校園網(wǎng)用戶(hù)采用Ｌ２ＴＰ接入Ｉｎｔｅｒｎｅｔ

鄭　民　張偉勝　楊廣輝

摘 要:本文分析了目前常見(jiàn)的校園網(wǎng)接入Internet方案的利弊。既要引入運(yùn)營(yíng)商成熟的管理和技術(shù),又要保留校園網(wǎng)原有的三層網(wǎng)絡(luò)結(jié)構(gòu),校園網(wǎng)作為一個(gè)接入服務(wù)的提供者,采用L2TP為ISP提供用戶(hù)接入服務(wù)能夠有效地解決這一矛盾。

關(guān)鍵詞:校園網(wǎng) L2TP Internet接入

中圖分類(lèi)號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:B 文章編號(hào):1673-8454(2009)13-0014-03

一、引言

常見(jiàn)的校園網(wǎng)運(yùn)營(yíng)或由學(xué)校購(gòu)買(mǎi)運(yùn)營(yíng)商出口帶寬,為學(xué)生提供認(rèn)證和計(jì)費(fèi)服務(wù),或直接由運(yùn)營(yíng)商負(fù)責(zé)網(wǎng)絡(luò)管理和運(yùn)營(yíng)。本文提出了校園網(wǎng)用戶(hù)采用L2TP(Layer Two Tunneling Protocol,二層隧道協(xié)議)方式接入Internet,校園網(wǎng)保持自治,同時(shí)由運(yùn)營(yíng)商提供認(rèn)證計(jì)費(fèi)以及流量控制的技術(shù)方案。自治可以保持校園網(wǎng)的傳統(tǒng)三層結(jié)構(gòu),有利于學(xué)校網(wǎng)絡(luò)和信息部門(mén)進(jìn)一步建設(shè)和普及校園的網(wǎng)絡(luò)應(yīng)用,有利于師生網(wǎng)絡(luò)之間的互聯(lián)互通和資源共享。運(yùn)營(yíng)商的優(yōu)勢(shì)在于他們的認(rèn)證計(jì)費(fèi)平臺(tái)和網(wǎng)絡(luò)服務(wù)質(zhì)量的保證都已非常成熟和穩(wěn)定,能夠?yàn)閹熒峁?zhuān)業(yè)的寬帶接入服務(wù)。兩者結(jié)合可以使學(xué)校的網(wǎng)絡(luò)和信息部門(mén)從為師生提供Internet接入服務(wù)的工作中解放出來(lái),專(zhuān)注于學(xué)校的信息化建設(shè)和網(wǎng)絡(luò)技術(shù)的研究。另外,也可以為學(xué)校節(jié)省認(rèn)證計(jì)費(fèi)平臺(tái)和專(zhuān)業(yè)流量控制設(shè)備的投資。

二、常見(jiàn)校園網(wǎng)Internet接入方式分析

1.PPPOE+QINQ

學(xué)生用戶(hù)VLAN隔離,通過(guò)QINQ(通過(guò)在以太幀中堆疊兩個(gè)802.1Q包頭的技術(shù))可以復(fù)用有限的VLAN號(hào)。同時(shí),學(xué)生用戶(hù)VLAN隔離也能夠避免大量用戶(hù)同時(shí)上線(xiàn)時(shí)產(chǎn)生的廣播流量(PPPOE協(xié)議中的PADI廣播報(bào)文)。該技術(shù)的方案優(yōu)勢(shì)在于電信等運(yùn)營(yíng)商有非常成熟穩(wěn)定的部署管理經(jīng)驗(yàn)及產(chǎn)品應(yīng)用,能夠?yàn)閱蝹€(gè)用戶(hù)提供可靠的寬帶接入服務(wù)。缺點(diǎn)在于人為地將學(xué)生用戶(hù)從校園網(wǎng)中割裂開(kāi)來(lái),將用戶(hù)訪(fǎng)問(wèn)Internet的需求和訪(fǎng)問(wèn)校園網(wǎng)的需求對(duì)立起來(lái)。用戶(hù)在撥號(hào)之前,不能夠自由地訪(fǎng)問(wèn)學(xué)校的網(wǎng)絡(luò)資源,撥號(hào)之后,也需要到公網(wǎng)之后再回來(lái)訪(fǎng)問(wèn)校園網(wǎng),速度也受到BAS(Broadband Access Server,寬帶接入服務(wù)器)的限制,而校園網(wǎng)內(nèi)部本身在物理上是百兆到桌面并且是互聯(lián)互通的,因而喪失了原有的網(wǎng)絡(luò)性能。為了能夠保留校園網(wǎng)的功能,可以按如圖1所示的拓?fù)湓O(shè)計(jì)網(wǎng)絡(luò)。

該方案需要額外的光路和光模塊等硬件投入。另外,PPPOE的廣播報(bào)文導(dǎo)致了該方案是排他的,即只能允許一家運(yùn)營(yíng)商采用PPPOE的形式來(lái)接入用戶(hù),校園網(wǎng)用戶(hù)的寬帶服務(wù)無(wú)法引入多家運(yùn)營(yíng)商。

