基于BRAS設(shè)備的校園網(wǎng)絡(luò)認(rèn)證的研究與應(yīng)用

吳禮樂(lè)

（中國(guó)石油大學(xué)（北京）信息技術(shù)中心，北京 102249）

校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)平臺(tái)，在學(xué)校各項(xiàng)工作中發(fā)揮著重要作用。在信息技術(shù)飛速發(fā)展的背景下，高校信息化進(jìn)程的深度和幅度日益提升，對(duì)校園網(wǎng)的管理、性能和安全性的要求也在不斷提高[1]。隨著校園WLAN的普及、云計(jì)算的發(fā)展、校園網(wǎng)用戶數(shù)量的增加以及網(wǎng)絡(luò)業(yè)務(wù)、用戶需求的多樣化,校園網(wǎng)的功能定位已經(jīng)逐步從滿足接入功能為主轉(zhuǎn)向可管理、可運(yùn)維、滿足日益豐富的業(yè)務(wù)需求為主,需要網(wǎng)絡(luò)能承載數(shù)據(jù)、視頻、組播、W L AN等多種業(yè)務(wù),及對(duì)不同業(yè)務(wù)提供區(qū)分服務(wù)。傳統(tǒng)的基于三層交換架構(gòu)的網(wǎng)絡(luò),在實(shí)際使用過(guò)程中存在諸多難以解決的問(wèn)題,如：無(wú)法實(shí)現(xiàn)用戶的精細(xì)化管理、ARP病毒和搶占帶寬等行為難以徹底解決、管理維護(hù)難度較大、用戶體驗(yàn)差,已經(jīng)難以滿足日益增長(zhǎng)的多業(yè)務(wù)需求。為了解決以上問(wèn)題，BRAS設(shè)備扁平化校園網(wǎng)絡(luò)方案在各高校逐步得到應(yīng)用。通過(guò)認(rèn)真分析校園網(wǎng)絡(luò)扁平化架構(gòu)的優(yōu)缺點(diǎn)，結(jié)合我校網(wǎng)絡(luò)實(shí)際情況，探索一種適合我校自身特色的校園網(wǎng)絡(luò)認(rèn)證模式，適應(yīng)和滿足國(guó)家法律和政策對(duì)于校園網(wǎng)用戶的行為要求；降低校園網(wǎng)的管理難度和減少維護(hù)工作量；滿足各類(lèi)業(yè)務(wù)和應(yīng)用的拓展[2]?？傊獙?shí)現(xiàn)整個(gè)校園網(wǎng)的高性能、易管理、精細(xì)化網(wǎng)絡(luò)、提供不同業(yè)務(wù)、實(shí)現(xiàn)用戶實(shí)名制認(rèn)證的校園網(wǎng)絡(luò)。

