“创建可运营的高校校园网络”是目前网络市场的热门话题,也是网络产品供应商在各种场合大谈特谈的内容。校园网、企业网、运营商网络原本是泾渭分明的不同应用领域,但是在“创建可运营的高校校园网络”旗帜照耀下,校园网与运营网的界限开始模糊了。
实际上,这种模糊从“长宽”的出现就已经开始了。长宽并不是传统意义上的电信运营商,但确实在提供着实际意义上的电信接入服务。为什么不把这种经验移植到学校呢?实际上,可运营对于高校而言也不是什么新鲜的话题,以服务教育科研为目标的CERNET实际上早就开始向各高校收取费用了,尽管这种收费是为了分担有关费用,并不是以赢利为目的。
实际上,目前所说的“创建可运营的高校校园网络”也仅仅是针对员工家属区、学生宿舍子网而言,并没有蔓延到教学区和科研子网。这个概念的提出,也是高校校园网向家属区、学生宿舍楼延伸的必然产物。既然有些地区已经被长宽等小区运营商的触角所覆盖,那么对于近水楼台的校园网络来说,为什么不利用校园网的带宽、内容资源,把这部分业务接管过来,创建可运营的高校校园网络呢?纵然不以运营为目的,所收取费用也可以用于校园网络维护以及内容资源开发的补贴,从而形成一个以网养网的良性局面,何乐不为呢?
主意还不错,愿望也非常好,但是从“校园网”到“运营网”,技术上可以支持吗?可行吗?高校的教师员工又是如何看待这个问题的?本着这样的问题出发,我们策划了本期“应用诊室”,从网络产品供应商、高校两个角度,对于“创建可运营的高校校园网络”进行讨论。
厂商言语:校园网运营的可行性
从2002年起,国内高校校园网建设开始从教学楼延伸到学生宿舍以及教师家属区,其中呈爆炸性增长的是学生宿舍区。根据许多校园网发展的历程,高校校园网在建设初期是为了满足教学科研的需要,覆盖的范围主要是各院系大楼、行政办公楼、图书馆等教学科研区。但广大师生越来越不满足于只在办公室、实验室上网,或只能通过Modem拨号的方式低速上网,他们对在家里、在宿舍里高速上网的要求越来越迫切。 为满足这种需求,高校校园网在完成教学区主干网建设之后,开始进行教工区与学生宿舍区的子网建设。
虽然同属校园网络,但教学区与教工、学生宿舍区子网有着明显不同。教学区用户一般侧重于在网上查询信息、传输数据、应用多媒体教育和电子图书馆进行教学,或利用网络辅助科研项目的开展,这要求保证在校内资源信息共享的同时需要保证网络的安全性,实现完善的QoS保障,并可区分内外网计费(CERNET是按照内、外网区分计费的)。而学生宿舍区的需求主要以收发电子邮件、聊天、视频点播与互动游戏为主,对网络性能提出了无瓶颈传输效率、高可靠与高稳定、便于维护管理、区分内外网计费等要求。教工宿舍区的用户类似于商业用户群,不同的是传统的商业用户群体由电信运营商提供业务,而在校园网内部则由学校提供业务,价格更为低廉,学校相当于为教工提供IP接入业务的ISP。这部分用户群要求网络安全、可靠并可实现灵活计费。
针对校园网内部子网不同的需求,在设计整体解决方案的时候,技术上有很多问题需要加以考虑,例如:接入认证方式、运营管理、计费策略、网络安全、用户接入控制与IP地址管理、网络资源盗用控制等,这些问题解决不好,创建可运营的高校校园网就是一句空话。下面以神州数码产品和技术为例,探讨一下方案的设计与实现。
打破宿舍包月 计费到人到时段
神州数码可提供PPPoE、DHCP加Web、802.1X、专线固定IP 地址接入等多种接入和认证方式。面对校园网中教学区、学生宿舍区和教职工家属区等不同用户群体的不同使用需求,可以综合采用上述四种不同的接入方式。例如:在教学区建议使用专线固定IP地址接入方式,因为这部分应用主要是行政、教学或者科研之用。在学生宿舍区和教职工家属区建议使用PPPoE 、DHCP加Web或者802.1x 认证接入方式。在网络的运营管理方面,神州数推出了DCBI-2000 Radius认证计费管理系统,采用标准的Radius协议,通过与神州数码网络有限公司的DCBA系列接入管理器、DCS系列交换机,以及其它支持Radius协议的设备相结合,能够实现灵活的用户认证、管理和计费。后台可支持Oracle、SQL Server等多种数据库。