2.802.1x

802.1x是基于端口的網(wǎng)絡(luò)接入控制協(xié)議,即在局域網(wǎng)接入設(shè)備這一級(jí)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。各設(shè)備廠(chǎng)商為了更好地支持用戶(hù)的管理需求,開(kāi)發(fā)了很多應(yīng)用特性,比如H3C的代理用戶(hù)檢測(cè),CISCO的VLAN分配等。而且,各自都有不同的認(rèn)證計(jì)費(fèi)平臺(tái)、專(zhuān)屬應(yīng)用特性要求交換機(jī)軟件的支持,因此在多品牌設(shè)備的網(wǎng)絡(luò)下無(wú)法實(shí)現(xiàn)特定的應(yīng)用特性。如單個(gè)物理端口下的多主機(jī)支持特性,H3C的設(shè)備支持多用戶(hù)分別認(rèn)證,而CISCO只支持單一主機(jī)或者多主機(jī)情況下某一個(gè)主機(jī)認(rèn)證通過(guò)即可。如果網(wǎng)絡(luò)環(huán)境由單一品牌的設(shè)備組成,并且可以保證每個(gè)用戶(hù)都擁有一個(gè)物理端口接入,802.1X是校園網(wǎng)認(rèn)證的較好應(yīng)用方案。

3.基于DHCP的Web認(rèn)證

用戶(hù)端無(wú)需安裝撥號(hào)軟件,無(wú)需用戶(hù)作額外的配置。而采用撥號(hào)軟件,上網(wǎng)故障時(shí),用戶(hù)往往無(wú)法辨別是網(wǎng)絡(luò)的問(wèn)題還是計(jì)算機(jī)自身的問(wèn)題,會(huì)帶來(lái)較多的維護(hù)工作量。簡(jiǎn)便易用,維護(hù)量小是該方式的最大優(yōu)點(diǎn)。但是和寬帶接入服務(wù)器BAS/BRAS(Broadband Remote Access Server,寬帶遠(yuǎn)程接入服務(wù)器)相比,計(jì)費(fèi)網(wǎng)關(guān)缺乏精確的用戶(hù)帶寬控制(需要額外增加專(zhuān)用的流量控制設(shè)備),也不能解決地址沖突和盜用問(wèn)題,這一點(diǎn),PPPOE和802.1X通過(guò)用戶(hù)的MAC/IP/端口號(hào)的三者綁定,均能很好地解決。

三、采用L2TP的VPN方式

L2TP是一種將二層電路穿越包交換網(wǎng)絡(luò)的動(dòng)態(tài)隧道技術(shù),除了PPP(Point to Point Protocol),還支持以太網(wǎng)、Frame-relay和ATM(Asynchronous Transfer Mode,異步傳輸模式)等其他二層負(fù)載。相比前三種接入方式,由于全部流量都被封裝在UDP或者IP(l2tp over udp or l2tp over ip)報(bào)文中,加上PPP的開(kāi)銷(xiāo),L2TP的負(fù)荷效率最低。而且,封裝之后也增加了網(wǎng)絡(luò)流量分析中的拆包工作。Windows XP及VISTA自帶L2TP客戶(hù)端,缺省和IPSEC綁定,為了提高效率,需要修改注冊(cè)表解除和IPSEC的綁定。盡管有上述不足,L2TP仍舊是校園網(wǎng)接入Internet的一個(gè)不錯(cuò)的選擇,如圖2所示。

首先,由于L2TP運(yùn)行在包交換網(wǎng)絡(luò)之上,對(duì)接入層的設(shè)備沒(méi)有特別的要求,比如第一種方案要求匯聚交換機(jī)支持QINQ,第二種方案中802.1x在某些應(yīng)用特性的要求下,認(rèn)證平臺(tái)和交換機(jī)必須是同一個(gè)廠(chǎng)商的產(chǎn)品等。其次,隨著中國(guó)電信、中國(guó)聯(lián)通和中國(guó)移動(dòng)擁有全業(yè)務(wù)牌照之后,寬帶接入網(wǎng)的競(jìng)爭(zhēng)也勢(shì)必激烈起來(lái)。采用L2TP方式可以同時(shí)引入多家運(yùn)營(yíng)商為學(xué)生提供寬帶接入服務(wù),而競(jìng)爭(zhēng)必然帶來(lái)服務(wù)的提升和價(jià)格的下降。當(dāng)前市場(chǎng)上支持該技術(shù)方案的設(shè)備也較多,包括寬帶接入設(shè)備BAS、BRAS或VPN網(wǎng)關(guān),如JUNIPER的ERX系列BRAS寬帶接入服務(wù)器,HUAWEI的MA5200G,CISCO的ASA5500等。其三,BAS/BRAS能夠?qū)尤胗脩?hù)進(jìn)行嚴(yán)格的流量控制,可以引入成熟的用戶(hù)管理機(jī)制,并且擁有海量的L2TP隧道終結(jié)能力。其四,L2TP方式接入Internet,不改變校園網(wǎng)的網(wǎng)絡(luò)拓?fù)?保留了校園網(wǎng)原有的包交換網(wǎng)絡(luò)結(jié)構(gòu)。