1 網(wǎng)絡(luò)現(xiàn)狀分析

中國(guó)石油大學(xué)（北京）采用了傳統(tǒng)的三層網(wǎng)絡(luò)組網(wǎng)架構(gòu)，即核心—匯聚—接入的三層網(wǎng)絡(luò)結(jié)構(gòu)。以核心交換機(jī)H3C 9508E為中心，通過(guò)萬(wàn)兆或千兆下聯(lián)至匯聚交換機(jī)H3C 5800，匯聚交換機(jī)千兆下聯(lián)至接入交換機(jī)，接入交換機(jī)千兆或百兆到桌面；核心交換機(jī)通過(guò)萬(wàn)兆上聯(lián)至流控設(shè)備網(wǎng)絡(luò)掌門(mén)20000，流控設(shè)備萬(wàn)兆上聯(lián)至校園網(wǎng)出口防火墻山石X6150，通過(guò)防火墻分別接入了中國(guó)教育網(wǎng)、中國(guó)聯(lián)通和中國(guó)移動(dòng)三家互聯(lián)網(wǎng)供應(yīng)商，出口總帶寬2.3 G，防火墻通過(guò)靜態(tài)路由和策略路由選擇運(yùn)營(yíng)商線路；數(shù)據(jù)中心服務(wù)器交換機(jī)通過(guò)萬(wàn)兆上聯(lián)核心交換機(jī)，千兆下聯(lián)各服務(wù)器；用戶通過(guò)鄰居發(fā)現(xiàn)協(xié)議獲取IPv6地址，核心交換機(jī)直聯(lián)IPv6網(wǎng)絡(luò)出口至IPv6網(wǎng)絡(luò)，IPv6出口總帶寬2G，不經(jīng)過(guò)流控設(shè)備轉(zhuǎn)發(fā)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)清晰簡(jiǎn)潔，校園網(wǎng)絡(luò)拓?fù)淙鐖D1。全網(wǎng)采用RIP和RIPng路由協(xié)議，用戶通過(guò)IPv4和IPv6雙棧模式訪問(wèn)互聯(lián)網(wǎng)，但沒(méi)有統(tǒng)一認(rèn)證，網(wǎng)絡(luò)故障排查困難，日常運(yùn)維工作量大,校園網(wǎng)出口壓力大。在校園網(wǎng)實(shí)際運(yùn)行中，存在管理運(yùn)維復(fù)雜、上網(wǎng)監(jiān)管困難等問(wèn)題，校園網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)行模式已不能滿足管理和服務(wù)的需要，矛盾日益突出，主要表現(xiàn)在以下方面：

1)認(rèn)證計(jì)費(fèi)不統(tǒng)一

圖1 校園網(wǎng)絡(luò)拓?fù)鋱DFig.1 Campus network topology

長(zhǎng)期以來(lái)，我校有線網(wǎng)沒(méi)有采用用戶認(rèn)證上網(wǎng)的方式，其中辦公區(qū)有線網(wǎng)采用靜態(tài)IP分配方式上網(wǎng)，教職工需要親自到信息技術(shù)中心申請(qǐng)IP地址，辦公區(qū)接入交換機(jī)品牌有北電、華三、華為、銳捷；學(xué)生宿舍區(qū)有線網(wǎng)采用在接入交換機(jī)端口綁定MAC地址+DHCP獲取地址的方式，學(xué)生宿舍區(qū)全部采用北電交換機(jī)，針對(duì)北電交換機(jī)開(kāi)發(fā)了批量綁定交換機(jī)端口與繳費(fèi)用戶的計(jì)算機(jī)MAC地址的管理軟件。

2012年開(kāi)始大規(guī)模建設(shè)校園無(wú)線網(wǎng)絡(luò)，至今全校已部署AP數(shù)量1 000臺(tái)，覆蓋了除學(xué)生宿舍區(qū)之外的所有樓宇和操場(chǎng)等空曠的室外區(qū)域，無(wú)線網(wǎng)采用在H3C 5800匯聚交換機(jī)三層vlan接口上開(kāi)啟Portal重定向和深瀾認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接認(rèn)證的方式。經(jīng)過(guò)兩年的運(yùn)行，發(fā)現(xiàn)了不少問(wèn)題，例如：匯聚交換機(jī)Portal支持的用戶少、性能差，沒(méi)有用戶流量update報(bào)文發(fā)送給深瀾計(jì)費(fèi)系統(tǒng)進(jìn)行用戶流量統(tǒng)計(jì)，不能實(shí)現(xiàn)用戶無(wú)流量自動(dòng)下線。

因?yàn)槲倚Ｓ芯€網(wǎng)和無(wú)線網(wǎng)一直以來(lái)沒(méi)有實(shí)行統(tǒng)一認(rèn)證，用戶申請(qǐng)入網(wǎng)工作繁瑣，上網(wǎng)方式不一，用戶體驗(yàn)差、抱怨多，也給日常管理工作帶來(lái)了一系列問(wèn)題。

