校园网建设的技术研究

程德怿

（上海市信息网络有限公司，上海 200081）

0 引 言

中国教育信息化十年规划中，要求通过整合、深化、扩建、新建等方法来规划教育项目的建设，使得教育信息化基础架构在功能、容量、可靠性、可用性、安全性等方面，跟上中国教育事业各方面发展的要求，并为今后的发展打好坚实基础。

纵观目前国内校园网建设和业务发展面临的各种挑战，主要存在以下几方面问题需要探索和解决[1-3]。

（1）如何实现网络无缝互通。通过网络和通信技术特别是无线网络技术，支持所有软件系统和硬件设备的连接，使学校教师和学生随时随地可以获得即时、迅速、安全、稳定的信息化网络环境。学校教师和学生可以根据教学需要和学习需要，自由应用台式电脑、笔记本、手机、平板等多种终端设备开展各类教学活动。

（2）如何提供开放的学习环境。教育的核心理念是创新能力的培养。校园面临要从“封闭”走向“开放”的诉求。因此，网络建设要支持拓展资源环境，使学生突破课堂与教科书的限制，拓展时间和空间环境，将学习从课堂拓展到课下，实现学生能够随时随地的学习。

（3）如何打造师生个性服务。以个性服务为理念，各种技术的应用均以有效解决教师与学生在校园生活、学习、工作中的诸多实际需求为目的，并使其成为现实中不可或缺的组成部分。

针对上述校园网信息化建设发展面临的三个问题，通过对主流校园网调研和对校园网现有技术的分析研究，了解校园信息化发展轨迹，寻找校园信息化发展趋势，比对差距，探寻经验，解决信息化管理+教学+学习方面的问题，形成全面的园区教育信息化服务体系，使教育信息化真正切合中国发展的战略定位。

1 校园网建设设计方法

1.1 网络的整体规划

校园网需要支持综合传输数据、语音及视频的高性能和高可靠环境。为了保护投资在本着立足学校目前需求的基础上，需要使网络具备扩展延伸和升级能力，以满足教育不断增长的业务需求。同时，应具备高可靠性、冗余性，以保证网络安全、稳定运行，确保各应用子系统正常运行。

校园网日常使用环境中存在两种流量。一是东西流量，即网内互访流量，如学生访问校内图书馆流量，电子化教学教师和学生互动流量等，所以网内局部会出现高使用人数和高流量的特征；二是南北流量，即师生访问因特网流量，因出口带宽有限，需要对流量进行汇聚和收敛。

根据以上使用特点，校园网络应考虑以万兆网络为骨干、千兆网络到桌面、千兆无线到终端，网络架构遵循扁平化原则，采用核心层+接入层的两层架构。对于高密度场地，可适当增加部分汇聚点。两层架构可以避免出现过多网络节点，有效缓解局部网络压力，减少网络故障点，降低网络建设成本和运维成本，提高网络优化效率，并有助于加强网络的可靠性和稳定性。

有线网络接入层设备应考虑采用千兆交换机。校园网有线网络核心设备则为万兆三层交换机，核心逻辑上具有核心+汇聚层次。大二层网络中，对于操场、食堂、体育馆和图书馆等公共区域，提供WLAN网络，通过部署AP进行无线覆盖，用户之间需要做互访隔离，三层网关部署在核心交换机上。对于教研室、办公室等办公区域，用户允许互访不做隔离，三层网关设置在汇聚交换机上。

校园无线网络需要同时接入大量的学生终端，且承载各种多媒体课件。无线终端数量增加迅速，种类繁多，要求无线校园网具有良好的终端兼容性和高密度终端接入能力，并提供稳定、高性能的无线网络连接。因此，应考虑高密度AP。校园网内无线终端种类多样，包括平板电脑、智能终端、笔记本电脑、无线打印机和无线投影仪等。要求无线校园网支持Bonjour、DLNA、UPnP等零配置设备发现协议的识别、代理和优化，以实现终端设备跨子网发现和共享服务。作为校园无线接入基础平台，无线校园网具有应用的开放性，能提供完备的数据实时上传、查询、导出和更新机制，并能够与相关应用系统结合，实现校内导航、信息推送等功能。根据校园无线网络应用和需求特点，应采用全分布式的AC+AP网络架构，实现学校的无线网络覆盖。

