多网融合的智慧校园业务随行架构设计与实现

王理想 廖永红 郭润峰 何志勇

（广东轻工职业技术学院信息化建设中心 广东省广州市 510000）

高等院校在前期信息化建设过程中已经建成了全面覆盖的有线网络，广泛覆盖的无线网络，运营商也积极对校园进行了5G 网络覆盖，在新一轮以智能为主题的智慧校园建设中，如何实现有线+无线+5G 的融合，实现资源互通，并实现统一安全认证、业务随行、基于用户组选路的业务能力，为用户提供无感、智能、泛在的网络接入能力是当前智慧校园研究的重点。

1 网络现状

随着校园信息化建设的持续推进，各高校在基础网络、业务系统、安全保障系统、后勤服务系统都已具有一定规模。有线无线融合的校园网络为用户提供随时随地快捷的网络接入，为智慧校园建设提供基础保障。校园各类系统建设已基本完成，办公发文、项目管理、考勤人事、学生管理等均有线上系统支撑，基本已实现无纸化办公。虽然基础网络、业务系统已经初具规模，但是还停留在网络可接入、业务可访问、网络可达的基本需求，没有实现校园网的智能化、智慧化、资源充分利用[1]，且网络接入层体量巨大，改造升级涉及资金投入大，其中主要表现在以下几个方面：

（1）网络隔离、资源浪费：5G/4G 网络校园覆盖率高，但是没有跟校园网打通，校内资源无法通过5G 访问，校园网自建有线、无线网络资金投入大，运维压力大，因为网络隔离造成资源、资金、人员的巨大浪费。

（2）有线无线、不同认证：有线认证需要安装客户端，无线认证采用http+portal 认证方式[2]，账号密码未与LDAP 对接，用户体感差，无线portal 采用http 认证方式存在安全隐患。

（3）业务暴露、无法选路：现网没有基于用户组、资源组、出口的策略控制，只要入网则所有资源均可访问，出口是基于源IP进行策略路由，则同一个用户在不同区域则可能业务权限不同、互联网出口不同。

2 智慧校园5G+多网融合架构

智慧校园建设融合网络架构能够为用户、终端、边缘设备提供泛在接入能力，打破校园网局限，利用5G 移动网络实现校园万物互联，打造校园5G 专网，解决基础网络带宽、时延、性能不足，避免大规模基础网络改造的资金投资，提供随时随地快速网络接入的能力，为多校区资源融合提供快速稳定的途径。

通过光纤直连将运营商近校园网的5G 边缘节点与校园网核心互联（或直接将5G边缘节点落地校园），实现校园网与5G链路互通，梳理校园网内网资源，并利用5G-DNN 技术为本校园网资源打标记，如广东轻院广州资源集合DNNTag=GDQYGZ1@CMCC，为广东轻院师生手机号授予该资源权限，则经过授权的手机号通过任何区域的5G 网络则可访问校内资源，实现用户、终端泛在接入智慧校园[3][4]。智慧校园5G+多网融合架构如图1所示。

3 智慧校园统一认证体系

校园网络分为三层架构：接入层、汇聚层、核心层，接入层和汇聚层设备品牌不同、性能不同、新旧不同，无法实现全局统一策略调整，因此首先进行校园网扁平化改造，将业务网关、认证网关均上移校园网核心设备，然后再做LDAP 统一认证，基于用户组的策略下发。

3.1 扁平化改造

扁平化改造即将业务网关、认证网关上移至网络核心，核心层以下均为二层网络，减少异构网络的复杂性，减轻网络升级、运维的压力，为实现根据不同区域、不同用户组下发不同策略，在扁平化改造过程中应为不同区域分配不同vlan，考虑接入层网络设备体量巨大，因此在尽量保持原有vlan 的情况下将学校分成两个区域，vlan 相互隔离不混用，在各层网络设备开启端口隔离。扁平化区域vlan 示例如表1所示。

图3：网络核心UCL+策略配置示例

表1：扁平化区域vlan 示例

表2：业务随行策略规划示例

3.2 统一认证

在网络核心设备开启radius 协议，通过radius 协议与后台认证系统进行AAA 对接，做用户的准入准出认证，对所有认证区域（通过vlan 标识）开启认证，认证方式采用Portal 认证，Portal 认证又称为强制WEB 认证，无需安装客户软件、与组网设备无关，可为新业务提供强大支撑。Portal 页面采用https 协议（或在portal 服务器进行http 转https）保证账号密码在认证交互过程不泄露[6][7]。

AAA 认证计费服务器对接校内LDAP 服务器，实现校园统一身份对接，为保证认证稳定[8]，认证模式采用先LDAP 认证，再本地认证，LDAP 认证过程中如本地没有账号则同步开户，密码以LDAP 服务器上面账号密码为优先，并保持更新。LDAP+本地认证流程如图2所示。

3.3 业务随行

按人员、业务、区域、出口类别细分校园网资源组，并按需求进行策略制定，然后在校园网核心通过UCL 进行策略的配置[9][10]，同时在认证后台通过用户组、区域类型对用户进行区分，并在认证交互时进行策略下发，实现用户业务随行。业务随行策略规划示例如表2所示，网络核心UCL+策略配置示例如图3所示。

4 总结展望

当前智慧校园已经实现5G+校园有线/无线的多网融合，并通过对接LDAP，深度利用radius 协议，实现认证统一，实现基于用户组、资源组的用户业务随行，实现在网络层对校内资源进行安全管控，实现无感、自动选择互联网出口，已经实现的一定的智能化，为智慧校园建设提供智能的网络层管控，但是目前管控策略仍然需要手工配置，对各类资源划分颗粒度不能太小，否则运维及其繁琐，下一步将通过升级校园网核心，升级后支持Openflow 相关协议，通过SDN 控制器实现各类资源的细颗粒度的划分及对应策略的自动下发[11]，提高智慧校园网络层的智能化程度及安全管控深度[12]。