2)網(wǎng)絡(luò)運(yùn)維復(fù)雜

學(xué)校IPv4網(wǎng)絡(luò)共3條出口鏈路，連接3個(gè)不同的互聯(lián)網(wǎng)運(yùn)營(yíng)商。由于運(yùn)營(yíng)商的路由數(shù)目眾多，而且路由信息更新較快，所以需要定期檢查并及時(shí)更新出口路由表，進(jìn)行路由優(yōu)化。同時(shí)，為保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行，需要通過(guò)流控設(shè)備長(zhǎng)期對(duì)校園網(wǎng)出口流量進(jìn)行優(yōu)化，限制P2P下載、在線視頻等與日常工作和學(xué)習(xí)無(wú)關(guān)的應(yīng)用，緩解校園網(wǎng)出口壓力。

現(xiàn)在的校園網(wǎng)結(jié)構(gòu)、用戶管理和IP管理方式給日常運(yùn)維帶來(lái)巨大的工作量。例如：辦公區(qū)域用戶盜用IP地址，教工用戶改變辦公樓宇時(shí)需要重新到信息技術(shù)中心辦理變更業(yè)務(wù)，人工催繳網(wǎng)費(fèi)工作繁瑣；學(xué)生宿舍用戶自行修改MAC地址導(dǎo)致無(wú)法上網(wǎng)，學(xué)生宿舍區(qū)接入交換機(jī)只能使用北電品牌，運(yùn)行時(shí)間長(zhǎng)達(dá)10年，功能和性能差，不能防偽DHCP服務(wù)器、ARP欺騙，解決上述問(wèn)題占用時(shí)間多，處理故障較為困難。

3)出口帶寬壓力大

由于全校采用包月不限流量的計(jì)費(fèi)策略，校園網(wǎng)Internet出口帶寬有限，部分用戶無(wú)節(jié)制地在線視頻、使用P2P工具進(jìn)行下載，造成校園網(wǎng)出口擁塞，出口的擁塞又會(huì)造成更多用戶加入帶寬的爭(zhēng)搶?zhuān)率钩隹诟訐砣?，這必將導(dǎo)致網(wǎng)絡(luò)丟包嚴(yán)重，大量數(shù)據(jù)包重復(fù)發(fā)送，進(jìn)一步擁塞整個(gè)網(wǎng)絡(luò)，其最終結(jié)果就是整個(gè)網(wǎng)絡(luò)出現(xiàn)擁塞，所有用戶不能正常上網(wǎng)。所以，需要采取限制用戶在線視頻、P2P下載等應(yīng)用，限制每用戶的速度和會(huì)話數(shù)，保障出口防火墻的穩(wěn)定運(yùn)行，保障校園網(wǎng)用戶對(duì)瀏覽網(wǎng)頁(yè)、即時(shí)通信等關(guān)鍵應(yīng)用的暢通。

2 BRAS設(shè)備扁平化網(wǎng)絡(luò)架構(gòu)

1)網(wǎng)絡(luò)扁平化的趨勢(shì)

隨著高校校園網(wǎng)絡(luò)的發(fā)展和建設(shè)，網(wǎng)絡(luò)規(guī)模越來(lái)越大，結(jié)構(gòu)越來(lái)越復(fù)雜，用戶數(shù)量越來(lái)越多，網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富,采取的認(rèn)證模式也各不同一,有802.1x模式、網(wǎng)關(guān)計(jì)費(fèi)認(rèn)證模式等。各高校在建設(shè)校園網(wǎng)絡(luò)時(shí)普遍會(huì)遇到以下問(wèn)題：如何建設(shè)有線無(wú)線一體化的認(rèn)證計(jì)費(fèi)平臺(tái)；如何適應(yīng)和滿足國(guó)家法律和政策對(duì)于校園網(wǎng)用戶的行為要求；如何降低校園網(wǎng)的管理難度和減少維護(hù)工作量；如何滿足各類(lèi)業(yè)務(wù)和應(yīng)用的拓展。要解決以上這些問(wèn)題必須從網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式上進(jìn)行改變，而網(wǎng)絡(luò)扁平化架構(gòu)切中了解決這些問(wèn)題，將原有網(wǎng)絡(luò)各層的功能從邏輯上進(jìn)行了重新劃分，使得各層設(shè)備各盡其能，并重新部署業(yè)務(wù)模式。通過(guò)充分調(diào)研，部分高校已經(jīng)實(shí)施或正在計(jì)劃將原有的802.1x、網(wǎng)關(guān)認(rèn)證計(jì)費(fèi)等認(rèn)證計(jì)費(fèi)模式改造成BRAS網(wǎng)絡(luò)扁平化架構(gòu)[3]。

