多运营商共存模式中校园网络的维护方式
摘要:随着行业重组,多运营商共存的现象将在校园网服务中越来越普遍,网络维护的复杂性也随之增加。文章在分析基于VPN 和PPPoE 方式提供接入Internet 服务的基础上,阐述了校园网维护的基本流程。着重解析了非法DHCP 服务器和用户路由设备组网造成的故障原因和解决方法。
关键词:多运营商共存 网络维护 VPN PPPoE DHCP 路由设备
从网络运营来看,校园网可以有多种组成模式:学校运营、运营商以及多运营商共同运营。随着行业重组中国电信、中国联通和中国移动拥有了全业务运营牌照,校园宽带接入网势必成为三家运营商精彩表演的竞技场,多运营商共同运营现象也必将越来越普遍。 与学校运营相比,运营商凭借其带宽资源和成熟的网络服务质量,能够为学生提供更为充足的流量保证,使学生有机会根据服务质量和资费选择不同的运营商。
1多运营商共存模式
从技术标准看,有不同的宽带接入方式:PPPOE 、802.1X 、WEB 和VPN 等。不同的接入方式在组网特征和故障表现上会有一定的差异。如图1所示的网络拓扑,原有的学校自治网络改造后引入ISP1和ISP2两家网络运营商, 为学生用户提供Internet 服务,校园网则提供教工的Internet 出口、对内的数字化校园以及对外的Web 等服务。
图1 多运营商网络拓扑图
ISP1采用VPN 方式,以L2TP (二层隧道协议)封装公网流量,加封私网IP 地址,由校园以太网路由至其LNS 服务器并与Internet 互联。该种入网方式,无需额外的线路敷设,对校园网的原有拓扑改动小,组网方式灵活, 只需在核心层设备上连接运营商的LNS 网关设备即可。由于需要用户拥有合法的私网地址,对校园网的依赖性较强,如果学校的DHCP
服务器或者路由出现问题就会导致ISP1用户的断网。
ISP2采用PPPoE 方式,要求从接入层设备端口与运营商服务器处在同一个广播域中,以便建立链接时用户端发出的PPPoE 报文能够搜索到PPPoE 服务器。显然核心层设备无法承受大量用户同时上线时的广播风暴,因此需要每台汇聚层设备通过专用线路上行至运营商。该种方式对校园网的依赖性相对较小,即使没有学校DHCP 服务器和路由设备的支持也能正常提供服务。此外,由于PPPoE 成熟的部署和应用,客户机的设置也不易出现差错。 2 故障处理流程
运营商、校园网有各自的服务保障团队。但是,如图1所示,运营商和学校的网络是不可分割的,当出现故障时可能的原因在:运营商的服务设备或线路;学校的设备或线路以及用户机的设置等。
以一则用户无法登入运营商的VPN 服务为例:运营商的工作人员无法从用户端Ping 通ISP1的VPN 服务器,据此认为校园网络设置存在问题。而学校网管根据用户能访问校园网判断是用户或者运营商的设置问题。如果双方就此相互推卸责任损害的将是用户的利益。最后通过仔细排查发现确实是用户设置问题,Ping 不通VPN 服务器的原因在于用户的防火墙阻挡了Ping 包。因此,无法保证由某一运营商或者学校单独解决故障,而应就故障处理流程达成共识,明确责任后由相关方及时修复。
图2 网络故障维护的一般流程
在网络正常运营时,当个别用户出现故障,校园网维护的一般流程如图2所示。如果用户能正常访问校园网比如学校主页,那么一般来说是用户机的设置问题或用户组网方式不正确;如果不能访问校园网则可通过本地连接状态检查物理线路或者查看用户机是否获得了合法的IP 地址;如果用户机获得合法IP 地址仍无法访问Internet 问题可能在于用户机的路由;如果用户机获得了非法的IP 地址可通过屏蔽非法DHCP 服务器来解决;如果无法获得
IP 地址则检查用户所连接的接入层交换机
的运行状态。
3 非法DHCP Server的屏蔽
获得非法IP 地址是用户网络的常见故障,可以通过寻找非法的DHCP 服务器并关闭相应端口来解决。实际操作中,在网络设
图3 屏蔽DHCP 服务器拓扑图
备上定位这一非法服务器的连接端口比较麻烦,需要通过用户机上该服务器的ARP 映射来确定对应的Mac 地址,然后根据Mac 地址寻找网络设备上的相应端口。
屏蔽非法DHCP Server是解决上述问题的有效方法。如图3所示,DHCP Server B为非法服务器,DHCP Server A为合法服务器。如果拒绝除了来自端口Gi0/1外所有服务器发送的DHCP OFFER和DHCP ACK报文,那么用户只能接受Server A的地址分配服务,Server B 则被屏蔽了。具体配置实现过程为:启用Switch A(Cisco 2950)的防DHCP 欺骗(ip dhcp snooping )功能,将Gi0/1设为DHCP 报文信任端口(ip dhcp snooping trust)。
4 用户路由设备的组网
由于学校的部分校舍无法满足学生人
均一个网络信息点,因此学生有时需要增加
设备自行组网以满足要求。在组网过程中由
于路由设备的不当使用出现的问题比较普
遍。
如图4所示,若使用W AN 口作为上行口,则W AN 口将阻止用户机发出的传至
ISP2接入设备的PPPoE 广播报文。即使用
户能正常访问校园网也无法通过ISP2连接
Internet 。因此,应使用某一LAN 口作为上
行口,其余LAN 口连接用户机。 图4 用户路由器组网图
此外,由于路由设备一般默认启用了
DHCP 功能,上面提到的屏蔽DHCP Server的方法并不能在此种组网方式下使用户获得合法IP 地址,为此还应将路由设备的DHCP 服务关闭。 5 结语
多运营商共同运营使原有的网络结构复杂化,当出现故障时校园网和运营商之间的责任难以认定,加上工作人员排障方法的偏差,难免出现相互推诿的情况。因此,形成一个多方认可、可操作性强、不断完善的维护流程,有助于定位故障原因、明确责任、及时修复、保障用户权益、提升服务质量。
[参考文献]
[1]Behrouz A.Forouzan著, 谢希仁译.TCP/IP协议簇[M].清华大学出版社,2001,09.
[2]黄国贤, 李斌奇, 王以勒.VPN 实现“走出去”与“引进来”[J],中国教育网络,2008,09.
[3]郑民. 校园网用户采用L2TP 接入Internet[J]. 中国教育信息化,2009.