中南民族大学：打造无边界校园网接入认证

文/高杰欣

中南民族大学：打造无边界校园网接入认证

文/高杰欣

学校改造后的技术方案实际上是一个全冗余的网络结构，从核心到边界，任何一个单点的故障都不会影响其他设备的运行，允许将所有设备分散在主机房和容灾机房两个不同地理位置同时运行，极大地保障了架构的健壮性和可用性。

改造背景

中南民族大学校园网自2004年广泛应用以来，教学办公区一直使用人工ARP绑定方式认证，在此区域师生用户均不收费，学生区先后使用了两个厂商的网关型认证设备，按每月20元，不限制流量和上下行带宽包月，IP获取需要到服务大厅打印并手工配置，由认证网关进行ARP绑定。随着校园网的发展，绑定ARP认证给用户带来诸多不便，旧设备性能已远远无法满足用户量的增长，认证无法满足多种终端和操作系统的支持，无法提供IPv6的认证，设备不具备组网架构冗余和负载均衡等可靠性要求，以及与数字化校园统一身份认证集成、灵活的技术架构等管理方面的需要。

改造认证系统前，校园网完成了汇聚层升级，实现了汇聚层双万兆到核心，楼栋接入层双万兆到汇聚，接入层千兆到桌面，IP地址使用10段虚地址DHCP动态分配。这样一来，用户不用认证就可以自由访问园区网内资源和站点，只是访问互联网需要鉴权准出。

建设思路

认证系统的总原则是：在避免改动原有三层网络架构的基础上，以满足未来5～10年的性能趋势进行技术选型，兼顾无线网络、有线网络和IPv4/IPv6双栈的统一认证，支持丰富的终端类型，同时减轻管理维护的复杂度。

首先是保持现有网络三层架构，相当于直接排除了802.1X和PPPoE两种认证方式。802.1X不仅需要现有接入层和汇聚层交换机支持相应的功能，还需要在这些大量的交换机上做配置，工作量较大；PPPoE则要求把三层结构废除，重新配置成大二层网络，暂且不说大二层网络自身的缺点，仅是全网的大二层改造就是一项费时费力的工程。保持网络架构，能够最大可能地保证用户接入的可靠稳定，避免这一项改造对用户造成的持续影响，同时也降低本项工程自身的成本和复杂度。

其次是满足未来5～10年的性能，这要求该设备至少是10Gbps以上的业务接口，单台交换能力应在300Gbps以上，同时在线不少于12000用户。

再次是兼顾有线和无线、IPv4和IPv6的统一认证，有线网络的认证灵活性较大，支持的方式较多，无线网络则须考虑IPoE、无感知认证等方式，IPv4和IPv6双栈要求一次认证，同时获得双栈的网络地址，提升用户网络访问体验。

最后是管理维护，其复杂度和认证系统架构本身息息相关，认证系统部署在园区网中，是串接还是旁挂，影响着核心网络架构的修改，双机集群将保证认证系统自身的高可用性，此外还须兼顾办公室环境的局域网共享。除去了上述802.1X和PPPoE方式后，设备能支持的认证方式也所剩不多，在综合比较后，计划采用BRAS支持的L2TP方式。

方案设计

图1 认证系统改造网络拓扑

经过仔细的比较筛选和分析研判，中南民族大学最终选用了ME60设备作为认证网关的改造方案，图1为认证系统改造网络拓扑。

两台ME60-X3作为全网的有线和无线的统一认证网关，物理结构上是串接在网络中的，相对于旧认证网关而言，在整个改造过程中ME60更像旁挂在网络中。每个ME60通过Virtual port-channel双万兆链路与Nexus7000核心交换相连，对于核心交换而言是看见两个ME60设备。ME60之间进行集群方式连接和配置，分别启用相同IP的loopback地址作为用户使用的LNS地址，将该LNS的默认路由等值指向两个ME60各自实际的LNS地址，实现所有认证拨入请求均衡的连接到两个ME60，任一ME60因故停止能够确保ME60集群内的会话接管和用户体验。