1.2 有线无线统一认证

校园网内用户身份各异，包括本校学生、本校教师、外校教师以及领导等，使得校园网必须具有基于身份角色的动态策略控制机制。要支持多种身份认证方式，能依据用户身份、时间和地点灵活控制每个用户的访问权限、带宽策略、连接数策略和路由策略，甚至各不相同的认证欢迎页面。

目前，校园网常用的准入接入方案有以下几种[2]：

（1）基于802.1x：主流操作系统支持，有线设备需客户端，移动设备无相应客户端，只能在二层网络中做认证；

（2）基于MAC地址认证：基于端口和MAC地址对用户的网络访问权限进行控制认证，不需要用户安装任何客户端软件，不需手动输入用户名或者密码；

（3）WEB Portal认证：①可实现无客户端的认证；②可在二、三层网络中部署；③能定制Portal认证界面；

（4）PPPoE技术：点对点协议，不支持组播，不适合视频教育和视频会议，移动设备无相应的客户端；

（5）IPoE技术：采用DHCP+OPTION扩展字段进行认证，采用终端的VLAN ID、MAC作为认证标识，无需客户端软件，适合视频监控、VoIP等零配置需求的终端。

802.1 x和PPPoE在有线环境下都需要客户端，部署工作量大，不适合校园网大规模部署。MAC认证和IPoE技术不能实现用户名和密码认证，对接入用户身份的维护性差，不适合单独使用。因此，综合考虑分析认为，Portal认证是大、中学校园网较合适的认证方式。图1为Portal的认证过程。

有线认证方案采用传统的Portal认证方案。将每个学校的核心交换机设置为Portal网关，统一做HTTP重定向至Portal Server，由Server弹送认证页面。无线认证方案在Portal认证的基础上，通过无线控制器和Radius服务器配合，实现了“一次接入，多次使用”的智能终端无感知认证方案，解决了传统PEAP、Portal认证的终端兼容性和易用性难题，是智能终端接入认证的理想方式，由此实现了有线和无线的统一认证。无感知认证步骤，如图2所示[3]。

图1 Portal认证过程

图2 无线PROTAL认证流程

（1）用户从DHCP获取IP地址；

（2）AC监测用户；

（3）AC发起MAC查询请求；

（4）发现MAC“已绑定”反查用户名和密码，自动完成认证；

（5）如果“未绑定”，AC向手机终端推送Portal页面进行正常认证流程，认证成功后进行MAC绑定；

（6）Portal认证成功后，AC放行用户访问Internet和校园内网，并告知服务器用户上线。通知消息中包含MAC、用户名和User-Agent信息。同时，在认证上增加重新认证时间阀值，即在阀值内用户不需要重认证，提升了用户感受。

1.3 实现基于身份角色的策略控制

网络访问控制设计的关键点是对不同用户进行不同的策略控制。图3为访问控制策略示意图。用户策略是指用户认证通过后，基于用户角色对可访问网络资源进行的安全控制。通过授权策略，可防止非法用户接入园区内网，限制用户访问非授权的机密资源和外部网站。在AAA认证授权审计中，基于用户组对用户实施端到端的策略管理。用户组是用户的策略属性，可以基于用户组定义用户授权策略。例如，指定用户可访问的服务器资源、带宽控制、用户授权等属性[4]。

通过Radius认证服务器，根据认证用户的身份角色，将下发不同的用户访问权限策略至AC和有线设备，从而实现根据用户身份、接入时间、接入地点来给予不同的访问权限，满足学校师生差异化的认证接入需求。例如，学生上课时间不得接入外网；一般访客可访问因特网，但无法访问校内资源等。

图3 访问控制策略

1.4 实现跨校区接入统一认证授权

学校中存在师生经常到分校授课和学习的情况，因此校园网需要具备跨校区接入统一认证授权的功能。目前，经过调研发现，基本所有学校的信息化环境中都会存在LDAP（轻量级目录访问协议）系统，或者是SQL、ORACLE数据库。每个分校的教师和学生用户信息都由LDAP或者SQL、ORACLE数据库系统进行管理。如果各分校师生经常移动教学，则认证服务器可以从目录或数据库系统中同步用户信息。通过部署核心+分支的目录或数据库服务器，建立实现各分校统一身份系统，与各分校认证服务器配合，实现跨校区身份认证。同时，可以在学校出口配置上网行为管理设备与radius认证服务器联动，实现基于用户名的行为审计，并为师生提供不同应用的流量带宽控制[5]。