2)扁平化網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)扁平化通常意義下是指功能上和邏輯上的扁平化，其核心是減少網(wǎng)絡(luò)的中間層，使網(wǎng)絡(luò)架構(gòu)和形態(tài)變得更為簡(jiǎn)單，將網(wǎng)絡(luò)架構(gòu)從原來(lái)的三層甚至是多層轉(zhuǎn)變?yōu)槎?，業(yè)務(wù)控制層和寬帶接入層。業(yè)務(wù)控制層由BRAS核心設(shè)備構(gòu)成，替代原有網(wǎng)絡(luò)架構(gòu)中的核心交換機(jī)，提供統(tǒng)一的QinQ用戶終結(jié)、準(zhǔn)入認(rèn)證、業(yè)務(wù)控制等多種功能，滿足校園網(wǎng)大用戶量、高并發(fā)連接、差異化計(jì)費(fèi)的需求。寬帶接入層由匯聚交換機(jī)和接入交換機(jī)構(gòu)成，僅提供基本的戶帶寬接入功能和用戶之間的二層vlan隔離功能，匯聚交換機(jī)和接入交換機(jī)仍然使用網(wǎng)絡(luò)中正在運(yùn)行的現(xiàn)有設(shè)備，但是需要修改配置，在原有匯聚交換機(jī)接口上啟用QinQ功能，對(duì)用戶私網(wǎng)vlan進(jìn)行二次封裝，實(shí)現(xiàn)封裝后的二層用戶vlan透?jìng)鞯紹RAS核心設(shè)備，由原來(lái)的三層匯聚變成了大二層匯聚；在原有接入交換機(jī)上為每個(gè)下聯(lián)端口配置一個(gè)不同的用戶vlan，上聯(lián)端口設(shè)置為trunk允許所有用戶vlan通過(guò)到匯聚交換機(jī)，接入交換機(jī)每端口使用不同vlan將用戶隔離，防止ARP病毒等網(wǎng)絡(luò)攻擊。原有三層網(wǎng)絡(luò)的扁平化演變模型如圖2所示。

圖2 扁平化演變模型Fig.2 Flattening evolution model

3)扁平化網(wǎng)絡(luò)架構(gòu)的優(yōu)勢(shì)

①用戶和業(yè)務(wù)集中控制

扁平化架構(gòu)采用集中管理控制模式，由性能強(qiáng)、功能豐富的BRAS核心設(shè)備提供統(tǒng)一集中的用戶精細(xì)化管理和業(yè)務(wù)控制，有利于校園網(wǎng)各項(xiàng)業(yè)務(wù)和功能的部署，提高了校園網(wǎng)運(yùn)行的穩(wěn)定性和可靠性。

②網(wǎng)絡(luò)層次簡(jiǎn)潔清晰

扁平化架構(gòu)將傳統(tǒng)網(wǎng)絡(luò)中功能模糊的層次數(shù)量減少，功能清晰化，從而使整個(gè)網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)層次由復(fù)雜化轉(zhuǎn)變?yōu)楹?jiǎn)單化，將原有三層甚至多層網(wǎng)絡(luò)架構(gòu)演變?yōu)橐訠RAS設(shè)備為核心的大二層網(wǎng)絡(luò)架構(gòu)，有利于管理和維護(hù)，使得網(wǎng)絡(luò)有更高的效率。

③網(wǎng)絡(luò)易擴(kuò)展和管理

基于BRAS設(shè)備的扁平化校園網(wǎng)絡(luò)更有利于今后新功能、新業(yè)務(wù)的擴(kuò)展，業(yè)務(wù)功能只涉到BRAS核心設(shè)備，因此只需要考慮BRAS核心設(shè)備是否能夠支持這些業(yè)務(wù)特性即可，對(duì)于匯聚交換機(jī)和接入交換機(jī)這些設(shè)備，僅僅需要考慮接口的擴(kuò)充和上行帶寬的增加，網(wǎng)絡(luò)管理更加簡(jiǎn)單、高效。