用户在校园网内任一接入层连接网络，首先获取一个10段虚地址，该虚地址在有线网络上不用认证可直接访问校园网资源和所有校园应用，在无线网络上则需通过IPoE认证。拨入L2TP认证，可以使用操作系统自带的VPN连接客户端（Windows、Linux、Macos均有），认证后所有请求均从ME60上发起；还可使用专用的免安装客户端，该客户端确保园区内网络路由从认证前获取的地址发起，而不走隧道，兼顾网络灵活与效率。两种认证方式均获取IPv4和IPv6双栈地址，其中IPv4是获取另一个10段虚地址，IPv6获取实地址。认证成功后，用户访问互联网通过ME60发起连接，IPv6的互联网请求通过核心交换直接送出，IPv4的互联网请求通过两个NPE送出。拨入IPoE认证，允许选择无感知方式，当第一次认证成功后，下次使用同一个移动终端则无须再认证，每个IPoE的会话状态只存在于一个ME60设备，若一个ME60因故停止，无感知认证则可在用户未察觉情况下再次完成验证并继续上网，未勾选无感知认证的用户则需重新验证。

NPE在边界网络中是两个独立的设备，实现网络地址转换和智能选路等功能，通过认证的IPv4上网请求走任一NPE都会做NAT，因此数据包不管从哪一个NPE出去，都会从同一个NPE回来，实现源进源出，平时由两个NPE分担全部的出口流量负载，任一NPE若因故停止，也能无缝地由另一台完全接管。

用户在接入校际互联的其他高校连接校园网，不管是无线还是有线，也会先获取所在高校分配的10段虚IP，该IP由各高校事先所约定好，每校连续且不重复的8个B地址段，从这8个B的10段虚地址无需过各自的边界即可直接互联互通。对有线的校际漫游接入，等同于在更大的校园网拨本校的LNS；对无线的校际漫游接入，则只需在他校发布SSID，通过SSID上联到自校的无线控制器并获取IP。有线和无线的校际漫游认证均是将用户和流量引入了自校的网络，不会占用其他学校的边界出口流量，不存在用户信息的跨库认证，也就不用担心各自学校用户隐私的泄漏或数据不一致，有线用户通过L2TP的所有上网信息通过隧道传回也不存在被监听的问题。

用户在公众互联网若担心上下行数据传输安全，或需要使用只有校园网才能访问的资源，则可用操作系统自带客户端拨L2TP进入校园网，这一操作无异于SSL VPN或其他VPN接入校园网。在NPE上映射3条线路的3个实IP给LNS，利用NPE的智能DNS解析功能将3个IP对应为一个域名，从公众网进行校园网认证，使用该LNS域名进行连接，会自动匹配相应的运营商线路，以获取最佳的线路体验，验证成功后，所有的网络访问流量将通过隧道传入校园网，从校园网出口完成所有网络访问，最后再从隧道传回给用户。虽然这种方式因L2TP隧道损耗了网络访问体验，但对办公安全、特殊资源访问却能非常便捷的兼顾。

平滑的改造实施

网络的改造难免会影响用户的使用，大多会选择午夜进行停机割接，对技术人员的实施压力是很大的，尤其对于割接后可能出现的各种问题，更是牵一发而动全身，往往还面临回退的窘境。

基于ME60部署的认证系统，与旧的认证是独立的两套环境，在部署过程中无须切断原有系统，并且相互间不发生影响，对技术人员压力减小许多。新认证在部署初期，就完成与统一身份认证系统的集成，实现每个教师、学生都有唯一账号开通，教师继续沿用只认证不收费策略，学生的余额信息则从旧认证系统读取，做到与旧认证系统一致，且允许两套认证系统并行。过度期结束后，旧认证系统不再接受充值，只允许在新认证系统充值，直至旧认证系统用户越来越少而最终停用，整个认证系统的上线、测试、小范围转换、全部转换等各环节都可在正常工作时间进行，更容易观察问题，更少地影响用户，更弹性地过渡过程，使改造的实施得以平滑完成。

