文/李倩倩 唐华 张涛

随着校园网用户对接入网络的网络规模、带宽出口要求越来越高以及业务应用越来越复杂，校园网与多网络提供商（ISP）联合运营成为各地高校寻找支撑校园网络服务的解决办法。联合运营的建设目标主要集中在打通内部校园网网络和外部运营商网络对接的壁垒，形成边界清晰、资源节约的生态网络环境；确保校园用户上网行为的可控性，如身份识别、实名认证、权限管理等，满足国家相关法律法规对校园网用户上网行为的要求；建设基于服务类型的、开放的承载系统，把握用户不同服务接入、各类业务拓展的精细化管理趋势。总之，联合运营后的高校校园网意在成为一个融合开放、泛在可控、简易管理、高速接入、有线无线一体的网络服务输出基地。

联合运营发展历程及不足

发展历程

大部分高校与三大网络提供商（ISP）合作方式经历了各自运营、部分融合和整合统一三大阶段。

第一阶段：办公楼栋和宿舍楼栋网络独立部署、不互联。在这个阶段，高校对宿舍区运营商的运营行为没有任何监管权，学生用户上网行为如上网总人数、网络总流量、开号费用等信息不纳入学校的管理系统，不利于溯源管理。宿舍楼栋学生访问学校资源困难，需要绕过运营商再进入校园网，无法满足学生的需求，也不利于学校信息化建设。

第二阶段：局部试点，对运营商网络与校园网络进行对接。以用户选择哪个运营商则访问互联网就走哪个运营商链路为原则，通过BRAS设备的带域认证模式和出口路由器协助满足互相兼容模式下的多方需求。高校出口同时接入三家运营商网络，并且通过计费软件系统与运营商的计费平台直接对接，实现校园网统一运营。计费系统的对接，学校和运营商双方都能明确用户在线的活动情况。但这个阶段也存在需要统筹多家运营商、合作难度大、周期长等问题，制约高校整体信息化发展。

第三阶段：校园网逐步从运营型网络向服务型网络转型，智慧校园建设成为本阶段高校校园网建设的热点。同时，随着扁平化的网络架构在高校校园网的落地实施，为“三网合一”提供了可行条件，随之开启运营商租用校园基础网络设施模式。在智慧校园浪潮的推动下，学校开始自建校园基础网络，各家运营商租用校园网络开展固移融合套餐模式。校园内部的网络管理和控制由学校负责，运营商投资自家出口设备和带宽线路，负责出口的管理和运营，同时根据收益和用户开户情况给学校支付相应的基础网络租金。

传统方案的不足

从湖北来看，大多数高校处于第二阶段或者向第三阶段过渡的时期。传统高校联合运营部署方案体系分为两种场景，如图1、图2所示。两种场景中高校均引入多家运营商，搭建了一个开放的良性竞争平台。

图1 BRAS带域认证与运营商AAA对接解决方案

图2 代拨与运营商BRAS对接解决方案

场景一：校内BRAS带域认证对接运营商认证计费系统。这种场景下，运营商提供各自的认证域名，如电信提供的域名为user@dianxin，校方对学号和带域账号进行绑定，用户带域或不带域拨号，BRAS通过域对服务控制策略的引用，区别不同用户类型，对用户进行业务控制和管理。校园网用户走本地认证，运营商用户通过BRAS的隧道认证模式走运营商的认证流程，直接发送给运营商认证计费系统服务器。该方案架构直接对接多个运营商的宽带出口和AAA计费系统，避免相互干扰，但校方一侧管理上网用户不灵活，有线、无线认证不统一，需要部署多套认证计费系统，造成计费系统之间信息不同步、有线账号和无线账号不通用的困扰，认证节点多，对接复杂，不能同时满足多方需求且存在单点故障问题。

场景二：认证计费系统通过代拨设备对接运营商BRAS系统。该场景属于最常见的一种融合运营模式，整个部署方案由校内BRAS、校内Radius服务器、出口设备组、ISP(运营商)BRAS、ISP(运营商)AAA等五个部分构成，用于实现基本的接入管理、实名制管理、拨号认证管理和计费管理等功能。该方案通过代拨设备实现了学校与运营商账号的统一，简化了校园网侧与运营商侧对接问题和上网认证过程。但从整个架构来说，运营商链路并不共享，出口设备数量太多，各运营商均需购买自己的代拨设备，增加了运营商的建设成本，造成资源浪费、链路复杂，也容易造成流量穿越。出口边界串联部署多个硬件设备负责不同的业务功能，增加了业务数据交换延迟风险，不利于校方简化管理和网络运维工作。

从以上场景分析可以看出，部署方案各有利弊，校方应从简洁组网模式、优化运维管理和简化认证流程三个方面出发，探究高校校园网与多ISP联合运营的最佳方案。

需求分析

在高校信息化建设过程中，关注各方的需求点是多方合作的基础。经过一段时间的合作、实践和探索，各方关注点主要集中在以下几个方面，见表1。

表1 三方需求分析

建设思路和部署方案

体系架构

按照三方需求，遵循实用性、可扩展性、可靠性以及易维护性原则，从高校校园网建设的实际出发，构建了一个集管理模式与技术架构于一体的简洁、简易、高效的联合运营框架，如图3所示。