④高可靠性和安全性

BRAS作為高性能、高可靠的網(wǎng)絡(luò)核心設(shè)備，很好地保障了校園網(wǎng)業(yè)務(wù)不中斷。匯聚層和接入層設(shè)備利用QinQ+VLAN隔離用戶，避免ARP病毒的大量傳播，提高校園網(wǎng)接入層的安全和穩(wěn)定。

⑤實(shí)現(xiàn)全網(wǎng)有線無(wú)線統(tǒng)一認(rèn)證

基于BRAS設(shè)備的扁平化網(wǎng)絡(luò)，與第三方認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接，實(shí)現(xiàn)有線無(wú)線統(tǒng)一的多元化認(rèn)證計(jì)費(fèi)，使校園網(wǎng)用戶可以方便地在任何一個(gè)地點(diǎn)實(shí)現(xiàn)校園網(wǎng)訪問(wèn)[5-6]。

4)扁平化網(wǎng)絡(luò)架構(gòu)的缺點(diǎn)

①BRAS核心設(shè)備壓力大

校園網(wǎng)絡(luò)扁平化之后，全網(wǎng)所有流量都通過(guò)BRAS設(shè)備，所有用戶都在BRAS上集中管理控制，所有業(yè)務(wù)都在BRAS上部署，對(duì)BRAS設(shè)備的性能和功能要求極高。BRAS核心設(shè)備壓力大，一旦出現(xiàn)故障將導(dǎo)致全網(wǎng)癱瘓，而且短時(shí)間內(nèi)難于修復(fù)。

②對(duì)現(xiàn)有網(wǎng)絡(luò)改動(dòng)大

基于BRAS設(shè)備的扁平化校園網(wǎng)絡(luò)，需要把BRAS設(shè)備替代原有的核心交換機(jī)，在BRAS設(shè)備上集中配置全網(wǎng)用戶和業(yè)務(wù)，原有匯聚交換機(jī)和接入交換機(jī)需要重新配置，用戶網(wǎng)段中存在大量服務(wù)器、水電計(jì)量等特殊設(shè)備的IP地址需要逐一排除認(rèn)證，以上這些網(wǎng)絡(luò)改動(dòng)工作量大，施工難度大，實(shí)施周期長(zhǎng)。

③同網(wǎng)段用戶通信問(wèn)題

由于采取了QinQ+vlan進(jìn)行用戶隔離，當(dāng)匯聚交換機(jī)出現(xiàn)故障時(shí)，即使同網(wǎng)段的用戶相互無(wú)法通信。

