发布时间 : 星期一 文章多运营商共存模式中校园网络的维护方式更新完毕开始阅读149138e279563c1ec4da7116
多运营商共存模式中校园网络的维护方式
摘要:随着行业重组,多运营商共存的现象将在校园网服务中越来越普遍,网络维护的复杂性也随之增加。
文章在分析基于VPN和PPPoE方式提供接入Internet服务的基础上,阐述了校园网维护的基本流程。着重解析了非法DHCP服务器和用户路由设备组网造成的故障原因和解决方法。
关键词:多运营商共存 网络维护 VPN PPPoE DHCP 路由设备
从网络运营来看,校园网可以有多种组成模式:学校运营、运营商以及多运营商共同运营。随着行业重组中国电信、中国联通和中国移动拥有了全业务运营牌照,校园宽带接入网势必成为三家运营商精彩表演的竞技场,多运营商共同运营现象也必将越来越普遍。
与学校运营相比,运营商凭借其带宽资源和成熟的网络服务质量,能够为学生提供更为充足的流量保证,使学生有机会根据服务质量和资费选择不同的运营商。
1多运营商共存模式
从技术标准看,有不同的宽带接入方式:PPPOE、802.1X、WEB和VPN等。不同的接入方式在组网特征和故障表现上会有一定的差异。如图1所示的网络拓扑,原有的学校自治网络改造后引入ISP1和ISP2两家网络运营商,为学生用户提供Internet服务,校园网则提供教工的Internet出口、对内的数字化校园以及对外的Web等服务。
Internet Internet Internet ISP 21 ISP 1 Si核心层设备 LNS 汇聚层设备 ? 接入层设备 ? 图1 多运营商网络拓扑图
ISP1采用VPN方式,以L2TP(二层隧道协议)封装公网流量,加封私网IP地址,由校园以太网路由至其LNS服务器并与Internet互联。该种入网方式,无需额外的线路敷设,对校园网的原有拓扑改动小,组网方式灵活,只需在核心层设备上连接运营商的LNS网关设备即可。由于需要用户拥有合法的私网地址,对校园网的依赖性较强,如果学校的DHCP
服务器或者路由出现问题就会导致ISP1用户的断网。
ISP2采用PPPoE方式,要求从接入层设备端口与运营商服务器处在同一个广播域中,以便建立链接时用户端发出的PPPoE报文能够搜索到PPPoE服务器。显然核心层设备无法承受大量用户同时上线时的广播风暴,因此需要每台汇聚层设备通过专用线路上行至运营商。该种方式对校园网的依赖性相对较小,即使没有学校DHCP服务器和路由设备的支持也能正常提供服务。此外,由于PPPoE成熟的部署和应用,客户机的设置也不易出现差错。
2 故障处理流程
运营商、校园网有各自的服务保障团队。但是,如图1所示,运营商和学校的网络是不可分割的,当出现故障时可能的原因在:运营商的服务设备或线路;学校的设备或线路以及用户机的设置等。
以一则用户无法登入运营商的VPN服务为例:运营商的工作人员无法从用户端Ping通ISP1的VPN服务器,据此认为校园网络设置存在问题。而学校网管根据用户能访问校园网判断是用户或者运营商的设置问题。如果双方就此相互推卸责任损害的将是用户的利益。最后通过仔细排查发现确实是用户设置问题,Ping不通VPN服务器的原因在于用户的防火墙阻挡了Ping包。因此,无法保证由某一运营商或者学校单独解决故障,而应就故障处理流程达成共识,明确责任后由相关方及时修复。
网络故障 申报 屏蔽非法 DHCP服务器 获得非法 能否访问校园网 是 用户机设置或组网方式问题 否 本地连接是否打叉 是 检查用户到网络设备之间的线路故障 图2 网络故障维护的一般流程
否 是否获取合法的IP 是 检查用户机路由 否 IP地址 无法获得 IP地址 检查网络设备 运行状态
在网络正常运营时,当个别用户出现故障,校园网维护的一般流程如图2所示。如果用户能正常访问校园网比如学校主页,那么一般来说是用户机的设置问题或用户组网方式不正确;如果不能访问校园网则可通过本地连接状态检查物理线路或者查看用户机是否获得了合法的IP地址;如果用户机获得合法IP地址仍无法访问Internet问题可能在于用户机的路由;如果用户机获得了非法的IP地址可通过屏蔽非法DHCP服务器来解决;如果无法获得
IP地址则检查用户所连接的接入层交换机的运行状态。
3 非法DHCP Server的屏蔽
Gi 0/1 Switch A DHCP Server B ? DHCP Server A
获得非法IP地址是用户网络的常见故障,可以通过寻找非法的DHCP服务器并关闭相应端口来解决。实际操作中,在网络设
图3 屏蔽DHCP服务器拓扑图
备上定位这一非法服务器的连接端口比较麻烦,需要通过用户机上该服务器的ARP映射来确定对应的Mac地址,然后根据Mac地址寻找网络设备上的相应端口。
屏蔽非法DHCP Server是解决上述问题的有效方法。如图3所示,DHCP Server B为非法服务器,DHCP Server A为合法服务器。如果拒绝除了来自端口Gi0/1外所有服务器发送的DHCP OFFER和DHCP ACK报文,那么用户只能接受Server A的地址分配服务,Server B则被屏蔽了。具体配置实现过程为:启用Switch A(Cisco 2950)的防DHCP欺骗(ip dhcp snooping)功能,将Gi0/1设为DHCP报文信任端口(ip dhcp snooping trust)。
4 用户路由设备的组网
由于学校的部分校舍无法满足学生人
均一个网络信息点,因此学生有时需要增加设备自行组网以满足要求。在组网过程中由于路由设备的不当使用出现的问题比较普遍。
如图4所示,若使用WAN口作为上行WAN LAN 口,则WAN口将阻止用户机发出的传至
用户路由设备 ISP2接入设备的PPPoE广播报文。即使用
户能正常访问校园网也无法通过ISP2连接Internet。因此,应使用某一LAN口作为上行口,其余LAN口连接用户机。 图4 用户路由器组网图
此外,由于路由设备一般默认启用了
DHCP功能,上面提到的屏蔽DHCP Server的方法并不能在此种组网方式下使用户获得合法IP地址,为此还应将路由设备的DHCP服务关闭。
接入层设备 × 5 结语
多运营商共同运营使原有的网络结构复杂化,当出现故障时校园网和运营商之间的责任难以认定,加上工作人员排障方法的偏差,难免出现相互推诿的情况。因此,形成一个多方认可、可操作性强、不断完善的维护流程,有助于定位故障原因、明确责任、及时修复、保障用户权益、提升服务质量。
[参考文献]
[1]Behrouz A.Forouzan著,谢希仁译.TCP/IP协议簇[M].清华大学出版社,2001,09. [2]黄国贤,李斌奇,王以勒.VPN实现“走出去”与“引进来”[J],中国教育网络,2008,09. [3]郑民.校园网用户采用L2TP接入Internet[J].中国教育信息化,2009.