在多种接入认证方式以及认证计费管理系统的支持下,用户管理、账目管理以及很多统计、分析的功能就很容易实现,例如用户管理方面的开户、停机、删户、预付时长用户发卡、资料查询和修改、密码修改、上网记录与缴费帐单查询;帐目管理方面的用户缴月费、对预付时长预付流量用户充值、用户批量缴费、按运营商要求格式导出帐单等功能,不仅可以直接使用系统提供的包月、计时长、计流量、实时扣费、卡业务等计费原型,网络管理员同时可以自定义计费策略。比如设置优惠时段,哪些服务收费,哪些服务免费,对不同的用户可采用不同的计费策略和资费标准。还可以定制用户服务,如上下行带宽等。又例如在用户上网统计和分析方面,按上网时间段、上网次数、每次上网时长或者累计时长、流量来统计和分析用户上网行为等功能,一定程度上协助网络管理员更好地定制计费和优惠策略。
由于提供了用户自助Web服务,用户可以Web形式修改用户密码、查询上网记录、查询帐单, 无论是PPPoE接入方式还是Web接入认证方式,用户认证通过后,访问的第一个Web页面可被重定向到运营商指定的 Portal页面;同时Web的接入认证方式支持VLAN Portal功能,可按用户所处不同的VLAN范围导向不同的认证页面;学校或院系可以利用初始界面与用户交流帐务通知、校内业务活动、品牌宣传等信息,可以增强服务的迅捷性。
在这些系统功能的支持下,很多问题迎刃而解。例如学生宿舍的典型特征是一个终端即计算机可能被好几个人拥有,多个学生通过同一个终端在不同时段访问Internet。按照传统基于用户位置(二层以太网交换机端口)或者目前宽带比较流行的包月制的方式都没有办法区分使用同一个终端的不同用户访问Internet的费用;另外包月制的方式只能对宿舍包月,无法对每个学生包月。校园上网卡可以较好地解决这个问题,卡号方式等于是一个预付费的方式。上网卡的主要特点可归纳为: 实现对同一物理位置和接口,不同用户的计费管理,最适合学生宿舍等公共场所; 实现用户全网的漫游的可能性,学生拥有上网卡可以在校内任一台计算机终端使用;根据用户使用网络的实际情况进行计费; 储值卡方式上网,不存在欠费等问题,费用管理简单,运营风险小。
上网卡上的用户名、密码已经存放在校园网计费中心的Radius Server的认证数据库中,通过DCBI-2000 认证计费管理系统的Web服务功能,学生可以自行修改自己的上网密码。每次上网结束后,DCBI-2000 认证计费管理系统立即扣除相应费用;同时每次用户上线时,DCBI-2000 认证计费管理系统根据费率计算用户上网的剩余上网时长,当用户剩余时长达到后,将对用户进行自动拆线。费率可以根据学校的实际情况进行调整。
教工家属区可采用以下计费策略:包月计费、时长或有限时长包月计费(比如60小时包月超出部分2元/小时)、流量或有限流量包月计费(比如1000M包月超出部分0.1元/M)。具体的计费策略可以按照实际情况制定。由于教工家属区与学生宿舍有着不同的特征,在教工家属区,各用户的计算机终端完全被自己拥有,为了防止帐号被盗用,可以采用用户帐号与MAC地址、VLAN号以及IP地址绑定的方式保障用户帐号的安全性。同时校内互访可以设为免费,访问Internet收费。
超高网络安全 对抗青春荷尔蒙
需要注意的是,校园网的大部分用户是学生,这是一个具有很高知识水平,朝气蓬勃的用户群体。旺盛的精力、强烈的知识实践欲望,好奇心的驱动,自我实现价值的刺激,其中任何一个原因,都使得他们有足够的理由对抗校园网的运行。在电信网的运营中就发生过IC卡电话被盗打的问题,因此,安全基础对于校园网格外重要,而运营又使得问题更加突出。
要为校园网进行安全保障,目前有这样一些问题要考虑:
校园网VLAN设计:传统校园网的设计思路是按照地理位置来划分VLAN,这并非一个好的设计方法,因为地理位置相近的用户不一定有资源共享的需求。
