我院网络规划方案及相关问题探究

卢明星

摘 要：本文对学院和运营商合作建设校园网络进行了方案探讨，提出了解决措施。

关键词：校园网；运营商；网络规划

中图分类号：TP393.18 文献标志码：B 文章编号：1673-8454（2014）09-0087-03

教育是社会发展的先导，21世纪的教育必须能够适应信息化社会的需求。发达国家已清楚地认识到高速发展的信息技术和教育工作之间相互影响、相互促进的重要关系，并通过一系列举措加快教育信息化建设进度，以求能够满足信息时代人才培养的需求。我国政府十分重视教育信息化建设，特别是在“面向21世纪教育振兴行动计划”中着重强调了：“利用信息技术推进教育改革，具备网络化、智能化教学环境及教学、科研、管理、服务数字信息系统是建设一流大学的必要条件和重要标志”。我院领导提出新校区数字化校园要高起点规划、高标准设计，统筹兼顾、分布实施。在这种背景下笔者及同事结合学院具体情况，设计出了新校区网络建设规划方案。

一、方案概述

为充分发挥资源优势，节省学院建设资金，网络建设方案采取和运营商合作共建的方式。即由学院和运营商共同商讨建设方案，根据商务谈判协议，运营商负责建设学生宿舍网络及其他内容，并与学院校园网无缝对接。

我院提出新校区网络建设要满足“高起点、面向未来、充分考虑教学、科研、管理”的内在需求，兼顾生活环境等配套因素，最大限度地实现资源共享，最终建成高起点、高质量、高水平、高度信息化、智能化。实现有线、无线、VPN用户统一身份认证，全网部署IPv6，紧扣前沿技术脉搏，统一规划高性能、高安全、带宽透明管理的校园网边界，关注安全热点，消除安全盲点。基于以上要求我们设计出了网络拓扑如图1所示。

建设中总体来说要考虑以下几点：

（1）学生用户访问校园网资源不进行计费，为了实现该要求，因此需要对运营网关进行下移，通过对网关的下移，可以方便地对访问校内网流量以及互联网流量进行分流，既不造成流量迂回对运营商城域网的影响，也更方便校园网资源的开放。

（2）为了更好地执行公安部下发的82号令要求，对学生上网行为进行审计，因此整个网络需要支持学生用户上网行为审计功能。

（3）高品质的网络不仅需要网络具备可扩展性，而且还需要很强的可用性。本期网络建设项目不仅要考虑有线网的可用性，还要考虑无线网的可用性，目前无线网络建设经常存在无线信号强，但是网络可用性差的特点，因此需要在方案中特别的考虑。除此之外网络还需具备可扩展性，包括带宽的扩展，业务的扩展等。

（4）业务可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；业务可以随时随地使用，业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预

（5）出口具备抵御攻击、非法业务的隔离、控制，具备在线主动抵御的能力；核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击

二、问题探究

经过招标建设，我院网络核心使用一台H3C S10508-V交换机，教学办公区域采用有线无线全覆盖方式，整网采取万兆主干、千兆到桌面方式建设。学生宿舍区域使用无源光网络作为接入设备，共有一套OLT和八套ONU组成。为了保证学生区域的使用安全，全套光网络使用每用户每VLAN的方式，进行二层隔离。每个从光网络上行到核心交换机的报文均有两层标签的封装。

根据数字化校园建设整体要求，我院校园网内部有丰富的网络资源可供访问，故希望将学生宿舍互联网的访问需求和内网的访问需求分开处理。即，互联网的访问需求由运营商负责收费，提供访问出口，内网的访问需求只要是在校学生都能够无偿访问。

原计划通过核心交换机的DHCP功能为所有上网用户分配IP地址，此时可以访问内网，而后希望上外网的用户，付费上网，通过PPPoE的方式获取地址，基于PPPoE方式获取的IP地址，优先级会高于DHCP方式获取的地址，那么此时客户就可以直接访问外网，不能够访问内网，若想要重新访问内网，则需要将PPPoE连接断开。不希望上外网的客户，则可以使用DHCP方式获取的地址直接访问内网。

