您当前位置:保定理工学院 >> 信息技术中心 >> 网络安全 >> 浏览文章
新兴网络与传统校园网架构融合方案
【网络安全】 加入时间:2024年08月20日 信息来源:本站原创 作者:xjzx 访问量:

随着网络技术的快速发展和技术变革,高校校园网络接入方式已经由单纯的有线网络,逐步发展为有线网络、无线网络、5G专网、虚拟专网、F5G光网等多种网络共存的崭新阶段,师生用户能够更为便捷地从不同地点、不同终端泛在地连入校园网,从而实现教学实践、资源与人的连接,新兴的网络接入方式不仅是数字化转型赋能高等教育内涵式发展的重要基础设施载体,也为高校校园网络建设和改造带来了新的管理模式,持续改善用户上网体验。

 

  本文以中南民族大学开展网络建设和运维的场景为例,探索新兴网络接入方式与传统校园网络架构的融合。

 

  5G专网融入校园网

 

  “十二五”至“十三五”期间,学校陆续建设了多批 WIFI无线网络,手机终端是占比最大的用户群体。受限于当时的WIFI技术及年久老化和故障,效果差评的反馈此起彼伏,小批量购置备件更换价格不划算,且存在技术更新快甚至新产品不向下兼容的客观实际,整体更换又涉及使用年限与经费使用效率不匹配的矛盾。除此之外楼宇房间长期存在信号干扰、覆盖范围、网速体验等难以调和的运维代价,持续建设无线网络对于用户所期待的体验目标并不是最优解。

 

  5G专用网络(private 5G network)是基于5G技术创建的具有统一连接性、优化服务和特定区域内安全通信方式的专用网络。随着5G的商用及5G基站覆盖率的提升,以5G专网部分替代WIFI为解决这一情境提供了新的可能。

三大运营商5G专网分别划分安全区域接入校园网,UPF设备部署在各运营商核心机房,UPF与校园网互联只需运营商提供裸光纤连接,一方面免去学校对UPF设备调试维护工作量,另一方面运营商可将 UPF设备对多个学校共享复用,降低运营成本继而将实惠给予学校。

 

  签约手机号以VPDN方式连接5G专网,获取的IP地 址由学校分配私有地址段并在校园核心网络中添加相应路由配置,匹配校园网地址的访问从专网访问,其它目的地址从运营商出口访问。5G互联防火墙直接开放Web类公共应用端口和校园网L2TP认证,其它用于调试、开发的SSH、RDP等私设目的端口,则通过校园网L2TP认证后使用,这使5G专网安全防护策略更为简洁,也相对兼顾了安全与开放的平衡。

 

  为缓解校园WIFI覆盖和设备更新的不足,学校为每位教职工配发一张5G专网流量卡,该卡在全省高校校园基站拥有300GB定基站流量用于校园网与5G专网的消耗,在普通情况下,完全不用担心在校园区域流量不够用,此外还提供20GB全国通用流量和100GB定向APP流量,既弥补了校内WIFI盲区的覆盖,也将校园网延伸到了校园区域之外。该流量卡套餐全年资费108元,按全校3000教职工(实际小于3000人)粗略计算,单年投资仅32.4万元,按资产报废年限8年计,若连续8年为教职工提供流量卡,仅投入259.2万元就实现了随身携带的校园网覆盖,这也为教职工差旅,远程办公、教学、科研等活动延伸了校园网。

 

  相比WIFI更稳定高速,同等投资额度用于无线网络建设,可能仅能满足1~2幢楼宇的WIFI初期投资,还不包含无线信号调优、网络运维成本和供电等消耗,无疑更具性价比。借助5G专网的建设,运营商通过室分天线进一步完善了校园内地下车库、楼宇深处等信号覆盖不全的区域,优化了移动的用户的笔记本、平板等设备,通过手机热点共享的方式也逐渐流行起来。

 

  5G专网融入校园网要点分析

 

  ◎ 技术深度待持续改进

 

