东北财经大学与多运营商联合运营实践

邹鹏 李锴淞 任永奎 刘世忠

[摘    要] 随着移动互联网应用的普及，越来越多的学生不再使用传统的有线网络方式，为了方便学生用户使用，简化运营商和校园网账号之间频繁切换，提供更好的用户网络体验，学校与运营商合作，采用BRAC方案，实现了校园网与运营认证的无缝对接。

[关键词] BRAC;校园网;运营

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 23. 062

[中图分类号] G645;TP311    [文献标识码]  A      [文章編号]  1673 - 0194（2019）23- 0145- 02

1      现状及问题

随着移动互联网应用的普及，越来越多的学生不再使用传统的有线网络方式，经过多期的无线校园网建设，校内移动终端已超过有线终端数量，校内业务流量模型由以前的文字转变为视频等大流量应用，校园网整体出口带宽需求增长迅猛，校外访问出口带宽费用巨大。因为出口带宽无法完全满足日益增长的用户终端，校内用户的网络体验一直无法得到大幅度的提升，本地运营商积极与学校开张相关合作，正好可以弥补出口带宽的不足，提升师生的上网体验。通过市场调研和与运营商沟通，目前主要有以下几种合作模式。

1.1   将宿舍网的运营维护交由第三方进行运维

校方网络中心主要负责办公网络的运维，在同样带宽的情况下，可以保证办公用户的使用体验和正常教学。在此种模式下学生上网不受管控，如第三方不能承担相应的安全管理，将会产生大量的负面效应，因此此方案不作为首选。

1.2   学校与运营商进行联合运营，学校与运营商通过明确的出口边界隔离

以校园网出口为边界，校园网以内部分，由学校负责管理，进行实名制认证。出校园网后，由运营商负责管理，校园网账号与运营商账号对接，进行实名制认证。最终要求做到如下效果：①联合运营后，不改变学生的任何使用习惯，认证页面，方式，缴费方式（学生一卡通圈存缴费），报修方式均保持和联合运营前一致。②对现有校园网拓扑改动最小，只需要对运营商提供的线路进行提速扩容和优化选路。③按运营商的级别优化校园基础设施的建设和运维。④为了保证用户的体验，不能让学生多次认证。校园网学生现有上网账号需要与运营商BOSS系统实现联动，实现学生用户使用校园网账号拨号成功后，按已注册的运营商套餐计费管理。例如：如果该学生办理了运营商的相关优惠套餐业务，拨号成功后，通过该运营商访问网络资源时，执行运营商的优惠套餐资费策略。校园网不再收取任何费用，只是认证记录。

2      技术方案

学校现有的网络拓扑是标准的以太网结构，通过出口路由器的三个接口，同时连接联通、电信和科研教育网三条出口线路。现在的路由策略是科研教育网出口主要是提供学术资源的查询与访问，因此所有访问高校资源、图书资源、招生就业等都通过策略路由将访问指向科研教育网出口，全校师生的其他网络访问需求通过其他两条运营商的出口。

东北财经大学是最早一批使用802.1X认证的单位，在2003年就已使用基于802.1X认证的接入交换机在用户接入端实现全网的802.1X认证。笔者在2005年发表的论文《东北财经大学宿舍区802.1x认证计费方案》中已对采用IEEE 802.1X认证的优点进行了描述，主要是：“当用户未通过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机的交换功能是关闭的，也就是说交换机无法像传统的通过查找目标MAC地址来进行交换，如果用户有业务报文是无法通过的。当用户通过认证后，受控端口闭合，端口状态为通过认证状态，此时交换机的交换功能打开，就和传统的交换方式一致了，用户的业务报文就可从顺利通过。因此，在采用802.1X认证计费系统后，对接入用户进行账号与MAC、端口等多元素绑定，在宿舍区对学生用户进行多元素复合绑定，以唯一确定用户身份。网络中的非法用户由于无法通过认证，支持802.1X的交换机此端口在物理上将此用户隔离在网络之外。有效地对用户进行接入控制， 保证只有申请开通的合法用户可以使用网络。每一个接入交换机的端口即相当于一个认证者，实现了最大程度的分布认证，既没有单点故障，同时又克服了传统的网关设备进行认证计费造成的严重的性能瓶颈。”

近些年，经过无线校园网的建设，校园内部建筑已经实现无线网络全覆盖，无线采用的是WEB portal认证方式。基于设备的MAC地址，还可以启用无线的无感认证。

通过十几年的认证系统建设，学校已经建成一套完整的有线无线一体的认证计费体系。实践证明，校园网现用的802.1X认证+WEB portal认证方式+无线无感认证是非常可靠稳定的。与学校的认证体系不同，运营商的认证采用是PPPoE的方式，通过宽带远程接入服务器（BRAS）进行认证与计费。因此，认证系统的转换和对接问题就成了联合运营的主要技术问题。

在运营模式和管理方式上，各方都沟通得非常顺利。在认证和计费的方式上，因运营商在大连市没有认证和计费系统的管理权限，必须要到辽宁省的总公司进行系统对接。经调研，各大运营商的辽宁省总公司尚未对认证计费系统进行开放，没有直接与外部系统（高校）对接的先例，单为学校进行系统对接可能性非常小，直接对接的方案基本不可行。