由于两层标签的存在，以太网交换机通常不能够对其进行处理，最多只能够将流量放行，保持两层标签的形式。这意味着核心交换机不能够为客户端提供DHCP服务。上述的解决方案完全不能够实现。

三、解决方法

要解决上述问题，并保障学生用户的正常访问，有如下几种方式：

1.无源光网络不使用两层标签

理论上，无源光网络可以不配置两层标签，这并不困难。原本需要两层标签的主要原因是为了网络传输和二层终结的方便。若是配置OLT设备，让用户流量只带有一层标签上行到核心交换机，则可以实现核心交换机对客户端通过DHCP的方式分配地址这一操作。要求OLT设备配置多个用户在一个VLAN中，比如，6000用户，可以分为30个VLAN，每VLAN有200用户。基于以往经验，同时在线的用户数量通常都不到一半。

使用这个方案就可以实现最初的设想，让不同访问需求的客户获取不同地址，按需收费。

这个方法的问题就是客户端之间的二层网络是不能够互相隔离的，这样会造成一定的安全隐患，同时，对OLT设备的性能也提出了更高的要求。

2.将网关上移，使用运营商的BARS设备作为学生宿舍出口网关

如图2所示，BARS设备可以分为认证域和DHCP域，实际上BARS也是一个路由器，也可以提供DHCP服务。BARS是有能力终结两层VLAN的标签。而后，按照原有的方案，所有上网的客户都直接分配DHCP的IP地址，所有访问互联网络的客户仍然PPPoE拨号，直接获取PPPoE的地址。

这个方案最大的好处，仍然是可以区分不同的访问需要的用户，只访问内网的用户仍然不需要缴费。

最大的问题就是，BARS能否直接作为用户的网关？在运营商规范上是否允许？

3.所有用户都进行认证

不论是否有访问互联网的需求，所有用户都要求有运营商的账号号，才能够上网。也就是说，不采用两套认证的方式，只要接入网络就要进行PPPoE拨号，拨号之后，能够访问内网，也能够访问外网。这样所有问题都可以解决，核心交换机作为一个二层通道，直接将流量透传到BARS设备，如图3所示。

这个方案的好处就是能够完美的解决地址分配和认证的问题，而且不需要对网络设备进行大的更改。

最大的问题就是无论是访问内网还是访问外网学生都需要缴费，对学生是个负担。

4.增加路由器，对两层VLAN标签进行处理

如图4所示，增加一个路由器，作为DHCP网关，使用路由器对两层标签进行处理，在带有两层标签的报文上送到路由器的时候，进行解标签的处理。在不带标签的流量会到路由器的时候，进行两层VLAN标签的封装。两层标签被剥离之后，网络中的其他设备均可以进行识别和处理。

同时，需要增加核心交换机对二层标签透传的配置，保障流量能够正常上行到路由器。

具体过程如下：

（1）设备接入到网络中，通过DHCP广播的方式，请求地址；

（2）路由器收到DHCP请求报文之后，在相应VLAN内，为设备分配地址，网关为路由器；

（3）如果采用PPPoE的拨号方式，客户端会直接将报文发送到运营商BARS设备上，请求地址，在获取到地址之后，虚拟拨号的地址优先级高于DHCP，故可以访问公网，网关配置的是BARS的地址；

（4）如果希望回到内网，将PPPoE下线即可。

不管采用哪种方案都能够解决问题，但同时也需要进行一些改变，但无论如何作为学院和运营商合作建设的一种尝试，值得推广。我院经过讨论采取了第四种解决方案，且完美实现了校园网的整体建设。

参考文献：

[1]吕纪霆,霍振兴.基于校园网建设WLAN的网络建设与运营管理方案[J].数据通信, 2013(5).

[2]郑迅雷.浅谈EPON网络建设方案[J].铁道通信信号,2008(12).