  新技术从落地到深入应用是一个持续改进的过程。已投用的5G专网分配了学校私有IPv4地址和运营商IPv6地址,IPv6并未互联到5G专网是个缺憾,这与运营商设备支持情况有关。而用户在熟悉5G专网的使用后,也提出直接访问图书馆数字期刊的想法,技术上,期刊数据库大多采购云服务未部署在校园网,5G专网仅实现了到校内IP段的路由连接,与期刊数据库基于源IP认证的模式并不匹配,有待通过其他技术形式进行无感知转换。

 

  ◎ 入网用户验证待完善

 

  从图1线路连接可见,已开通的5G专网的用户采取的是信任运营商的管理模式,只要运营商将签约用户划入学校的5G分组,就能获取学校的IP和路由,存在一定安全漏洞,下一步拟在UPF与互联防火墙之间新增5G认证代理网关,从运营商SMF获取签约手机号信息,用户经认证后鉴别为学校用户再正常使用5G专网线路,从而加强网络安全规范,并且通过代理网关,还能基于用户身份识别实现差别化的访问控制,进一步精细化接入管理。

 

  ◎ 5G专网是否完全替代WIFI

 

  基于技术发展趋势及中短期发展规划网络建设的实际需求,5G专网尚不具备完全替代WIFI的可能,可预见持续的网络改造将结合资金绩效、人员密度、覆盖空间、应用场景等多重条件进行评估实施,如教室、宿舍等人员持续密集区域以WIFI覆盖为主,而办公区域与体育馆、食堂等场馆区域以5G 覆盖为主,室分与WIFI为补充,从而在运维管理、使用体验、建设投入之间更趋平衡。

 

  F5G光网迭代基础网络改造

 

  学校有线网络多年来保持接入、汇聚、核心三层网络结构稳定运行,但在教学办公区域存在一定不足:首先是设备分布广、数量多,不可避免带来较高运维成本;其次是接入层设备大多位于楼层走道,设备风扇噪音不时发生用户投诉,且设备运行环境欠佳导致老化时间短于报废时间,在资产生命周期末尾因不稳定和故障率问题进一步导致用户投诉。F5G全光网络是点到多点架构的无源光网络,也是近年来网络改造的热门技术。针对教学楼基础网络运维存在的弊端,选取与运营商共建租用F5G 光网的改造模式,运营商提供的光路终端OLT设备部署在学校网络机房上联至网络核心交换机,楼宇内的线路敷设与光分设备,以及用户ONU的安装都由运营商投资建设和维护,从而整体替代原有的有线网络和接入设备。

改造优先选择在用设备超过报废年限的楼宇,在保持原有线网络不中断的条件下,逐批逐层开始光网改造,一般楼层按1:16分光入户房间,从楼宇总光分到房间ONU采用二层QinQ配置。

 

  房间按面积大小和覆盖人数由归属单位决定ONU 数量,每个ONU为一个开户按240元一年从房间归属单位向运营商支付租金并承担ONU设备保管责任,房间用户可根据实际情况对ONU按小型电器自行采取供电安全管理。用户连接ONU的有线或无线都通过vBRAS进行portal认证,获得同一个地址池IP,同时vBRAS具备弱绑定功能保持同一个终端IP在一个学期内不改变满足了部分用户固定IP的需求,相比原有线网络L2TP认证便捷度和用户体验提升明显。

 

  以第一个实施光网的体训中心大楼为例,包含办公室、体育训练室等不同面积的公共空间共开通120 户, 一年租金2.88万元,若不计新开户和销户,连续8年租金23.04万元,这对于基础网络投入是极具价格优势的。120台ONU每台提供4个有线接入点,若等量自建基础网络则对应480个点位,仅24 口交换机就需要20台,网络布线按500元一个点位则需24万元,无线网络覆盖还未计入就已经远超租用的建设模式,同时还释放了基础网络运维的人力成本。

 

  F5G光网迭代基础网络改造要点分析

 

  ◎ vlan-id规划要前置

 

  校内不同类型的楼宇和校区都存在从1开始计数的楼栋编号,同一幢楼还存在按字母分为不同区域,房间号因各种原因存在前缀相同尾号不同等情况,vlan-id想设计为一看就能知道准确位置的规则性存在一定难度,解决方式是vlan-id嵌套规则只观察出大致区域的特征性,无法直观看出规律的细化规则通过字典对照的方式来解决。