四、同時(shí)訪(fǎng)問(wèn)校內(nèi)網(wǎng)與運(yùn)營(yíng)商網(wǎng)

圖1和圖2的方案中,用戶(hù)在撥號(hào)后將無(wú)法正常訪(fǎng)問(wèn)校內(nèi)網(wǎng)和教科網(wǎng),因?yàn)閷拵нB接或者L2TP連接建立后將修改本機(jī)的缺省網(wǎng)關(guān)。在Windows操作系統(tǒng)中,還需要關(guān)注適配器的訪(fǎng)問(wèn)次序,特別是DNS,用戶(hù)的網(wǎng)絡(luò)服務(wù)程序?qū)凑者m配器的訪(fǎng)問(wèn)次序逐個(gè)嘗試域名解析。除了在用戶(hù)的系統(tǒng)上增加訪(fǎng)問(wèn)內(nèi)網(wǎng)及教科網(wǎng)的靜態(tài)路由之外,如果內(nèi)網(wǎng)卡的訪(fǎng)問(wèn)次序排在寬帶連接或者L2TP連接之前,會(huì)造成運(yùn)營(yíng)商的用戶(hù)使用校園網(wǎng)的DNS來(lái)進(jìn)行域名解析。Windows的網(wǎng)絡(luò)連接窗口中高級(jí)設(shè)置可用于設(shè)定適配器的訪(fǎng)問(wèn)次序,確保寬帶連接或者L2TP連接即遠(yuǎn)程訪(fǎng)問(wèn)連接排在首位,如圖3所示。

但是,在XP或者Windows 2000等操作系統(tǒng)中,該操作有時(shí)會(huì)是無(wú)效的,即無(wú)法通過(guò)該菜單有效修改適配器的訪(fǎng)問(wèn)次序,只能通過(guò)修改注冊(cè)表表項(xiàng)HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipLinkage中的BIND參數(shù),將其中的DEVICENdisWanIp行放在其他接口設(shè)備之上,如圖4所示。

在確保正確的適配器訪(fǎng)問(wèn)次序后,內(nèi)網(wǎng)資源的域名解析可以通過(guò)在客戶(hù)端Hosts文件中設(shè)置內(nèi)網(wǎng)資源的域名記錄來(lái)解決。也可以在校內(nèi)架設(shè)一臺(tái)DNS服務(wù)器,校內(nèi)資源由它直接解析,校外資源則根據(jù)用戶(hù)的IP段選擇相應(yīng)的轉(zhuǎn)發(fā)服務(wù)器(運(yùn)營(yíng)商的DNS服務(wù)器)。內(nèi)網(wǎng)的靜態(tài)路由可以通過(guò)DHCP服務(wù)器249選項(xiàng)動(dòng)態(tài)下發(fā)給客戶(hù)端。

五、結(jié)論

校園網(wǎng)委托運(yùn)營(yíng)商運(yùn)營(yíng)的案例越來(lái)越多,中國(guó)電信的數(shù)字校園也在強(qiáng)勢(shì)推廣。運(yùn)營(yíng)商總是希望接入網(wǎng)用戶(hù)之間是隔離的,這樣安全性高,易于管理。而校園網(wǎng)建設(shè)的初衷和Internet一樣,要求互聯(lián)互通,資源共享,是一張開(kāi)放的、基于IP的網(wǎng)絡(luò)。如果按照運(yùn)營(yíng)商的建設(shè)思路,校園網(wǎng)有可能會(huì)被PPP沙漠化。學(xué)?；谛@網(wǎng)資源共享,建設(shè)校園網(wǎng)絡(luò)文化的努力也會(huì)大打折扣。采用L2TP方式為用戶(hù)提供Internet接入的方案可以較好地解決這一矛盾。一方面,校園能夠引入運(yùn)營(yíng)商所擅長(zhǎng)的網(wǎng)絡(luò)接入服務(wù),同時(shí),又保留了校園網(wǎng)原有的三層網(wǎng)絡(luò)結(jié)構(gòu),師生在享用運(yùn)營(yíng)商提供的高質(zhì)接入服務(wù)的同時(shí),仍然能夠通過(guò)校園內(nèi)網(wǎng)高速訪(fǎng)問(wèn)學(xué)校的數(shù)字資源。

參考文獻(xiàn):

[1]黃國(guó)賢,李斌奇,王以勒.VPN實(shí)現(xiàn)“走出去”與“引進(jìn)來(lái)”[J].中國(guó)教育網(wǎng)絡(luò),2008(9):14.

[2]IETF,RFC3931,Layer Two Tunneling Protocol - Version 3 (L2TPv3),2005.

[3]邢小良.關(guān)于寬帶IP網(wǎng)的認(rèn)證計(jì)費(fèi)方式的探討[J].電信科學(xué),2001(10):48-49.