图3 联合运营部署新方案体系架构

“扁平化网络架构+QinQ技术”实现了运营商共用校园基础链路的简洁组网模式，为上层系统融合打下基础。逻辑上的“大二层”在简化网络架构的同时使功能层次更清晰，业务控制更集中，接入层开启VLAN隔离避免用户数据接入时造成环路；汇聚层采用QinQ技术，将打了一层VLAN Tag的用户报文封装在事先规定好的外层VLAN Tag中进行传播；外层VLAN Tag可以根据不同楼栋的有线无线接入场景事先规划。“大二层”结构强化了核心层处理业务数据和接入网关的功能，核心层不仅用于VLAN的终结，还担负着高速转发业务数据和三层接入网关的任务。这种扁平化设计有效实现校园内部网络和运营商网络的融合。

“高性能BRAS设备+认证计费服务器+代拨设备”实现了简易的认证计费流程。BRAS设备旁挂认证计费服务器、数据中心和服务器群，与认证计费系统配合完成校内有线无线用户访问校内资源的准入边界。校园网出口部署代拨设备作为互联网准出边界，与BRAS和校园网认证计费系统联动，实现准入准出一体化。用户采用学号登录通过本地认证计费系统认证后，BRAS设备放行数据，可直接免费访问校内资源服务器。当用户需要访问互联网时，则通过认证计费系统给BRAS下发授权，通过BRAS的策略路由。如果是校园网用户则走校园网出口，如果是运营商用户，代拨通过PPPoE拨号动作配合防火墙的负载均衡功能将绑定的运营商帐号发送给相应的运营商BRAS进行Radius认证，认证成功后由运营商放行。至此，用户方可访问互联网资源，并由运营商的Radius系统进行计费。整个认证过程只需用户一次登录，同时完成校内准入和互联网准出，认证转换后台自动完成，能够同时实现校园内部网络和认证计费运营平台以及“二次认证”的无缝融合。

一套认证计费管理平台实现了软硬件高度融合下的高效运维管理。管理平台全面支持多种认证模式，可以根据用户组类型、接入网络的物理区域、接入网络的方式（有线/无线）等模式制定多样化的计费策略，达到校园网用户精细化控制管理的目的，致力于与学校和运营商联合运营方案结合，从时间与空间上满足多样化的管理需求。

在本框架中，校方投入相关网络设备与基础网络改造，在其监管下，不同运营商仅需在出口边界做好出口带宽服务即可。这样，既让校方获得网络管理所有权，又降低运营商的运营成本。校方用极简的理念打造一个简洁的组网模式、简易的认证计费流程和高效的运维管理技术方案。

无线认证计费原理和宽带上网流程

无线网络技术的到来，使海量教学终端、校园管理物联接入成为趋势，无线网络覆盖成为各大高校信息化建设的重中之重。在联合运营方案下，无线网络作为其中关键环节，其认证计费原理大致分为四个步骤。

1.无线客户端与AP，AP与AC建立连接过程。这个阶段是建立无线客户端和AP间数据链路的过程，首先通过在多个通道上发送探测（probe）来搜索相应的网络，探测请求指定网络的名字（SSID）和支持的速率，通过在客户端和AP上配置密钥实现认证,AP会映射一个逻辑端口（AID）到客户端，此时二者的通信建立起来，AP可以将客户端发出的帧转发出去。同时，AP通过地址解析（DNS）获取AC地址，并与AC通过Discovery-Join-Configuration-Run等过程建立CAPWAP控制隧道转发数据。

2.无线用户在portal认证页面提交用户名和密码过程。这个阶段分为DHCP地址分配流程和portal页面提交流程两个部分。其中，BRAS作为DHCP服务器端，客户端通过DHCP协议中DHCP Address Assignment报文与其建立连接后，向其分配事先规定好的DHCP地址池中的IP地址，随后用户发起HTTP Request portal-url请求，报文发送到AC，AC查看内部信息，并推送给BRAS，BRAS重定向至Portal服务器，向用户发送Portal认证页面。上网用户填入账号密码和选择相应的网络服务后，发起HTTPs POST portal-url请求将该页面提交出去。

3.认证过程。BRAS向Radius认证计费服务器发送UserInfo Request报文，Radius认证计费服务器在验证用户账号和密码无误后将结果返回给BRAS。认证通过，按照CHAP流程向AC请求Challenge,如果AC在3秒内无响应报文，则重发Challenge请求，AC确认Challenge,后将账号、Challenge ID、Challenge和Challenge-Password等信息通过BRAS发送到Radius服务器进行认证；认证拒绝，AC返回ACK_AUTH消息，Portal向用户返回认证失败结果。在用户认证通过后，BRAS发起accounting-start报文给Radius服务器，服务器回应accounting-response响应报文，AC确认消息，Portal向用户返回认证成功结果，用户开始上网。

4.计费过程。AC转发用户流量到BRAS，BRAS终结用户VLAN，并对用户进行上网地址分配。为了能够实时计费，AC每间隔15分钟向Radius服务器发送Accounting-request Update报文信息，Radius服务器回应Accounting-response Update报文，实时计费。当AC收到用户请求下线信息时，通过BRAS向Radius服务器发送Accounting-request Stop报文，如果2秒内无响应，则重发请求，超过2次则强制下线。

根据上述方案架构，宽带上网流程如图4所示，以便上网用户能快速掌握上网步骤，感受极佳的用户体验。

图4 用户上网流程

本文提出的联合运营解决方案在一定程度上优化了传统联合运营模式下的运维和管理难题，对校方来说，运维更高效，管理更聚焦，权力更集中；对用户来说，把自主上网选择权还给学生用户，通过无感知认证简化了上网流程；对运营商来说，运营成本更低，市场更广。该解决方案真正做到了网络设备共享、学校资源共享，实现了高校与运营商共建、共享、共赢的目标，为智慧校园建设打下了坚实的信息化基础，对高校校园网与运营商联合运营具有很好的借鉴作用。