以B校教师在A校上公开课为例。他使用手机和自己学校的用户名密码，认证上网的认证流程如下：B校教师通过手机连A校无线，屏幕弹出网页，输入用户名、密码；输入用户名密码后，认证请求送达认证服务器；认证服务器并不保存用户名密码以及权限，而是到A校的身份认证平台服务器获取这些信息；A校服务器没有发现B教师的用户名密码，于是到中心服务器验证B教师的用户名、密码、权限；中心统一身份服务器与A校服务器存在信任关系，服务器取得B教师的信息，然后回送给A校认证服务器。

2 实验

本实验以上海开放大学校园实际网络环境为基础，以loadrunner 8.0性能测试软件模拟用户数和网络压力，对采用本技术研究成果的校园网进行改进前和改进后的对比测试。改造后每个分校核心为2台华为S7600万兆交换机，接入为华为S5700千兆交换机，无线AP为WA4300i和WA4320i，园区内任意一点WiFi覆盖信号RSSI值大于-65 dBm。

2.1 网内延时

测试主要是模拟用户访问校内网站主页，通过loadrunner来模拟用户并发访问，记录用户的访问延时，并计算并发延时平均值，结果如图4所示。

图4 平均网内延时对比

测试结果显示，由于改造后万兆为骨干、千兆到桌面和无线，网络延时明显比改造前低。

2.2 认证延时

通过loadrunner模拟本地用户和跨校用户认证登录网络。测试中，50%的模拟用户接入以太网，50%的模拟用户接入WiFi，同时以并发形式认证登录，最终并发认证响应时间对比结果如图5所示。

图5 并发认证响应时间对比

可以看到，本地延时较低，跨校延时由于访问总部网络和数据库服务器，较本地认证增加了部分延时。

2.3 丢包率

测试以Loadrunner模拟用户，共4台服务器，每台服务器最多模拟1 000用户，每户用户1 MB流量，用户两两之间进行数据传输。由测试软件记录丢包率，则结果如图6所示。

图6 丢包率对比

从测试结果可以看到，经过网络改造后的丢包率为0，而改造前的网络随着用户的增加和流量的增加，均出现了明显的丢包率。

3 结 论

通过本次校园网项目的研究，一方面对国内国际的领先校园网进行调研，吸取先进技术和设计理念，另一方面对国内校园网进行设计，重点关注设计为师生量身打造即时、迅速、安全、稳定的信息化环境。因此，本项目的成果也可在其他重要大学、中学信息化建设中应用和推广。

研究结果显示了我国在校园信息化规划设计、运维管理和业务提供等方面与业界领先者的差距，明确了近期目标和远期规划，为校园网的建设和发展开拓了思路，并在此基础上形成了设计方案。因此，要看到国内校园网自身的优势所在，利用好现有优势，因地制宜，缩小与领先者的差异，甚至实现超越，需要认真思考和探索。

当前，在建设浦东新区26所示范性高中校园网、上海开放大学信息化项目以及武汉理工大学校区的规划过程中，可将该研究成果直接应用于实际建设，推动信息化教育发展。此外，这一研究成果也为中国校园网的规划设计提供了重要的技术理论基础，可作为校园网信息化建设样板予以推广。

参考文献：

[1] 武 装，田 鹏.校园网组建管理与维护[M].北京：机械工业出版社，2014：35-38.

[2] 张民生.上海市中小学校园网建设指南[M].上海科技教育出版社，2002：56-57.

[3] 丁卫泽，陈 巧，张 静，等.中小学校园网建设与应用全程指导[M].北京：科学出版社，2013：125-129.

[4] Rene M.Campus Network Design Basics[M].Cisco Press，2015：7-8.

[5] Michael.Campus Network for High Availability Design Guide[M].Cisco Press，2008：17-18.