◆纪强 纪小成

高校校园网与运营商网络的统一管理方法

◆纪强 纪小成

（泰州学院信息化中心 江苏 225300）

对于采用社会共建模式建造学生宿舍的高校，如何在不损害社会资本利益的同时，能够对宿舍区网络进行统一的管理，这一直是个复杂的难题。本文设计了一套基于BRAS代拨的技术方案，实现了对校园网和宿舍区网络的合并管理，学生在宿舍区可以直接访问校内资源，学校也能够对宿舍区网络进行管控。整套方案设计简单易操作的同时，兼顾了社会资本的利益。

校园网；BRAS代拨；统一管理；社会资本

在高校学生宿舍的建造过程中，宿舍区的网络部分基本上有两种建造模式：一是学校自建，一是社会共建。2015年高等教育信息化发展研究报告指出，校园网络选择自建自维的比例明显降低，不少高校开始借助社会力量进行建设[1]。

泰州学院采取的是社会共建模式，由社会资本（泰州高教投资发展有限公司）设计、建造、管理与维护，网络出口则由运营商负责，前期宿舍区网络运营由移动、联通、电信三家运营商采用小区宽带运营模式，与校园网物理相连但数据层无法互通，学生不能在宿舍区范围内访问校内网络，在日常教学管理上存在很多不便，学校也不具备宿舍区上网的管控权，对学生上网行为管理缺少支撑，存在较大网络安全风险，而这也是采用社会共建模式所带来的典型问题[2]。

随着国家对网络安全要求的不断提高，学校要求学生宿舍区上网必须实名认证并且上网时必须经过校园网后才能访问互联网，如何以最小的代价把当前的宿舍宽带网络融入到校园网络，并且不损害社会资本的利益，这就成了我们必须要解决的问题。

1 所需解决的问题

文献[3]和文献[4]提出了高校宿舍区网络由多运营商共同接入，共建共享、统一认证、智能选路的新模式；文献[5]介绍了在多运营商网络共同接入的情况下，所能采用的两种对接模式，并进行了分析比较；文献[6]提出了一种基于GPON网络，对校园网和运营商网络进行统一管理的方法，由SAM认证平台对接运营商的RADIUS Server系统完成身份认证，很值得参考学习，不过它们都没有涉及对社会资本利益的考虑。

泰州学院校园网与宿舍区网络的整体拓扑如图1所示。

图1 校园网与宿舍区网络拓扑图

目前学校网络整体采用扁平化架构，宿舍区网络通过二层交换机汇聚到学校核心交换机H3C 12508后再连接到运营商的BRAS（Broadband Remote Access Server）设备ME60，学生在宿舍区通过PPPOE拨号认证上网，当前主要需要解决的问题有以下几点。

（1）宿舍区无法直接访问校内网络资源是学生反映的焦点问题。在宿舍区，学生需要选课、查分、浏览知网等学术网站，辅导员需要晚间查寝签到，无法访问校内网络确实存在很多不便。如果给学生分配统一的VPN账号，那会带来VPN访问过载、账号密码易扩散等安全隐患，并且还是无法就学生的上网行为进行管控。如果给学生各自分配单独的VPN账号，那会显著增加VPN账号管理的复杂程度，不易操作，也难以从根源上解决问题。

（2）学校没有宿舍区网络的管控权。随着上级主管部门对校园网络安全要求的不断提高，学校要求加强对宿舍区网络的安全管理，包括对学生的上网行为进行管控，留存学生的上网记录，规范运营商的网络运营行为，比如紧急情况下的上网行为管制。

（3）学生上网没有进行身份认证，各运营商出于安全理由无法提供学生的上网行为记录，学生个人网络数据安全也难以得到保障。

（4）整个改造过程对现有网络架构和运营商管理、用户使用习惯不能有明显影响，并且所有的改造行为不能损害社会资本的利益。

2 解决方案

基于上述要求，本文提出了一套采用BRAS代拨的技术方案，改造后的网络拓扑如图2所示。

图2 改造后的拓扑图

（1）在校园网核心交换机H3C 12508和各家运营商的BRAS ME60设备之间都部署一台高性能校园网BRAS认证代拨设备，以实现代理学生PPPOE拨号认证的功能，运营商BRAS ME60与宿舍区其余网络设备的配置均保持不变。

