操作系统兼容性问题，而该问题一旦出现，往往不易解决。而二层对接模式采用操作系统自带的PPPoE客户端，对用户而言，认证的操作复杂性主要表现为首次登录时忘记或不知如何配置服务名，但一旦配置成功，之后便不需要重新配置，使用同样简单、便捷。此外三层对接模式需用户将运营商的上网账号与统一认证账号进行绑定操作，而二层对接模式下由于直接使用运营商的上网账号，则不存在此操作。

其次，从可管理性上来讲。三层对接模式下，用户认证时首先接入校方的宿舍网RADIUS设备，校方可直接获取用户的认证情况和网络使用情况，对用户上网行为进行管理。二层对接模式下，用户拨入运营商网络后相当于运营商的网络用户，校方无法细粒度管理用户的上网行为，只能通过与运营商协商的方式间接管理。

第三，从系统稳定性上来讲。三层对接模式下，用户统一通过宿舍网RADIUS的认证，需要定制开发统一的认证系统[6]，宿舍网RADIUS在通过用户的认证后，仍需到运营商RADIUS设备进行二次认证，此过程虽然用户感知不到，但认证过程较二层对接模式复杂，且认证中出现的问题，排查难度较大；由于三层对接模式在系统内部进行过对接，校方与运营商的责任界限不易划分，用户使用过程中出现问题时，容易出现由于责任主体不明而推诿等现象。

第四，从对接复杂度上来讲。三层对接模式下，宿舍网RADIUS与运营商RADIUS对接较为复杂，某些型号的BRAS设备对接需要双方非常专业的技术人员联调才能实现，使用过程中出现的故障处理麻烦。二层对接模式则不存在类似问题，核心交换机双机运行，保证了网络核心的可靠性，即便双机同时出现无法立即修复的故障，由于交换机的配置非常简单，使用其它型号备机也可快速恢复网络。

第五，默认DNS服务器转发的指向问题。在三层对接模式下，用户自动获取的IP地址统一由校方的DHCP服务器下发，其中的DNS服务器IP地址为统一分配的地址，不因运营商而不同，为了可访问校内资源，该DNS服务器IP地址必须为校内DNS服务器地址。一般来讲，学校的DNS服务器缓存和递归能力较弱，除了校内域名外，其他域名一般默认都转发至某运营商DNS，这样会造成其他运营商用户所解析到的地址大部分为非本运营商地址，从而导致网络使用质量不佳[7]。而在二层对接模式下，用户通过PPPoE接入运营商网络后，会重新获取运营商分配的IP地址和DNS服务器地址，从而避免该问题的发生。

两种模式的特点对比如表1所示。

总体来讲，三层对接模式下的用户可管理性优于二层对接模式，使用便捷性上两种模式各有优势与不足，但对接复杂度和系统稳定性上，二层对接模式较三层对接模式有较大优势。此外，二层对接模式还不存在默认DNS服务器转发的指向问题。

表1 两种模式的对比