3 BRAS設(shè)備在我校校園網(wǎng)絡(luò)認(rèn)證中的應(yīng)用

1)對(duì)BRAS設(shè)備進(jìn)行網(wǎng)絡(luò)改造的思路及要求

以學(xué)校網(wǎng)絡(luò)信息化建設(shè)規(guī)劃為指導(dǎo)，按照整體規(guī)劃、分步實(shí)施為建設(shè)原則，認(rèn)真分析我校網(wǎng)絡(luò)的現(xiàn)狀及存在的問(wèn)題，掌握目前國(guó)內(nèi)外校園網(wǎng)絡(luò)認(rèn)證發(fā)展的前沿?zé)衢T(mén)技術(shù)，充分調(diào)研目前高校采取的BRAS設(shè)備網(wǎng)絡(luò)扁平化架構(gòu)模式，仔細(xì)分析校園網(wǎng)絡(luò)扁平化建設(shè)的優(yōu)勢(shì)和缺點(diǎn)，結(jié)合我校網(wǎng)絡(luò)的實(shí)際情況，提出我校BRAS設(shè)備網(wǎng)絡(luò)認(rèn)證改造建設(shè)的要求是：第一，對(duì)我校原有網(wǎng)絡(luò)架構(gòu)不做大改動(dòng)，部署三層接口bas認(rèn)證模式；第二，對(duì)新建網(wǎng)絡(luò)實(shí)施三層接口bas認(rèn)證模式或扁平化模式的靈活選擇；第三，實(shí)現(xiàn)有線無(wú)線統(tǒng)一認(rèn)證，與現(xiàn)有的第三方計(jì)費(fèi)軟件深瀾認(rèn)證計(jì)費(fèi)系統(tǒng)穩(wěn)定對(duì)接，有流量update報(bào)文，能實(shí)現(xiàn)用戶無(wú)流量自動(dòng)下線；第四，支持IPv4和IPv6雙棧，對(duì)IPv4網(wǎng)進(jìn)行認(rèn)證，對(duì)IPv6網(wǎng)實(shí)行免認(rèn)證；第五，能實(shí)現(xiàn)基于業(yè)務(wù)和目的地址的差異化計(jì)費(fèi)策略。

2)建設(shè)方案

按照我校網(wǎng)絡(luò)認(rèn)證改造建設(shè)的思路及要求,經(jīng)過(guò)前期的技術(shù)選型和招標(biāo),采購(gòu)了一臺(tái)華為BRAS設(shè)備ME60-X8，配置2塊10端口萬(wàn)兆業(yè)務(wù)板卡和2塊48端口千兆業(yè)務(wù)板卡，形成板卡級(jí)冗余，以ME60-X8為中心啟用有線無(wú)線統(tǒng)一的IPoEWeb認(rèn)證模式。對(duì)原有網(wǎng)絡(luò)拓?fù)涓淖內(nèi)缦拢?/p>

ME60-X8萬(wàn)兆串聯(lián)在核心交換機(jī)和流控之間,在ME60-X8下聯(lián)口啟用三層接口bas認(rèn)證，核心交換機(jī)上來(lái)的IP地址通過(guò)IP觸發(fā)行為進(jìn)行用戶認(rèn)證上線。

核心交換機(jī)以下結(jié)構(gòu)保持不變，辦公網(wǎng)改為動(dòng)態(tài)IP地址獲取方式，并在相應(yīng)各區(qū)域匯聚交換機(jī)上建立地址池，學(xué)生宿舍區(qū)取消接入交換機(jī)端口+MAC地址綁定的安全策略，改造之后全網(wǎng)用戶通過(guò)DHCP動(dòng)態(tài)獲取IP地址。學(xué)生宿舍接入交換機(jī)運(yùn)行至今已有十余年，今后適時(shí)逐步進(jìn)行更新改造，提高學(xué)生宿舍區(qū)域接入交換機(jī)的功能和性能，進(jìn)一步防止偽DHCP服務(wù)器、ARP病毒、非法配置靜態(tài)IP。

數(shù)據(jù)中心服務(wù)器前端交換機(jī)從核心交換機(jī)上移，萬(wàn)兆直聯(lián)ME60-X8，實(shí)現(xiàn)校內(nèi)網(wǎng)用戶訪問(wèn)數(shù)據(jù)中心服務(wù)器需要進(jìn)行認(rèn)證。

取消匯聚交換機(jī)無(wú)線用戶Portal重定向認(rèn)證，無(wú)線控制器從無(wú)線網(wǎng)匯聚交換機(jī)上移至ME60-X8，通過(guò)新增無(wú)線控制器前端交換機(jī)萬(wàn)兆上聯(lián)至ME60-X8，在ME60-X8上配置集中轉(zhuǎn)發(fā)用戶的地址池和二層子接口進(jìn)行bas認(rèn)證，無(wú)線網(wǎng)本地轉(zhuǎn)發(fā)用戶同有線網(wǎng)一樣通過(guò)IP觸發(fā)行為進(jìn)行用戶認(rèn)證上線。