(编辑：杨馥红)

endprint

摘 要：本文对学院和运营商合作建设校园网络进行了方案探讨，提出了解决措施。

关键词：校园网；运营商；网络规划

中图分类号：TP393.18 文献标志码：B 文章编号：1673-8454（2014）09-0087-03

教育是社会发展的先导，21世纪的教育必须能够适应信息化社会的需求。发达国家已清楚地认识到高速发展的信息技术和教育工作之间相互影响、相互促进的重要关系，并通过一系列举措加快教育信息化建设进度，以求能够满足信息时代人才培养的需求。我国政府十分重视教育信息化建设，特别是在“面向21世纪教育振兴行动计划”中着重强调了：“利用信息技术推进教育改革，具备网络化、智能化教学环境及教学、科研、管理、服务数字信息系统是建设一流大学的必要条件和重要标志”。我院领导提出新校区数字化校园要高起点规划、高标准设计，统筹兼顾、分布实施。在这种背景下笔者及同事结合学院具体情况，设计出了新校区网络建设规划方案。

一、方案概述

为充分发挥资源优势，节省学院建设资金，网络建设方案采取和运营商合作共建的方式。即由学院和运营商共同商讨建设方案，根据商务谈判协议，运营商负责建设学生宿舍网络及其他内容，并与学院校园网无缝对接。

我院提出新校区网络建设要满足“高起点、面向未来、充分考虑教学、科研、管理”的内在需求，兼顾生活环境等配套因素，最大限度地实现资源共享，最终建成高起点、高质量、高水平、高度信息化、智能化。实现有线、无线、VPN用户统一身份认证，全网部署IPv6，紧扣前沿技术脉搏，统一规划高性能、高安全、带宽透明管理的校园网边界，关注安全热点，消除安全盲点。基于以上要求我们设计出了网络拓扑如图1所示。

建设中总体来说要考虑以下几点：

（1）学生用户访问校园网资源不进行计费，为了实现该要求，因此需要对运营网关进行下移，通过对网关的下移，可以方便地对访问校内网流量以及互联网流量进行分流，既不造成流量迂回对运营商城域网的影响，也更方便校园网资源的开放。

（2）为了更好地执行公安部下发的82号令要求，对学生上网行为进行审计，因此整个网络需要支持学生用户上网行为审计功能。

（3）高品质的网络不仅需要网络具备可扩展性，而且还需要很强的可用性。本期网络建设项目不仅要考虑有线网的可用性，还要考虑无线网的可用性，目前无线网络建设经常存在无线信号强，但是网络可用性差的特点，因此需要在方案中特别的考虑。除此之外网络还需具备可扩展性，包括带宽的扩展，业务的扩展等。

（4）业务可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；业务可以随时随地使用，业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预

（5）出口具备抵御攻击、非法业务的隔离、控制，具备在线主动抵御的能力；核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击

二、问题探究

经过招标建设，我院网络核心使用一台H3C S10508-V交换机，教学办公区域采用有线无线全覆盖方式，整网采取万兆主干、千兆到桌面方式建设。学生宿舍区域使用无源光网络作为接入设备，共有一套OLT和八套ONU组成。为了保证学生区域的使用安全，全套光网络使用每用户每VLAN的方式，进行二层隔离。每个从光网络上行到核心交换机的报文均有两层标签的封装。

根据数字化校园建设整体要求，我院校园网内部有丰富的网络资源可供访问，故希望将学生宿舍互联网的访问需求和内网的访问需求分开处理。即，互联网的访问需求由运营商负责收费，提供访问出口，内网的访问需求只要是在校学生都能够无偿访问。

原计划通过核心交换机的DHCP功能为所有上网用户分配IP地址，此时可以访问内网，而后希望上外网的用户，付费上网，通过PPPoE的方式获取地址，基于PPPoE方式获取的IP地址，优先级会高于DHCP方式获取的地址，那么此时客户就可以直接访问外网，不能够访问内网，若想要重新访问内网，则需要将PPPoE连接断开。不希望上外网的客户，则可以使用DHCP方式获取的地址直接访问内网。