BRAS认证代拨设备还可以设置NAT映射转换，实现在宿舍区对校内资源的访问，通过ACL访问控制列表，限定宿舍区可访问的校内资源的范围，配置访问控制策略，对宿舍区的上网行为进行管控，比如限制可访问校内资源的时间段，以及特殊情况下的一键断网。

（2）在学校数据中心上部署一套运营系统、门户接入系统和日志管理系统。运营系统和门户接入系统主要用于学生上网实名认证，由于学校统一身份认证平台已经完成学生学号的身份认证，这样只需要登录一次可定制的自助服务平台，学生就可以将自己的学号和运营商上网宽带账号进行绑定，由此完成实名认证，这也省去了和运营商进行对接认证的复杂过程。上网认证方式可以采用PPPOE或者PORTAL。

三家运营商可以同时接入，支持学生自主选择运营商，多运营商出口选路根据学生宽带账号关联的运营商账号属性自动匹配完成。

日志管理系统根据国家网络安全法等相关法律法规要求，记录学生实名上网认证的信息和外网NAT访问记录日志，并且留存时间不少于六个月。

（3）在核心交换机H3C 12508旁路下联一台上网行为管理设备，通过核心交换机的端口镜像将学生所有上网数据转发给上网行为管理设备进行分析，实现对全校学生的上网行为进行记录分析。

（4）考虑学生大规模流量访问的实际需求，需要将校园网原有核心交换机H3C 12508性能进行升级。

项目实施完成后，学生在宿舍区上网前将通过校园网BRAS自动获取校园网IP地址，但此时无法访问校园网和互联网，在自助服务平台页面输入学校统一身份中心的学号密码，完成校园网和运营商网络的一次身份认证后，就可以同时自由访问校园网和互联网，同时运营平台和日志管理平台将实名记录学生的上网日志。通过BRAS认证代拨设备，学校在特殊时期可以统一管控宿舍区上网的时间段和能够访问的内外网范围，包括一键断网。通过旁路连接核心交换机的上网行为管理设备，可以对学生访问互联网的所有数据进行端口镜像流量分析，以此为基础，学校能够完全掌握学生的上网行为数据并进行舆情监测和预警，从而实现真正意义上的上网行为管理。

当前宿舍区并没有部署无线网络，后期如果需要对宿舍区的无线网络进行一并管理的话，可以设置指定的无线SSID名称，学生连接后直接跳转到自助服务平台，以同样的方式完成身份认证绑定即可。

后续学校针对学生管理方面，如果有进一步的需求，可以对上网行为管理设备里的留存数据进行详细的比对分析，从不同的角度统计学生的上网行为情况，从而能够更有针对性地做好学生管理工作。

整体改造方案的优点在于没有明显改变原有的网络架构和管理模式，实施成本小，易实现，对学生原有的上网模式和习惯也没有太大的变动，不会引起学生的抵触。难点在于如何和社会资本、各运营商进行有效的沟通协调，包括争取社会资本的合作支持、确认改造费用各自的出资比例、设备后续管理维护升级的权限边界等。

3 结束语

本文设计了一套学生宿舍区网络与校园网络的统一管理方案，在顾全社会资本利益的前提下，满足了学校对宿舍区网络进行管控的迫切需要，学生也可以在宿舍区直接访问校内资源。当然整个改造方案同样也存在着一些不足之处，比如随着学生规模和需要访问的校内资源的不断增加，如何有效降低BRAS认证代拨等设备的负载；在对学生上网情况进行管控的同时，如何有效保护学生的个人网络数据不被泄露等。

[1]教育部科技发展中心.高等教育信息化发展研究报告（2015）[M].北京：清华大学出版社，2015：1-57.

[2]杨传斌. 校企共建校园网存在问题的分析及解决思路 [J].中国教育信息化（高教职教），2007（9）：30-31.

[3]杨晔.高校学生宿舍网多运营商接入解决方案的应用与研究[J].中国管理信息化，2017（09）.

[4]贺卫东，杨凯.高校学生宿舍网多运营商共建共享管理模式实践[J].鞍山师范学院学报，2016（06）.

[5]常伟鹏，许建真，袁泉.宿舍网多运营商共同接入模式对比分析[J].中国教育信息化，2018（17）.

[6]孔令峰.高校学生宿舍运营商网络统一管理的方法[J].信息记录材料，2021，22（1）：2.