孙中全

(滁州职业技术学院，安徽滁州 239000)

随着网络应用的日益增长，教育信息化进程的快速发展，用户对网络带宽资源的需求越来越大，学校需要花费大量资金租用ISP(互联网服务提供商)手中的网络资源，却仍然不能满足校园网用户的上网需求，由此高校开始接纳运营商参与校园网络的建设和运维。高校与单运营商合作建设校园网，由一家运营商承担校园网所有投资，虽然在管理、技术方面更简单、更容易实现，但这种做法往往会让校方处在舆论的风口浪尖。从国家政策上看，不提倡单运营商的合作机制，工信部《关于规范基础电信运营企业校园电信业务市场经营行为的意见》《工业和信息化部关于进一步规范基础电信运营企业校园电信业务市场经营行为的意见》等都已经明确表明：禁止电信企业与学校等各级教育机构或下属部门签订排他性合作协议(含口头协议)，不得禁止或限制竞争对手进入校园开展电信业务营销活动。因此，高校与多运营商合作建设校园网，由多家运营商共同投资建设，是当前高校校园网建设的主流。

1 当前校园网建设存在的问题

校园网改造建设需要投入大量的人力、物力，高职院校多正处于建设发展的初期，建设资金不足、专业技术人员缺乏，大部分院校引入电信运营商投入资金、人力和物力等，共同参与校园网络建设，运营商利用高校学生资源，通过办理带宽、手机业务获取利益，与学校实现共赢。

现阶段多运营商参与校园网建设运维模式主要存在着以下一些问题：各运营商之间网络相互独立，重复投资建网，资源浪费严重，维护管理比较困难；校园网络出口无法统一，用户帐号无法统一，有线无线网络无法统一；学生宽带接入方式受限，上网行为和上网时间无法监管；缺少安全审计日志，发生网络安全事件而无法追查，不符合公安部以及网络安全法等相关要求。传统网络运维模式及出口路由策略无法很好地解决以上问题，急需寻求新的网络技术和突破口，重新规划和建设校园网络。

校园网络主要包括教学办公区和学生宿舍区，教学办公区由学院自建自维护，学生宿舍区由电信和移动两家运营商各自独立投资建设，各自维护自家网络，最终导致学生宿舍桥架网络线路较多，房间内线路混乱，若出现问题，则故障排除困难，安全隐患较大，宿舍网络重复投资建设，资金浪费较大，宽带资源得不到合理利用，学生上网行为得不到监管，在管理、维护期间运营商之间易发生冲突和矛盾。加之后期，联通运营商的宽带可能接入，移动网络技术的快速发展，无线网络建设迫在眉睫，学生宿舍区桥架也已无法容纳后期网络建设发展需求，教学办公区和学生宿舍区无法互连互通，学生不能访问校内教学资源，教师无法监管学生。因此，亟待寻求一种新的网络技术建设方案，将运营商各自独立建设的宿舍网络和教学办公网络整合在一起，来解决当前发展中遇到的诸多困难和问题。

2 新校园网建设思路和方案

本文依托我校校园网现状，针对校园网络由多家运营商参与建设运维造成的诸多问题，提出了以学校信息技术中心牵头，宽带运营商投资建设，通过在一条物理线路上实现多家业务共同运营的总体解决思路和方案，将不同运营商终端用户进行基于帐号的分组，从而选择对应的运营商出口线路，通过利用路由准入准出策略、路由策略、分流技术，使各运营商宽带业务流量完全隔离，实现终端用户数据报文选择各自对应宽带运营商出口线路，本方案主要基于锐捷设备及相关信息管理平台，校园网络拓扑如图1所示。

图1 校园网络拓扑图

极简出口区：由两台高性能出口路由器组成互备方案形式，接有电信、联通、移动、教育网出口宽带ISP运营商。

极简核心区：由两台现行主流核心交换机通过虚拟交换单元技术(Virtual Switch Unit，VSU)将两台核心虚拟化成一台，实现统一管理和热备，整网采用“扁平化”的大二层结构。

极简运营区：主要由网络相关认证管理系统组成，主要有引擎、认证计费、运维综合管理等相关业务系统组成。

数据中心：由于该层主要存放数据、门户网站、信息系统等，用户访问量较大，归属于组网建设中安全重点保护区，部署了安全防火墙以及网络加速等设备，以确保数据安全和访问速度高效、通畅。