由于两层标签的存在，以太网交换机通常不能够对其进行处理，最多只能够将流量放行，保持两层标签的形式。这意味着核心交换机不能够为客户端提供DHCP服务。上述的解决方案完全不能够实现。

三、解决方法

要解决上述问题，并保障学生用户的正常访问，有如下几种方式：

1.无源光网络不使用两层标签

理论上，无源光网络可以不配置两层标签，这并不困难。原本需要两层标签的主要原因是为了网络传输和二层终结的方便。若是配置OLT设备，让用户流量只带有一层标签上行到核心交换机，则可以实现核心交换机对客户端通过DHCP的方式分配地址这一操作。要求OLT设备配置多个用户在一个VLAN中，比如，6000用户，可以分为30个VLAN，每VLAN有200用户。基于以往经验，同时在线的用户数量通常都不到一半。

使用这个方案就可以实现最初的设想，让不同访问需求的客户获取不同地址，按需收费。

这个方法的问题就是客户端之间的二层网络是不能够互相隔离的，这样会造成一定的安全隐患，同时，对OLT设备的性能也提出了更高的要求。

2.将网关上移，使用运营商的BARS设备作为学生宿舍出口网关

如图2所示，BARS设备可以分为认证域和DHCP域，实际上BARS也是一个路由器，也可以提供DHCP服务。BARS是有能力终结两层VLAN的标签。而后，按照原有的方案，所有上网的客户都直接分配DHCP的IP地址，所有访问互联网络的客户仍然PPPoE拨号，直接获取PPPoE的地址。

这个方案最大的好处，仍然是可以区分不同的访问需要的用户，只访问内网的用户仍然不需要缴费。

最大的问题就是，BARS能否直接作为用户的网关？在运营商规范上是否允许？

3.所有用户都进行认证

不论是否有访问互联网的需求，所有用户都要求有运营商的账号号，才能够上网。也就是说，不采用两套认证的方式，只要接入网络就要进行PPPoE拨号，拨号之后，能够访问内网，也能够访问外网。这样所有问题都可以解决，核心交换机作为一个二层通道，直接将流量透传到BARS设备，如图3所示。

这个方案的好处就是能够完美的解决地址分配和认证的问题，而且不需要对网络设备进行大的更改。

最大的问题就是无论是访问内网还是访问外网学生都需要缴费，对学生是个负担。

4.增加路由器，对两层VLAN标签进行处理

如图4所示，增加一个路由器，作为DHCP网关，使用路由器对两层标签进行处理，在带有两层标签的报文上送到路由器的时候，进行解标签的处理。在不带标签的流量会到路由器的时候，进行两层VLAN标签的封装。两层标签被剥离之后，网络中的其他设备均可以进行识别和处理。

同时，需要增加核心交换机对二层标签透传的配置，保障流量能够正常上行到路由器。

具体过程如下：

（1）设备接入到网络中，通过DHCP广播的方式，请求地址；

（2）路由器收到DHCP请求报文之后，在相应VLAN内，为设备分配地址，网关为路由器；

（3）如果采用PPPoE的拨号方式，客户端会直接将报文发送到运营商BARS设备上，请求地址，在获取到地址之后，虚拟拨号的地址优先级高于DHCP，故可以访问公网，网关配置的是BARS的地址；

（4）如果希望回到内网，将PPPoE下线即可。

不管采用哪种方案都能够解决问题，但同时也需要进行一些改变，但无论如何作为学院和运营商合作建设的一种尝试，值得推广。我院经过讨论采取了第四种解决方案，且完美实现了校园网的整体建设。

参考文献：

[1]吕纪霆,霍振兴.基于校园网建设WLAN的网络建设与运营管理方案[J].数据通信, 2013(5).

[2]郑迅雷.浅谈EPON网络建设方案[J].铁道通信信号,2008(12).