利用ME60-X8改造后的校園網(wǎng)絡(luò)拓?fù)鋱D如圖3所示。3)用戶接入

對(duì)于有線網(wǎng)用戶和無(wú)線網(wǎng)本地轉(zhuǎn)發(fā)用戶來(lái)說(shuō)，在ME60下聯(lián)核心交換機(jī)的接口上建立兩個(gè)子接口，分別配置IPv4和IPv6地址，在核心交換機(jī)上聯(lián)接口上配置trunk和與ME60子接口對(duì)應(yīng)的兩個(gè)vlan并且允許兩個(gè)vlan通過(guò)。對(duì)IPv4的子接口配置三層接口bas認(rèn)證，對(duì)IPv6的子接口不配置認(rèn)證，從而實(shí)現(xiàn)了IPv4網(wǎng)需要認(rèn)證而IPv6網(wǎng)不需要認(rèn)證的功能。IPv4用戶通過(guò)IP觸發(fā)行為上線，此時(shí)處于認(rèn)證前域，只能訪問(wèn)Web認(rèn)證頁(yè)面和DNS服務(wù)器，客戶端打開(kāi)瀏覽器上網(wǎng)時(shí)頁(yè)面自動(dòng)調(diào)轉(zhuǎn)到深瀾Web認(rèn)證頁(yè)面，當(dāng)客戶端輸入用戶名和密碼認(rèn)證成功后即可訪問(wèn)校園網(wǎng)服務(wù)器和互聯(lián)網(wǎng)，此時(shí)用戶處在認(rèn)證域，在認(rèn)證域配置idle-cut命令實(shí)現(xiàn)用戶在指定時(shí)間段內(nèi)無(wú)流量自動(dòng)下線。

對(duì)于無(wú)線網(wǎng)集中轉(zhuǎn)發(fā)用戶來(lái)說(shuō)，在ME60上建立各用戶段的IPv4地址池和IPv6地址池，在下聯(lián)無(wú)線控制器交換機(jī)接口上建立各用戶段相應(yīng)的用戶vlan子接口并配置二層接口bas認(rèn)證。用戶通過(guò)ME60獲取IPv4地址之后，此時(shí)處于認(rèn)證前域，只能訪問(wèn)Web認(rèn)證頁(yè)面和DNS服務(wù)器，客戶端打開(kāi)瀏覽器上網(wǎng)時(shí)頁(yè)面自動(dòng)調(diào)轉(zhuǎn)到深瀾Web認(rèn)證頁(yè)面，當(dāng)客戶端輸入用戶名和密碼認(rèn)證成功后即可訪問(wèn)校園網(wǎng)服務(wù)器和互聯(lián)網(wǎng)，此時(shí)用戶處在認(rèn)證域，在用戶vlan子接口下配置arp探測(cè)實(shí)現(xiàn)指定時(shí)間段內(nèi)無(wú)arp報(bào)文自動(dòng)下線。用戶通過(guò)ME60獲取IPv6地址之后，不認(rèn)證即可訪問(wèn)IPv6網(wǎng)絡(luò)。

對(duì)于內(nèi)網(wǎng)中院系自建服務(wù)器等設(shè)備，需要免認(rèn)證對(duì)外提供服務(wù)，在ME60上建立一個(gè)免認(rèn)證域，通過(guò)layer3-subscriber命令指定服務(wù)器IP地址的認(rèn)證前域?yàn)槊庹J(rèn)證域。

4)有線無(wú)線統(tǒng)一認(rèn)證

ME60與深瀾認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)接，在全網(wǎng)有線無(wú)線采取IPoEWeb統(tǒng)一認(rèn)證方式，當(dāng)用戶上線到認(rèn)證前域時(shí)ME60將客戶端瀏覽器頁(yè)面自動(dòng)推送到深瀾Web認(rèn)證頁(yè)面，用戶認(rèn)證成功之后此時(shí)處在認(rèn)證域，可以訪問(wèn)校園網(wǎng)服務(wù)器和互聯(lián)網(wǎng)，ME60定時(shí)發(fā)送流量update報(bào)文到深瀾認(rèn)證計(jì)費(fèi)系統(tǒng)AAA服務(wù)器進(jìn)行計(jì)費(fèi)，深瀾計(jì)費(fèi)系統(tǒng)支持各種不同終端類(lèi)型，支持Windows、Android、iOS等操作系統(tǒng)的瀏覽器。