对于教师用户，原有的ARP绑定方式并不立即解除，只在变更和新开通时告知用户无须再提出申请，直接使用DHCP自动获取和L2TP认证即可，动态获取IP无需老师们再去记忆自己的静态IP信息，不管笔记本还是台式机都可以直接拿来就用，在教师用户中认可度较高，加上L2TP在离边界网络更近的拓扑位置发起连接，实际上网速度体验会比在三层网络下更好，因为园区网的高速连接消弭了L2TP封装数据包更大的影响。办公使用的网络共享也不受L2TP影响，仍会按掩码小的本地子网去连接共享打印机或共享文件夹。

对于学生用户，每个人账号从入学之日就已开通，只需动态获取IP后完成自助充值就可使用，同时还可使用具有L2TP功能的家用路由器实现宿舍内共享。此外，ME60的认证比旧认证系统更稳定，上网速度更快，还支持IPv6，用户更愿意自发转向使用新的认证方式。

比较与小结

经过半年多的运行和调优，整套技术方案的运行效果远远超出了预想所要解决的问题，还在其他方面表现出以下优势：

弹性的技术架构

目前的技术方案实际上是一个全冗余的网络结构，从核心到边界，任何一个单点的故障都不会影响其他设备的运行，允许将所有设备分散在主机房和容灾机房两个不同地理位置同时运行，极大地保障架构的健壮性和可用性。

在安全性上，无论校内、校际还是校外拨入，用户到校园网核心的链路都是隧道，对校园网的安全、数据传输的安全都是有益的， 在并发能力上，当前ME60-X3单台可以支持16000名用户并发连接L2TP，两台总共可以支持到32000，这一参数至少5年内不会存在并发数的瓶颈。假设未来用户数大幅增加，只需添加一台ME60，使用相同的loopback地址就能不断网、不停机的轻松完成扩容。校际间若采用相同的ME60方案，还可以依托loopback建立校际间的认证系统冗余，组建更为弹性、可靠的认证集群，实现更为灵活、可定义的认证系统。

无处不在的校园网

校园网只能在自校内认证使用已经是过去时的狭隘观念，在校际间漫游使校园网扩展成一张更大的城域网络，但既然称之为网，就不应存在边界的限制，校园网就应该无处不在。运用ME60的L2TP将校内、校际和互联网都采用统一的入口实现准入，校园网不再是孤立的，对用户而言具有新颖的体验。

尤其对于校际认证，校际间交换用户信息到各自的认证系统，存在用户信息泄漏的担忧，存在数据不一致的可能，存在对接技术接口的难题。该方案使得校际认证的用户信息和计费不超出本校的范畴，链路的互联互通不存在较高的技术难度。更具吸引力的是学生甚至可以选择他校的校园网服务，比较谁的资源更多，价格更优，服务更好，这也使校园网实现了从封闭走向开放的华丽转身。

从容不迫的管理

在事务性工作方面，用户不用跑服务大厅，简化了手续和流程，支持的终端不受操作系统的限制。在网络结构方面，改成扁平化的好处并不能掩盖扁平化后的新问题，还带来更大的维护量，保持现有网络结构也是一种可靠的选择。一次拨入获得双栈地址，减去了在每个网络设备配置IPv6的工作量，也减少了排障时的复杂度，还免去了专门购置IPv6设备的开销。

（作者单位为中南民族大学网络技术中心）

什么是L2TP

L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参与制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准。L2TP 是一个数据链路层协议，基于UDP。其报文分为数据消息和控制消息两类。数据消息用投递 PPP 帧，该帧作为L2TP报文的数据区。L2TP不保证数据消息的可靠投递，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。控制消息用以建立、维护和终止控制连接及会话，L2TP确保其可靠投递，并支持对控制消息的流量控制和拥塞控制。简而言之，L2TP是一种标准的VPN隧道。