(编辑：杨馥红)

endprint

摘 要：本文对学院和运营商合作建设校园网络进行了方案探讨，提出了解决措施。

关键词：校园网；运营商；网络规划

中图分类号：TP393.18 文献标志码：B 文章编号：1673-8454（2014）09-0087-03

教育是社会发展的先导，21世纪的教育必须能够适应信息化社会的需求。发达国家已清楚地认识到高速发展的信息技术和教育工作之间相互影响、相互促进的重要关系，并通过一系列举措加快教育信息化建设进度，以求能够满足信息时代人才培养的需求。我国政府十分重视教育信息化建设，特别是在“面向21世纪教育振兴行动计划”中着重强调了：“利用信息技术推进教育改革，具备网络化、智能化教学环境及教学、科研、管理、服务数字信息系统是建设一流大学的必要条件和重要标志”。我院领导提出新校区数字化校园要高起点规划、高标准设计，统筹兼顾、分布实施。在这种背景下笔者及同事结合学院具体情况，设计出了新校区网络建设规划方案。

一、方案概述

为充分发挥资源优势，节省学院建设资金，网络建设方案采取和运营商合作共建的方式。即由学院和运营商共同商讨建设方案，根据商务谈判协议，运营商负责建设学生宿舍网络及其他内容，并与学院校园网无缝对接。

我院提出新校区网络建设要满足“高起点、面向未来、充分考虑教学、科研、管理”的内在需求，兼顾生活环境等配套因素，最大限度地实现资源共享，最终建成高起点、高质量、高水平、高度信息化、智能化。实现有线、无线、VPN用户统一身份认证，全网部署IPv6，紧扣前沿技术脉搏，统一规划高性能、高安全、带宽透明管理的校园网边界，关注安全热点，消除安全盲点。基于以上要求我们设计出了网络拓扑如图1所示。

建设中总体来说要考虑以下几点：

（1）学生用户访问校园网资源不进行计费，为了实现该要求，因此需要对运营网关进行下移，通过对网关的下移，可以方便地对访问校内网流量以及互联网流量进行分流，既不造成流量迂回对运营商城域网的影响，也更方便校园网资源的开放。

（2）为了更好地执行公安部下发的82号令要求，对学生上网行为进行审计，因此整个网络需要支持学生用户上网行为审计功能。

（3）高品质的网络不仅需要网络具备可扩展性，而且还需要很强的可用性。本期网络建设项目不仅要考虑有线网的可用性，还要考虑无线网的可用性，目前无线网络建设经常存在无线信号强，但是网络可用性差的特点，因此需要在方案中特别的考虑。除此之外网络还需具备可扩展性，包括带宽的扩展，业务的扩展等。

（4）业务可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；业务可以随时随地使用，业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预

（5）出口具备抵御攻击、非法业务的隔离、控制，具备在线主动抵御的能力；核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击

二、问题探究

经过招标建设，我院网络核心使用一台H3C S10508-V交换机，教学办公区域采用有线无线全覆盖方式，整网采取万兆主干、千兆到桌面方式建设。学生宿舍区域使用无源光网络作为接入设备，共有一套OLT和八套ONU组成。为了保证学生区域的使用安全，全套光网络使用每用户每VLAN的方式，进行二层隔离。每个从光网络上行到核心交换机的报文均有两层标签的封装。

根据数字化校园建设整体要求，我院校园网内部有丰富的网络资源可供访问，故希望将学生宿舍互联网的访问需求和内网的访问需求分开处理。即，互联网的访问需求由运营商负责收费，提供访问出口，内网的访问需求只要是在校学生都能够无偿访问。

原计划通过核心交换机的DHCP功能为所有上网用户分配IP地址，此时可以访问内网，而后希望上外网的用户，付费上网，通过PPPoE的方式获取地址，基于PPPoE方式获取的IP地址，优先级会高于DHCP方式获取的地址，那么此时客户就可以直接访问外网，不能够访问内网，若想要重新访问内网，则需要将PPPoE连接断开。不希望上外网的客户，则可以使用DHCP方式获取的地址直接访问内网。