VLAN设计的总体指导原则是提高校园网的效率以及网络安全性。若相互间通信最多的用户群处于同一个VLAN下,一方面可以保证通信最多的用户之间使用二层交换协议,而性质不同的用户之间,通信量较少,采用三层交换协议,无疑提高了网络的效率。通信最多的用户群体一般属于相同性质用户,如同一个班级的学生或者同一个部门的教师等,相互之间有信任关系,网络的安全性能同样会提高。具体来说,学生宿舍最好以班级或者专业划分VLAN;而教工家属区,不同家庭的用户之间几乎不需要通信,每个家庭最好单独划分VLAN。
NAT(网络地址转换):通过内置NAT功能,用户被分配私有IP地址,而私有IP地址对Internet是隐蔽的,Internet上的用户几乎无法攻击校园网内部用户。同时也解决了公用IP地址资源匮乏的问题。
校园网上网控制:通过ACL功能可以对不健康网站或者政治反动网站以及校内关键资源如财务系统信息进行过滤。可以根据学校的管理要求,对学生上网时间、时段进行严格管理。比如对DCBA-2000P设置,可限制学生在2:00~5:00上网。
用户上网记录或日志管理:网络管理员通过DCBI-2000认证计费系统可查看用户上网详细记录。包括用户IP地址、MAC地址、VLAN ID、上网时间、流量信息、接入服务器IP、端口等。通过对上网记录的分析,能够及时发现异常用户。
此外,严格的Telnet/Enable/SNMP的访问权限可以保证校园网络设备的高度安全,以及提供有效的防范措施针对PPPoE协议、DHCP Server、Web Server的DoS攻击都是校园网必须认真考虑的问题。
在校园网中一般采用LAN的接入方式,因此校园网的运营不可避免会存在IP地址管理的问题。由于学生所住房间经常调整,通常每学年就要移动一次,许多合法的IP地址在用户结束使用后仍没有收回,造成IP地址的浪费。另外,在校园网经常出现IP地址盗用或冲突的问题。用户恶意更改IP地址,在实际的运营中导致其他用户上不了网,甚至造成整个网络陷入瘫痪(比如用户的IP地址设成网关地址)。有的运营商采用IP地址和MAC地址绑定的功能,但由于一方面不能有效地解决IP地址冲突问题,同时增大了交换机的成本投入,而且工程的实施又极其繁琐,所以也很不理想。
目前,神州数码可以实现对用户账号与IP、MAC、接入交换机IP、接入端口、VLAN ID、DHCP Server等多元素的任意绑定,能够很好的解决IP地址的管理问题。例如,采用用户帐号/密码的验证,只有通过验证的用户才能访问网络,保证正常开户的用户才能接入。也可以将其与IP地址进行绑定,这样可解决IP地址静态分配环境下的IP地址冲突问题。如果与MAC地址进行绑定,可保证用户帐号不被盗用。此外,在802.1x认证中,交换机端口与MAC地址的绑定,可对认证者进行过滤。将用户帐号、密码、VLAN号、MAC地址的绑定,能够为用户做更精准的身份认证。比如教师家属区和学生宿舍区的用户通常使用不同资费标准和策略,那么如何禁止这两个区域用户账号的混用呢?如果教师和学生在不同的VLAN内,只要在用户认证时,同时认证用户的VLAN ID就可以做到教师的帐户只能在教师宿舍区使用,学生的帐号只能在学生宿舍区使用。
在校园网的实践中,学生私自架设代理服务器的问题是运营中令人头痛的问题,解决不好就会影响到网络的正常运营。若实行简单的包月制,通过代理服务器、串联HUB等方式就会相当普遍。对此,一方面通过带宽控制功能可以防止部分网络盗用的现象,另外一方面也可采用流量计费、包月加限制流量的计费策略。或者通过限制TCP/IP的Session,防止用户做代理。单个用户访问Internet的会话连接应该在一个固定的范围内,若某用户的会话连接数目超过一定阈值,可以认为该用户使用代理服务器的方式在盗用网络资源,接入管理器将向网管系统进行告警或拆线,从而最大限度地预防网络盗用。
用户之声:可运行与边际效应
从目前高校校园网的建设情况来看,起步比较晚的学校起点比较高,但后期应用怎么快速跟上?这是校园网建设中要思考的问题。此外高校校园网一般都是在投建时,临时请专家进行论证,高校自身往往也是从零开始,相关管理队伍也要重新组建。这样,高校实际上也有一个熟悉、掌握网络产品的过程。因此,在校园网运行过程中,遇到了一些特殊的状况,比如学校IP盗用的问题,资源盗用的问题,这就使得校园网越来越难管,怎样加强网络的管理,这是目前校园网建设中的首要问题。
