论文部分内容阅读
摘 要:本文分析了目前常见的校园网接入Internet方案的利弊。既要引入运营商成熟的管理和技术,又要保留校园网原有的三层网络结构,校园网作为一个接入服务的提供者,采用L2TP为ISP提供用户接入服务能够有效地解决这一矛盾。
关键词:校园网 L2TP Internet接入
中图分类号:TP393.18 文献标识码:B 文章编号:1673-8454(2009)13-0014-03
一、引言
常见的校园网运营或由学校购买运营商出口带宽,为学生提供认证和计费服务,或直接由运营商负责网络管理和运营。本文提出了校园网用户采用L2TP(Layer Two Tunneling Protocol,二层隧道协议)方式接入Internet,校园网保持自治,同时由运营商提供认证计费以及流量控制的技术方案。自治可以保持校园网的传统三层结构,有利于学校网络和信息部门进一步建设和普及校园的网络应用,有利于师生网络之间的互联互通和资源共享。运营商的优势在于他们的认证计费平台和网络服务质量的保证都已非常成熟和稳定,能够为师生提供专业的宽带接入服务。两者结合可以使学校的网络和信息部门从为师生提供Internet接入服务的工作中解放出来,专注于学校的信息化建设和网络技术的研究。另外,也可以为学校节省认证计费平台和专业流量控制设备的投资。
二、常见校园网Internet接入方式分析
1.PPPOE QINQ
学生用户VLAN隔离,通过QINQ(通过在以太帧中堆叠两个802.1Q包头的技术)可以复用有限的VLAN号。同时,学生用户VLAN隔离也能够避免大量用户同时上线时产生的广播流量(PPPOE协议中的PADI广播报文)。该技术的方案优势在于电信等运营商有非常成熟稳定的部署管理经验及产品应用,能够为单个用户提供可靠的宽带接入服务。缺点在于人为地将学生用户从校园网中割裂开来,将用户访问Internet的需求和访问校园网的需求对立起来。用户在拨号之前,不能够自由地访问学校的网络资源,拨号之后,也需要到公网之后再回来访问校园网,速度也受到BAS(Broadband Access Server,宽带接入服务器)的限制,而校园网内部本身在物理上是百兆到桌面并且是互联互通的,因而丧失了原有的网络性能。为了能够保留校园网的功能,可以按如图1所示的拓扑设计网络。
该方案需要额外的光路和光模块等硬件投入。另外,PPPOE的广播报文导致了该方案是排他的,即只能允许一家运营商采用PPPOE的形式来接入用户,校园网用户的宽带服务无法引入多家运营商。
2.802.1x
首先,由于L2TP运行在包交换网络之上,对接入层的设备没有特别的要求,比如第一种方案要求汇聚交换机支持QINQ,第二种方案中802.1x在某些应用特性的要求下,认证平台和交换机必须是同一个厂商的产品等。其次,随着中国电信、中国联通和中国移动拥有全业务牌照之后,宽带接入网的竞争也势必激烈起来。采用L2TP方式可以同时引入多家运营商为学生提供宽带接入服务,而竞争必然带来服务的提升和价格的下降。当前市场上支持该技术方案的设备也较多,包括宽带接入设备BAS、BRAS或VPN网关,如JUNIPER的ERX系列BRAS宽带接入服务器,HUAWEI的MA5200G,CISCO的ASA5500等。其三,BAS/BRAS能够对接入用户进行严格的流量控制,可以引入成熟的用户管理机制,并且拥有海量的L2TP隧道终结能力。其四,L2TP方式接入Internet,不改变校园网的网络拓扑,保留了校园网原有的包交换网络结构。
四、同时访问校内网与运营商网
图1和图2的方案中,用户在拨号后将无法正常访问校内网和教科网,因为宽带连接或者L2TP连接建立后将修改本机的缺省网关。在Windows操作系统中,还需要关注适配器的访问次序,特别是DNS,用户的网络服务程序将按照适配器的访问次序逐个尝试域名解析。除了在用户的系统上增加访问内网及教科网的静态路由之外,如果内网卡的访问次序排在宽带连接或者L2TP连接之前,会造成运营商的用户使用校园网的DNS来进行域名解析。Windows的网络连接窗口中高级设置可用于设定适配器的访问次序,确保宽带连接或者L2TP连接即远程访问连接排在首位,如图3所示。
在确保正确的适配器访问次序后,内网资源的域名解析可以通过在客户端Hosts文件中设置内网资源的域名记录来解决。也可以在校内架设一台DNS服务器,校内资源由它直接解析,校外资源则根据用户的IP段选择相应的转发服务器(运营商的DNS服务器)。内网的静态路由可以通过DHCP服务器249选项动态下发给客户端。
五、结论
校园网委托运营商运营的案例越来越多,中国电信的数字校园也在强势推广。运营商总是希望接入网用户之间是隔离的,这样安全性高,易于管理。而校园网建设的初衷和Internet一样,要求互联互通,资源共享,是一张开放的、基于IP的网络。如果按照运营商的建设思路,校园网有可能会被PPP沙漠化。学校基于校园网资源共享,建设校园网络文化的努力也会大打折扣。采用L2TP方式为用户提供Internet接入的方案可以较好地解决这一矛盾。一方面,校园能够引入运营商所擅长的网络接入服务,同时,又保留了校园网原有的三层网络结构,师生在享用运营商提供的高质接入服务的同时,仍然能够通过校园内网高速访问学校的数字资源。
参考文献:
[1]黄国贤,李斌奇,王以勒.VPN实现“走出去”与“引进来”[J].中国教育网络,2008(9):14.
[2]IETF,RFC3931,Layer Two Tunneling Protocol - Version 3 (L2TPv3),2005.