教学办公和学生宿舍区：主要由三层交换和接入交换机组成，有充足的网络接口数量，保障和延续了后期网络的扩展需要。

3 主要实现原理和设备配置

3.1 实现原理

以电信终端宽带10M用户上网为例，其它运营商终端用户上网实现方式和配置相同；在安全出口设备上配置电信10M用户组和宽带速率，配置该组用户访问控制列表并设置与电信出口相对应的策略路由，通过计费认证系统SAM+相结合匹配，实现动态的、基于用户角色访问控制的、带宽控制的用户上网模式，实现在一条物理线路上各自用户从对应运营商宽带出口准入和准出，且各自流量相互隔离，互不干扰，保障了运营商之间的各自利益。

3.2 设备主要配置

出口设备：

CZC-RSR7708X (config)#user-group DX10M//创建DX10M用户组名称

CZC-RSR7708X (config)#ip access-list extended 100 //配置访问控制列表

CZC-RSR7708X (config-ext-nacl)#permit ip user-group DX10M any //将电信10M用户组放入该访问控制列表

CZC-RSR7708X (config)#interface gigabitEthernet 1/0/1 //进入电信宽带出口接口

CZC-RSR7708X (config-if-GigabitEthernet 1/0/1)#ip rate-control base-account 100 bandwidth both 1280//配置该组用户为10M宽带速率

计费认证系统SAM+：

在计费认证系统SAM+上配置接入控制出口联动策略内容名称与出口设备配置的用户组名DX10M相一致，出口联动配置如图2所示，图3为对不同运营商的终端用户分组设备和管理。

图2 出口联动配置

图3 终端用户分组配置

核心设备主要配置：

CZC-N18010 (config)#auth-mode gateway //配置网关模式，完成后需重启

CZC-N18010(config)#snmp-server host 10.202.1.22 informs version 2c ruijie //配置N18K同SAM+的snmp交互

CZC-N18010 (config)#web-auth template eportalv2 //配置portal服务器，进行联动

CZC-N18010 (config.tmplt.eportalv2)#ip 10.202.1.23

CZC-N18010(config.tmplt.eportalv2)#urlhttp∶//10.202.1.23/eportal/index.jsp

CZC-N18010 (config)#station-move permit //开启1x认证迁移

CZC-N18010 (config)#web-auth station-move auto //开启web认证迁移

CZC-N18010 (config)#web-auth station-move info-update

4 测试验证

对各运营商终端用户上网数据报文进行逐一测试，验证不同用户组的用户上网数据报文是否会选择对应运营商宽带网络出口进行报文转发，下面分别选取电信用户组张三用户(图4)和联通用户组李四用户(图5)的终端设备，对他们各自上网出口数据报文进行测试验证，使用tracert命令，对访问百度同一个网站进行路由跟踪。

图4 张三用户路由测试

图5 李四用户路由测试

简述上述不同用户组用户访问同一网站的数据报文路由跟踪结果：

电信组用户张三访问百度网站的数据报文到达IP地址为10.200.1.2的出口设备后，下一跳转发至183.167.211.145的IP地址，此地址为电信运营商的IP地址，结果证明电信组用户访问公网，数据报文选择电信ISP线路进行转发。

联通组用户李四访问百度网站的数据报文到达IP地址为10.200.1.2的出口设备后，下一跳转发至58.243.98.217的IP地址，此地址为联通运营商的IP地址，结果证明联通组用户访问公网，数据报文选择联通ISP线路进行转发。

根据结果测试证明，在同一物路线路上实现了不同运营商终端用户访问公网时的数据报文转发，可以通过相关网络技术、策略路由技术以及相关配套软件系统进行联动，多运营商共建共享的校园网络组网方案得到了验证。

5 结语

本文描述了终端用户上网方式的路由实现原理及相关网络技术，实现了多运营商统一出口设备，完成了基于校园网用户组的多路径选择方案，最后通过路由跟踪测试验证了方案的可行性，解决了多运营商共同参与高校校园网络建设难题，实现了高校与运营商共建共享共赢的目标，本方案对高校校园网的运维、管理，都具有很好的借鉴意义，是未来高校校园网建设、运维、管理的一种新模式。