校园网建设的目的是为了满足教学、科研的需要,例如高校开设电子商务课程,如果学生不具备上网的条件,就成了纸上谈兵。要达到教学计划的要求,必须要建设校园网络。此外,教师也可以通过校园网提供的条件,查阅相关科技论文、文献,与有关行业的专家进行直接的交流,而教师的研究成果、教学心得,也就有了一个存储、刊发的载体,可以极大促进其推广与交流。例如,目前很多高校的电子图书馆面向各校园网开放,这样老师、学生足不出户就可以调阅清华、北大等高校的资源,有力促进了教学和科研水平的提高。
谈到校园网向家属区、学生宿舍子网的延伸,主要还是为了解决师生上网的需求,而收费实际只是高校校园网产生一个边际效益。很多厂商谈到运营大都会谈到盗用的问题,实际上这确实是一个难题。目前高校的互联网出口带宽基本来自两个途径: CERNET以及电信。其中CERNET的计费方式按照国内、国际区别对待,国内访问采用包月,国际出口采用按照流量计费。某高校就曾经发生过这样的事情,代理服务器被盗用,一夜的国际访问流量费用就达到7000多元。但从技术上来看,似乎很难彻底解决盗用的问题。这就要求网络产品的供应商尽可能增加技术门槛,增加难度。
从目前高校校园网建设情况来看,投入比较大,至少也有500多万元,4000多个网络节点。很多高校已经进入了升级改造阶段。由于国家教委每年有相应的资金投入,因此,校园网的开销并不大。因此对于运营收费的急迫性并不强烈,高校毕竟不是运营商,教书育人、科研才是高校的主要任务,而校园网在这方面肩负着很重要的责任。因此,如何保持其高校的可运行性至关重要。此外,高校校园网是经过多年的建设发展起来的,有很多品牌的网络产品,如何增加网络的可管理性也是一个普遍关心的话题。目前,神州数码提供的网络管理系统,可以很好的监控管理其网络产品的工作情况,而对于其他品牌可以自动穿透并发现网络拓扑结构,这已经难能可贵。毕竟目前各品牌的产品还采用了很多私有的协议。
基于高校校园网的应用也是一个重要的问题,不同于普教的校校通工程,高校在应用方面的投入比较多。例如课件,无论开发手段还是水平,高校都比较领先。如大连理工学院的课件就很具有代表性。此外,OA、教务系统的应用开发,远程教育、多媒体教室的推广,高校也进行得有声有色。但是基于高校校园网的应用,也有很多不尽人意的地方,学校在应用系统的投入上,还存在重硬件、轻软件的问题。很多业务部门不能够根据网络的特点,提出新的业务需求。开发的应用系统零散,范围有限,其整体的水平还不是很高。
总之,高校校园网游走在可运行与可运营之间,核心问题不是要不要运营的问题,而是网络的管理问题,从这个意义衡量,目前网络厂商提供的产品、技术还有很多现实意义。至于运营,总体属于边际效益,待时机、条件成熟,又何乐而不为呢?
精彩点击:机械工业学院网络中心:武装
我们学校校园网建设起步在2000年,资金投入比较大,到现在运行了两年,校园网管过程当中,遇到各种各样的问题,因为学生的思路很活跃,老师和网管往往处在比较被动的位置上,所以在管理过程中,确实希望厂家能够提供比较好的工具,一方面不能限制正常的访问,但又能很快定位非正常访问的源头,这是很关键的一点。
南京商业干部管理学院:王骏
关于创建可运营的高校校园网,不要在做计费方面考虑太多,因为CERNET以及电信运营商基本采用包月的计费,你跑就是了。因此,计费只是边际效益,最关键的还是保证网络的可运行性。这要求厂商能够提供强大管理工具,此外在用户界面方面,努力作到更友善,直观。
神州数码网络集团副总经理:司绍华
今天倡导“高校可运营网络”,也许这个看法不见得对,但我们也看到面向应用的个性化需求的存在,作为设备供应商来说,我们要满足这种需求,这也是国产品牌的优势,不管是可运行和可运营,整体上说,怎么拓展新的应用领域,这是大家共同关心的话题。(计世网)