[3]邢小良.关于宽带IP网的认证计费方式的探讨[J].电信科学,2001(10):48-49.
关键词:校园网 L2TP Internet接入
中图分类号:TP393.18 文献标识码:B 文章编号:1673-8454(2009)13-0014-03
一、引言
常见的校园网运营或由学校购买运营商出口带宽,为学生提供认证和计费服务,或直接由运营商负责网络管理和运营。本文提出了校园网用户采用L2TP(Layer Two Tunneling Protocol,二层隧道协议)方式接入Internet,校园网保持自治,同时由运营商提供认证计费以及流量控制的技术方案。自治可以保持校园网的传统三层结构,有利于学校网络和信息部门进一步建设和普及校园的网络应用,有利于师生网络之间的互联互通和资源共享。运营商的优势在于他们的认证计费平台和网络服务质量的保证都已非常成熟和稳定,能够为师生提供专业的宽带接入服务。两者结合可以使学校的网络和信息部门从为师生提供Internet接入服务的工作中解放出来,专注于学校的信息化建设和网络技术的研究。另外,也可以为学校节省认证计费平台和专业流量控制设备的投资。
二、常见校园网Internet接入方式分析
1.PPPOE QINQ
学生用户VLAN隔离,通过QINQ(通过在以太帧中堆叠两个802.1Q包头的技术)可以复用有限的VLAN号。同时,学生用户VLAN隔离也能够避免大量用户同时上线时产生的广播流量(PPPOE协议中的PADI广播报文)。该技术的方案优势在于电信等运营商有非常成熟稳定的部署管理经验及产品应用,能够为单个用户提供可靠的宽带接入服务。缺点在于人为地将学生用户从校园网中割裂开来,将用户访问Internet的需求和访问校园网的需求对立起来。用户在拨号之前,不能够自由地访问学校的网络资源,拨号之后,也需要到公网之后再回来访问校园网,速度也受到BAS(Broadband Access Server,宽带接入服务器)的限制,而校园网内部本身在物理上是百兆到桌面并且是互联互通的,因而丧失了原有的网络性能。为了能够保留校园网的功能,可以按如图1所示的拓扑设计网络。
该方案需要额外的光路和光模块等硬件投入。另外,PPPOE的广播报文导致了该方案是排他的,即只能允许一家运营商采用PPPOE的形式来接入用户,校园网用户的宽带服务无法引入多家运营商。
2.802.1x
首先,由于L2TP运行在包交换网络之上,对接入层的设备没有特别的要求,比如第一种方案要求汇聚交换机支持QINQ,第二种方案中802.1x在某些应用特性的要求下,认证平台和交换机必须是同一个厂商的产品等。其次,随着中国电信、中国联通和中国移动拥有全业务牌照之后,宽带接入网的竞争也势必激烈起来。采用L2TP方式可以同时引入多家运营商为学生提供宽带接入服务,而竞争必然带来服务的提升和价格的下降。当前市场上支持该技术方案的设备也较多,包括宽带接入设备BAS、BRAS或VPN网关,如JUNIPER的ERX系列BRAS宽带接入服务器,HUAWEI的MA5200G,CISCO的ASA5500等。其三,BAS/BRAS能够对接入用户进行严格的流量控制,可以引入成熟的用户管理机制,并且拥有海量的L2TP隧道终结能力。其四,L2TP方式接入Internet,不改变校园网的网络拓扑,保留了校园网原有的包交换网络结构。
四、同时访问校内网与运营商网
图1和图2的方案中,用户在拨号后将无法正常访问校内网和教科网,因为宽带连接或者L2TP连接建立后将修改本机的缺省网关。在Windows操作系统中,还需要关注适配器的访问次序,特别是DNS,用户的网络服务程序将按照适配器的访问次序逐个尝试域名解析。除了在用户的系统上增加访问内网及教科网的静态路由之外,如果内网卡的访问次序排在宽带连接或者L2TP连接之前,会造成运营商的用户使用校园网的DNS来进行域名解析。Windows的网络连接窗口中高级设置可用于设定适配器的访问次序,确保宽带连接或者L2TP连接即远程访问连接排在首位,如图3所示。
在确保正确的适配器访问次序后,内网资源的域名解析可以通过在客户端Hosts文件中设置内网资源的域名记录来解决。也可以在校内架设一台DNS服务器,校内资源由它直接解析,校外资源则根据用户的IP段选择相应的转发服务器(运营商的DNS服务器)。内网的静态路由可以通过DHCP服务器249选项动态下发给客户端。
五、结论
校园网委托运营商运营的案例越来越多,中国电信的数字校园也在强势推广。运营商总是希望接入网用户之间是隔离的,这样安全性高,易于管理。而校园网建设的初衷和Internet一样,要求互联互通,资源共享,是一张开放的、基于IP的网络。如果按照运营商的建设思路,校园网有可能会被PPP沙漠化。学校基于校园网资源共享,建设校园网络文化的努力也会大打折扣。采用L2TP方式为用户提供Internet接入的方案可以较好地解决这一矛盾。一方面,校园能够引入运营商所擅长的网络接入服务,同时,又保留了校园网原有的三层网络结构,师生在享用运营商提供的高质接入服务的同时,仍然能够通过校园内网高速访问学校的数字资源。
参考文献:
[1]黄国贤,李斌奇,王以勒.VPN实现“走出去”与“引进来”[J].中国教育网络,2008(9):14.
[2]IETF,RFC3931,Layer Two Tunneling Protocol - Version 3 (L2TPv3),2005.
[3]邢小良.关于宽带IP网的认证计费方式的探讨[J].电信科学,2001(10):48-49.