由于两层标签的存在，以太网交换机通常不能够对其进行处理，最多只能够将流量放行，保持两层标签的形式。这意味着核心交换机不能够为客户端提供DHCP服务。上述的解决方案完全不能够实现。

三、解决方法

要解决上述问题，并保障学生用户的正常访问，有如下几种方式：

1.无源光网络不使用两层标签

理论上，无源光网络可以不配置两层标签，这并不困难。原本需要两层标签的主要原因是为了网络传输和二层终结的方便。若是配置OLT设备，让用户流量只带有一层标签上行到核心交换机，则可以实现核心交换机对客户端通过DHCP的方式分配地址这一操作。要求OLT设备配置多个用户在一个VLAN中，比如，6000用户，可以分为30个VLAN，每VLAN有200用户。基于以往经验，同时在线的用户数量通常都不到一半。

使用这个方案就可以实现最初的设想，让不同访问需求的客户获取不同地址，按需收费。

这个方法的问题就是客户端之间的二层网络是不能够互相隔离的，这样会造成一定的安全隐患，同时，对OLT设备的性能也提出了更高的要求。

2.将网关上移，使用运营商的BARS设备作为学生宿舍出口网关

如图2所示，BARS设备可以分为认证域和DHCP域，实际上BARS也是一个路由器，也可以提供DHCP服务。BARS是有能力终结两层VLAN的标签。而后，按照原有的方案，所有上网的客户都直接分配DHCP的IP地址，所有访问互联网络的客户仍然PPPoE拨号，直接获取PPPoE的地址。

这个方案最大的好处，仍然是可以区分不同的访问需要的用户，只访问内网的用户仍然不需要缴费。

最大的问题就是，BARS能否直接作为用户的网关？在运营商规范上是否允许？

3.所有用户都进行认证

不论是否有访问互联网的需求，所有用户都要求有运营商的账号号，才能够上网。也就是说，不采用两套认证的方式，只要接入网络就要进行PPPoE拨号，拨号之后，能够访问内网，也能够访问外网。这样所有问题都可以解决，核心交换机作为一个二层通道，直接将流量透传到BARS设备，如图3所示。

这个方案的好处就是能够完美的解决地址分配和认证的问题，而且不需要对网络设备进行大的更改。

最大的问题就是无论是访问内网还是访问外网学生都需要缴费，对学生是个负担。

4.增加路由器，对两层VLAN标签进行处理

如图4所示，增加一个路由器，作为DHCP网关，使用路由器对两层标签进行处理，在带有两层标签的报文上送到路由器的时候，进行解标签的处理。在不带标签的流量会到路由器的时候，进行两层VLAN标签的封装。两层标签被剥离之后，网络中的其他设备均可以进行识别和处理。

同时，需要增加核心交换机对二层标签透传的配置，保障流量能够正常上行到路由器。

具体过程如下：

（1）设备接入到网络中，通过DHCP广播的方式，请求地址；

（2）路由器收到DHCP请求报文之后，在相应VLAN内，为设备分配地址，网关为路由器；

（3）如果采用PPPoE的拨号方式，客户端会直接将报文发送到运营商BARS设备上，请求地址，在获取到地址之后，虚拟拨号的地址优先级高于DHCP，故可以访问公网，网关配置的是BARS的地址；

（4）如果希望回到内网，将PPPoE下线即可。

不管采用哪种方案都能够解决问题，但同时也需要进行一些改变，但无论如何作为学院和运营商合作建设的一种尝试，值得推广。我院经过讨论采取了第四种解决方案，且完美实现了校园网的整体建设。

参考文献：

[1]吕纪霆,霍振兴.基于校园网建设WLAN的网络建设与运营管理方案[J].数据通信, 2013(5).

[2]郑迅雷.浅谈EPON网络建设方案[J].铁道通信信号,2008(12).

(编辑：杨馥红)

endprint