 

  ◎ 推广到学生宿舍

 

  学生宿舍的改造较之教学楼,需要考虑的问题更为繁琐。首先要允许三大运营商都能参与并为学生提供服务,合作模式与各运营商意愿需要沟通协调;其次ONU是否集中供电,有待与学生管理相结合,评估利弊再选取方案;再次,宿舍到OLT涉及大量光纤芯数,下沉到宿舍区域或集中到网络机房,都需要光缆线路改造和环网冗余方式设计作为前置工作。

 

  ◎ 无线漫游有缺憾

 

  ONU的无线功能可视为“胖AP”,ONU之间不具备漫游特性,每个ONU的SSID设置为相同或不同,都存在终端移动到另一个区域,与已连接SSID弱信号未中断的情况,导致用户无线体验陡然下降,需要用户手动进行SSID切换,切换后基于portal无感认证才会重新恢复流畅。

 

  ◎ 递进式改造

 

  光网改造无论是校方投资还是运营商投资都涉及较大人、财、物投入,第一幢改造楼宇具有典型的示范作用,根据改造效果、经验以及资产年限逐步开展改造,每次改造以整幢楼宇为单位,既避免扎堆建设产生工程难度,也待用户看到改造效果后产生自发配合的意愿。改造过程与原网络持续并行一段周期后,再逐步停用、下线拆除旧的设备和线路,此举也为楼层桥架减负。

 

  5G专网切片保障专有应用

 

  人员密集场所对网络连接的需求不仅是用户联网,往往还涉及专有业务的保障。如会堂、礼堂、体育场馆等活动开展视频直播,临时布线不易选取接入点,也存在踩踏踢线等风险,无线WIFI难以在众多并发下保障信号稳定;再如校园卡POS机由有线网络接入校园网或专网,依靠传统网络技术对其进行多路由保障难免措施繁琐,逐级相关设备供电、物理线路等也会增加保障的开销。

 

  5G相比前代移动通信,具备了网络切片技术保障能力,在人员密集区域,指定的物联专用卡为专有应用保障提供可靠的带宽与信号。在此基础上,针对网络保障和无缝切换的需求,使用双上联CPE作为保障设备,自动识别网络的连通性并进行切换,极大简化业务保障所需付出的人工运维和技术改造复杂性。

以校园卡在食堂消费的网络保障为例,POS终端与接入交换已具备UPS供电保障,一般经有线网络访问校园卡服务器。引入5G物联专用CPE对食堂上联网络做改造,CPE判断原有线网络发生中断,自动切换到5G物联专网,该物联专网具有专用频段,即使食堂用餐高峰也不担心手机用户挤占争用,继而经校园5G专网进入校园网。

 

  根据5G物联专网约束条件,对5G物联专网与5G专网使用不同IP地址池,多张5G物联卡共用一个流量池,同时通过5G物联访问校园网目的IP有数量限制。为兼顾安全,区分物联专网面向不同业务保障,从5G物联专网进入校园网后,从CPE发起 L2TP连接到软路由,安全防护设备以软路由源地址放行到校园网服务器的访问,从而缩小网络安全风险面,当专用CPE检测到有线网络上联恢复后,从 5G物联专网切换回有线网络,恢复为常态运行,也能节约物联专网的流量消耗。

 

  结语

 

  泛在网络接入已是教育数字化转型变革中必不可少的技术底座,多网融合的应用场景也将在这场变革中不断持续深化。对技术人员而言,既不能故步自封,将新技术与传统技术割裂开来,也不能过度超前,将传统技术弃之如草芥,而是要结合校本实际,在人员队伍、资金投入、用户接纳度之间找到与教、学、研、管的契合点,同时在“勤俭节约办一切事业”的要求下积极应变,塑造数字教育发展新优势,推动教育高质量发展。

 

  来源:《中国教育网络》2024年6月刊

  作者:高杰欣、张淼、余鹏(中南民族大学信息化建设管理处)

  责编:陈荣