从学校角度看，如果改变校园网的认证方式，就必须改变校园网的拓扑结构和用户的使用习惯。经专家论证，改变校园网的认证方式除了要投入一笔不小的设备投资，还要对拓扑和安全设备进行很大的改动，最主要还是要改变校园用户的使用习惯，对整个管理模式的冲击太大，短时间内如操作不当可能会大大降低用户的使用体验，因此保留校园网原有的认证计费方式，采用一套转换模式，在不改变学校和运营商各自的认证计费系统的前提下，实现双方认证协议的互通，解决认证计费的问题就是本次项目的技术重点。

确定好技术方向后，技术组与原认证计费设备提供商进行了技术沟通，经技术调研，确定了采取市场上成熟可行的代拨方案实现校园网和运营商网络的一次同时认证。

虽然之前市场上有一些类似方案，但是均无法满足学校上述要求，需要根据运营商BOSS，AAA系统和学校现有运营系统做一些联合开发，才能实现全部功能。通过详细的技术论证与实地调研，最终选择了锐捷网络的BRAC方案加部分定制开发，解决了认证系统的无缝对接问题。

在网络拓扑方面，不用修改原有的拓扑结构。只需将出口设备更换为支持PPPOE代理拨号的路由设备，用于实现代理校园网用户拨号到运营商的BRAS设备。其工作原理，简单说就类似于在校园网出口放置一台大型的设备，模拟家庭宽带路由器的工作过程，实现用户拨号与运营商BoSS，AAA网络的互通。

具体实现过程如下：

第一步，由校园网内的用户发起认证，认证的方式不限制，可以是802.1X、WEB等方式，认证数据将通过相应的NAS设备将认证报文送给认证服务器;校园网内的认证RADIUS服务器接收到校园网内用户发起的上网认证后，会判断该用户是不是合法的用户，如其是合法的用户，将相关的认证信息发送给出口的路由器，由出口路由器模拟上網拨号方式，进行校园网内用户的PPPoE拨号。

第二步，集成了PPPOE功能的出口路由器，将校园网的认证转换成运营商的拨号方式，将数据传送至运营商的BRAS设备，进行PPPoE协议通讯，建立用户的PPPoE隧道，运营商BRAS设备将会把通过认证的结果反馈给带PPPOE功能的出口路由器，再由出口路由器转换成校园网的认证信息，将认证结果通知给校园网内的认证RADIUS服务器，如该用户是该运营商的合法用户且无欠费的正常用户状态，该用户会正常通过认证，正常使用运营商的资费套餐上网;如该用户状态异常，其将无法使用相关的网络服务。

第三步，出口路由器上需要具有用户信息管理模块，用于实时存储管理PPPOE在线用户的信息，按学校现有的用户量，至少出口路由需要维护不少于1.5万的用户PPPoE隧道，出口路由器需要具备较高的性能处理器能力。

3      使用效果

使用BRAC方案，学校方面的运维工作和联合运营之前，没有发生任何变化，没有增加网络信息中心的工作量。系统对接不需要考虑运营商的网络拓扑和计费模式，直接实现代拨功能，节省了大量计费系统对接的时间。

对于学生用户来说，具有非常好的易用性。用户不需要改变原有的上网模式，只需要用学号、密码拨号一次即可完成校园网和运营商网络的双认证。

对于运营商来说，无须考虑用户的接入方式，用户认证通过后，根据用户办理的套餐计费即可，管理简单灵活。

采用BRAC方案完全实现了原有的设计思想，现在已有12 161个用户和运营商的账号进行了绑定，5月份使用过运营商账号的用户为7 700人，6月份使用过运营商账号的用户为9 100多人，7月份使用过运营商的用户为9 300多人。学生用户中，运营商用户的绑定和使用率都超过了90%，系统在三个月的试运行期间，性能监控正常，没有发现服务器CPU异常过载和内存异常溢出的情况，软件与出口的77系列路由器配合默契，没有发现通讯异常中断或指令下发有误的情况。整体看，系统运行稳定、情况良好。

系统对接后，校内的认证管理方式没有发生变化，使用运营商线路的用户，按办理的资费套餐进行收费，并未增加双方的工作量。

4      结    语

按设计，后期会使用微哨系统建立虚拟服务座席，将运营商的业务办理人员、技术支持人员、管理人员和学校的业务办理人员、技术支持人员、管理人员按职能分配虚拟角色，按相应的职责和流程完成各自的工作任务，通过自助服务的方式，让用户使用手机就可以办理完全的闭环业务流程，提升用户的服务体验，提高用户的满意度。

主要参考文献

[1]罗金光，虞金华，先晓兵.高校校园网络授权运营模式探索与实践[J].中国教育信息化，2015（5）.

[2]李杰. 新建设模式下的高校校园网管理研究[J].软件导刊，2015（3）.

[3]张英俊.高校校园网建设商业化探讨[J].电脑开发与应用，2011（7）.

[4]史彦奎.高校无线网络建设与运营商合作模式研究.[J]黑龙江科技信息，2013（34）.

[5]米鲁沈，孙剑颖，邹鹏.东北财经大学宿舍区802.1x认证计费方案[J]. 教育信息化，2005（2）.