5)內(nèi)外網(wǎng)區(qū)分限速計(jì)費(fèi)

由于校園網(wǎng)用戶訪問(wèn)校內(nèi)服務(wù)器不計(jì)流量不限速，訪問(wèn)校外計(jì)流量限速，需要實(shí)現(xiàn)差異化計(jì)費(fèi)策略，在ME60上配置增值業(yè)務(wù)DAA（目的地址計(jì)費(fèi)），定義限速的QOS模板和不計(jì)費(fèi)的accounting模板，結(jié)合acl訪問(wèn)控制來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)差異化業(yè)務(wù)控制。

圖3 利用ME60-X8改造后的校園網(wǎng)絡(luò)拓?fù)鋱DFig.3 Campus network topology after using ME60-X8 to reform

6)新建網(wǎng)絡(luò)

對(duì)于今后學(xué)校新建樓宇網(wǎng)絡(luò)，全新部署匯聚和接入設(shè)備，采用網(wǎng)絡(luò)扁平化方案，匯聚交換機(jī)啟用QinQ，上行萬(wàn)兆或千兆直聯(lián)ME60-X8，接入交換機(jī)每端口劃分不同的vlan，實(shí)現(xiàn)用戶隔離。

4 結(jié)束語(yǔ)

中國(guó)石油大學(xué)（北京）通過(guò)采用華為ME60-X8 BRAS設(shè)備來(lái)改造校園網(wǎng)絡(luò)，實(shí)現(xiàn)了全網(wǎng)有線無(wú)線統(tǒng)一認(rèn)證，網(wǎng)絡(luò)建設(shè)取得了歷史性的突破，實(shí)現(xiàn)了用戶精細(xì)化管理，提高了用戶體驗(yàn)度，降低了運(yùn)維管理難度，滿足了日益增長(zhǎng)的業(yè)務(wù)需求，網(wǎng)絡(luò)運(yùn)行質(zhì)量得到大幅改善，提升了學(xué)校信息化建設(shè)的水平。

[1]劉春艷.校園網(wǎng)扁平化架構(gòu)的研究與設(shè)計(jì)[J].信息與電腦：理論版,2014(4):35-36.LIU Chun-yan.Research and design of campus network flat architecture[J].China Computer&Communication,2014(4):35-36.

[2]繆其勇.基于扁平化理論優(yōu)化設(shè)計(jì)校園網(wǎng)[J].電腦知識(shí)與技術(shù),2014,10（18）:4155-4157.MIU Qi-yong.Optimailly design campus network based on flattening theory[J].Computer Knowledge and Technology,2014,10(18):4155-4157.

[3]吳乃忠.基于扁平化架構(gòu)的下一代高校校園網(wǎng)的建設(shè)研究[J].電子世界,2012(18):28-29.WU Nai-zhong.Study of construction of next-generation campus network based on flat architecture[J].Electronics World,2012(18):28-29.

[4]湯小康.扁平化的校園網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)[J].信息與電腦(理論版)，2014(7):62-63.Tang Xiao-kang.Flattened campus network architecture design[J].China Computer&Communication,2014(7):62-63.

[5]吳宇平，徐俊波，張智萍.校園網(wǎng)扁平化改造優(yōu)化管理[J].中國(guó)教育網(wǎng)絡(luò)，2014(11):44-47.WU Yu-ping,XU Jun-bo,ZHANG Zhi-ping.The campus net flattening transformation optimization management[J].China Education Network,2014(11):44-47.

[6]王佶，鄒池佳，江肖強(qiáng).校園WLAN扁平化部署和精細(xì)化管理的探索與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012(4):69-71.WANG Ji,ZOU Chi-jia,JIANG Xiao-qiang.Exploration and practice of campus WLAN flat deployment and fine management[J].Network Security Technology&Application,2012(4):69-71.